출입자 관리 온통 ‘구멍’…정보보안 지침도 안 지켜

국가 중요시설인 정부서울청사의 출입자 통제 시스템이 공무원 시험 응시생 한 명에게 완전히 농락당한 것으로 드러났다.

이 응시생은 청사 안팎 ‘탐문’과 인터넷 검색 정도로 청사 보안의 헛점을 찾아내고서 한 달 사이 5차례나 청사를 드나든 사실이 경찰 수사에서 확인됐다.

청사 진입과 사무실 침입, 성적 조작을 위한 컴퓨터 조작에 이르기까지 일련의 과정은 나름대로 치밀했지만, 원칙만 지켰다면 충분히 막을 수 있는 일이었다.

◇ 의경들 뒤에 붙어 ‘쑥’…출입증 3번이나 훔쳐 썼다

7일 경찰에 따르면 송모(26)씨는 ‘2016년 국가공무원 지역인재 7급’ 필기시험을 6일 앞둔 2월28일청사 주변을 빙빙 돌다 취약점을 어렵잖게 발견했다.

정문과 후문 모두 의무경찰이 지키고, 주변 폐쇄회로(CC)TV도 많아 출입증 없이 안으로 들어가거나 담을 타넘는 일은 불가능해 보였다.

마침 그날은 일요일 오후였다. 외출이나 외박을 나간 청사경비대 소속 의경들이 부대로 복귀하는 시점이었다. 이들이 후문 민원실을 거쳐 들어갈 때 청사 방호원이 외출·외박증만 확인하고 문을 열어주는 모습이 송씨 눈에 들어왔다.

나이가 어린데다 머리카락도 짧아 언뜻 의경처럼 보이기도 한 송씨는 복귀하는 의경들 뒤에 붙었다. 방호원은 송씨도 의경인 줄 알았는지 제지하지 않았다.

청사 건물 안까지 들어왔지만, 시험 주관 부처인 인사혁신처 사무실로 갈 방법이 없었다. 사무실로 가려면 출입증을 대고 게이트를 통과해야 했기 때문이다.

청사 1층을 둘러보니 체력단련실이 있었다. 체력단련실 내 샤워실에는 옷 보관함이 있었으나 자물쇠는 설치돼 있지 않았다. 보관함을 여니 옷이 나왔고, 옷을 뒤지니 공무원 신분증이 나왔다. 송씨는 이처럼 쉽게 출입증을 손에 넣었다.

송씨는 출입증으로 게이트를 통과해 인사혁신처가 있는 16층으로 향했다. 필기시험 문제지를 훔치려는 목적이었다. 이 과정에서도 방호원 제지는 없었다.

3월5일 필기시험을 치른 송씨는 점수가 불합격 선으로 나오자 다음날 다시 청사를 찾아갔다. 자신의 답안지를 찾아 조작하기 위해서였다.

그런데 일주일 전 훔친 신분증을 후문 입구 게이트에 대도 문이 열리지 않았다. 신분증 주인이 분실신고를 했기 때문이었다. 송씨는 다시 밖으로 나갔다.

반대편인 청사 정문 쪽으로 이동한 그는 정문에서는 의경들에게 신분증을 육안으로 확인시키기만 하면 통과할 수 있다는 사실을 알게 됐다.

이렇게 정문을 통과한 송씨는 건물을 빙 돌아 후문 쪽으로 청사에 진입해서는 다시 체력단련실로 들어가 공무원 신분증을 또 하나 훔쳤다.

채용관리과 사무실에 처음 침입한 3월24일에도 신분증은 분실신고된 상태였다. 송씨는 전과 마찬가지로 정문에서 신분증을 보여주고 통과한 뒤 이번에는 지하로 내려갔다. 여기서도 방호원에게 신분증을 제시하는 것만으로 무사 통과했다.

범행 성공 당일인 같은 달 26일도 같은 수법이었다. 정문을 거쳐 청사를 돌아 후문으로 들어간 뒤 다시 체력단련실에서 신분증을 훔쳐 사용했다.

이날 훔친 신분증은 분실신고도 늦은 탓에 송씨는 수사가 시작된 4월1일에도 이 신분증으로 유유히 청사를 드나들었다.

최초 진입에 성공하고, 신분증을 입수한 이후에는 청사를 돌아다니면서 아무 제지가 없었다. 송씨가 내부 구조를 숙지할 수 있었던 이유였다.

송씨가 청사에 들어간 5일 중 3일은 휴무일인 주말이었다. 범행에 성공한 날도 토요일인 26일이었고, 오후 8시47분부터 다음날 오전 5시50분까지 무려 9시간가량 머물렀다. 휴일 청사 방호에 구멍이 뚫렸다는 지적이 나온다.

◇ 사무실 출입문 비밀번호 ‘있으나마나’…입구 벽면에 적혀

청사 내 각 층을 돌아다니던 송씨는 한 사무실 입구 벽면에 4자리 숫자가 적힌 것을 발견했다. 도어록 비밀번호가 아닐까 생각해 입력해 보니 문이 열렸다.

여기에 착안한 그는 같은 달 24일 채용관리과 사무실 출입문을 살펴보다 모서리에서 4자리 숫자를 확인하고 마침내 침입에 성공했다.

경찰 조사 결과 이 번호는 청사 내부를 청소하는 용역 직원들이 여러 사무실 비밀번호를 기억하기 어려운 탓에 편의상 적어 둔 것으로 드러났다.

청사 관리당국은 이번 사건이 불거지고 나서야 벽면에 적힌 비밀번호를 지웠다고 경찰은 전했다.

청사 보안의 최후 저지선이랄 수 있는 사무실 비밀번호마저 누구나 볼 수 있게 버젓이 노출한 셈이다.

청사 관리당국과 인사처가 전부터 이런 사실을 알고도 별다른 조치를 하지 않았다면 책임을 피하기 어려울 전망이다.

◇ PC 보안도 허술…CMOS 비밀번호도 안 걸어

국가정보원의 공무원 PC 보안 지침에 따르면 공무원 PC는 ▲ 부팅 단계 시모스(CMOS) 암호 ▲ 윈도 운영체계 암호 ▲ 화면보호기 암호 ▲ 중요문서 암호를 모두 설정하게 돼 있다. 4단계에 걸친 차단 장치다.

그러나 송씨는 인터넷 검색만으로 PC 비밀번호를 해제할 방법을 알아낸 뒤 프로그램을 내려받아 비밀번호를 풀고 채용관리과 PC에 접속했다.

경찰 조사 결과 송씨에게 뚫린 PC에는 윈도와 화면보호기 암호만 설정됐고, 시모스와 문서 암호는 걸려 있지 않았다.

이 때문에 송씨는 운영체제(OS) 설치 프로그램이 담긴 이동식 저장장치(USB)를 담당자 PC에 꽂고 OS를 작동하는 것만으로 윈도 비밀번호 무력화에 성공했다.

시모스 비밀번호가 설정됐다면 부팅 첫 단계에서 번호를 입력해야 이후 단계가 진행된다. 번호를 모르면 USB를 이용한 접근도 불가능하다.

기본적인 정보보안 원칙을 지키지 않았고, 중요 문서에 비밀번호도 설정되지 않았다는 점에서 인사처 직원들의 부실한 정보보안 태도도 도마에 올랐다.

연합뉴스