검색과 보안에 대한 “오해와 진실”을 말합니다
2013년 8월 12일 월요일
작성일: 2013년 8월 12일 월요일
안녕하세요, 구글 검색 팀 백창현, 최성철입니다.
온라인에서 지식과 정보의 공유, 그리고 이를 통한 혁신에 대한 공감대가 형성되면서 ‘인터넷 개방성’은 정부 기관이든 민간 기업이든 인터넷이 가야 할 방향성으로 자리 잡았습니다. 또한, 국내에서 미흡했던 검색 개방에 대한 인식이 높아지면서 지난달 안전행정부는 중앙 부처, 지방 자치 단체, 교육 기관 정보 검색이 쉬워지도록 각 기관 공식 웹 페이지 개방을 요청하기도 했습니다. 하지만 아직도 검색 원리에 대한 정보와 이해가 부족하여 웹 개방성 이슈가 보안 문제와 혼동되면서 여러 가지 오해를 낳고 있습니다.
오늘은 구글 검색과 보안에 대해 잘못 알고 있는 점들을 알기 쉽게 정리해봤습니다.
오해 1: 구글 크롤링은 해킹이다
진실 1: 구글 크롤링은 해킹이 아닙니다
크롤링(crawling)이란 웹 상의 링크를 따라가며 새로운 내용을 발견하고 수집하는 일을 말합니다. 구글 검색 로봇은 웹 페이지의 링크를 따라가면서 웹 브라우저를 사용하면 누구나 볼 수 있는 공개된 정보만을 수집하여 검색 결과에 반영합니다. 구글 검색 로봇은 로그인을 비롯해 어떠한 보안 장치를 지능적으로 뚫고 들어가서 정보를 수집하지 않습니다. 거꾸로 말하면, 어떤 내용이 구글에 수집되어 검색 결과에 나타났다는 것은 그 내용이 인터넷 상에서 누구나 볼 수 있게 공개된 상태라는 것과 같습니다.
오해 2: robots.txt로 검색을 차단하면 안전하다
진실 2: robots.txt는 보안 도구가 아닙니다
검색 엔진을 허용하거나 차단하는 것은 robots.txt 파일 설정을 통해 가능합니다. 누구나 볼 수 있게 공개된 페이지라도 robots.txt 파일을 사용하여 검색을 제한하면 정상적인 검색 엔진은 해당 내용을 수집하지 않습니다. 그러나 robots.txt는 정상적인 검색 엔진 간의 규약에 해당할 뿐입니다. 인터넷에는 민감한 정보의 수집을 목적으로 하는 악성 로봇들이 상당수 존재하며 이들은 robots.txt를 무시하고 개인 정보를 수집합니다. 무분별하게 검색만 차단하면 여전히 보안 허점을 드러내고도 개인 정보 유출의 위험으로부터 안전하다는 착각을 일으키기가 쉽습니다.
오해 3. 구글 검색 결과에 나오지 않으면 안전하다
진실 3: 구글 검색 결과에 나오지 않는다고 안전한 것이 아닙니다
많은 분이 robots.txt를 사용하여 검색 로봇을 차단하는 것으로 개인 정보 등 민감한 내용이 노출되는 문제를 해결했다고 생각합니다. 하지만 구글 검색을 차단하여 검색 결과에 나오지 않게 되었다고 해서 노출되어 있던 민감한 정보가 안전하게 보관되는 것이 아닙니다. 세상에는 구글 이외에도 여러 가지 검색 엔진이 있습니다. 뿐만 아니라, 앞서 말씀 드린 대로 누구나 볼 수 있는 곳에 그 정보가 공개되어 있다는 사실은 변함이 없으며, 이 정보를 안전하게 지키기 위해서는 근본적인 웹 사이트의 보안 개선이 필요합니다. robots.txt는 개인 정보 보호나 보안의 용도가 아니라 정상적인 검색 엔진의 불필요한 트래픽을 조절하는 용도로 사용해야 합니다.
웹 사이트 관리의 기본만 지킨다면 대부분의 개인 정보 유출 사고는 예방할 수 있습니다. 이전 블로그 글에서 개인 정보를 안전하게 보관하고 전달하는 여러 가지 방법을 소개해드린 바 있습니다. 두 가지 팁을 간략하게 다시 소개해 드립니다.
