사진=스마트이미지 제공
"시모스(CMOS) 비밀번호가 뭐에요? 부팅단계에도 비밀번호를 설정해야 하나요? 몰랐네요“
인사혁신처 공무원들이 ‘PC 보안지침’을 지키지 않은 것이 공무원 시험 준비생(공시생)의 성적 조작 사건의 빌미가 됐는데, 정부 부처 공무원 상당수가 보안지침 1단계인 부팅 단계 비밀번호를 설정하지 않고 있어 구조적으로 보안에 취약한 것으로 드러났다.
공시생인 송모(26)씨가 정부서울청사에 무단 침입해 인사혁신처 채용관리과 공무원들의 PC에 접속해 시험성적을 조작하고 합격자 명단을 고친 데는 공무원들이 국가정보원의 PC 보안지침을 지키지 않은 것이 결정적인 원인이 됐다.
송씨에게 뚫린 인사혁신처처 사무관과 주무관의 PC에는 보안지침 1단계인 PC 부팅단계의 시모스(CMOS) 비밀번호가 설정되지 않았던 것으로 경찰수사 결과 밝혀졌다.
이들 공무원들은 윈도우 비밀번호와 화면 보호기 비밀번호를 설정했지만, 1단계인 부팅 단계 비밀번호와 4단계인 중요문서 비밀번호를 설정하지 않아 화를 자초한 것이다.
국가정보원의 정부 PC 보안 지침에 따르면 정부 PC는 ▲ 부팅 단계 시모스(CMOS) 비밀번호 ▲ 윈도우 운영체계 비밀번호 ▲ 화면보호기 비밀번호 ▲ 중요문서 비밀번호 등 4단계의 비밀번호를 모두 설정해야 한다.
보안 전문가들은 “부팅단계에 CMOS 비밀번호가 설정돼 있으면 PC의 하드웨어를 분리해 전원을 차단하는 등의 방법으로 CMOS 비밀번호를 무력화해야 하기 때문에 이번 사건처럼 정부 PC를 뚫고 문서를 조작하는 것이 매우 어렵다”고 밝혔다.
실제로 공시생 송씨는 인사혁신처 공무원들이 부팅단계 비밀번호를 설정하지 않았기 때문에 하드웨어 분리 등의 복잡한 절차를 거치지 않고 리눅스 등의 다른 운영체제(OD)를 이용해 2단계 윈도우 비밀번호와 3단계 화면보호기 비밀번호를 무력화할 수 있었다.
그런데 국정원의 PC 보안지침을 준수하지 않는 것이 공시생에게 뚫린 인사혁신처의 PC만이 아니었다.
정부 부처 공무원들이 사용하는 상당수 PC들이 국정원의 PC 보안지침 1단계인 부팅단계의 비밀번호 설정을 무시하고 있는 것으로 CBS노컷뉴스 취재 결과 드러났다.
정부 부처 한 공무원은 “PC를 켤 때 설정해야 하는 시모스(CMOS) 비밀번호는 번거롭기 때문에 대부분의 공무원들이 부팅 단계 비밀번호 설정은 건너뛰고 윈도우 비밀번호부터 설정한다”고 밝혔다.
또 다른 공무원은 "시모스(CMOS) 비밀번호를 설정하느냐"는 기자의 질문에 “시모스(CMOS) 비밀번호가 뭐냐”고 반문하기도 해 정부 부처 공무원들의 PC 보안의식이 얼마나 허술한지를 단적으로 보여주기도 했다.
인사혁신처 정보화담당관실 관계자는 “부팅 단계 비밀번호를 설정하면 시간이 많이 걸리고 번거롭기 때문에 직원들이 보안지침 1단계를 지키지 않는 경우가 적지 않다”고 시인하기도 했다.
이 관계자는 “매월 두번째 수요일을 '보안점검의 날'로 운영하면서 국정원에서 보급한 ‘내 PC 지킴이’ 프로그램을 통해 PC 보안을 점검하지만 CMOS 비밀번호를 설정했는지는 점검대상이 아니다”라고 밝혔다.
‘내 PC 지킴이’ 프로그램을 통해 윈도우 비밀번호와 화면보호기 비밀번호 설정 여부, 바이러스 백신 프로그램 설치 여부 등의 항목을 점검하지만 CMOS 비밀번호 설정 여부는 점검대상이 아니라는 것이다.
CMOS 비밀번호는 컴퓨터 하드웨어를 구동할 때 적용되는 비밀번호이기 때문에 ‘내 PC 지킴이’와 같은 프로그램으로는 CMOS 비밀번호 설정 여부를 확인할 수 없기 때문이다.
결국 부팅 단계인 CMOS 비밀번호 설정 여부는 전산 프로그램으로는 안 되고, 사람이 일일이 육안으로 확인해야 하는 근본적인 한계를 갖고 있는 셈이다.
인사혁신처 정보화담당관실 관계자는 “PC 보안 점검은 매월 실시되지만, 부팅 단계 비밀번호 설정여부는 1년에 1~2차례 실시하며, 이 부분을 위배했다며 징계를 받은 사례는 없다”고 말했다.
행정자치부 정보통계담당관실 관계자도 “내 PC 지킴이를 통해서는 부팅 단계인 CMOS 비밀번호 설정 여부를 점검할 수 없어 부팅 단계 비밀번호 설정 여부는 확인하지 않고 있다”고 밝혀 국정원의 PC 보안지침 1단계가 사실상 무력화되고 있는 것으로 드러났다.
이처럼 정부 부처 PC의 상당수가 정보보안을 위해 반드시 준수해야 할 보안지침을 무시하고 있는 것으로 드러남에 따라 유사한 사건의 재발을 막기 위해서는 보안지침 준수 여부에 대한 철저한 점검과 함께 실효성 있는 대책마련이 필요하다는 지적이다.