AD
지난 8월, YTN이 단독 보도한 SH, 서울주택도시공사 청년 주택 문서 유출 사건.
수백 대 1에 달할 만큼 치열했던 서류 심사 대상자 명단이 공식발표 전 인터넷 포털 카페에 올라와 논란이 일었습니다.
당시 공사 측은 외부인이 내부 관리자 페이지를 불법 해킹한 거로 보인다면서 명단을 다른 사이트에 옮긴 작성자에 대한 법적 조치까지 예고했습니다.
그런데 작성자 말은 다릅니다.
단순한 인터넷 검색만으로도 내부망 접근이 가능했다며 반박하고 있습니다.
작성자가 제공한 검색 시연 영상입니다.
지난해 9월에 뜬 SH 신혼부부 임대주택 공고 명을 구글에 검색하니 서울주택도시공사 사이트가 나옵니다.
사이트를 클릭하자 공사 각 부서에서 공고문을 올려둔 페이지로 넘어갑니다.
너무나도 쉽게 내부 서버 자료 관리 화면으로 들어갈 수 있는 겁니다.
현재는 보안이 강화돼 검색해도 나오지 않습니다.
이 작성자는 YTN 취재진에게 구글에서 임대주택 관련 정보를 찾다가 내부 관리자 페이지로 접속됐다며, 해킹이 아니라고 부인했습니다.
공사 측에도 해당 영상을 보냈지만, 오히려 증거로 제출해 정보통신망법 위반 혐의로 검찰에 송치됐다고 호소했습니다.
[게시글 작성자 : 아이디, 비밀번호를 입력하는 절차를 생략하고 바로 관리자 페이지로 접근 가능했고, URL 변경만으로도 상세페이지까지 볼 수 있었던 상황입니다. 해킹에 대해서 공부해본 적도 없고 개발자도 아니고….]
공사 측이 이른바 '구글링'으로 내부망에 접속할 수 있게 허술하게 관리하고는 개인에게 책임을 떠넘긴 것 아니냐는 지적도 나옵니다.
[정민규 / 사이버보안 전문가 : (공사 측이) 검색엔진 수집을 사이트에서 막지 않은 것이고, 최소 아이디와 패스워드 기반의 접근 통제를 해야 하는데, 이마저도 하진 않은 거로 보입니다. 그래서 문서 내려받기가 가능했던 상황으로, 시연 영상이 사실이라면 보안 수준이 매우 낮았던 거로 판단합니다.]
이에 대해 공사 측은 현재는 내부 서버에 무단 침입 할 수 없게 보안을 강화했다고 밝혔습니다.
그러면서 불법 해킹 여부를 아직 단정 지을 수는 없다며, 수사기관 판단을 기다리고 있다고 덧붙였습니다.
SH공사 고소장을 접수받아 수사에 나섰던 관할 경찰서는 구체적인 송치 사유를 묻는 취재진 질문에 입장을 밝히지 않았습니다.
YTN 황보혜경입니다.
촬영기자 : 윤지원
그래픽 : 권보희
자막뉴스 : 이선
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]
수백 대 1에 달할 만큼 치열했던 서류 심사 대상자 명단이 공식발표 전 인터넷 포털 카페에 올라와 논란이 일었습니다.
당시 공사 측은 외부인이 내부 관리자 페이지를 불법 해킹한 거로 보인다면서 명단을 다른 사이트에 옮긴 작성자에 대한 법적 조치까지 예고했습니다.
그런데 작성자 말은 다릅니다.
단순한 인터넷 검색만으로도 내부망 접근이 가능했다며 반박하고 있습니다.
작성자가 제공한 검색 시연 영상입니다.
지난해 9월에 뜬 SH 신혼부부 임대주택 공고 명을 구글에 검색하니 서울주택도시공사 사이트가 나옵니다.
사이트를 클릭하자 공사 각 부서에서 공고문을 올려둔 페이지로 넘어갑니다.
너무나도 쉽게 내부 서버 자료 관리 화면으로 들어갈 수 있는 겁니다.
현재는 보안이 강화돼 검색해도 나오지 않습니다.
이 작성자는 YTN 취재진에게 구글에서 임대주택 관련 정보를 찾다가 내부 관리자 페이지로 접속됐다며, 해킹이 아니라고 부인했습니다.
공사 측에도 해당 영상을 보냈지만, 오히려 증거로 제출해 정보통신망법 위반 혐의로 검찰에 송치됐다고 호소했습니다.
[게시글 작성자 : 아이디, 비밀번호를 입력하는 절차를 생략하고 바로 관리자 페이지로 접근 가능했고, URL 변경만으로도 상세페이지까지 볼 수 있었던 상황입니다. 해킹에 대해서 공부해본 적도 없고 개발자도 아니고….]
공사 측이 이른바 '구글링'으로 내부망에 접속할 수 있게 허술하게 관리하고는 개인에게 책임을 떠넘긴 것 아니냐는 지적도 나옵니다.
[정민규 / 사이버보안 전문가 : (공사 측이) 검색엔진 수집을 사이트에서 막지 않은 것이고, 최소 아이디와 패스워드 기반의 접근 통제를 해야 하는데, 이마저도 하진 않은 거로 보입니다. 그래서 문서 내려받기가 가능했던 상황으로, 시연 영상이 사실이라면 보안 수준이 매우 낮았던 거로 판단합니다.]
이에 대해 공사 측은 현재는 내부 서버에 무단 침입 할 수 없게 보안을 강화했다고 밝혔습니다.
그러면서 불법 해킹 여부를 아직 단정 지을 수는 없다며, 수사기관 판단을 기다리고 있다고 덧붙였습니다.
SH공사 고소장을 접수받아 수사에 나섰던 관할 경찰서는 구체적인 송치 사유를 묻는 취재진 질문에 입장을 밝히지 않았습니다.
YTN 황보혜경입니다.
촬영기자 : 윤지원
그래픽 : 권보희
자막뉴스 : 이선
[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]