2014년 초 카드 정보 1억건 유출 사건으로 온 나라가 떠들썩했음에도 고객 정보 도용 사건이 끊이지 않는 데는 나날이 지능화되는 범죄 수법에도 원인이 있지만 매번 소 잃고 외양간 고치는 카드사들의 ‘보안 불감증’ 탓이 더 크다. KB국민카드와 비씨카드의 고객 정보 유출도 ‘선(先) 사고 후(後) 조치’를 보여 주는 전형적인 사례다. 정보를 빼내 간 수법 자체는 새로울 것이 없었다. PC에 악성 코드를 심어 둔 뒤 바이러스에 감염된 좀비PC를 원격 조종한 것으로 추정된다. 이렇게 빼돌려진 개인 정보에는 공인인증서 비밀번호, 인터넷일반결제서비스(ISP) 비밀번호 등이 고스란히 담겨 있었다. 불법 결제 대상으로 삼은 수단도 ‘고전적’이다. 상품권깡을 한 것이다. 상품권은 현금화가 쉬워 게임 사이트의 ‘게임 머니’와 마찬가지로 불법 결제에 빈번히 악용된다. 이 때문에 대다수 카드사는 대형 온라인 쇼핑몰에서 상품권을 구매하는 경우에도 추가 인증 절차를 거치도록 하고 있다. 휴대전화 문자메시지(SMS)나 휴대전화 자동응답서비스(ARS), 공인인증서 등 추가 인증을 거쳐야 상품권을 살 수 있게 한 것이다. 현대카드는 온라인 쇼핑몰에서 신용카드로 상품권을 아예 구매하지 못하도록 원천 봉쇄하고 있다. 반면 KB국민카드와 비씨카드는 대형 온라인 쇼핑몰에서의 추가 인증 절차조차 마련해 두지 않았다가 당했다. KB국민카드 관계자는 “대형 온라인 쇼핑몰에서 상품권을 구매할 때 추가 인증을 도입하려면 쇼핑몰의 허가가 있어야 한다”면서 “(대형 온라인 쇼핑몰은) 카드사에는 ‘갑’이라 (이런 요구를 하기에) 어려움이 있다”고 해명했다. 사고가 터지자 KB국민카드와 비씨카드는 뒤늦게 추가 인증 장치를 도입했다. BC카드는 지난 1월, KB국민카드는 2월에 각각 대형 온라인 쇼핑몰에서도 추가 인증을 거치도록 했다. 일부 쇼핑몰은 상품권 결제를 아예 차단했다. 추후 책임 소재를 두고 고객과 카드사 간 책임 공방이 불거질 가능성도 있다. 금융감독원 관계자는 “불법 결제가 바이러스에 감염된 좀비PC로 이뤄진 것인지 아니면 카드를 소유한 고객이 직접 결제한 것인지는 (비대면 거래의 특성상) 책임 소재를 명확히 따져야 할 것”이라고 지적했다. 금융 당국은 지난 15일 카드사 정보보안 책임자를 소집해 ‘공동 대응’을 주문했다. 고객 정보를 도용한 불법 결제 수법이 국경을 넘어 지능화, 조직화되고 있다는 판단에서다. 금감원 측은 “범죄 수법이 날로 진화하고 있어서 이를 예측하고 차단하기는 현실적으로 어렵다”며 “한 카드사에 피해가 발생하면 이를 업계 전체가 공유해 추가 피해를 막아야 한다”고 강조했다. 전문가들은 보안 정비뿐만 아니라 사후 책임도 더 강화해야 한다고 말한다. 김상봉 한성대 경제학과 교수는 “기업들은 대부분 정보보안 예산을 투자보다는 비용으로 인식해 최소 규제만 지키려는 경향이 강하다”면서 “정보 유출이나 보안 미비로 사고가 발생했을 때에는 법적 책임을 강하게 물어야 한다”고 주장했다. 이유미 기자 yium@seoul.co.kr

PC에 악성코드 심어 정보 빼내 백화점·문화상품권 불법 구입 카드사 고객 정보가 또 털렸다. 도용된 카드 정보는 온라인 쇼핑몰에서 환금성이 높은 백화점 상품권 등을 불법 결제하는 데 이용됐다. 이번에도 카드사들의 안이한 대응이 화(禍)를 키운 것으로 드러났다. 19일 금융 당국과 금융권에 따르면 KB국민카드와 비씨카드의 고객 정보 79건이 지난해 12월 도용된 것으로 뒤늦게 확인됐다. 국민카드가 48건, 비씨카드가 31건이다. 고객이 두 카드사에 피해를 신고한 금액은 2억원에 이른다. 이번 고객정보 유출은 개인용 컴퓨터(PC)에 악성 코드를 심어 두고 바이러스에 감염된 PC(좀비 PC)를 원격 조종하는 방식으로 이뤄졌다. 빼내 간 개인 정보에는 공인인증서 비밀번호, 인터넷일반결제서비스(ISP) 비밀번호, 카드 정보가 포함돼 있었다. 도용된 고객 정보는 G마켓, 11번가 등 대형 온라인 쇼핑몰에서 백화점 상품권, 문화상품권 등을 불법으로 사들이는 데 쓰였다. 상품권은 이른바 ‘상품권깡’(상품권을 액면가보다 할인된 가격에 현찰을 받고 거래)을 통해 곧바로 현금화가 가능하다. 이런 이유로 범죄에 자주 악용돼 대부분의 카드사는 온라인 쇼핑몰에서의 상품권 구매 주문 시 별도의 추가 인증을 요구하고 있다. 하지만 KB국민카드와 비씨카드는 최소한의 이런 안전장치조차 두지 않아 범죄에 노출됐다. KB국민카드와 비씨카드 측은 “사고가 난 뒤 추가 인증절차를 갖췄다”며 “접수된 신고 사례 중 실제 불법 도용 여부를 확인하고 있다”고 밝혔다. 불법 도용이 인정돼 두 카드사가 금융 당국에 보고한 피해금액은 2300만원(비씨카드 1500만원, 국민카드 770만원)이다. 확인 작업이 아직 진행 중이어서 피해 규모는 더 커질 가능성이 높다. 이유미 기자 yium@seoul.co.kr

