◆어떻게 뚫렸나=김씨가 평가원 서버를 뚫기는 그리 어렵지 않았다. 김씨는 2007년 8월 평가원 직원 A씨의 e-메일에 접속했다. 아이디는 인터넷에 공개된 보도자료를 통해 얻었다. 비밀번호는 보안에 전혀 도움이 안 됐다. A씨의 비밀번호는 아이디와 똑같았기 때문이다. 김씨는 이후 50여 차례에 걸쳐 다른 직원들의 아이디로 접속을 시도했다. 그러던 중 관리부 소속 B씨의 e-메일에 로그인할 수 있었다. B씨의 비밀번호는 한글 이름을 영문 자판으로 입력한 형태였다. B씨의 e-메일엔 다른 직원 다섯 명의 비밀번호가 입력된 문서파일이 첨부돼 있었다. e-메일 서버를 교체하는 과정에서 B씨가 다른 직원들의 접속 정보를 잠시 관리했기 때문이었다. 이들의 비밀번호는 모두 주민등록번호 뒷자리였다.
이렇게 해서 김씨는 1년여 동안 평가원 서버에 접속해 e-메일에 첨부된 평가원의 내부 자료 16건을 다운로드했다. 김씨가 빼낸 자료엔 시험업무 계획, 수능 답안지 판독 계획, 결시자 현황, 채점회의 일정 등 내부 비공개 자료가 가득했다. 검찰 관계자는 “김씨는 평가원 직원 7명의 접속 정보를 확보한 뒤 유리창처럼 평가원 내부 사정을 들여다볼 수 있었다”고 말했다.
김씨는 유출한 정보들을 입시정보업체인 비상에듀 측에 전달했다. 비상에듀는 홍보대행사를 통해 수능성적이 공식 발표되기 하루 전인 지난해 12월 9일 영역별 평균 등 분석자료를 먼저 공개했다.
김씨는 평가원 고발로 수사가 착수된 12월 10일 이후에도 평가원 서버에 네 차례 접속했다. 수사망이 좁혀지자 7명의 아이디와 비밀번호가 적힌 메모를 파쇄했다. 검찰은 이를 근거로 지난달 말 김씨에 대해 두 차례 구속영장을 청구했다. 그러나 법원은 “도주나 증거 인멸의 우려가 없다”며 모두 기각했다. 검찰은 이번 주 중 사건을 송치받아 김씨와 비상에듀 진모 이사 등 관련자에 대한 사법처리 수위를 결정키로 했다.
◆허술한 관리 막으려면=정부는 행정정보 인프라를 구축하면서 보안에 대한 투자는 상대적으로 적었다. 관리도 소홀했다. 국가정보원이 2007년 97개 공공기관을 조사한 결과 정보 보호 전담조직을 운영하는 곳은 24%뿐이었다. 또 보안업무 종사자 중 관련 학위를 취득한 사람은 11%였고 자격증을 보유한 사람은 20%에 불과했다.
최형기 성균관대 컴퓨터공학과 교수는 “공공기관에서 네트워크 보안의 가장 기본인 아이디와 패스워드 관리가 너무 허술했다”고 지적했다. 최 교수는 e-메일의 보안성을 높이기 위해 ▶보안메일 사용 ▶외부 접속 제한 ▶보안교육 강화가 필요하다고 제안했다. 평가원 측도 “홈페이지에 소개돼 있던 소속 직원들의 e-메일을 삭제했다”며 “외부 접속을 차단하고 비밀번호를 강제로 변경하도록 하는 시스템을 만들겠다”고 밝혔다.
박유미 기자
평가원 직원의 비밀번호, 아이디와 동일 #입시업체 팀장 쉽게 접속 … 수능 자료 빼내