홈페이지 보안강화 방안
1. 원인 및 문제점
o 각급기관의 전반적 정보공개 확대 분위기로 인하여 홈페이지 자료 등재시 보안성검토 등 규정된 절차를 무시한 채 비공개 대상 정보까지 게재
o 홈페이지에 대한 상시 모니터링을 실시하지 않아 민원인이 게시판에 실수로 주민번호 등 개인정보를 남기는 경우 인터넷에 그대로 노출
o 홈페이지 개발시 적절한 보안설계를 적용하지 않아 구글 등 강력한 검색프로그램에 의해 관리자 영역까지 정보검색 가능
o 홈페이지 관리자의 정보보안의식 부재로 게시판의 해킹파일 업로드 허용 및 실명 확인 기능 부재 등 부실한 홈페이지 보안관리
o 최신 백신 프로그램을 사용하는 경우 탐지 및 치료 가능한 해킹파일이 있었음에도 이를 등한시
2. 보안강화 방안
가. 관리적 보안대책
o 홈페이지 등에 이미 게시된 모든 자료에 대해 공개 가능 여부 재검토 및 지정된 전담자에 의한 상시 모니터링 실시
o 홈페이지 자료공개 절차를 마련하고 게시 권한은 부서별로 인가된 인원에게만 부여하는 등 홈페이지 운영관련 자체 규정 제ㆍ개정
o 공개대상 자료는 담당과장, 실ㆍ국장 등 결재권자의 보안성 검토를 반드시 거치고 보안심의위원회ㆍ정보공개심의회 운영 내실화 등 공개 절차 이행 철저
o 유지보수업체에 홈페이지 시스템 보안관리 위탁ㆍ운영을 지양하고 홈페이지별 보안관리 담당자 지정
o 홈페이지 시스템 관리자 비밀번호, 침입차단시스템 등 정보보호제품의 보안정책 설정 등을 철저히 관리하여 인가된 직원 외에는 열람 금지토록 조치
나. 기술적 대책
o 홈페이지 시스템은 내부 업무망과 물리적으로 분리하거나 침입차단시스템 설치 등 대책을 강구하고 보안취약점 유무를 지속 점검ㆍ보완
o검색엔진의 인증우회 검색이 차단될 수 있도록 게시판 쓰기, 수정, 보기 등의 각 단계마다 인증ㆍ권한 확인 절차 확립
o국가정보원에서 배포한 ‘홈페이지 보안관리 매뉴얼’(’05.5) 등을 참조, 파일업로드ㆍSQL injectionㆍXSS 공격 등 8대 보안취약점 확인 및 제거 요망
* 국가사이버안전센터 홈페이지(www.ncsc.go.kr) 발간자료 참조
o 홈페이지 시스템의 운영체제와 탑재된 운용프로그램에 대한 최신 보안 패치를 적용하고 최신 백신 프로그램으로 주기적 점검
o 홈페이지 회원가입시 실명 여부를 확인토록 인증기능 강화
o 모든 홈페이지 시스템의 관리자 패스워드 주기적 변경 및 침입 차단시스템 보안정책 설정 등으로 인가된 IP에서만 홈페이지 관리가 가능토록 제한
검색엔진 수집범위 조절 (robots.txt)
o 인터넷 검색엔진의 정보수집을 거부하는 제어파일(robots.txt)을 웹서버 루트 디렉토리에 설치하여 검색엔진의 수집범위 조절
- robots.txt는 홈페이지에 대해 수집을 허용하는 엔진의 종류(User-agent)와 수집범위(Disallow)를 홈페이지 관리자가 지정하는 국제규격
〈 사용예제 〉
① 모든 검색엔진에 의한 모든 디렉토리 수집을 거부하는 경우
User-agent : *, Disallow : /
②구글에 의한 모든 디렉토리 수집만 거부하는 경우
User-agent : Googlebot, Disallow : /
③모든 검색엔진의 blog 디렉토리 및 파일의 수집을 거부하는 경우
User-agent : *, Disallow : /blog
- 파일명은 반드시 robots.txt라고 부여해야 하며, 구체적인 사항은 http://www.robotstxt.org/wc/norobots.html 참조(영문)
- http://www.nis.go.kr/robots.txt 등 기설치된 홈페이지의 사례를 참고하여 자체 실정에 적합한 robots.txt를 작성
구글에 저장자료 삭제 요청
o 홈페이지 시스템에서는 삭제했으나 구글 검색으로 노출되는 경우 구글 관리자에게 온라인으로 삭제 요청
〈 요청 순서 〉
- http://services.google.com:8882/urlconsole/controller로 접속하여 로그인 권한 신청
* 권한 신청시 입력하는 e-mail은 구글메일(gmail)뿐만 아니라 평소 사용하는 모든 메일주소 입력 가능
- 로그인 권한을 부여받고 상기 사이트에 재접속하여 ‘Remove an outdated link’ 클릭
- URL to remove에 삭제할 주소를 입력한 후, Remove에 아래와 같이 삭제 범위 지정
① anything associated with this URL
해당 URL과 관련된 모든 사항
② snippet portion of result(includes cached version)
결과의 부분 삭제
③ cached version only
구글에 저장된 페이지 내용만 삭제
- ‘Remove outdated link’ 버튼을 클릭