쇼핑몰 허락해야 추가 인증 도입 현대카드는 온라인서 상품권 못 사 2014년 초 카드 정보 1억건 유출 사건으로 온 나라가 떠들썩했음에도 고객 정보 도용 사건이 끊이지 않는 데는 나날이 지능화되는 범죄 수법에도 원인이 있지만 매번 소 잃고 외양간 고치는 카드사들의 ‘보안 불감증’ 탓이 더 크다. KB국민카드와 비씨카드의 고객 정보 유출도 ‘선(先) 사고 후(後) 조치’를 보여 주는 전형적인 사례다. 정보를 빼내 간 수법 자체는 새로울 것이 없었다. PC에 악성 코드를 심어 둔 뒤 바이러스에 감염된 좀비PC를 원격 조종한 것으로 추정된다. 이렇게 빼돌려진 개인 정보에는 공인인증서 비밀번호, 인터넷일반결제서비스(ISP) 비밀번호 등이 고스란히 담겨 있었다. 불법 결제 대상으로 삼은 수단도 ‘고전적’이다. 상품권깡을 한 것이다. 상품권은 현금화가 쉬워 게임 사이트의 ‘게임 머니’와 마찬가지로 불법 결제에 빈번히 악용된다. 이 때문에 대다수 카드사는 대형 온라인 쇼핑몰에서 상품권을 구매하는 경우에도 추가 인증 절차를 거치도록 하고 있다. 휴대전화 문자메시지(SMS)나 휴대전화 자동응답서비스(ARS), 공인인증서 등 추가 인증을 거쳐야 상품권을 살 수 있게 한 것이다. 현대카드는 온라인 쇼핑몰에서 신용카드로 상품권을 아예 구매하지 못하도록 원천 봉쇄하고 있다. 반면 KB국민카드와 비씨카드는 대형 온라인 쇼핑몰에서의 추가 인증 절차조차 마련해 두지 않았다가 당했다. KB국민카드 관계자는 “대형 온라인 쇼핑몰에서 상품권을 구매할 때 추가 인증을 도입하려면 쇼핑몰의 허가가 있어야 한다”면서 “(대형 온라인 쇼핑몰은) 카드사에는 ‘갑’이라 (이런 요구를 하기에) 어려움이 있다”고 해명했다. 사고가 터지자 KB국민카드와 비씨카드는 뒤늦게 추가 인증 장치를 도입했다. KB국민카드는 지난 2월, 비씨카드는 이달 들어 각각 대형 온라인 쇼핑몰에서도 추가 인증을 거치도록 했다. 일부 쇼핑몰은 상품권 결제를 아예 차단했다. 추후 책임 소재를 두고 고객과 카드사 간 책임 공방이 불거질 가능성도 있다. 금융감독원 관계자는 “불법 결제가 바이러스에 감염된 좀비PC로 이뤄진 것인지 아니면 카드를 소유한 고객이 직접 결제한 것인지는 (비대면 거래의 특성상) 책임 소재를 명확히 따져야 할 것”이라고 지적했다. 금융 당국은 지난 15일 카드사 정보보안 책임자를 소집해 ‘공동 대응’을 주문했다. 고객 정보를 도용한 불법 결제 수법이 국경을 넘어 지능화, 조직화되고 있다는 판단에서다. 금감원 측은 “범죄 수법이 날로 진화하고 있어서 이를 예측하고 차단하기는 현실적으로 어렵다”며 “한 카드사에 피해가 발생하면 이를 업계 전체가 공유해 추가 피해를 막아야 한다”고 강조했다. 전문가들은 보안 정비뿐만 아니라 사후 책임도 더 강화해야 한다고 말한다. 김상봉 한성대 경제학과 교수는 “기업들은 대부분 정보보안 예산을 투자보다는 비용으로 인식해 최소 규제만 지키려는 경향이 강하다”면서 “정보 유출이나 보안 미비로 사고가 발생했을 때에는 법적 책임을 강하게 물어야 한다”고 주장했다. 이유미 기자 yium@seoul.co.kr

카드사 고객 정보가 또 털렸다. 도용된 카드 정보는 온라인 쇼핑몰에서 환금성이 높은 백화점 상품권 등을 불법 결제하는 데 이용됐다. 이번에도 카드사들의 안이한 대응이 화(禍)를 키운 것으로 드러났다.　19일 금융 당국과 금융권에 따르면 KB국민카드와 비씨카드의 고객 정보 79건이 지난해 12월 도용된 것으로 뒤늦게 확인됐다. 국민카드가 48건, 비씨카드가 31건이다. 고객이 두 카드사에 피해를 신고한 금액은 2억원에 이른다.　이번 고객정보 유출은 개인용 컴퓨터(PC)에 악성 코드를 심어 두고 바이러스에 감염된 PC(좀비 PC)를 원격 조종하는 방식으로 이뤄졌다. 빼내 간 개인 정보에는 공인인증서 비밀번호, 인터넷일반결제서비스(ISP) 비밀번호, 카드 정보가 포함돼 있었다.　도용된 고객 정보는 G마켓, 11번가 등 대형 온라인 쇼핑몰에서 백화점 상품권, 문화상품권 등을 불법으로 사들이는 데 쓰였다. 상품권은 이른바 ‘상품권깡’(상품권을 액면가보다 할인된 가격에 현찰을 받고 거래)을 통해 곧바로 현금화가 가능하다.　이런 이유로 범죄에 자주 악용돼 대부분의 카드사는 온라인 쇼핑몰에서의 상품권 구매 주문 시 별도의 추가 인증을 요구하고 있다. 하지만 KB국민카드와 비씨카드는 최소한의 이런 안전장치조차 두지 않아 범죄에 노출됐다.　KB국민카드와 비씨카드 측은 “사고가 난 뒤 추가 인증절차를 갖췄다”며 “접수된 신고 사례 중 실제 불법 도용 여부를 확인하고 있다”고 밝혔다. 불법 도용이 인정돼 두 카드사가 금융 당국에 보고한 피해금액은 2300만원(비씨카드 1500만원, 국민카드 770만원)이다. 확인 작업이 아직 진행 중이어서 피해 규모는 더 커질 가능성이 높다.　이유미 기자 yium@seoul.co.kr

신서유기2 멤버들 강호동, 이수근, 은지원, 안재현이 중국 시내 한복판에서 낙오됐다. 19일 오전 인터넷을 통해 공개된 케이블채널 tvNgo 예능프로그램 ‘신서유기2’ 4화 ‘NAK-0 레이스 사건편 上’에서는 제작진에 의해 낙오 당한 신서유기2 멤버들 강호동, 이수근, 은지원, 안재현의 모습이 그려졌다. 이날 중국에 도착한 신서유기2 멤버들은 자동차에 탑승한 채 어떤 음식을 먹을지 의논에 한창이었다. 그러나 밖에서 신서유기2 제작진은 “오디오 팀은 미행하고 멤버들에게 카메라 두 대만 주면 된다”며 이들을 낙오시키기 위한 계획을 세웠다. 이후 자동차가 이동하고 신서유기2 멤버들은 서로에 대한 이야기를 나누면서 별다른 의심 없이 목적지에 도착했다. 멤버들이 내리자 제작진은 안재현에게 “새로운 방식으로 촬영을 하려고 한다”며 카메라를 넘겼다. 이후 신서유기2 제작진은 멤버들이 보는 앞에서 자동차를 타고 도망쳤다. 그러나 셀카를 찍는 등 정신이 팔린 멤버 들은 뒤늦게 낙오된 상황이라는 것을 알고선 당황했다. 제작진은 8시 3분까지 숙소로 찾아오라며, 만약 시간 안에 도착하지 못하면 짐이 담긴 트렁크를 한국에 보내겠다는 메시지를 남겼다. 신서유기2 멤버들은 가장 먼저 돈을 찾기 위해 ATM 기계를 찾았지만 중국어를 해석하지 못해 첫 번째 난관에 부딪쳤다. 계속 틀린 비밀번호를 누른 멤버들의 카드는 결국 정지당했다. 결국 신서유기2 멤버들은 없는 돈으로 숙소까지 찾아가야 했고, 대중교통을 이용하기 위해 중국 현지 사람들에게 도움을 청하기 시작했다. 지하철을 타고 이동하기로 한 신서유기2 멤버들은 현지 사람들과 소소한 대화를 나누며 숙소로 이동했다. 이때 드라마 ‘별에서 온 그대’를 본 중국 팬들에 의해 안재현의 인기가 증명되기도 했다. 사진= ‘신서유기2’ 캡처 이보희 기자 boh2@seoul.co.kr

