인사혁신처 공무원이 사용하던 업무용 PC의 보안이 뚫린 가운데 인사혁신처는 매월 정기적으로 자체 평가하는 보안점검 결과에 대해 공개를 거부했다.
행정자치부에 따르면 정부 업무용 PC에는 정기적으로 보안사항을 자가점검 하도록 하는 PC지킴이가 설치돼 있다. 이 프로그램을 통해 인사혁신처에 있는 PC도 부팅 전 컴퓨터 비밀번호 설정 여부, 윈도우 진입시 비빌번호 설정 여부와 화면보호 기능 활성화 여부 등을 자가진단 하도록 돼 있다.
인사처 업무용 PC에 무단으로 침입해 수험자 자신의 점수를 조작하고 합격자 명부를 조작하는 사태가 벌어졌는데도 인사혁신처 정승도 정보화담당관은 PC지킴이를 통해 매월 인사처가 자체 평가하는 정보보안 평가 결과 공개를 거부했다. 인사처의 평소 정보보안 실태를 파악할 수 있는 중요한 자료이면서 개인정보가 들어 있지 않은 공공정보임에도 공개를 거부한 것이다.
정부청사에 침입해 자신의 점수를 조작한 송 모씨(26)의 진술과 경찰 조사 정황에 따르면 인사처 관련 업무 담당자의 PC를 켜고 바로 리눅스를 설치하면서 윈도우즈 운영체제를 통한 보안 장벽을 우회하는 방식이 사용된 것으로 알려졌다. 행정자치부 관계자에 의해 파악해 본 결과 PC를 켜자마자 거쳐야 하는, 즉 부팅 이전에 입력해야만 하는 비밀번호가 국가정보원 지침 대로 제대로 작동했다면 리눅스를 설치해 우회하는 방법은 통하지 않는다. 즉 PC의 부팅전 비밀번호 관리가 제대로 되어 있다면 내부 조력자가 없는 한 리눅스를 설치하는 방식으로는 인사처 업무 문서에 접근할 방법이 없는 것이다.
‘PC지킴이가 사실상 자가진단에 불과하다는 점도 문제로 지적된다. 정부 관계자에 따르면 ‘PC지킴이는 공무원들이 자신의 PC의 보안 장치 설정 여부를 일정한 기간(주 또는 월) 마다 점검하도록 도와주는 프로그램일 뿐, 비밀번호의 설정이나 주기적 변경 등을 하지 않아도 PC를 구동하는데 아무런 지장이 없다.
[최희석 기자]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]