편의 위해 보안규정 수시로 위반, 전반적인 보안의식 미흡
출입통제 등 물리보안과 보안교육·점검 등 인적보안 무엇보다 중요
[시큐리티월드 김태형] 지난 2012년 정부서울청사 교육과학기술부 사무실에 60대 남성이 침입해 불을 지르고 투신자살한 사건에 이어 4년만인 올해 정부서울청사에 외부자가 침입한 사건이 또 다시 발생해 충격을 주고 있다.
광화문에 위치한 정부서울청사내 인사혁신처 사무실에 최근 20대 공무원시험 응시생이 수 차례 침입해 컴퓨터상의 합격자 명단을 조작해 자신의 이름을 추가하는 사건이 발생했다. 특히, 이번 사건은 기본적인 물리보안 뿐만 아니라 정부 내부정보망에 연결돼 있는 공무원의 컴퓨터까지 뚫렸다는데 문제의 심각성이 크다는 지적이다.
정부청사의 보안은 건물 내 출입부터 여러 단계의 확인 절차를 거쳐야만 출입할 수 있다. 또 내부 업무 PC는 망분리, 매체제어, PC비밀번호 등 다양한 보안 시스템도 구축되어 있었지만 외부자의 침입을 막지 못했다. 결국 이 모든 것은 보안의식 부재, 즉 인적보안이 가장 미흡했기 때문에 발생했다고 볼 수 있다.
경찰조사에 따르면, 범인은 청사 1층 체력단련실 라커룸에서 여러 개의 공무원 신분증을 훔치고 이를 이용해 정부청사를 여러 차례에 걸쳐 자유롭게 드나들었다. 여기서 문제는 체력단련실 락커에 잠금장치가 없었고 정작 신분증을 잃어버린 공무원들은 이를 뒤늦게 알고 조치를 취한 것으로 알려졌다.
또한, 공시생이 정부청사 인사혁신처의 담당 사무실에 손쉽게 들어갈 수 있었던 것도 문 옆에 도어록의 비밀번호가 적혀 있었기 때문이라는 사실이 밝혀졌다. 이는 PC에 암호를 걸어 놓고 비밀번호를 PC에 붙여놓은 것과 마찬가지로, 사무실 청소관리원들의 출입과 자신들의 편의를 위해 보안규정을 위반한 것이다. 이는 공무원들의 보안의식 수준을 대변하기도 하지만, 정부기관의 보안은 아직 갈 길이 멀다는 점을 여실히 드러낸 것이라 볼 수 있다.
아울러 공시생은 처음 정부청사를 출입할 때 출입문을 지키는 의무경찰이 공무원 신분증을 일일이 확인하지 못하는 점을 이용해 여러 명의 공무원들이 몰려서 들어갈 때 함께 섞여 들어간 것으로 드러났다.
이에 대해 한 보안전문가는 “이번 사건은 가장 기본적인 출입통제와 문서보안 등이 제대로 되지 않았기 때문이다. 대부분은 IT 시스템의 보안이 중요하다고 생각하는데, 이번 사건은 출입보안부터 제대로 통제가 되지 않았다는 것이 문제”라며 “무엇보다 출입보안 등 물리보안에 대한 강화가 필요하다. 또한, 정부기관에 보안관리를 총괄하는 책임자도 반드시 있어야 하고 이에 대한 권한도 강화할 필요가 있다”고 강조했다.
이번 사건에 있어 또 한 가지 지적된 문제는 정부부처 공무원의 업무용 PC가 여러 단계로 보안이 설정되어 있음에도 공시생이 담당자의 PC에 들어가 수험생 관련 자료를 찾아볼 수 있었다는 점이다.
공무원의 업무용 PC는 국가정보원 보안 지침에 따라 △부팅 단계 시모스(CMOS) 암호 △윈도우 운영체제 암호 △화면 보호기 암호 △중요 문서 암호 등 4중의 보안 암호를 설정하도록 되어 있다.