오는 7월 말부터 인터넷·모바일뱅킹으로 계좌이체를 할 때 다른 인증수단이 있으면 보안카드나 일회용 비밀번호 생성기(OTP)를 꼭 쓰지 않아도 된다. 금융위원회는 전자금융거래를 할 때 일회용 비밀번호 사용 의무를 폐지하는 내용의 전자금융거래법 시행령 및 감독규정 개정안을 입법·변경예고한다고 18일 밝혔다. 앞서 지난해 3월에는 전자금융거래 시 공인인증서 사용 의무를 폐지했다. 앞으로는 금융사가 보안성과 편의성을 고려한 다양한 인증방법을 사용할 수 있게 되면서 휴대전화 인증이나 지문 인식과 같은 바이오인증 등 새로운 기술도 적용시킬 수 있다. 전자지급결제대행업, 결제대금예치업 등 소규모 전자금융업의 등록 자본금 요건은 3억원으로 정해 초기 핀테크 업체들이 활발하게 진출할 수 있도록 했다. 신융아 기자 yashin@seoul.co.kr

스마트폰이 보편화되면서 모바일 뱅킹 애플리케이션 사용자도 급증하는 가운데, 모바일 뱅킹 앱 비밀번호를 더욱 쉽게 ‘기억’할 수 있는 기술이 개발됐다. 영국 금융업체인 ‘네이션와이드’의 조사에 따르면 영국 스마트폰 사용자는 한 사람 당 평균 6개의 각기 다른 비밀번호를 사용하며, 4명 중 1명은 무려 10개가 넘는 비밀번호를 사용하고 이를 기억하는 것으로 조사됐다. 사용하는 비밀번호의 개수가 많은 이유는 보안상 동일한 비밀번호를 일정기간 사용한 뒤에는 이를 변경해야 하는 원칙 때문이며, 사용하는 비밀번호 개수가 많을수록 사용자는 더 큰 불편함을 느낄 수밖에 없다. 이러한 불편함을 해소하기 위해 네이션와이드가 애플리케이션 개발 전문업체와 합작해 만든 이 기술은 다름 아닌 ‘생체 비밀번호’다. 기존에 사용되던 숫자 비밀번호뿐만 아니라 음성인식, 지문인식 등을 벗어나 사용자가 스마트폰 사용할 때 나타나는 주요 특징 등을 비밀번호로 삼는 것이다. 예컨대 스마트폰을 잡는 방식이나 스마트폰의 화면을 넘기는 방식 등 사용자마다 각기 다른 스마트폰 사용습관을 비밀번호로 지정하는 것이다. 현재 공개된 버전은 프로토타입이며, 네이션와이드는 이 기술을 이용해 더욱 강화된 보안 뱅킹을 선보일 수 있을 것이라고 기대했다. 네이션와이드 관계자는 “설문조사결과 10명 중 7명은 각기 다른 숫자 비밀번호를 기억하는 것을 매우 어려워한다고 답했으며, 한 달에 평균 2번은 사이트의 ‘비밀번호 찾기’ 서비스를 이용하는 것으로 나타났다”면서 “비밀번호를 주기적으로 바꿔주는 것이 매우 중요하다는 것을 알고 있지만, ‘디지털 세상’에서 그 많은 비밀번호를 기억하기란 쉽지 않다”고 설명했다. 이어 “우리가 공개한 기술이 대중화 된다면 사람들은 더욱 안전하게 자신의 정보를 보호할 수 있을 것”이라고 덧붙였다. 송혜민 기자 huimin0217@seoul.co.kr

온라인 금융거래가 늘면서 기억하기 힘든 아이디 및 비밀번호 혹은 계좌 등의 정보를 기입시 '자동로그인' 또는 ‘자동완성’ 기능을 사용하는 사람이 많다. 최근 이러한 습관이 개인정보 유출의 위험을 급격하게 높인다는 지적이 나왔다. 영국의 컴퓨터 보안 전문업체인 불가드(BullGuard)가 태블릿PC와 스마트폰을 사용하는 영국 성인 2000명을 대상으로 한 조사에 따르면, 사용자의 3분의 1은 모바일 전자상거래 이용시 자신의 은행계좌 번호 전체를 미리 저장해두고 사용하는 것으로 나타났다. 또 사용자의 3분의 2는 각종 전자상거래 사이트에 로그인 할 때 ‘자동 로그인’ 기능을 이용하는 것으로 조사됐다. 보안업체 전문가들은 세계 최대 경매사이트인 이베이나 아마존 등 다수의 사람들이 이용하는 이러한 사이트에 개인 정보를 저장해 두는 습관 또는 자동 로그인 기능을 이용하는 습관이 스마트폰이나 태블릿PC를 분실했을 때 개인정보유출의 피해를 높일 수 있다고 경고했다. 뿐만 아니라 사용자의 절반 이하가 자신의 스마트기기에 비밀번호를 지정하지 않은 채 사용한다고 밝혔으며, 이는 곧 누구나 매우 손쉽게 개인정보를 훔쳐갈 수 있는 여지가 될 수 있다고 강조했다. 불가드의 마케팅 부서 최고 책임자인 캠 리는 데일리메일과 한 인터뷰에서 “이베이나 아마존 등 전자상거래 관련 사이트 이용비율이 높아지면서 사용자가 기억해야 할 비밀번호나 입력해야 할 카드·계좌 정보가 많아졌다. 사용자들은 불편함을 피하기 위해 자동완성 기능 또는 자주쓰는 카드·계좌의 정보 저장 기능을 이용하는 경우가 많아졌다”고 설명했다. 이어 “하지만 이러한 습관은 사용자의 스마트폰과 태블릿PC가 해커의 손에 들어갔을 때 엄청난 위험을 초래할 수 있다. 분실 또는 도난 시 이러한 기능을 사용한 사람들은 생각보다 더 큰 피해를 입을 수 있다”고 경고했다. 조사 결과 패스워드 자동완성 기능 또는 ‘로그인 상태로 머물기’ 기능을 가장 많이 사용하는 사이트는 페이스북이었다. 페이스북 사용자의 60%가 위의 기능을 사용했으며, 이메일(35%), 아마존(34%), 트위터(27%), 이베이(20%) 사이트가 뒤를 이었다. 아마존 사용자의 64%는 지불수단 카드의 정보를 해당 사이트 안에 저장한 채 사용한다고 밝혔고, 페이팔(33%), 이베이(21%), 테스코(11%) 사이트 등이 뒤를 이었다. 전문가들은 개인정보 유출의 위험을 낮추기 위해서는 카드·계좌번호를 저장한 사이트들의 비밀번호를 각각 기억하고, 자동로그인 기능을 사용하지 않는 것이 좋다고 권장했다. 　 송혜민 기자 huimin0217@seoul.co.kr

