USB 하나에 뚫려…"보안지침 따랐으면 벌어지지 않을 일"

공무원시험 응시생의 정부서울청사 무단침입·성적조작 사건이 벌어진 데 대해 정보보안 업계에서는 보안 지침을 준수하지 않은 것이 가장 큰 원인이라고 꼬집었다.

7일 경찰에 따르면 20대 공무원시험 응시생인 송모(26)씨는 지난달 26일 정부서울청사 16층 인사혁신처 채용관리과 사무실에 몰래 들어가 시험 담당자 컴퓨터에 접속해 자신의 필기시험 성적을 조작하고 합격자 명단에 본인의 이름을 넣은 것으로 조사됐다.

송씨의 범행 수법은 초등학생도 쉽게 할 만한 것이었다.

그는 인터넷에서 구한 윈도 비밀번호 변경 프로그램과 PC 부팅을 위한 리눅스 운영체제를 이동식저장장치(USB)에 담은 뒤 범행에 사용한 것으로 보인다.

통상 윈도 운영체제(OS)가 깔린 PC는 사용자가 별도의 비밀 암호를 걸어 부팅 자체를 못하게 해놓을 수 있는데 그는 PC에 이 USB를 꽂고 부팅시켜 윈도 보안 체계 자체를 무력화했다.

윈도 재설치 화면이 뜨자 그는 도스 명령어 입력창을 띄운 뒤 USB 메모리 내에 담아 온 계정 암호 변경 프로그램을 실행하는 방법을 쓴 것으로 보인다.

이 프로그램에서 열기 버튼을 누르면 현재 컴퓨터에서 사용하는 계정 목록이 뜨는데 비밀번호를 바꾸려고 하는 계정을 선택한 뒤 암호 변경 버튼을 누르면 쉽게 암호를 변경할 수 있다.

정부는 이토록 쉽게 PC 보안이 뚫리는 것을 막고자 별도의 정보보안 지침을 두고 있다.

국가정보원의 정부부처 보안 지침에 따르면 공무원의 PC는 부팅 단계에서 시모스(CMOS), 윈도, 화면보호기 등 암호 3개를 모두 설정하도록 했다.

그러나 해당 PC는 달랑 윈도 암호 하나만 걸려 있어 외부 침입이 쉬웠던 것으로 나타났다.

보안업계 관계자는 "USB를 하나 꽂는 것만으로 PC 보안이 해제됐다는 건 담당자의 허술한 보안 의식 때문"이라며 "윈도뿐만 아니라 시모스 암호나 화면보호기는 물론 합격자 명단 같은 중요한 파일을 암호화했으면 애당초 일어나지 않았을 일"이라고 강조했다.

(서울연합뉴스) 고상민 기자 gorious@yna.co.kr