경찰에 따르면, 범인은 인터넷상에서 돌아다니는 비밀번호 해제 프로그램을 USB에 담아 이를 실행시켜 잠겨 있는 PC 비밀번호를 해제하는 방법을 알아냈다. 이렇게 쉽게 암호를 풀 수 있었던 것은 일부 공무원들이 불편하다는 이유로 PC에 암호를 제대로 설정하지 않았거나 쉽게 설정했다는 얘기가 된다. 이 과정에서도 허술한 보안의식이 치명적인 취약점으로 작용했던 셈이다.
이에 대해 한 정보보안 전문가는 “쉽게 설정된 암호는 대체로 간단한 툴을 이용하면 쉽게 해제가 가능하다. 자세한 것은 이번 사건의 PC를 분석해 봐야 알 수 있겠지만, 대체로 암호 설정이 되지 않았을 수도 있었을 것”이라면서 “특히, 문서 암호나 로그인 암호가 쉽게 설정되어 있다면, 툴을 이용해 간단하게 풀 수 있다”고 말했다.
또한 그는 “리눅스로 부팅하면 윈도우 디스크에 쉽게 접근할 수도 있는데, 리눅스가 설치된 USB 드라이브를 꽂으면 윈도우 시스템의 부팅 단계에서 시모스 암호나 운영체제 암호를 통과해 파일에 충분히 접근할 수도 있다”고 덧붙였다.
이번 사건에서 알 수 있듯이, 아무리 물리적·기술적 보안이 잘 되어 있더라도 내부인력에 대한 보안관리가 미흡하거나 내부인력 스스로 보안의식이 미흡하다면 모든 것이 뚫리게 되어 있다. 이렇듯 불편하다고 보안정책과 규정을 제대로 지키지 않으면 보안에 홀이 발생하기 마련이다. 결국 이번 사건은 사람이 보안에 있어 가장 큰 취약점이라는 사실을 다시 한번 입증한 셈이 됐다.
[글 시큐리티월드 김태형미 기자(sw@infothe.com)]
<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>
출입통제 등 물리보안과 보안교육·점검 등 인적보안 무엇보다 중요
[시큐리티월드 김태형] 지난 2012년 정부서울청사 교육과학기술부 사무실에 60대 남성이 침입해 불을 지르고 투신자살한 사건에 이어 4년만인 올해 정부서울청사에 외부자가 침입한 사건이 또 다시 발생해 충격을 주고 있다.
 | ||
광화문에 위치한 정부서울청사내 인사혁신처 사무실에 최근 20대 공무원시험 응시생이 수 차례 침입해 컴퓨터상의 합격자 명단을 조작해 자신의 이름을 추가하는 사건이 발생했다. 특히, 이번 사건은 기본적인 물리보안 뿐만 아니라 정부 내부정보망에 연결돼 있는 공무원의 컴퓨터까지 뚫렸다는데 문제의 심각성이 크다는 지적이다.
정부청사의 보안은 건물 내 출입부터 여러 단계의 확인 절차를 거쳐야만 출입할 수 있다. 또 내부 업무 PC는 망분리, 매체제어, PC비밀번호 등 다양한 보안 시스템도 구축되어 있었지만 외부자의 침입을 막지 못했다. 결국 이 모든 것은 보안의식 부재, 즉 인적보안이 가장 미흡했기 때문에 발생했다고 볼 수 있다.
경찰조사에 따르면, 범인은 청사 1층 체력단련실 라커룸에서 여러 개의 공무원 신분증을 훔치고 이를 이용해 정부청사를 여러 차례에 걸쳐 자유롭게 드나들었다. 여기서 문제는 체력단련실 락커에 잠금장치가 없었고 정작 신분증을 잃어버린 공무원들은 이를 뒤늦게 알고 조치를 취한 것으로 알려졌다.