전문가들 “애플에 푼 방법 알려야” 미국 연방수사국(FBI)이 샌버너디노 테러범의 아이폰 5c를 잠금해제하는 데 전문 해커들을 고용한 것으로 알려졌다. 워싱턴포스트(WP)는 12일(현지시간) “FBI가 비밀번호 입력 오류 시 자료를 삭제하는 아이폰의 보안 기능을 무력화해 잠금을 해제했으며 이와 관련해 핵심 정보를 얻으려고 해커에게 돈을 줬다”고 보도했다. 이들 해커는 특정 소프트웨어의 취약점을 찾아내 정부나 기업 등에 관련 정보를 팔아 이득을 챙기는 부류로 ‘회색박쥐’로 불린다. WP에 따르면 FBI는 해커들로부터 입수한 정보를 이용해 아이폰 비밀번호를 10번 이상 잘못 입력하면 자료가 자동으로 삭제되는 보안 기능을 무력화했다. 이후 여러 번호를 조합해 단 26분 만에 네 자릿수의 비밀번호를 풀어내는 데 성공했다. 앞서 FBI가 이스라엘 보안업체 셀레브라이트의 협조를 얻었다는 보도가 있었으나 WP는 “테러범의 아이폰을 푸는 데 회색박쥐 해커가 1명 이상 관련돼 있다”고 전했다. FBI가 이번에 사용한 아이폰 잠금해제 수법은 오래 이용되지 못할 것이라고 WP는 지적했다. 그럼에도 아이폰 보안 강화를 위해 해당 정보를 애플에 제공해야 한다는 전문가들의 요구가 높아지고 있다. 애플도 이에 대한 기대로 정부를 고소하겠다는 방침을 철회한 상태다. 미 행정부는 정보 공개에 긍정적이나 FBI 등 수사기관은 반발하는 상황이어서 백악관 차원의 논의를 거쳐 결정될 것이라고 WP는 설명했다. 박기석 기자 kisukpark@seoul.co.kr

스마트폰이 보편화되면서 모바일 뱅킹 애플리케이션 사용자도 급증하는 가운데, 모바일 뱅킹 앱 비밀번호를 더욱 쉽게 ‘기억’할 수 있는 기술이 개발됐다. 영국 금융업체인 ‘네이션와이드’의 조사에 따르면 영국 스마트폰 사용자는 한 사람 당 평균 6개의 각기 다른 비밀번호를 사용하며, 4명 중 1명은 무려 10개가 넘는 비밀번호를 사용하고 이를 기억하는 것으로 조사됐다. 사용하는 비밀번호의 개수가 많은 이유는 보안상 동일한 비밀번호를 일정기간 사용한 뒤에는 이를 변경해야 하는 원칙 때문이며, 사용하는 비밀번호 개수가 많을수록 사용자는 더 큰 불편함을 느낄 수밖에 없다. 이러한 불편함을 해소하기 위해 네이션와이드가 애플리케이션 개발 전문업체와 합작해 만든 이 기술은 다름 아닌 ‘생체 비밀번호’다. 기존에 사용되던 숫자 비밀번호뿐만 아니라 음성인식, 지문인식 등을 벗어나 사용자가 스마트폰 사용할 때 나타나는 주요 특징 등을 비밀번호로 삼는 것이다. 예컨대 스마트폰을 잡는 방식이나 스마트폰의 화면을 넘기는 방식 등 사용자마다 각기 다른 스마트폰 사용습관을 비밀번호로 지정하는 것이다. 현재 공개된 버전은 프로토타입이며, 네이션와이드는 이 기술을 이용해 더욱 강화된 보안 뱅킹을 선보일 수 있을 것이라고 기대했다. 네이션와이드 관계자는 “설문조사결과 10명 중 7명은 각기 다른 숫자 비밀번호를 기억하는 것을 매우 어려워한다고 답했으며, 한 달에 평균 2번은 사이트의 ‘비밀번호 찾기’ 서비스를 이용하는 것으로 나타났다”면서 “비밀번호를 주기적으로 바꿔주는 것이 매우 중요하다는 것을 알고 있지만, ‘디지털 세상’에서 그 많은 비밀번호를 기억하기란 쉽지 않다”고 설명했다. 이어 “우리가 공개한 기술이 대중화 된다면 사람들은 더욱 안전하게 자신의 정보를 보호할 수 있을 것”이라고 덧붙였다. 송혜민 기자 huimin0217@seoul.co.kr

전북 완주 사찰의 한 주지 스님이 박근혜 대통령 경비를 서던 현지 경찰관의 기지로 전화금융사기(보이스피싱)를 모면했다. 주지 이모(86)씨는 지난 8일 오전 8시쯤 “은행계좌 비밀번호가 유출됐으니 예금을 모두 찾아 전주의 한 농협으로 나오라”는 전화를 받았다. 이씨는 부랴부랴 인근 농협으로 달려가 8000여만원을 인출했다. 농협 직원이 의심스러워 돈의 용도를 물었으나 이씨는 “자식 사업자금으로 주려고 한다”며 얼버무렸다. 이씨는 인출한 돈을 007가방에 담아 보이스피싱 조직원의 말대로 전주의 한 농협으로 이동했다. 이때 농협 밖에서 대통령 경호·경비 근무 중이던 경찰은 007가방을 든 이씨를 수상하게 여겨 이씨에게 다가갔다. 이날은 박 대통령이 전북창조경제혁신센터를 방문하던 날로 인근 농협 주변 경계도 삼엄했다. 경찰은 이씨의 통화내용을 듣고 보이스피싱 피해자라는 사실을 직감하고 “약속장소를 정해서 만나자고 해라”는 글을 종이에 적어 이씨에게 건넸다. 이씨는 경찰의 지시에 따라 조직원에게 한 대형마트 사물함에 8000만원을 넣어두기로 했다. 이어 이씨는 인출한 8000여만원은 농협에 다시 입금하고, 빈 007가방을 대형마트 사물함에 넣어뒀다. 보이스피싱 총책인 중국인 리모(30)씨는 잠시 뒤 약속장소인 대형마트에 나타나 사물함에서 가방을 빼가려다가 현장에서 경찰에 붙잡혔다. 전북 전주덕진경찰서는 11일 절도 미수 혐의로 리씨를 구속했다. 전주 임송학 기자 shlim@seoul.co.kr

인사혁신처가 10일 정부서울청사에서 세종시 세종미디어프라자로 이전하는 과정에 포착된 집기류에 간부 공무원들의 부서별 직책과 서명, 사진이 그대로 노출돼 있다. 인사처는 최근 부서 출입문 옆에 도어록 비밀번호를 적어 놔 공무원시험 준비생 송모(26)씨가 손쉽게 성적 조작을 할 수 있게 만들었다는 비판을 받고 있다. 세종 연합뉴스

