인사혁신처 채용관리과 출입문 도어락 (사진=조기선 기자)
공무원 시험 응시생이 합격자 명단을 조작하는 과정에서 리눅스 프로그램을 활용해 인사혁신처 컴퓨터의 비밀번호를 해제한 것으로 드러나면서 윈도우 기반의 정부 컴퓨터 보안 시스템에 큰 허점이 드러났다는 지적을 받고 있다.
경찰청 특수수사과는 6일 브리핑에서 "정부서울청사에 침입해 인사혁신처 컴퓨터에 접속해 합격자 명단을 조작한 송모(26)씨가 리눅스(Linux) 운영체제로 윈도우 비밀번호를 무력화 시켰다"고 진술했다고 밝혔다.
경찰은 송씨가 인터넷에서 연구해 리눅스 운영체제를 비롯해 비밀번호 해제 프로그램을 통해 인사처 컴퓨터의 비밀번호를 해제했다고 진술해 사이버 전문가 시연을 통해 사실 여부를 확인할 계획이라고 설명했다.
인사혁신처 관계자도 "인사혁신처 채용관리과 담당자들의 컴퓨터는 보안지침에 따라 적절하게 운용됐다"며 "송씨가 리눅스 운영체제를 통해 윈도우 체제에서의 비밀번호를 무력화한 것 같다"고 말했다.
송씨의 진술이 사실로 드러난다면 윈도우 운영체제 기반의 우리 정부 컴퓨터의 보안에 심각한 문제가 발생한다.
공무원 시험을 치른 뒤 정부서울청사 인사혁신처에 무단침입해 필기시험 합격자 명단에 자신의 이름을 추가시킨 20대 남성이 영장실질심사를 앞두고 6일 오후 서울 미근동 경찰청을 나서고 있다. (사진=황진환 기자)
다시 말해 정부의 컴퓨터는 대부분 윈도우 운영체제를 채택하고 있는데, 리눅스 프로그램 등에 의해 컴퓨터 비밀번호가 무력화된다면 정부의 컴퓨터 보안체계를 전면 개편해야 한다는 결론이 도출된다.
보안이 생명인 정부 부처의 컴퓨터가 인사혁신처 컴퓨터와 유사한 방식으로 뚫릴 수도 있어 정부 부처 컴퓨터 허술한 보안관리 실태가 다시 한번 도마에 오를 것으로 보인다.
그러나 행정자치부 관계자는 "국정원의 PC 보안지침 1단계인 부팅 단계의 비밀번호를 알아야 이후에 리눅스 운영체제를 설치할 수 있다는 점에서 리눅스에 의해 정부의 윈도우기반 PC의 보안에 구멍이 뚫리는 것은 아니다"라고 밝혔다.
컴퓨터 부팅 단계의 CMOS 암호
국정원의 공무원 PC 국가정보보안기본 지침에 따르면 공무원 PC는 1단계로 부팅 단계 시모스(CMOS) 암호, 2단계로 윈도우 운영체제 암호, 3단계로 중요문서 암호 등으로 암호를 설정하게 돼 있다.
하지만 부팅 단계인 시모스(CMOS)암호 해제 방법을 인터넷 상에서도 쉽게 찾아볼 수 있다는 점에서 시모스 암호만 해제시키면 윈도우 운영체제의 정부 컴퓨터는 보안에 취약하다고 볼 수 있다.
고려대 정보보호대학원 김승조 교수는 "보통 윈도우 운영체제의 로그인 암호 설정은 제일 초보적인 수준"이라면서 "파일을 암호화시킨 것인지, 개인 PC의 USB 포트는 전부 차단돼 있는지 등을 확인해야 한다"고 말했다.
'3년 연속 세계 최고 전자정부'라고 자랑해왔던 우리나라의 전자정부가 공무원 시험 수험생에게 무참하게 뚫리면서 우리나라 전자정부의 컴퓨터 보안 시스템을 전면 점검하고 근본적인 대책을 마련해야 할 때라는 지적이다.