행자부, 늦어도 5월 안으로 ‘정부청사 보안대책’ 마련
OS 보안설정, 편의성, 보안의식, 노후된 시스템, 예산 등 개선 필요성 제기

[보안뉴스 김경애] 공무원 응시생의 정부종합청사 무단 침입 사건으로 인해 행정자치부(이하 행자부)는 이르면 이달 말 늦어도 5월 안으로 ‘정부청사 보안대책’마련을 위해 고군분투 중이다.


행자부, 늦어도 5월 안으로 ‘정부청사 보안대책’ 마련
행자부는 ‘정부청사 보안 강화대책’ 수립을 위한 TF팀을 만들고 지난 11일 민간컨설팅단을 출범했다. 민간컨설팅단(위원장 임종인)은 ‘PC보안’, ‘출입·보안’, ‘공무원증 및 복무’ 분야에 전문가들이 투입됐으며, 11일 출범하자마자 1차 전체회의를 마친 후, 곧바로 정부서울청사에 대한 보안실태 현장점검에 들어갔다. 다음날인 12일에는 대전·세종청사를, 14일에는 과천청사 등 4대 정부청사에 대한 보안실태 점검을 끝마쳤다. 이러한 실태점검 결과를 바탕으로 행자부는 ‘정부청사 보안대책’을 마련할 계획이다.

이와 관련 TF팀 행자부 김주이 과장은 18일 “보안실태 점검결과를 가지고 지난 15일 민간컨설팅단과 TF팀과 함께 PC보안, 청사 출입부분 등에 대한 전체적인 논의가 진행됐다”며 “민간컨설팅단과 TF팀에서 제기된 각각의 지적사항과 취약부분, 개선사항 등을 바탕으로 점검결과를 정리하고 있으며, 개선방안을 준비 중에 있다. 늦어도 5월 중으로 정부청사 보안대책을 마련할 것”이라고 말했다.

조만간 발표될 ‘정부청사 보안대책’에 있어 보안전문가들은 다음과 같은 사항들이 반드시 반영되어야 한다고 입을 모았다.

1. OS에서 제공하는 기본적인 보안설정 적용해야
이번 사건에서 PC보안 측면에 있어 보안전문가들은 △패스워드 인증 등 보안성 문제 △편의성 문제 △직원들의 보안의식 △노후된 시스템 △예산 등을 주요 보안이슈로 지적했다.

먼저 패스워드 인증과 관련해서 공무원 응시생은 지난 3월 26일 인터넷을 통해 PC 비밀번호를 해제할 수 있는 OS 프로그램을 사용했다. 이를 통해 윈도우 패스워드 인증과정 없이도 접속할 수 있었고, 성적과 합격자명단을 조작했다. 여기서 문제는 OS 구동을 시켜주는 프로그램 시모스(CMOS)에서 암호화 설정이 되어 있지 않았다는 점이다.

이와 관련 지인소프트 서용석 연구부소장은 “PC 암호를 모르면 컴퓨터를 켤 수가 없기 때문에 시스템상 OS를 구동시켜 주는 프로그램 시모스(CMOS)에서 암호를 설정해야 한다”며 “당시 공시생은 시모스 비밀번호와 필기시험 성적·합격자 명단 문서의 암호가 설정되어 있지 않아 USB에 담아온 우회 프로그램으로 접속할 수 있었다”고 설명했다. 물론 시모스에서의 암호설정이 완벽한 보안방법은 아니지만 기본적으로 OS에서 제공하는 보안프로그램을 적용하는 것이 바람직하다는 설명이다.

다른 방법으로는 디스크 암호화를 적용했어도 차단이 가능했다는 설명이다. 디스크 암호화의 경우 비정상적으로 로그인됐을 때 특정 파일과 디스크에는 접근하지 못하도록 차단할 수 있기 때문. 이에 대해 서용석 부소장은 “OS에서 제공하는 암호화 방법을 사용하고, 디스크 전체를 암호화하는 비트락커(Bit Locker) 드라이브 암호화를 사용했다면 정상적으로 패스워드를 입력하지 않았을 때 디스크 파일과 암호화된 파일에 대한 접근을 막을 수 있었다”며 “윈도우 비스타 이상 버전이면 해당 서비스는 제공된다”고 밝혔다.

2. 보안 시스템, 보안성과 편리성 겸비해야
또 다른 문제점으로는 보안 시스템의 편리성이 미흡했다는 점이 제기됐다. 정보보안 지침에 따르면 컴퓨터 부팅시 시모스에서, 윈도우 운영체제에서, 화면보호기 단계에서, 주요 문서 등 각각의 단계마다 암호를 설정해야 한다.

이러한 규정은 보안의 피로도를 높이고, 사용자의 편의성을 감소시켜 보안규정 위반을 부추기는 꼴이 될 수 있다는 것. 결국 복잡하고 불편한 보안설정이 사용자의 편의성을 떨어뜨려 보안에 구멍을 만들었다는 얘기다.

