이름: 관리자

번호: 239(242) 날짜: 2013-10-21 11:13:30 조회: 11600

제목: 안행부, 69개 행정기관에 누리집 관리 ‘로봇배제표준 사용’ 지침

첨부파일1: 2013-10-21.jpg(218250 bytes)
[관련링크]

홈페이지 전체 차단 아닌 폴더·페이지 등 부분적 검색 제한
‘접근말라’ 선언이 되레 해커에 노출 / 보안 해로운 관리지침 내린 셈

· 작년 로봇배제표준 부분사용 배포
· 5월에 또 ‘적용 방법’ 지침서 공문
· 전문가 “위험 큰데 왜 쓰라는지 의아”

안전행정부가 청와대 등 중앙행정기관과 광역 자치단체들에 보안에 해로운 방법으로 홈페이지를 관리하라는 지침을 내려보낸 사실이 드러났다. 안행부는 “지침을 내려보내긴 했지만, 각 기관이 예산과 부처 특성에 따라 (지침대로 할지 여부를) 결정한다”고 해명했다.

안행부는 지난 5월20일 청와대 등 정부기관과 광역지방자치단체 등 69개 기관에 ‘홈페이지 개인정보 노출방지 가이드라인 관련 유의사항 통보’라는 공문을 보냈다. 이 문서에는 ‘검색로봇 배제표준 적용방법’라는 지침서가 첨부됐다. 로봇배제표준은 검색로봇(검색엔진이 홈페이지를 검색하고 필요한 내용을 가져오도록 하는 프로그램)의 웹사이트 접근을 막는 명령어로, ‘robots.txt’로 표시된다.

안행부는 지침에서 “홈페이지 전체 내용에 (로봇배제 표준을) 설정할 경우, 일반 검색 포털사이트에서 기관의 홈페이지가 검색되지 않을 수 있으므로 외부에 비공개되어야 할 정보를 포함하고 있는 폴더(또는 페이지) 혹은 인증절차를 거쳐 접근되는 폴더 등에 제한적으로 로봇배제 표준을 설정하여 사용해야 한다”고 권하고 있다. 홈페이지 전체에는 사용하지 말되 필요한 부분(디렉토리)에만 적용하란 얘기다.

보안전문가들은 이를 두고 ‘해커에게 먹잇감을 내주는 것과 같다’고 지적한다. 로봇배제표준은 검색엔진의 접근을 막는 보안기술이 아니라 ‘접근하지 말아달라’는 선언(요청)에 불과하기 때문이다. ‘귀중품을 보관하고 있으니 특정 공간은 살펴보지 말라’고 선언할 경우, 선의의 방문자는 이를 따르겠지만 도둑은 그 곳부터 뒤지기 시작한다는 얘기다.

보안전문가 남기효 공학박사(유엠로직스 부사장)는 “2000년대 중반 공공기관 홈페이지를 통한 개인정보 노출이 문제가 됐을 때 임시방편으로 로봇배제표준을 잠시 사용했지만, 이후 구글캐쉬(cache·명령어나 검색결과를 임시 보관해두는 기억장치로 검색대상이 삭제돼도 검색 결과로 보여질 수 있다) 자동삭제 프로그램과 개인정보 노출 필터링 솔루션 등이 도입되면서 문제가 해결됐다. 현재는 필요도 없고 위험성이 큰 robots.txt를 왜 쓰라고 안내하는지 이해가 안된다”고 말했다.

실제 옛 정보통신부와 한국정보보호진흥원이 업계 전문가들을 모아 2007년 펴낸 ‘홈페이지 개인정보 노출 원인과 대응방법’ 안내서에는 “로봇배제 표준을 설정한다는 것은 해당 디렉터리가 외부에 노출되지 않아야 할 내용이 있다는 것을 의미하므로, 로봇배제표준이 설정된 디렉터리는 해킹의 대상이 될 수도 있다. 따라서 로봇배제 표준을 적용할 때에는 보안에 대해서도 함께 고려해야 한다”고 명시돼 있다.

안행부가 이렇듯 보안에 해로운 홈페이지 관리 지침을 내려보낸 사실은, 숙명여대 웹발전연구소(대표 문형남 교수)가 중앙행정기관의 웹개방성을 평가하는 과정에서 확인됐다. 문 교수는 “robots.txt를 이용해 검색을 차단하는지 여부가 웹개방성 평가의 주요 지표인데, 올해 이를 부분 적용한 기관들이 크게 늘었다. 이유를 묻자, 상당수 기관들이 안행부 지침을 얘기했다”고 말했다.

이에 대해 안행부 한순기 개인정보보호과장은 “로봇배제표준을 전면 적용하는 것보다는 부분 적용하는 게 낫지 않느냐. 개인정보가 남을 수 있는 게시판 등에서 로봇배제표준을 부분적으로 사용하도록 안내한 것은 사실이지만, 실제 사용 여부는 각 기관이 업무 특성이나 예산 사정에 따라 결정할 일”이라고 말했다.

이순혁 기자 hyuk@hani.co.kr

웹발전연구소 사무실 확장 이전 안내
next

개인정보노출 차단 방법 개발 ‘로봇배제표준’ 사용이유 없어

203.252.193.189

번호			제목	이름	날짜	조회
1			안행부, 69개 행정기관에 누리집 관리 ‘로봇배제표준 사용’ 지침	관리자	2013-10-21	11600