인사처 “수사 결과 나오면 공식 대응” 직원들은 전국 내려가 시험장소 점검 공시생의 무단 침입으로 보안이 뚫린 인사혁신처가 거짓 해명 논란에 휩싸여 전전긍긍하고 있다. 특히 9일에는 역대 최다 인원인 22만여명이 응시하는 국가직 9급 시험을 치르는 데다, 이번 주말 정부세종청사 이전까지 겹친 상황이다. 조성제 인사처 채용관리과 과장은 8일 “시험과 이사 준비 탓에 정신이 없는 시기인데, 이번 사건까지 겹치면서 직원들이 전부 진이 빠졌다”며 곤혹스러워했다. 경찰 중간수사 결과가 발표된 전날 인사처는 심야 내부 회의를 하며 대책을 논의했다. 하지만 뚜렷한 결론을 내지 못한 채 이날 오전까지도 대응 방침을 고심했다. 인사처 관계자는 “공식 대응은 수사 결과가 나온 이후에나 할 것”이라며 “앞서 경찰에 수사의뢰서를 제출할 때(지난 1일)와 공식 브리핑을 할 때(지난 6일) 도어록 옆 벽면에 비밀번호가 적혀 있었다는 사실을 알리지 않은 것이 사건 은폐 의도로 해석될 줄은 미처 몰랐다”며 “수사를 통해 밝혀질 사안이라고 판단해 언급하지 않았던 것”이라고 해명했다. 지난 6일 브리핑에 앞서 직원들의 개인용컴퓨터(PC) 관리 실태를 제대로 파악하지 않은 점에 대해서는 “미처 확인하지 못했다”고 했다. 사안의 중대성을 제대로 인식하지 못했다는 얘기다. 인사처 공무원들은 이날 거의 자리를 비웠다. 9일 전국 17개 시·도 306개 시험장에서 역대 최다 인원인 22만여명이 응시하는 국가직 9급 시험을 준비하기 위해서다. 이날 전국 각지로 내려가 시험장소를 점검하고 9일 시험을 진행하는 인원은 주무부처인 인사처를 비롯해 중앙·지방직 공무원 2만 2568명이다. 조 과장은 “올해 초부터 세종청사 이전을 앞두고 9급 시험 답안지 관리 보안 문제로 골머리를 앓았다”며 “답안지를 관리할 마땅한 장소도 쉽게 구해지지 않았다”고 말했다. 한편 이번 사건과 관련해 전날부터 시작된 총리실 감찰에서는 정부서울청사 관리를 총괄하는 정부서울청사관리소 관리과 공무원들이 가장 먼저 조사를 받았다. 향후 행자부 감사관실은 총리실 감찰 결과를 받아 보완이 필요하면 추가 조사한 뒤, 이번 사건에 책임이 있는 5급이상 공무원에 대해서는 인사처 중앙징계위원회에 징계를 요구하게 된다. 6급 이하는 행자부 징계위원회에 회부된다. 최훈진 기자 choigiza@seoul.co.kr

정부서울청사가 공시생 한 명에게 허무하게 뚫린 사건은 갈수록 가관이다. 공무원들의 보안의식이 얼마나 허술한지 우스우면서도 웃지 못할 사실들이 드러나고 있다. 이 건물에선 불과 4년 전 한 남성이 침입해 18층에서 불을 지르고 투신하는 초유의 사건이 발생했다. 당시 정부는 부랴부랴 고가의 첨단 보안장치를 설치하는 등 보안 강화에 나섰지만, 정작 중요한 공무원의 보안의식은 전혀 달라지지 않았다. 행정자치부와 경찰청 등에 따르면 공시생 송모씨는 지난 2월 28일 이후 수시로 청사에 드나들면서 단 한 번도 제지받지 않았다. 결국 인사혁신처 채용관리과 사무실에 버젓이 들어가 컴퓨터로 점수를 조작하는 범행을 저지를 수 있었다. 정부청사의 보안이 어떻게 이렇게 엉망인지 한숨이 절로 나온다. 침입자는 청사의 첫 관문인 정문이나 후문에선 훔친 신분증을 내밀어 무사통과했다. 얼굴과 신분증을 대조하지 않았기 때문이다. 본인 확인은 보안검색대 통과 때도 없었다. 건물 엘리베이터로 통하는 스피드게이트도 허술하긴 마찬가지였다. 스피드게이트는 방화 사건 이후 설치한 첨단 보안장치로, 고가의 화상인식 시스템까지 갖췄다. 그러나 방호원 누구도 송씨가 들어갈 때 그의 얼굴과 스피드게이트 상단에 큼지막하게 뜬 신분증 주인의 얼굴을 대조하지 않았다. 범인이 훔친 신분증 하나에 보안 3단계가 허무하게 뚫린 것이다. 범인이 사무실에 들어가는 과정은 더 황당했다. 출입문에 도어록 비밀번호가 적혀 있었다. 청소원이나 음료 배달원 등이 쉽게 들어올 수 있도록 누군가 적어 놓은 것이다. 만약 1~3단계 보안시설 방호원 중 단 한 명이라도 범인의 얼굴과 신분증 사진을 확인했다면 범행은 불가능했다. 비밀번호를 적어 놓은 ‘도우미’만 없었어도 쉽지 않았을 것이다. 행정자치부는 이번 사건 후 지문인식 시스템 도입을 검토하겠다고 밝혔다. 그러나 화상인식 시스템이 뚫린 데서 보듯 문제는 보안시설이 아니라 공무원들의 보안의식이다. 정부는 테러 방지를 위한 보안 강화를 그토록 강조하면서도 정작 공무원들의 보안 교육엔 태만했다고 지적하지 않을 수 없다. 이번 사건을 거울삼아 공무원들의 보안의식부터 바꿔야 한다. 또 범행을 사실상 눈감아 준 것이나 다름없는 관계자들은 물론 이들을 지휘 감독하는 고위층까지 엄중하게 책임을 물어야 한다.

행자부 “송씨 침입 사무실 지워져 있었다” 인사처 “경찰 조사 때 진술… 은폐 아니다” 송모(26)씨의 무단 침입을 가능하게 한 ‘도어록 옆 비밀번호’를 놓고 부처 간 엇갈린 입장을 보이고 있다. 행정자치부 정부청사관리소 관계자는 7일 “지난 1일 오후 3시쯤 청소 담당 직원들에게 청사 전체 사무실 도어록 옆 비밀번호를 모두 지우도록 지시했다”고 말했다. 하지만 송씨가 침입한 인사혁신처 사무실에는 이미 비밀번호가 지워지고 없었다는 게 청사관리소 담당 공무원의 주장이다. 이 관계자는 “인사처가 1일 오전 청와대 보고에서 비밀번호는 청소 담당 직원들이 적어 놓았다고 했기 때문에 실제로 그런 관행이 있는지 확인한 후 지시한 것”이라고 설명했다. 경찰 역시 사건 현장에는 비밀번호가 지워져 있었다고 밝혔다. 결국 지난달 30일 가장 먼저 송씨의 침입을 인지한 인사처가 수사 의뢰 전 중요한 정황 단서인 비밀번호를 지웠다는 추론이 가능하다. 하지만 인사처는 비밀번호를 지우라고 지시한 주체가 누구이며, 언제, 무슨 이유로 이를 지운 것인지 공식 해명하지 않고 있다. 그러면서 사건 은폐 의혹에 대해선 부인하고 있다. 인사처 관계자는 “수사 의뢰를 한 1일 오후 담당 사무관과 주무관이 경찰에 출석해 조사를 받으면서 벽면에 비밀번호가 있다고 진술했다”며 “은폐 의도가 있었다면 그렇게 진술하지 않았을 것”이라고 반박했다. 하지만 경찰 조사에서는 사건수사 의뢰 전 비밀번호를 지운 사실은 알리지 않았던 것으로 확인됐다. 이 같은 논란은 향후 수사 과정에서 정부 부처의 진상 은폐·축소 의혹으로 이어질 수 있어 파장이 예상된다. 최훈진 기자 choigiza@seoul.co.kr