고려대학교 이상진 교수는 “컴퓨터 부팅시 윈도우 계정만 암호화하고, 중요 파일의 경우 암호화 없이 저장한 것도 문제지만, 여러 단계에 걸쳐 패스워드를 설정하는 것은 사람을 너무 불편하게 한다”며 “차라리 윈도우 시스템에서 제공하는 원격 인증 서버를 사용하고, 로컬에서 단독으로 부팅되지 않도록 했다면 사고 예방도 되고, 불편하지도 않았을 것”이라고 말했다.

이는 결국 보안에 대해 지키기 힘든 규정을 무조건 지키라고만 하는 건 문제가 있다는 얘기로 잘못 설계된 시스템은 없는지 다시 한번 살펴보고, 잘못된 점은 개선해야 한다는 의미다. 이어 이상진 교수는 “사람은 불편하면 무슨 수를 쓰더라도 편리함을 찾고, 발명 역시 사람의 불편함을 해소하는 과정이기 때문에 사람이 인식하지 못하면서 보안이 되도록 편리성이 뒷받침되어야 한다”고 강조했다.

3. 노후 시스템, 개선 필요
다음으로는 노후된 시스템 환경도 도마 위에 올랐다. 현재 문제가 된 PC버전은 윈도우7으로 알려져 있다. 윈도우7의 경우 2015년 1월 13일부로 마이크로소프트의 일반서비스가 종료돼 특정 프로그램을 사용할 때 윈도우와 연동이 안 될 수 있는 등 보안에 취약할 수밖에 없다. 연장서비스의 경우도 2020년 1월14일까지 지원받을 수 있지만 보안업데이트만 가능하기 때문에 지능화된 공격을 대비하기엔 다소 무리가 있다.

이에 대해 한 보안전문가는 “노후된 시스템 환경에서 3개월 주기의 암호 변경과 함께 5단계에 걸쳐 암호를 정해놓은 규정 등은 현실적으로 무리한 요구사항”이라며 “기존의 패스워드 인증 시스템의 경우 편의성과 보안성 측면에서 문제가 있다. 윈도우10 버전의 경우 기본적으로 사용자 지문인식 등 진화된 보안서비스를 제공하고 있는 반면, 윈도우7은 MS에서 일반서비스 지원도 종료된 상황이라 노후된 시스템에서 패스워드 설정만 강요하는 건 무리가 있다”고 우려했다.

4. 보안의식 제고와 예산 확보 선행돼야
이러다 보니 공공기관의 미흡한 보안예산도 문제로 떠올랐다. 무엇보다 기본적인 보안체계를 유지할 수 있도록 정보보호예산이 일정부분 몇 퍼센트 이상이라도 확보되어야 하지만 현실은 그렇지 못한 실정이다. 일례로 공공아이핀 정보유출 사건을 예로 들 수 있다. 당시 공공아이핀 유출사건에서도 노후된 시스템이 문제로 지적됐기 때문이다. 뿐만 아니라 본지가 인터뷰한 각 정부부처 보안담당자들의 애로사항을 들어보면 대부분 보안예산 부족을 꼽았다. 이는 현재 보안예산만으로는 날로 지능화되고 있는 사이버보안 위협을 감당하기에는 무리라는 얘기다.

보안예산 확대와 관련해 행자부 김주이 과장은 “현재 예산확보 단계까지 논의되진 않았다”면서도 “만약 예산이 필요하다면 점검결과에 따라 예산을 책정하고, 확보된 예산을 바탕으로 단계적으로 보안대책을 추진해 나갈 것”이라고 말했다.

5. 가장 기본은 관리적 보안
마지막으로 보안전문가들은 관리적 보안의 중요성을 첫손에 꼽았다. 다양한 보안 시스템을 도입하더라도 완벽한 보안은 없기 때문에 뚫릴 수 있다는 것. 따라서 보안의식이 무엇보다 중요하고, 이를 위해선 실효성 있는 교육과 함께 관리 프로세스에 신경써야 한다는 설명이다.

이와 관련 서용석 부소장은 “평상시 보안 테스트를 습관화해야 한다”며 “이를테면 매월 셋째주 수요일은 내PC 지킴이 등을 통해 자동 점검하고, 공공기관에서 요구하는 보안항목을 잘 준수했는지 기입해 제출하는 온라인 시스템을 운영하는 것도 방법이 될 수 있다”고 제안했다.

이와 함께 PC에 비밀번호를 적은 메모지를 붙여둔다든가 하는 오프라인에서의 보안위협 행위에 대해서도 별도로 체크항목 리스트를 만드는 등 다양한 관리 프로세스를 도입하되, 직원들의 불편함은 최소화할 수 있도록 최대한 자동화하고, 보안수칙은 반드시 지킬 수 있도록 상벌제를 도입하는 것이 필요하다고 보안전문가들은 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>