1. 웹 사이트 관리자는 안전한 방식을 사용해 정보를 저장/전송해야 합니다. 개인 정보와 비공개 문서의 열람은 반드시 로그인 절차를 거치도록 해야 합니다. 로그인으로 접근을 제한할 경우 자바 스크립트가 아닌 서버 세션을 통해 빠짐없이 로그인을 구현해야 합니다. 사용자와 비공개 정보를 교환할 때는 반드시 안전한 https 프로토콜을 사용해야 합니다. 서버의 보안은 강화하되 보안 때문에 검색이 차단되지는 않았는지 꼼꼼하게 따져봐야 합니다.
2. 사용자는 강력한 암호 사용, 2단계 인증 로그인, 보안 업데이트 설치 등을 통해 인터넷을 안전하게 사용할 수 있습니다. 안전한 인터넷 사용 방법에서 다양한 방법을 확인해보세요.
안전한 인터넷 세상을 만들기 위해서는 웹 서비스 제공자, 인터넷 사용자, 정부 등 인터넷 구성원 모두가 함께 노력해야 합니다. 구글도 안전한 인터넷 환경의 조성을 위해 여러 가지 노력을 기울이고 있습니다. ‘주민등록번호 노출 경고 시스템’, ‘웹 세상의 나’를 통해 수집된 웹 사이트에서 민감한 개인 정보가 발견될 경우 자동으로 알려주는 서비스를 제공하고 있고, ‘검색 결과 삭제 도구’를 제공함과 동시에 관련 정부 기관과 협력하는 등 개인 정보 보호 활동을 하고 있습니다. 또한, 웹마스터 도구를 무료로 제공하여 웹 사이트 트래픽 분석을 돕고, 악성코드 감염 등의 문제를 조기에 알려드리고 있습니다.
편리하고 안전하게, 또 무엇보다 유용하게 인터넷을 사용할 수 있도록 모두가 다 함께 노력했으면 합니다. 감사합니다.
작성자: 구글 검색 품질 분석가 백창현, 구글 소프트웨어 엔지니어 최성철
안녕하세요, 구글 검색 팀 백창현, 최성철입니다.
온라인에서 지식과 정보의 공유, 그리고 이를 통한 혁신에 대한 공감대가 형성되면서 ‘인터넷 개방성’은 정부 기관이든 민간 기업이든 인터넷이 가야 할 방향성으로 자리 잡았습니다. 또한, 국내에서 미흡했던 검색 개방에 대한 인식이 높아지면서 지난달 안전행정부는 중앙 부처, 지방 자치 단체, 교육 기관 정보 검색이 쉬워지도록 각 기관 공식 웹 페이지 개방을 요청하기도 했습니다. 하지만 아직도 검색 원리에 대한 정보와 이해가 부족하여 웹 개방성 이슈가 보안 문제와 혼동되면서 여러 가지 오해를 낳고 있습니다.
오늘은 구글 검색과 보안에 대해 잘못 알고 있는 점들을 알기 쉽게 정리해봤습니다.
오해 1: 구글 크롤링은 해킹이다
진실 1: 구글 크롤링은 해킹이 아닙니다
크롤링(crawling)이란 웹 상의 링크를 따라가며 새로운 내용을 발견하고 수집하는 일을 말합니다. 구글 검색 로봇은 웹 페이지의 링크를 따라가면서 웹 브라우저를 사용하면 누구나 볼 수 있는 공개된 정보만을 수집하여 검색 결과에 반영합니다. 구글 검색 로봇은 로그인을 비롯해 어떠한 보안 장치를 지능적으로 뚫고 들어가서 정보를 수집하지 않습니다. 거꾸로 말하면, 어떤 내용이 구글에 수집되어 검색 결과에 나타났다는 것은 그 내용이 인터넷 상에서 누구나 볼 수 있게 공개된 상태라는 것과 같습니다.