공시생 단독 범행… 내주 檢 송치 공무원시험 합격자 명단 조작 사건과 관련해 이 업무를 담당하는 인사혁신처의 채용 담당자가 PC에 ‘시모스(CMOS) 암호’를 설정하지 않았던 것으로 확인됐다. 또 사무실 출입문 옆 벽면에는 비밀번호가 적혀 있었다. 범행을 저지른 송모(26)씨가 쉽게 사무실에 들어가 PC 안의 합격자 명단을 조작할 수 있었던 이유다. 이 사건을 수사 중인 경찰청 특수수사과 관계자는 7일 “인사처 채용 담당자의 PC를 조사한 결과 시모스 암호와 합격자 문서 비밀번호가 설정돼 있지 않았다”며 “송씨가 다른 프로그램으로 윈도 운영체제 암호만 풀고도 합격자 명단을 조작할 수 있었던 이유”라고 밝혔다. 국가정보원의 ‘공무원 PC 보안 지침’에 따르면 ▲부팅 단계 시모스 암호 ▲윈도 운영체제 암호 ▲중요 문서 암호를 모두 설정하게 돼 있다. 경찰 조사 결과 송씨는 총 5차례에 걸쳐 청사에 무단 진입하면서 모두 다른 방법을 사용한 것으로 드러났다. 첫 번째 진입이었던 지난 2월 28일에는 송씨를 의경으로 착각한 청사 경비원이 출입을 허가해 준 것으로 확인됐다. 이때 체력단련실 라커룸에 들어가 공무원증을 훔쳤다. 3월 6일에는 훔친 공무원증으로 청사 정문을 통과했지만 비밀번호를 몰라 해당 사무실에는 못 들어갔다. 하지만 3월 24일 출입문 벽면에 비밀번호가 쓰여 있는 것을 발견해 진입에 성공했다. 경찰은 “새벽에 청소하는 용역직들이 사무실 비밀번호를 모두 외우기 힘들어 편의상 적어 둔 것으로 조사됐다”고 말했다. 이후 송씨는 인터넷 검색을 통해 윈도 운영체제의 비밀번호 해제 방법을 알아내 지난달 26일 인사처 담당 사무관과 주무관 PC에 접속하는 데 성공했다. 그는 자신의 국가공무원 지역인재 7급 필기시험(PSAT) 점수를 고치고 합격자 명단에 자신의 이름을 넣었다. 경찰 관계자는 “송씨가 준비했던 USB를 PC 본체에 꽂고 전원을 켠 뒤 다시 전원을 껐다 켜자 윈도 운영체제와 화면보호기 암호가 무력화됐다”고 설명했다. 송씨는 지난 1일 자신의 범행이 들켰을까 걱정해 해당 사무실을 다시 찾기도 했다. 경찰은 이번 사건을 송씨의 단독 범행으로 결론짓고 다음주 초 검찰에 송치할 예정이다. 통화 기록 수사에서 특이한 점이 없었고 청사에 근무하는 지인도 없었다고 경찰은 밝혔다. 경찰은 향후 정부서울청사 전체의 보안 문제를 먼저 수사하고 인사처에 대한 수사에 집중할 계획이다. 이민영 기자 min@seoul.co.kr

관리 편의 위해 공공연히 통용 사건 터지자 비번 서둘러 지워 청소 직원 관리도 용역에 의존 “보통 사무실 도어록(출입문) 옆 벽면을 자세히 들여다보면 청소를 담당하시는 아주머니들에게 잘 보일 만한 높이에 연필로 비밀번호를 적어 놓은 게 있어요. 이번 일로 어젯밤에 벽면에 적어 놨던 숫자들을 지웠는데, 워낙 작게 써 놓다 보니 ‘이런 게 있었느냐’고 묻는 직원들도 있더라고요.” 7일 서울 종로구 세종로 정부서울청사 입주 기관인 한 부처 관계자에 따르면 사무실 도어록 비밀번호는 공무원시험 합격자 명단 조작 사건이 알려지기 전까지 사실상 공공연하게 통용되고 있었다. 이 부처 공무원들은 송모(26)씨가 도어록을 열고 들어간 경위에 큰 관심이 쏠리자 인사혁신처와 똑같이 해 오던 관행을 숨기고자 벽면에 적어 놨던 도어록 비밀번호를 전부 지웠다. 청사에 입주한 각 부처 공무원들의 말을 종합하면 공무원들이 출근하기 전 청소를 마쳐야 하는 청소 담당 직원들은 도어록 옆 벽면에 적힌 비밀번호를 이용해 사무실을 드나든 것으로 드러났다. 실제로 경찰 조사 결과 송씨가 벽면에 적힌 도어록 비밀번호를 가장 먼저 확인한 곳은 16층 채용관리과가 아닌 다른 층 사무실이었다. 하지만 인사처는 지난 6일 “도어록 비밀번호는 해당 사무실 직원들만 아는데 송씨가 어떻게 도어록을 열고 들어갔는지 의문”이라며 시치미를 뗐다. 실제로 이날 정부서울청사 건물 일부엔 도어록 비밀번호가 지워진 흔적이 남아 있었다. 행정자치부 관계자는 “청소 직원들의 편의를 위해 그렇게 해 왔다”고 말했다. 국가중요시설 ‘가’급(최상급)으로 분류되는 정부서울청사의 보안보다 직원들의 편의를 우선시해 온 셈이다. 청사관리소가 청소 담당 직원들의 업무 매뉴얼을 직접 관리하지 않고 있는 것에서도 허술한 보안 의식을 엿볼 수 있다. 정부서울청사의 청소 용역은 주식회사 영창이 맡고 있다. 조소연 서울청사관리소 소장은 “청사 자체 매뉴얼은 없고 용역 회사에서 자체 매뉴얼을 가지고 있다”고 말했다. 또 개인용 컴퓨터(PC)에 3중 암호를 사용하지 않는 행태도 이번 사건을 통해 드러났다. 정부서울청사에서 근무하는 한 공무원은 “나를 비롯해 ‘시모스’(CMOS) 암호를 설정하지 않는 경우가 대부분이다. 대신 중요한 문서에 대해서는 각자 알아서 암호를 거는 편”이라고 말했다. 인사처 정보화담당관실 관계자는 “윈도 로그인을 할 때 뜨는 암호는 누구나 사용하지만 컴퓨터 부팅 단계에서 사용하는 시모스 암호는 사용자가 직접 설정해야 하기 때문에 상당수가 사용하지 않고 있다”며 “암호를 걸어야 하는 문서의 중요도에 대한 판단은 단말기(컴퓨터) 사용자 개개인에게 책임이 있으며 암호화하지 않았다고 해서 시정 조치를 요구받거나 하지는 않는다”고 말했다. 한편, 정부는 이날 정부서울청사에서 청사 보안 강화 태스크포스(TF) 첫 회의를 열었다. 행자부, 인사처, 경찰청 등의 정부 부처와 민간 전문가들이 참여했다. TF는 청사의 보안 취약점을 분석하고 이를 개선하는 종합 대책을 다음달까지 마련할 계획이다. 신분증 대신 출입자 지문 대조 등과 같은 생체 인식 시스템을 도입하는 방안도 거론된다. 최훈진 기자 choigiza@seoul.co.kr

