14. 외부사이트에 의한 시스템 운영정보 노출

O 검색엔진(구글, 네이버 등)을 통해 웹 서비스의 중요 정보 및 페이지가 수집되어 외부 비인가자에게 노출되는 취약점


O 근거 자료

전자금융기반시설 보안 취약점 분석 평가기준

KISA 홈페이지 개인정보 노출방지 안내서(p.92)


O 판단 기준

양호검색엔진에서 사이트 검색 시 비인가 페이지 노출이 되지 않는 경우
취약검색엔진에서 사이트 검색 시 비인가 페이지가 노출되는 경우


O 점검 방법

- robots.txt 파일 내 비인가 디렉터리가 노출되는지 확인

검색엔진에서 여러가지 검색 기법을 통해 웹 서비스 내 비인가 페이지가 노출되는지 확인

- Google EC (구글 검색엔진 정보노출 점검 개발 도구)를 사용하여 도출된 결과에서 노출된 정보 확인


O 조치 방법

- 웹 서비스 내 robots.txt 파일의 설정을 변경하여 검색 엔진 제어 또는 비인가 디렉터리 및 페이지 노출 차단

- 검색엔진에 노출된 중요정보를 완전히 삭제 처리되도록 검색사이트에 요청


O 시큐어 코딩(Secure Coding) 예시 

메타 태그 적용을 통해 노출 방지 

- 웹 페이지 소스코드 파일의 <HEAD> 태그 내  '메타 태그 적용 예시'와 같이 적용하여 검색 엔진 인덱싱 차단


# robots.txt ▶

- 사이트 전체가 모든 검색엔진에 노출 제한

User-agent: *
Disallow: /

- 사이트 전체가 모든 검색엔진에 노출

User-agent: *
Disallow:

- 사이트 디렉터리의 일부만 모든 검색엔진에 노출

User-agent: *
Disallow: /board/
Disallow: /image/

- 사이트 전체가 특정 검색엔진에만 노출 제한

※ Yeti : 네이버 로봇 명칭
User-agent: Yeti
Disallow: /

- 사이트 전체가 특정 검색엔진에만 노출

※ Yeti : 네이버 로봇 명칭
User-agent: Yeti
Disallow:
User-agent: *
Disallow:/


# 메타 태그 ▶

어떤 로봇도 사이트의 페이지에 대한 색인 생성 방지

<META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">

- Google 로봇을 제외한 사이트의 페이지에 대해 색인 생성 방지

<META NAME="Googlebot" CONTENT="NOINDEX, NOFOLLOW">

- 로봇을 통해 사이트의 페이지에 대해 색인 생성, 외부와 연결된 링크 이동 제한

<META NAME="ROBOTS" CONTENT="NOFOLLOW">

로봇을 통해 사이트 페이지에 대해 색인 생성, 해당 페이지 이미지 색인 생성 제한

<META NAME="ROBOTS" CONTENT="NOIMAGEINDEX">