오해 2: robots.txt로 검색을 차단하면 안전하다
진실 2: robots.txt는 보안 도구가 아닙니다
검색 엔진을 허용하거나 차단하는 것은 robots.txt 파일 설정을 통해 가능합니다. 누구나 볼 수 있게 공개된 페이지라도 robots.txt 파일을 사용하여 검색을 제한하면 정상적인 검색 엔진은 해당 내용을 수집하지 않습니다. 그러나 robots.txt는 정상적인 검색 엔진 간의 규약에 해당할 뿐입니다. 인터넷에는 민감한 정보의 수집을 목적으로 하는 악성 로봇들이 상당수 존재하며 이들은 robots.txt를 무시하고 개인 정보를 수집합니다. 무분별하게 검색만 차단하면 여전히 보안 허점을 드러내고도 개인 정보 유출의 위험으로부터 안전하다는 착각을 일으키기가 쉽습니다.
오해 3. 구글 검색 결과에 나오지 않으면 안전하다
진실 3: 구글 검색 결과에 나오지 않는다고 안전한 것이 아닙니다
많은 분이 robots.txt를 사용하여 검색 로봇을 차단하는 것으로 개인 정보 등 민감한 내용이 노출되는 문제를 해결했다고 생각합니다. 하지만 구글 검색을 차단하여 검색 결과에 나오지 않게 되었다고 해서 노출되어 있던 민감한 정보가 안전하게 보관되는 것이 아닙니다. 세상에는 구글 이외에도 여러 가지 검색 엔진이 있습니다. 뿐만 아니라, 앞서 말씀 드린 대로 누구나 볼 수 있는 곳에 그 정보가 공개되어 있다는 사실은 변함이 없으며, 이 정보를 안전하게 지키기 위해서는 근본적인 웹 사이트의 보안 개선이 필요합니다. robots.txt는 개인 정보 보호나 보안의 용도가 아니라 정상적인 검색 엔진의 불필요한 트래픽을 조절하는 용도로 사용해야 합니다.
웹 사이트 관리의 기본만 지킨다면 대부분의 개인 정보 유출 사고는 예방할 수 있습니다. 이전 블로그 글에서 개인 정보를 안전하게 보관하고 전달하는 여러 가지 방법을 소개해드린 바 있습니다. 두 가지 팁을 간략하게 다시 소개해 드립니다.
1. 웹 사이트 관리자는 안전한 방식을 사용해 정보를 저장/전송해야 합니다. 개인 정보와 비공개 문서의 열람은 반드시 로그인 절차를 거치도록 해야 합니다. 로그인으로 접근을 제한할 경우 자바 스크립트가 아닌 서버 세션을 통해 빠짐없이 로그인을 구현해야 합니다. 사용자와 비공개 정보를 교환할 때는 반드시 안전한 https 프로토콜을 사용해야 합니다. 서버의 보안은 강화하되 보안 때문에 검색이 차단되지는 않았는지 꼼꼼하게 따져봐야 합니다.
2. 사용자는 강력한 암호 사용, 2단계 인증 로그인, 보안 업데이트 설치 등을 통해 인터넷을 안전하게 사용할 수 있습니다. 안전한 인터넷 사용 방법에서 다양한 방법을 확인해보세요.
안전한 인터넷 세상을 만들기 위해서는 웹 서비스 제공자, 인터넷 사용자, 정부 등 인터넷 구성원 모두가 함께 노력해야 합니다. 구글도 안전한 인터넷 환경의 조성을 위해 여러 가지 노력을 기울이고 있습니다. ‘주민등록번호 노출 경고 시스템’, ‘웹 세상의 나’를 통해 수집된 웹 사이트에서 민감한 개인 정보가 발견될 경우 자동으로 알려주는 서비스를 제공하고 있고, ‘검색 결과 삭제 도구’를 제공함과 동시에 관련 정부 기관과 협력하는 등 개인 정보 보호 활동을 하고 있습니다. 또한, 웹마스터 도구를 무료로 제공하여 웹 사이트 트래픽 분석을 돕고, 악성코드 감염 등의 문제를 조기에 알려드리고 있습니다.
편리하고 안전하게, 또 무엇보다 유용하게 인터넷을 사용할 수 있도록 모두가 다 함께 노력했으면 합니다. 감사합니다.
작성자: 구글 검색 품질 분석가 백창현, 구글 소프트웨어 엔지니어 최성철