실·국 모든 과 한 사무실 사용 출입문 중 하나만 열려도 보안 구멍 7일 오전 8시 30분 해양수산부 등이 입주해 있는 정부세종청사 5동. 건물 진입을 위한 ‘스피드게이트’ 앞에서 평상시에 안 하던 가방 검색이 이뤄졌다. 하지만 그뿐이었다. 공항처럼 사람도 보안검색대를 통과해야 하고 ‘삐 소리’가 나면 소지품 검사도 진행해야 했지만 모두 생략됐다. 가방만 보안검색대에 올려놓고 모두 검색대를 돌아서 지나갔다. 오후 2시. 이때도 달라진 건 없었다. 정부청사관리소 방호안전과 관계자는 “원래는 공항 검색대처럼 꼼꼼하게 해야 하는데 안전보다 불편함 때문에 생략한 거 같다”고 말했다. 정부서울청사가 일개 ‘공시생’에게 뚫리면서 정부청사의 안전과 보안에 비상이 걸렸지만, 세종청사는 여전히 무감각했다. 이날 아침부터 청사 경계령이 내려졌지만 습관이 몸에 배어 있다 보니 곳곳에서 ‘안전·보안 매뉴얼’과 다른 광경이 포착됐다. 근무 시간일지라도 보안상 사무실 문을 닫아 놓는 게 맞지만 대부분 활짝 열어 놓았다. 불편하다는 게 이유였다. 심지어 사람이 없는 점심때도 사무실을 열어 놓은 곳이 적지 않았다. 세종청사는 각 과가 별도 공간으로 분리돼 있지 않다. 같은 실·국에 소속된 모든 과는 넓은 사무실을 함께 쓴다. 보통 1개 실·국 사무실에는 문이 3~4개 있는데, 문을 1개만 열어 놓아도 모든 과를 다 돌아다닐 수 있다. 낮 12시 20~30분 세종청사 한 부처 3~7층 사무실을 모두 확인한 결과, 각 층 사무실의 80% 이상이 불이 꺼진 채 활짝 열려 있었다. 사무실에 불쑥 들어가 봤지만 제지하는 직원은커녕 책상에 앉은 직원조차 잘 볼 수 없었다. 어두운 탓에 사무실 책상을 뒤지더라도 눈에 잘 띄지 않을 것 같았다. 사무 공간에는 프라이버시 문제로 폐쇄회로(CC) TV도 없다. 끝에서 끝까지 빠른 걸음으로 걸었을 때 2분 정도 걸리는 큰 사무실에 직원은 고작 2~3명뿐이었다. 방호실 관계자는 “점심 시간 절전을 위해 소등하는 것은 권장 사항이고 사무실 문을 닫아 놓는 것은 의무 사항”이라면서 “직원이 많으면 문제가 없겠지만 점심 시간 때 몇몇 직원만 남은 상태에서 불까지 꺼 놓고 사무실 문을 열어 놓으면 보안에 취약할 수밖에 없다”고 말했다. 사무실 문을 항상 열어 놓다 보니 세종청사에서는 전자잠금장치(도어록)가 큰 의미가 없다. 각 동 정문과 건물 스피드게이트만 통과하면 사무실 출입에 전혀 제한이 없어서다. 사무실 청소를 담당하는 미화원도 굳이 비밀번호를 누를 필요 없이 언제 어디서건 들어올 수 있다. 미화원들은 서울청사에서 발생한 도어록 옆에 붙인 비밀번호를 의식한 듯 “청소하는 구역 사무실의 비밀번호를 다 외우고 있다”고 했다 정문과 스피드게이트를 통과할 수 있는 세종청사 출입증 관리도 허술해 보인다. 정부청사관리소 관계자는 “출입증 분실 신고는 각 부처 인사과에서 취합한다”면서 “(우리는) 관련 통계를 알 수 없다”고 밝혔다. 세종 김경두 기자 golders@seoul.co.kr 세종 이현정 기자 hjlee@seoul.co.kr

송씨, 2~3년간 공무원시험 낙방 “꼭 합격 하고 싶어 범행”… 구속 인사혁신처 사무실에 몰래 들어가 합격자 명단을 조작한 사건에 대해 수사하는 경찰이 공무원 시험 응시생 송모(26)씨의 ‘단독 범행’으로 가닥을 잡았다. 정부서울청사에 침입하면서부터 시험관리담당자 PC를 열어 조작하는 모든 과정을 송씨가 혼자서 기획·실행했다는 것이다. 허술한 청사 보안이 송씨의 범행을 도왔다. 이 사건을 수사하는 경찰청 관계자는 6일 “사무실의 도어록 비밀번호를 알려준 내부 조력자가 있을 가능성에 대해 수사했지만 송씨의 통화내역과 정부청사 폐쇄회로(CC)TV를 검토한 결과 별다른 특이점이 없었다”고 밝혔다. 경찰 조사 결과 송씨의 범행은 초기에는 우발적이었다. ‘공무원 필기시험 문제지를 훔치고 싶다’는 생각에 청사 주변을 배회하다가 보안이 허술한 틈을 타 출입문을 통과해 청사에 진입했다. 하지만 예상 외로 쉽게 청사에 진입하게 되자 본격적으로 범행 계획을 세웠다. 공무원 신분증이 있어야 스피드게이트를 통과할 수 있다는 것과, 체력단련실은 신분증이 없어도 들어갈 수 있다는 것을 알게 됐다. 이후 체력단련실 라커에서 공무원 신분증을 훔친 송씨는 인터넷 검색 등을 통해 PC 보안을 해제하는 방법을 연구했다. 경찰은 송씨가 인사처 채용관리과 사무실의 도어록 비밀번호도 스스로 풀어낸 것으로 보고 있다. 경찰 관계자는 “송씨가 총 5차례 사무실에 올라갔는데, 두 번은 실패하고 세 번째부터 들어갔다”며 “여러 번호를 넣어 보며 비밀번호를 알아낸 것으로 추측된다”고 말했다. 송씨는 지난달 26일 오후 9시쯤 정부서울청사 16층 인사처 채용관리과 사무실에 들어가 시험 담당자의 컴퓨터에 접속한 뒤 필기시험 성적을 조작하고 합격자 명단에 자신의 이름을 넣은 혐의를 받고 있다. 제주도의 한 대학 졸업 예정자인 송씨는 지난달 5일 국가공무원 지역인재 7급 필기시험(PSAT)에 응시했다. 송씨는 “최근 2~3년간 계속 공무원 시험에서 떨어져 많이 지쳤고, 반드시 합격하고 싶은 마음에 범행을 저질렀다”고 진술했다. 이날 서울중앙지법 성창호 영장전담 부장판사는 송씨의 범죄사실이 소명되고 구속의 사유와 필요성이 인정된다며 경찰이 공전자기록등변작의 혐의로 신청한 구속영장을 발부했다. 이민영 기자 min@seoul.co.kr

