“원장님, 홈페이지 비밀번호 무엇으로 하셨나요? 혹시 0000, 1111, 1234는 아니시죠?”
20대 취업준비생에게 병·의원 홈페이지가 무방비로 뚫리는 사태가 발생했다. 이는 허술한 홈페이지 관리 시스템 때문이다. 이에 일선 개원가에서는 홈페이지 관리 상태를 점검하고, 환자들의 개인정보가 노출되지 않도록 신경써야 할 것으로 보인다.
서울경찰청 사이버안전과는 2014년 10월부터 올 3월까지 병원 홈페이지 4곳을 해킹해 얻은 개인정보로 유명 커플 앱 계정 1350개에 3360여회 침입한 혐의(정보통신망법 위반)로 A씨를 불구속 입건했다고 최근 밝혔다.
A씨는 경찰 조사 결과 정보통신학을 전공한 20대 취업준비생으로 전문적 해커와는 거리가 먼 비전문가인 것으로 밝혀졌다.
경찰은 또 A씨에게 해킹당한 병원장과 개인정보 관리 책임자 등 8명도 개인정보 관리를 소홀히 한 혐의로 각각 불구속 입건했다.
해킹 당한 병원의 홈페이지 관리자 아이디는 기본 관리자 아이디로 주어지는 ‘admin’이었고, 비밀번호는 1111, 1234와 같은 단순한 조합이었다.
A씨는 이 같은 단순한 아이디와 비밀번호를 반복 대입하는 수법으로 산부인과 3곳과 성형외과 1곳의 홈페이지를 해킹해 개인정보 1만6000여건을 손에 넣었다. 이후 대다수가 여러 사이트에서 동일한 아이디와 비밀번호를 사용하는 점을 이용해 입수한 개인정보를 활용, 커플 앱에 접속하고 이 앱에서 연인들이 주고받은 대화와 사진 등을 열람했다.
경찰 관계자는 “해킹의‘해’자도 모르는 초보자에게 해킹을 당할 만큼 병원들의 보안 관리 실태가 취약했다”고 말했다.
현행법상 개인 정보 취급자는 비밀번호를 '영문 대문자·영문소문자·숫자·특수문자 중 3종류 이상 조합(8자리 이상의 경우) 또는 2종류 이상 조합(10자리 이상의 경우)'으로 만들게 돼 있다.
보안 전문가는 “관리자 페이지 이름을 admin과 같은 추측하기 쉬운 이름이 아닌 외부사용자가 추측할 수 없도록 변경해야 하고, 관리자 페이지 접근 사용자를 제한해야 한다.”고 강조했다.
또한 “특정 IP 주소에서만 접근할 수 있도록 해야 한다. 그렇지 않을 경우 관리자 권한 탈취 및 개인정보유출, 회사기밀 유출 등의 사고로 이어질 수 있다”고 조언했다.
주소 서울시 성동구 광나루로 257 대한치과의사협회 회관 3층 | 등록번호 : 서울, 다07185 | 등록일자 : 2005.10.10 | 발행인 박태근 | 편집인 이석초
대표전화 02-2024-9200 FAX 02-468-4653 | 편집국 02-2024-9210 광고관리국 02-2024-9290 Copyright © 치의신보. All rights reserved.
UPDATE: 2024년 05월 24일 15시 28분