인사처 “리눅스로 암호 무력화”…행자부 “PC보안 이행 여부 먼저 확인해야” “국정원 PC 보안규정 모두 이행했는데 뚫렸다면 심각”

‘공시생’의 정부청사 침입사건으로 허술한 정부청사 방호뿐만 아니라 전자정부 보안 문제가 심각하게 대두됐다.

6일 경찰청과 인사혁신처 등에 따르면 ‘2016년 국가공무원 지역인재 7급 필기시험’에 응시한 송모(26)씨는 지난달 26일 오후 9시5분께 정부서울청사 16층 인사혁신처 사무실에 몰래 침입, 시험 담당자의 개인용 컴퓨터(PC)에 접속해 합격자 명단을 조작한 것으로 파악됐다.

송씨는 4일 제주도에서 체포돼 경찰 수사를 받고 있다.

드러난 사건 정황을 보면 송씨는 인사처 공무원의 컴퓨터를 제 것인 양 자유롭게 사용했다.

‘3년 연속 세계 최고 전자정부’라는 자랑이 무색하게 20대 공시생에게 모든 정보 보안이 해제된 것이다. 전자정부 보안에 심각한 허점이 있는 게 아니냐는 지적까지 나온다.

국가정보원의 공무원 PC보안 지침에 따르면 공무원 PC는 ▲ 부팅 단계 시모스(CMOS) 암호 ▲ 윈도 운영체계 암호 ▲ 화면보호기 암호 ▲ 중요문서 암호를 모두 설정하게 돼 있다.

또 각 부처 정보화담당관은 직원들이 보안성 있는 암호를 설정·사용하는지 매월 정기적으로 점검한다.

그러나 송씨는 인사처 직원의 PC에 걸린 암호를 손쉽게 해제했다.

해당 PC를 사용한 인사처 직원이나 정보화 담당자가 국정원의 PC보안 지침을 잘 이행했는지는 확인되지 않았다.

전자정부와 행정망 관리를 책임진 행자부 관계자는 “수사결과가 나오지 않아 문제점을 속단할 수가 없다”면서도 “다만 인사처가 이러한 정보보안 지침들을 다 이행한 상황에서 송씨가 암호를 다 해제했다면 매우 심각한 상황”이라고 말했다.

특히 인사처 직원이 사건 발생 이튿날 비밀번호가 해제된 사실을 알고도 즉시 조처를 하지 않은 것도 정보보안 절차의 허점으로 지적된다.

행자부가 PC 보안지침 준수 여부, 즉 인적(人的) 실수 쪽에 우선 의문을 제기했지만 인사처는 정부 전산시스템 자체를 문제의 원인으로 지목했다.

인사처는 정보보안 규정을 빠짐없이 이행했다면서 윈도 기반 행정망 시스템의 보안 취약성을 제기했다.

인사처 관계자는 “인터넷에서 패스워드를 해제하는 프로그램을 쉽게 구할 수 있다”며 “리눅스 프로그램을 저장한 휴대용 저장장치(USB)를 컴퓨터에 연결해 패스워드를 푼 것 같다”고 했다.

그러나 행자부는 리눅스 역시 취약성이 있기 때문에 윈도 기반의 정부 시스템 자체가 문제라는 접근은 적절하지 않다는 입장을 보였다.

행자부 관계자는 “4중 암호를 모두 우회하려면 상당한 기술과 시간이 필요하다”며 “PC 보안지침에 허점이 있는지 아니면 이를 운영하는 중 인적 과실이 있었는지는 수사가 더 진행돼야 드러날 것”이라며 말을 아꼈다.

연합뉴스