Wesley's Tool-Box

구글에는 '범위 검색'이 가능하다. 말하자면 0001에서 9999까지 검색하는 식이 가능하다는 것이다.
이미 해외에서는 비자 카드(신용카드) 번호를 이런 식으로 검색하는 사례가 나와서 발칵 뒤집힌 바 있다. (참고)

한편, 구글 같은 검색엔진에서 이름을 치면 주민등록번호가 나와서 문제로 지적되는 경우도 있었다. (참고)

그럼 대충 지금 말하려는 것이 상상이 갈 것이다. 이름을 지정해서 검색하는 것이 아니라...
주민등록번호 자체를 범위 검색하는 것이다. 정말 될까?

자, 구글(http://www.google.com/) 가서 "주민 8001011000000..8012312999999"이라고 검색해보자. 쉽게 말하면 1980년생 주민등록번호를 찾아보라는 의미이다. 다음으로 그냥 들어가도 된다.

[Google Search]

(요청과 관련하여 이미지 삭제 / 2006년 9월 7일)

단순 예제로 든 것도 있지만 슬슬 눈에 띄는 게 있다.

1. 이뽀뽀따뮤스 레스토랑 관리자 페이지에서 시사회 참석했던 사람의 이름, 주민등록번호, 이메일 주소가 나왔다.

2. 전주KCC 농구단 서포터스 페이지에서 서포터의 카드 번호, 이름, 주민등록번호가 나왔다.

3. 건강증진개발센터 웹사이트에서 신청자의 이름, 주민등록번호, 집주소가 나왔다.

4. 민원발급 서비스 웹사이트에서 민원 신청을 한 사람의 이름, 주민등록번호, 발급기관 등이 나왔다.

5. 엠엔에스월드라는 파견근무회사 관리자 페이지에서 파견근무자의 이름, 주민등록번호, 각종 수당 내역이 나왔다.

6. 여디디아 치과 웹사이트에서 환자의 이름, 주민등록번호, 전화번호, 이메일주소 등이 나왔다.

이것을 보면 특정 이름 또는 주민등록번호를 알지 못한다고 하더라도 주민등록번호를 수집하는 것이 가능하다는 것이 드러난다. 더욱 충격적인 것은, 1 ~ 5의 경우 원래 별도의 로그인 (특히 관리자)이 필요해야 들어갈 수 있는 페이지임에도 불구하고, 구글이 인덱싱을 해버렸기 때문에 검색이 되어버렸다는 것이다.

계속해서, 5번의 경우를 확장해서 보기 위해 검색어에 site:www.mnsworld.com 를 추가한다. 즉, 검색어를 "site:www.mnsworld.com 주민 8001011000000..8012312999999"로 해보는 것이다. 다음을 클릭해도 같은 결과이다.

[Google Search]

(요청에 의해 이미지 삭제 / 2004년 11월 10일)

1980년생 파견근무자 9명의 정보가 나열되어 나온다. 참으로 어이가 없다.
국내 웹사이트의 신상정보 관리가 여전히 허술한 것이 아닌가 생각하게 된다.

여기서 예로 든 것은 단지 1980년생을 든 것이지만, 물론 검색단어를 설정하기에 따라 어느 년도든지 마음대로 찾아볼 수 있다.

당신은 구글에서 안전하십니까?
(속편을 적었으니 참고바란다)

From "Wesley's Filling Up of Empty Space" at Naver Blog - August 2005