USB에 리눅스 프로그램 담아
인사처 담당자 PC 보안 뚫었다면
부팅 단계 시모스 암호 설정이
제대로 안 돼 있었을 가능성 커
20대 공무원 시험 응시생이 정부서울청사에 침입, 시험 관리자의 컴퓨터로 시험성적과 합격자 명단을 조작한 사실이 드러남에 따라 ‘세계 최고’를 자부하던 전자 정부 보안에 심각한 허점을 드러냈다. 허술한 국가 전산망 관리에 대한 비난도 쏟아지고 있다.
담당자 PC 비밀번호는 어떻게 뚫렸나
올해 국가직 지역인재 7급 필기시험에 응시한 송모(26)씨는 지난 달 26일 오후 9시 5분 시험 관리 담당 주무관의 PC에 접속, 본격적인 조작에 나섰다. 해당 PC는 비밀번호가 설정된 채 전원이 꺼져있었지만 송씨에게는 아무런 제약이 되지 못했다.
인사혁신처를 비롯한 정부청사 PC는 보안지침상 비밀번호는 특수문자를 포함한 9자리로 설정하고 3개월마다 변경하도록 돼있다. 하지만 송씨는 어렵지 않게 PC 부팅에 성공했다. 그는 다음날 새벽 5시35분까지 8시간30분간 그림파일 형태로 저장된 자신의 답안지 사본을 수정하고 합격자 명단 파일을 수정해 자신의 이름을 추가했다. 송씨는 이 과정에서 주무관의 PC뿐 아니라 담당 사무관의 PC까지 열어 답안지 사본을 조작하는 치밀함을 보였다.
송씨는 정부 PC의 비밀번호가 윈도 운영체제(OS)에서만 작동한다는 점을 알고, 윈도우가 아닌 OS로 PC를 사용해 윈도 체제의 비밀번호를 무력화한 것으로 보인다. 실제 송씨의 노트북 PC에서는 비밀번호 해제 프로그램 이외에 윈도와는 다른 OS인 리눅스 프로그램이 발견됐다.
혁신처도 송씨가 리눅스 프로그램을 이용해 비밀번호를 무력화했을 가능성에 무게를 두고 있다. 혁신처 관계자는 “리눅스 프로그램을 담은 휴대용 저장장치(USB)를 담당자 PC에 연결해 패스워드를 푼 것 같다”고 말했다.
전자정부 보안에 심각한 허점 있나
경찰은 그러나 송씨가 범행 당일 노트북 PC를 들고 가지 않았다고 진술한 만큼 비밀번호 해제가 아닌 다른 방식으로 담당자 PC에 접근했을 가능성도 염두에 두고 있다. 일부 전문가는 송씨가 초기 부팅단계에서 리눅스 프로그램을 이용해 PC에 접근했을 개연성에 무게를 두고 있다. 통상적으로 윈도기반의 PC는 여러 경로로 비밀번호를 설정하도록 돼있지만 소스코드를 모두 개방하는 무료OS인 리눅스는 상대적으로 보안설정에서 자유롭기 때문이다.
실제 국가정보원의 공무원 PC보안 지침에는 ▦부팅단계 시모스(CMOS) 암호 ▦윈도 운영체계 암호 ▦화면보호기 암호 ▦중요문서 암호 등 4가지 보안 단계를 모두 설정하게 돼 있지만 해당 PC를 사용한 인사처 직원이나 정보화 담당자가 이 지침을 이행했는지 여부는 확인되지 않고 있다. 현재 전자정부 서버는 행자부가 통합정보화 전산센터에서 관리하고 각 부처별 사무용 PC들은 각 기관의 정보화담당관실에서 해킹 방지 등 정보 보안을 관리한다.
공무원 PC보안 지침 가운데 윈도 운영체계 암호나 10분간 미사용시 화면보호가 자동 설정돼 해제 시 비밀번호가 필요한 화면보호기 암호 등은 모두 PC 전원이 켜져 있는 경우 작동하는 암호 프로그램이다. USB 역시 일반용이 아닌 국정원 허가를 받은 보안용만 정부청사 내 PC에 접속이 가능하지만 이 기능도 PC가 꺼져 있는 경우는 무용지물이다.
이에 대해 관련 전문가는 “담당자 PC에 CMOS 비밀번호가 설정되지 않았다면 송씨가 USB에 리눅스 프로그램을 담아와 윈도가 아닌 리눅스를 통해 PC에 접근하는 것이 가능하다”며 “리눅스 등 윈도가 아닌 다른 OS로 정부 PC에 접근할 경우 보안이 매우 취약해지는 것은 매우 큰 문제”라고 지적했다.
혁신처 관계자는 “담당자 PC가 꺼져 있었다면 일반 USB에 리눅스 프로그램을 담아 부팅할 수 있다”며 “청사 내 PC 보안은 전원이 켜져 있을 때 작동하는 것이 대부분”이라고 말했다.
그는 “암호화나 보안 저장장치를 별도로 관리했다면 이런 문제를 사전에 막을 수 있었을 것”이라며 “이달 중 진행되는 세종시 이전에 맞춰 부처 내 모든 PC에 CMOS 암호를 설정할 계획”이라고 말했다.
이태무 기자 abcdefg@hankookilbo.com
기사 URL이 복사되었습니다.
댓글0