또한, 공시생이 정부청사 인사혁신처의 담당 사무실에 손쉽게 들어갈 수 있었던 것도 문 옆에 도어록의 비밀번호가 적혀 있었기 때문이라는 사실이 밝혀졌다. 이는 PC에 암호를 걸어 놓고 비밀번호를 PC에 붙여놓은 것과 마찬가지로, 사무실 청소관리원들의 출입과 자신들의 편의를 위해 보안규정을 위반한 것이다. 이는 공무원들의 보안의식 수준을 대변하기도 하지만, 정부기관의 보안은 아직 갈 길이 멀다는 점을 여실히 드러낸 것이라 볼 수 있다.
아울러 공시생은 처음 정부청사를 출입할 때 출입문을 지키는 의무경찰이 공무원 신분증을 일일이 확인하지 못하는 점을 이용해 여러 명의 공무원들이 몰려서 들어갈 때 함께 섞여 들어간 것으로 드러났다.
이에 대해 한 보안전문가는 “이번 사건은 가장 기본적인 출입통제와 문서보안 등이 제대로 되지 않았기 때문이다. 대부분은 IT 시스템의 보안이 중요하다고 생각하는데, 이번 사건은 출입보안부터 제대로 통제가 되지 않았다는 것이 문제”라며 “무엇보다 출입보안 등 물리보안에 대한 강화가 필요하다. 또한, 정부기관에 보안관리를 총괄하는 책임자도 반드시 있어야 하고 이에 대한 권한도 강화할 필요가 있다”고 강조했다.
이번 사건에 있어 또 한 가지 지적된 문제는 정부부처 공무원의 업무용 PC가 여러 단계로 보안이 설정되어 있음에도 공시생이 담당자의 PC에 들어가 수험생 관련 자료를 찾아볼 수 있었다는 점이다.
공무원의 업무용 PC는 국가정보원 보안 지침에 따라 △부팅 단계 시모스(CMOS) 암호 △윈도우 운영체제 암호 △화면 보호기 암호 △중요 문서 암호 등 4중의 보안 암호를 설정하도록 되어 있다.
경찰에 따르면, 범인은 인터넷상에서 돌아다니는 비밀번호 해제 프로그램을 USB에 담아 이를 실행시켜 잠겨 있는 PC 비밀번호를 해제하는 방법을 알아냈다. 이렇게 쉽게 암호를 풀 수 있었던 것은 일부 공무원들이 불편하다는 이유로 PC에 암호를 제대로 설정하지 않았거나 쉽게 설정했다는 얘기가 된다. 이 과정에서도 허술한 보안의식이 치명적인 취약점으로 작용했던 셈이다.
이에 대해 한 정보보안 전문가는 “쉽게 설정된 암호는 대체로 간단한 툴을 이용하면 쉽게 해제가 가능하다. 자세한 것은 이번 사건의 PC를 분석해 봐야 알 수 있겠지만, 대체로 암호 설정이 되지 않았을 수도 있었을 것”이라면서 “특히, 문서 암호나 로그인 암호가 쉽게 설정되어 있다면, 툴을 이용해 간단하게 풀 수 있다”고 말했다.
또한 그는 “리눅스로 부팅하면 윈도우 디스크에 쉽게 접근할 수도 있는데, 리눅스가 설치된 USB 드라이브를 꽂으면 윈도우 시스템의 부팅 단계에서 시모스 암호나 운영체제 암호를 통과해 파일에 충분히 접근할 수도 있다”고 덧붙였다.
이번 사건에서 알 수 있듯이, 아무리 물리적·기술적 보안이 잘 되어 있더라도 내부인력에 대한 보안관리가 미흡하거나 내부인력 스스로 보안의식이 미흡하다면 모든 것이 뚫리게 되어 있다. 이렇듯 불편하다고 보안정책과 규정을 제대로 지키지 않으면 보안에 홀이 발생하기 마련이다. 결국 이번 사건은 사람이 보안에 있어 가장 큰 취약점이라는 사실을 다시 한번 입증한 셈이 됐다.
[글 시큐리티월드 김태형미 기자(sw@infothe.com)]
<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
