정부서울청사에 공무원시험 응시생이 무단 침입해 성적 정보를 조작한 사실이 밝혀지면서 보안체계 허점이 노출됐다. 출입을 통제하는 물리보안부터 중요 정보가 담긴 컴퓨터를 보호하는 PC보안까지 유기적으로 작동해야 할 보안체계 전반에 안일한 관리 실태가 들어났다는 지적이다.
보안 전문가들은 이번 사건이 충분히 예방 가능한 초보적 수법으로 이뤄진 것으로 분석했다. 기본적인 출입게이트 관리와 보안 정책으로 막을 수 있었다는 것이다.
PC 보안 문제가 지적됐다. 한 보안 전문 컨설턴트는 “윈도 시스템에서 비밀번호를 잃어버렸을 때 새로운 비밀번호 생성에 사용하는 리커버리툴이 사용된 것으로 보인다”며 “생각보다 간단한 기술이지만 비밀번호가 변동되기 때문에 쉽게 발각될 수 있어 전문 범죄자라면 사용하지 않을 방법”이라고 말했다.
비밀번호 분실 시 사용하는 리커버리툴은 인터넷 검색 등으로 찾을 수 있다. 경찰은 정부청사에 침입해 성적을 조작한 송모씨 거주지에서 압수한 노트북PC에서 비밀번호 해제 프로그램 여러 종을 발견했다고 밝혔다.
리눅스 운용체계(OS)를 이용한 윈도 비밀번호 우회 역시 가능하다. 리눅스OS가 설치된 USB로 부팅 후 하드디스크를 마운트해 파일을 읽어오면 된다. 패스워드 자체도 초기화할 수 있다.
문제는 중요 정보가 담긴 PC에서 USB메모리 포트 사용이 가능했다는 점이다. USB메모리는 내부 정보 유출이나 외부 악성코드 침입 경로로 사용될 수 있다. 때문에 주요 기관이나 기업 등에서는 주요 업무용 PC의 USB 포트를 막아두거나 전용 관리 솔루션으로 이용을 통제한다. 정부도 전용관리솔루션으로 PC USB 사용을 차단하지만 리눅스OS USB로 우회 부팅했다면 무용지물이 된다. 물리적 USB 봉인 또는 특수 USB만 꽂을 수 있는 보완이 필요하다.
중요 파일 관리도 허술했다는 지적이다. 시스템 로그인 기능을 해킹하더라도 문서 파일을 DRM 기술로 암호화하거나 보안 폴더에 저장했다면 쉽게 들여다보지 못한다. 온라인 금융 서비스나 공공 민원 서비스에 각종 보안 프로그램 설치를 요구하는 것도 중요 문서 위변조를 막기 위해서다.
다른 보안 전문가는 “이상 접근을 탐지·차단하는 계정관리·접근통제 솔루션이 작동하고 있었다면 주말이나 업무 외 시간에 정보를 열람·조작하는 행위를 알아챌 수 있었을 것”이라 말했다.
출입카드와 보안요원에 의존하는 물리보안 체계도 개선이 필요하다는 지적이다. 보안게이트에서는 출입증 사진과 실제 얼굴을 현장에 배치된 보안요원이 확인해야 한다. 하지만 사진과 얼굴이 다른 경우도 많고 이번처럼 세종청사 이전으로 어수선한 시기에는 확인이 쉽지 않다.
4년 전 정부중앙청사 방화·투신 사건 이후 출입게이트 보안 강화를 위해 얼굴인식 보안 솔루션 도입이 검토 됐으나 일부 시범 적용 이후 성능 미비로 확대 도입되지 못했다. 최근 기술 개선으로 출입증을 이용한 보안게이트와 얼굴인식 솔루션을 접목한 사례가 늘어가는 추세다. 정부청사 등에도 성능이 검증된 얼굴인식 보안장비 도입으로 보안요원에 의한 얼굴 확인 절차 한계를 보완해야 한다는 의견이 나온다.
물리보안과 PC보안 전반을 넘어 가장 중요한 문제 중 하나는 공무원이 신분증을 분실한 이후 대처다.
김승주 고려대 정보보호대학원 교수는 “신분증 분실 사실을 인지한 시기와 인지 후 대응 등을 조사해 공무원 신분증 자체 보안성을 따져볼 필요가 있다”고 말했다.
정부는 청사보안을 원점에서 재점검한다. 김성렬 행정자치부 차관을 단장으로 청사보안강화 태스크포스(TF)를 구성한다. 방호와 정보보안 관련 담당 조직과 인력 대상으로 감찰에 착수했다
공동취재 이호준기자
박정은기자 jepark@etnews.com