지역인재 7급 합격자 명단을 조작한 송모(26)씨가 무려 나흘간 정부서울청사를 제집처럼 드나들며 채용 담당 공무원의 개인용 컴퓨터(PC)에 3차례나 접속해 9시간가량 작업한 것으로 드러났다. ●공무원 PC 암호 해제 어떻게 송씨가 최초로 PC에 접속한 지난달 24일 밤 서울 세종로 정부서울청사. 앞서 3차례 방문을 통해 공무원 출입증을 손에 넣은 송씨는 오후 11시 20분쯤 태연하게 인사혁신처 채용관리과가 있는 16층으로 올라갔다. 앞서 송씨는 이날 오후 8시쯤부터 16층을 배회하다 당시 야근 중이던 공무원이 “무엇 때문에 오셨느냐”고 묻자, “OO과에 근무하는데 슬리퍼를 가지러 왔다”는 식으로 해명하고 급히 피한 뒤 3시간을 훨씬 넘겨 다시 사무실을 찾아갔다. 당시 전자 도어록이 설치된 사무실 출입문은 굳게 닫혀 있었다. 하지만 송씨는 비밀번호를 뚫고 지역인재 7급 채용 담당 주무관의 자리를 찾아 11시 35분부터 58분까지 23분간 개인용 PC에 접속했다. 인사처 관계자는 “도어록 비밀번호는 해당 사무실에서 근무하는 공무원들만 알고 있는데, 어떻게 열고 들어갔는지 의문”이라고 전했다. 채용 담당 공무원의 PC 보안 역시 뚫렸다. 정부보안 지침상 공무원 PC는 3단계로 암호를 설정하게 돼 있다. 송씨는 이를 염두에 두고 사전에 리눅스 프로그램을 저장한 휴대용 저장장치(USB)를 챙겨와 컴퓨터에 연결, 담당 공무원 PC의 암호를 무력화한 것으로 보인다고 인사처 관계자는 설명했다. 인사처뿐만 아니라 청사에 입주한 대부분 부처 공무원 PC 역시 같은 방식으로 운영되고 있다는 점을 고려하면 청사 보안망은 언제든지 뚫릴 수 있는 상황이다. 국가직 공무원 채용시험 진행을 총괄하는 채용관리과는 사무실 안에 24시간 운영 중인 폐쇄회로(CC)TV 1대를 설치하고 있으나 외부 침입자를 막는 데는 아무 역할을 하지 못했다. 인사처 관계자는 “1대뿐이라 전체 사무실 공간을 커버하지 못한다”고 말했다. ●9시간 동안 외부인 침입, 아무도 몰라 첫날인 24일은 사전 탐사에 그쳤다. 토요일인 26일 오후 9시쯤 청사를 다시 찾은 송씨는 본격적으로 담당 공무원들의 PC에 접속해 시험 결과를 조작했다. 이틀 전과 같은 방식으로 담당 주무관 PC에 오후 9시 2분 접속한 송씨는 일요일인 다음날 새벽 5시 35분까지 8시간 30분간 마음 놓고 작업했다. 당직 근무를 서는 공무원과 방호관들이 야간에 청사 건물 전체를 순회하지만 송씨의 침입을 알아채지 못했다. 송씨는 이날 PC에 그림파일 형태로 저장된 자신의 답안지 사본을 일일이 수정해 점수를 높였다. 올해 지역인재 7급 1차 필기시험인 공직적격성평가(PSAT)의 과락 점수는 40점으로 송씨는 합격을 위해 자신의 점수를 45점에서 75점으로 30점 높였다. 인사처는 통상 시험 당일 답안지를 별도 서버에 저장한 뒤 외장하드에 백업해 저장한다. 공무원이 응시생 답안지를 확인할 때는 PC에 저장한 사본을 이용한다. 송씨는 주무관 PC에 이어 담당 사무관의 PC까지 열어 답안지 사본을 조작하는 치밀함을 보였다. 결재 문서의 합격자 명단에 자신의 이름을 추가하기도 했다. 인사처 관계자는 “송씨가 작업 후 사무실 앞에 있는 파쇄기를 이용해 출력한 인쇄물들을 없앤 것으로 보인다”고 말했다. 인사처가 이번 사건을 경찰에 수사의뢰한 것은 보안이 뚫린 지 8일 만이었다. 담당 주무관은 25일 자신의 컴퓨터에 누군가 접속했다는 사실조차 인지하지 못했다. 이에 대해 황서종 인사처 차장은 “당시에는 해당 컴퓨터의 암호 체계에 이상이 없었던 것 같다”고 밝혔다. 인사처는 26일 밤부터 27일 새벽까지 2차 침입이 발생하고 하루가 지난 28일에야 외부 침입 흔적을 발견했다. 담당 사무관은 28일 컴퓨터를 부팅하면서 암호를 넣는 창이 뜨지 않자 낌새를 눈치챘으나 다음날 건강검진을 위해 연차를 냈다. 이후 시험 합격자 발표를 앞두고 내부 문서를 비교 대조하는 과정에서 뒤늦게 송씨의 행각을 눈치챘다. 이후 30∼31일 내부 조사를 거쳐 직원 중에 해당 컴퓨터에 접근한 사람이 없다는 사실을 확인한 뒤 외부자 소행이라는 결론을 내리고 1일 수사를 의뢰했다. ●정부, 청사보안강화 TF 가동 정부는 청사보안을 원점에서 분석하는 한편 방호와 당직근무, 정보보안에 과실이 없었는지 관련 부서를 대상으로 감찰에 착수했다. 감찰은 총리실 공직기강부서가 맡았다. 김성렬 행정자치부 차관을 단장으로 하는 청사보안강화TF(태스크포스)를 구성하고 청사보안 전반을 검토하기로 했다. TF에는 행자부, 경찰, 인사처 등 정부 유관기관과 민간 보안전문가가 참여한다. 김 차관은 체력단련실 라커에 잠금장치가 없는 문제점에 대해서도 보완대책을 마련하겠다고 밝혔다. 송씨가 훔친 신분증이 제대로 분실신고 처리됐는지와 관련해 김 차관은 “아직 확인하지 못했다”고 말했다. 정부는 인사처 시험 담당자가 정부의 PC 보안지침을 제대로 이행했는지도 파악 중이다. 이와 관련 황교안 국무총리는 6일 오전 정부서울청사에서 열린 간부회의에서 “국가 핵심시설인 정부청사에 외부인이 무단으로 침입해 범죄행위를 저지른 것은 결코 있을 수 없는 일”이라며 “청사 경비와 방호, 전산장비 보안, 당직근무 등 정부청사의 보안관리 시스템 전반을 원점에서 재검토해 다시는 이런 일이 발생하지 않도록 철저한 보안강화 대책을 마련하라”고 지시했다. 최훈진 기자 choigiza@seoul.co.kr