by김관용 기자
2016.04.06 15:48:42
시모스 암호화 설정 안해 USB로 부팅 가능했을 듯
관련 공무원, 비밀번호 변경 사실 알고도 즉시 조처 안해
[이데일리 김관용 기자] 20대 공무원시험 응시생의 정부서울청사 무단침입 및 공무원시험 성적조작 사건에 대해 관련 보안 지침을 준수하지 않은 것이 원인이라는 게 정보보안 업계 분석이다.
6일 경찰청과 행정자치부 등에 따르면 국가공무원 지역인재 7급 필기시험에 응시한 송모(26)씨는 인사혁신처 사무실에 잠입해 담당자 PC에 접속, 시험 성적을 조작하고 합격자 명단에 자신의 이름을 올렸다.
송씨는 인터넷에서 구한 윈도 비밀번호 변경 프로그램과 PC 부팅을 위한 리눅스 운영체제(OS)를 이동식저장장치(USB)에 담아 범행에 사용했다. USB를 통해 담당자 PC를 부팅시켜 윈도 보안 체계를 무력화 시켰다.
국가정보원의 정부부처 정보보안 지침에 따르면 공무원 PC는 △부팅 단계 시모스(CMOS) 암호 △윈도 운영체계 암호 △화면보호기 암호를 모두 설정해야 한다. 또 각 부처 정보화담당관은 직원들이 보안성 있는 암호를 설정·사용하는지 매월 정기적으로 점검한다.
이중 시모스 암호화는 컴퓨터의 기본 정보를 입력할 때 생성하는 비밀번호로 비밀번호를 잊어버렸다고 해도 찾을 수 없는 강력한 보안방법이다. USB를 통한 부팅이 가능했다는 것은 담당자 PC에 시모스 암호화가 적용돼 있지 않았다는 의미다.
특히 담당 직원은 이튿날 비밀번호가 해제된 사실을 알고도 즉시 조처를 하지 않았다. 공무원들의 허술한 정보보안 의식을 여실히 보여주는 것이다.
보안업체인 오이지소프트 지승훈 대표는 “이미 인터넷 상에 윈도 운영체제 암호를 무력화 시키는 프로그램들이 돌아다니고 있고 이를 리눅스 운영체제와 함께 USB에 넣어 PC를 부팅시키면 손쉽게 윈도 암호 체계를 뚫을 수 있다”면서 “USB 부팅이 된다는 것은 시모스 암호를 설정하지 않았다는 의미이며 파일 암호화 역시 하지 않았을 가능성이 크다”고 말했다.
또 다른 보안업계 관계자는 “비밀번호를 변경하는 소프트웨어를 구동시키기 위해서는 컴퓨터를 켜야 하는데 보안지침이 지켜졌다면 부팅 자체가 어려웠을 것”이라면서도 “행정망을 비롯한 보안시스템 자체의 허점인지 아니면 지침 위반인지는 좀 더 지켜봐야 한다”고 전했다.