‘4중 암호’ 공무원 PC, 인터넷 떠다니는 SW에 뚫렸다

범인 송씨. [뉴시스]

3년 연속 세계 1위의 전자정부라고 홍보했던 정부의 보안 시스템이 공시생(공무원시험 준비생) 한 명에 의해 무방비로 뚫렸다. 6일 경찰청과 인사혁신처 등에 따르면 올해 국가공무원 지역인재 7급 필기시험에 응시한 송모(26)씨는 지난달 26일 오후 9시쯤 정부서울청사 16층 인사혁신처 사무실에 들어가 채용시험 담당 주무관과 사무관의 PC 2대에 접속했다. 송씨는 주무관 PC엔 8시간33분, 사무관 PC엔 3시간12분간 접속해 파일을 뒤졌다.

그 과정에서 두 PC에 저장돼 있던 자신의 필기 점수 평균 성적을 45점에서 합격권(70점 이상)인 75점으로 바꾸고 합격자 명단에 자기 이름을 추가했다. 필기 점수가 40점 이하면 자동 탈락된다. 송씨 성적은 과락을 겨우 면한 점수였다. 송씨는 이보다 이틀 전인 지난달 24일에도 같은 사무실에 침입해 오후 11시35분부터 23분간 담당 주무관 컴퓨터에 접속했다. 송씨가 이 같은 일을 벌이는 동안 보안 시스템은 전혀 작동하지 않았다.

공무원 PC는 국가정보원 보안 지침에 따라 ▶부팅 단계의 시모스(CMOS) 암호 ▶윈도 운영체제 암호 ▶화면 보호기 암호 ▶중요 문서 암호 등 4중 암호 장치를 설정하게 돼 있다. 이에 대해 경찰 관계자는 “인터넷에 떠다니는 프로그램을 통해 비밀번호 해제 방법을 알아냈다는 게 송씨의 진술”이라고 말했다. 이게 맞는다면 누구나 찾을 수 있는 자료만으로도 정부청사의 공무원 PC가 뚫린 셈이다. 실제로 경찰은 지난 4일 송씨를 체포할 당시 압수한 노트북에서 여러 종류의 비밀번호 해제 프로그램을 발견했다.

이에 대해 한국폴리텍 최상용(정보보안학) 교수는 “윈도 운영체제의 PC에 리눅스가 설치된 USB 드라이브를 꽂으면 얼마든지 저장 정보에 접근할 수 있다”며 “그런 만큼 주요 문서는 복수의 암호로 보호해야 한다”고 말했다. 이와 관련해 익명을 요구한 정부부처 공무원은 “번거롭다는 이유로 CMOS 비밀번호 등을 설정하지 않는 공무원이 많다”고 전했다.

| 도난 신분증 3개 분실신고 안 돼
로비 검색대서 얼굴 확인도 소홀
경찰, 내부 조력자 있는지 수사 중

 정부청사 방호시스템도 제대로 작동하지 않은 것으로 확인됐다. 송씨는 지난달 26일을 포함해 지난 2월부터 모두 5차례에 걸쳐 정부서울청사를 제집 드나들 듯 오갔다. 경찰에 따르면 송씨는 청사 1층 공용구역에 있는 체력단련실에서 공무원 신분증 3개를 훔쳤다. 체력단련실은 청사 내 공무원을 위한 시설이지만 서점·은행 등과 함께 있어 신분증이 없어도 들어갈 수 있다.

송씨가 훔친 공무원 신분증을 이용해 검색대를 통과할 때도 아무런 제지를 받지 않은 것으로 밝혀졌다. 공용구역에서 부처 사무실에 들어가려면 신분증을 검색대에 갖다 대야 한다. 이때 모니터에 신분증 소지자의 얼굴 사진과 이름이 뜨게 돼 있다. 따라서 송씨의 얼굴과 모니터 사진을 대조만 했어도 충분히 송씨의 진입을 막을 수 있었다. 게다가 신분증을 도둑 맞은 공무원들도 제대로 분실 신고를 하지 않았다. 기초적인 보안 매뉴얼조차 지켜지지 않은 셈이다.

경찰은 일단 송씨의 단독범행일 가능성이 크다고 보면서도 내부 조력자가 있는지도 확인 중이다. 김성렬 행정자치부 차관과 황서종 인사혁신처 차장은 “국민들께 심려를 끼쳐 죄송하다”고 사과했다. 정부는 행자부 차관이 주재하는 정부 보안 점검 태스크포스(TF)를 구성해 청사 관리와 전자 보안을 원점에서 새로 점검하겠다고 밝혔다. 정부청사마저 뚫리면서 컴퓨터 보안에 대한 경각심 또한 커지고 있다. 최 교수는 “일반 기업도 인사·재무 등 보안 문서는 출입이 통제되는 별도의 공간에 보관할 필요가 있다”고 조언했다.

성시윤·강기헌·박민제 기자 sung.siyoon@joongang.co.kr