"기본적인 홈페이지 지식으로 합격자 명단 빼내"…인사처 적절한 보안조처 안해

공무원 시험 수험생이 건물에 침입하면서 보안에 문제점을 드러냈던 인사혁신처가 수개월 만에 홈페이지에 올린 합격자 명단이 유출돼 논란이 되고 있다.

특히 인사처가 명단을 게시하면서 보안조처를 제대로 안 한 게 확인돼, 온·오프라인이 모두 뚫려버린 인사처의 공무원 시험 관리에 비난의 목소리가 쏟아지고 있다.

7일 대전지방경찰청에 따르면 지난 4일 인터넷 커뮤니티에 5급 공무원 공채 시험 합격자 명단을 유출한 대학원생 A(23)씨가 합격자 명단이 첨부된 URL을 알아낸 데 걸린 시간은 단 15분이다.

지난 4일 오후 5시 30분께 인사처 업무 담당자는 사이버국가고시센터 게시판에 5급 공채 2차 시험 합격자 명단을 비공개로 올렸다.

담당자는 미리 공지된 합격자 발표 시각인 5일 오전 9시에 명단이 공개되도록 사전 예약기능을 썼다.

그러나 예약기능만 사용하고, 별다른 보안조처를 하지 않은 안일한 대처가 발단이 됐다.

인사처가 예정된 발표일 전날 오후 6시께 미리 명단을 발표한다는 점을 안 A씨는 국가고시센터 홈페이지에 들어갔다.

지인의 합격 여부를 미리 알고 싶었기 때문이다.

그는 사이버국가고시센터 홈페이지에 들어가 가장 최근에 올라온 외교관 후보자 선발시험의 합격자 명단 첨부파일 URL의 파일번호가 '121782'로 끝난 것을 확인했다.

5급 공채 2차 시험 합격자 페이지 소스도 이와 비슷할 것으로 판단, 페이지 소스의 파일번호 자리에 같은 형식의 번호를 넣었다.

이어 번호 뒷자리를 2부터 숫자 하나씩 올려 바꾸기 시작했고, 숫자를 '6'으로 올리자 5급 공채 2차 합격자 명단이 떴다.

그가 명단을 확인하려 한 지 불과 15분이 지나지 않은 시점이었다.

별다른 프로그램 없이, 누구에게나 공개된 파일 URL과 페이지 소스를 조합해 단 15분 만에 국가고시 합격자 명단이 첨부된 URL을 찾아낸 것이다.

특히 홈페이지를 운영한 경험이 있고, 공대를 다니는 A씨에게는 손쉬운 일이었다.

경찰 관계자는 "홈페이지 운영 원리를 아는 사람이라면 누구나 쉽게 할 수 있는 방법"이라고 말했다.

이에 따라 합격자 명단을 게시하며 별다른 보안조처를 하지 않은 인사처의 안일한 태도가 도마 위에 오르고 있다.

앞서 '지역인재 7급 국가공무원 채용 시험'에 응시한 대학생 송모(26)씨는 지난 2월 8일 시험지와 답안지를 훔치기 위해 처음으로 서울청사에 들어간 이후 모두 5차례에 걸쳐 청사에 침입했다가 경찰에 붙잡혔다.

송씨는 지난 3월 26일 서울청사 16층 인사처 채용관리과 사무실에 침입해 담당자 컴퓨터에 접속한 뒤 자신이 응시한 필기 성적을 조작하고 합격 인원에 1명을 추가했다.

이 사건 이후 인사처는 철저한 시험 보안을 공언했지만, 7개월 만에 홈페이지까지 무력하게 뚫리고 말았다.

공무원 시험을 준비 중인 김모(28)씨는 "이 사건의 핵심은 학생의 잘못보단 인사처의 허술한 보안 관리"라며 "비밀번호를 '1234'로 하고 해킹당했다며 범인을 잡아달라는 꼴"이라고 지적했다.

경찰은 인사처가 적절한 보안조처를 했다면, A씨가 합격자 파일 URL에 접근하지 못했을 것이라고 설명했다.

경찰이 유출 경로를 인사처에 통보한 뒤, A씨가 시도한 방법으로는 해당 URL에 들어가지 못 하도록 조치된 상태다.

A씨를 조사한 경찰은 A씨가 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입했다고 볼 수 있는지, 즉 정보통신망 이용 촉진 및 정보보호 등에 관한 법률에서 정하는 '해킹'에 해당하는지에 대해 고민하고 있다.

(대전연합뉴스) 김소연 기자 soyun@yna.co.kr