공무원 시험 응시생의 정부서울청사 무단침입·성적조작 사건이 벌어져 충격을 던져주고 있는 가운데, 이번 공무원 시험 응시생 사건에 대해 정보보안 업계에서는 보안 지침을 준수하지 않은 것이 가장 큰 원인이라는 지적이 나온다.

최근 경찰에 따르면 20대 공무원 시험 응시생인 송모(26)씨는 지난달 26일 정부서울청사 16층 인사혁신처 채용관리과 사무실에 몰래 들어갔다. 

이어 공무원 시험 담당자 컴퓨터에 접속해 자신의 공무원 필기 시험 성적을 조작하고 합격자 명단에 본인의 이름을 넣은 것으로 조사됐다.

송씨의 범행 수법은 초등학생도 쉽게 할 만한 것이었다. 그는 인터넷에서 구한 윈도 비밀번호 변경 프로그램과 PC 부팅을 위한 리눅스 운영체제를 이동식저장장치(USB)에 담은 뒤 범행에 사용한 것으로 보인다.

통상 윈도 운영체제(OS)가 깔린 PC는 사용자가 별도의 비밀 암호를 걸어 부팅 자체를 못하게 해놓을 수 있는데 그는 PC에 이 USB를 꽂고 부팅시켜 윈도 보안 체계 자체를 무력화했다.

윈도 재설치 화면이 뜨자 그는 도스 명령어 입력창을 띄운 뒤 USB 메모리 내에 담아 온 계정 암호 변경 프로그램을 실행하는 방법을 쓴 것으로 보인다.

이 프로그램에서 열기 버튼을 누르면 현재 컴퓨터에서 사용하는 계정 목록이 뜨는데 비밀번호를 바꾸려고 하는 계정을 선택한 뒤 암호 변경 버튼을 누르면 쉽게 암호를 변경할 수 있다.

정부는 이토록 쉽게 PC 보안이 뚫리는 것을 막고자 별도의 정보보안 지침을 두고 있다. 국가정보원의 정부부처 보안 지침에 따르면 공무원의 PC는 부팅 단계에서 시모스(CMOS), 윈도, 화면보호기 등 암호 3개를 모두 설정하도록 했다.

그러나 해당 PC는 달랑 윈도 암호 하나만 걸려 있어 외부 침입이 쉬웠던 것으로 나타났다.