'세계 1위 전자정부' 뚫는 방법은.."인터넷에 다 있다"

서태욱,최희석 2016. 4. 6. 17:28
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
"PC암호 푸는 프로그램 온라인서 배워"공무원증 분실신고해도 바로 실효안돼내부 조력자 여부 등 미스터리 수두룩

■ 20대 취준생에 농락당한 정부청사 보안망

<b>소 잃고 외양간 고치나</b><br> 정부청사 출입 보안이 강화된 가운데 6일 정부서울청사 출입 게이트로 직원들이 드나들고 있다. [김호영 기자]

<b>소 잃고 외양간 고치나</b><br> 정부청사 출입 보안이 강화된 가운데 6일 정부서울청사 출입 게이트로 직원들이 드나들고 있다. [김호영 기자]
20대 취업준비생이 광화문 정부서울청사에 잠입하기 위해 준비한 '열쇠'는 관가의 '복지부동·무사안일'이었다. 대내외 테러 위협에 대비해 전국 경계태세를 강화하라는 박근혜 대통령의 지시가 떨어진 당일에도 정부서울청사에 이 청년이 9시간 동안 잠입했던 것으로 드러나면서 복지부동의 관가 풍토에서는 대통령 지시마저 '영혼 없는 메아리'에 불과했음이 드러났다.

경찰 수사 결과 잠입에 성공한 송 모씨(26)는 시중에서 유통되는 암호 해제 프로그램을 활용해 정부 전산망까지 접근한 것으로 파악돼 유엔 평가 '세계 1위 전자정부'라는 정부의 자랑 역시 허상에 불과한 것 아니냐는 비판이 쇄도하고 있다.

그는 3월 26일 정부서울청사 16층 인사혁신처 채용관리과 사무실에 침입해 시험 담당자 PC를 통해 자신의 성적을 45점에서 75점으로 올린 것을 비롯해 2월 말부터 총 다섯 차례에 걸쳐 청사에 잠입했다고 진술했다. 이와 관련해 행정자치부와 인사혁신처의 진상 파악 결과를 종합해보면 정부 전산망 4단계 보안 중 최소한 몇 단계는 뚫린 것으로 보인다.

정부 PC를 켜면 1단계로 부팅 전 단계 보안 시스템인 시모스(CMOS) 비밀번호를 입력해야 한다. 이어 윈도 비밀번호와 해당 전산 프로그램 비밀번호를 입력해야 접근할 수 있다. 또 잠깐 동안 컴퓨터를 쓰지 않으면 화면보호기 기능이 작동하면서 암호를 입력해야 PC 사용이 가능하다. 이에 대해 인사혁신처는 정부의 보안 지침을 준수했다고 주장했다.

전산망 보안 책임 부처인 행자부는 CMOS 암호가 제대로 작동했다면 이는 뚫렸을 가능성이 없다고 설명했다. 이보다는 인사혁신처 담당 공무원이 컴퓨터를 켜둔 상태에서 퇴근했거나 어딘가에 비밀번호를 써놓아 송씨가 CMOS 비밀번호를 입력할 필요가 없었거나 쉽게 암호를 찾아 PC에 접근했을 가능성이 제기된다. 보안 업계에 따르면 CMOS 비밀번호 단계를 넘으면 윈도 잠금장치는 부팅이 가능한 USB를 이용하면 우회해 뚫을 수 있어 이 같은 관측에 무게를 더한다. 경찰 역시 "용의자가 PC 비밀번호를 무력화하는 프로그램을 여러 개 갖고 있다"고 전했다. 다만 송씨가 부팅에 성공했더라도 정부 업무망 프로그램에 비밀번호를 입력해 접근하는 일이 쉽지 않아 공무원 출신 공범이 존재할 가능성도 배제할 수 없다.

송씨가 탈취한 공무원 신분증 3장도 미스터리다. 그는 정부서울청사 1층에 있는 체력단련실에서 국민안전처 직원 등 총 3명의 공무원증을 탈취해 게이트를 통과하는 데 사용했다. 이에 따라 경찰은 송씨에게 공무원증을 탈취당한 공무원들이 제대로 공무원증 분실 신고를 했는지, 신고된 공무원증을 행자부가 즉각 무효화했는지 등을 확인하고 있다.

분실 신고 후 즉각적인 정지 조치를 내렸다면 송씨가 게이트를 무사 통과했을 리 만무하기 때문이다.

이에 대해 한 행자부 공무원은 "공무원증은 내부 분실 신고를 해도 새 공무원증이 조폐공사를 통해 발급될 때까지 실효되지 않는 것으로 알고 있다"고 전했다. 또 다른 행자부 공무원 역시 "주민등록증과 달리 분실한 공무원증은 신분 확인 가치가 없어 실효되지 않는다"고 말했다. 정부 업무망에는 "분실한 공무원증을 실효시키는 개선조치가 이뤄져야 한다"는 의견이 올라오고 있다.

이번 사건을 계기로 정부가 재발 방지 대책을 세우기로 했지만 벌써부터 사건 관련 기본 자료를 공개하지 않는 등 보신주의 행태를 보이고 있다. 행자부에 따르면 정부 업무용 PC에는 정기적으로 보안사항을 자가 점검하도록 하는 'PC지킴이'가 설치돼 있다. 인사혁신처 업무용 PC에 무단으로 침입한 사태가 벌어졌는데도 정승도 인사혁신처 정보화담당관은 'PC지킴이'를 통해 매월 인사혁신처가 자체 평가하는 정보보안 평가 결과를 공개해달라는 매일경제신문 요청을 거부했다. 평소 인사혁신처의 정보보안 실태를 파악할 수 있는 중요한 자료이면서 개인정보가 들어 있지 않은 공공정보임에도 공개를 회피한 것이다.

한편 경찰은 이날 송씨를 공전자기록 등 변작 혐의로 구속 수감했다. 서울중앙지법은 이날 송씨에 대한 영장실질심사를 통해 "범죄 사실이 소명되고 도망할 염려가 있다"며 구속영장을 발부했다.

[서태욱 기자 / 최희석 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
매일경제에서 직접 확인하세요. 해당 언론사로 이동합니다.