너무 쉽게 뚫린 인사처 보안, 해킹도 아닌데 털렸다

인사혁신처의 허술한 보안이 다시 한 번 도마에 올랐다. 4일 예정 보다 앞서 5급 공채 합격자들의 수험번호가 담긴 문서가 외부에 통째로 유출된 사건이 실제로는 해킹이 아니라 웹 페이지에 관한 기본적인 지식만 있어도 가능했던 것이라는 사실이 드러났기 때문이다.
대전지방경찰청 사이버수사대는 7일 국가 공무원 시험 합격자 공식 발표에 앞서 사이버국가고시센터 홈페이지에서 합격자 명단 URL을 유출한 혐의로 서울권 공대 대학원생 A 씨(23)를 조사하고 있다고 7일 밝혔다. A씨는 경찰의 IP추적이 시작되자 6일 자수한 것으로 밝혀졌다.
A씨는 특별히 일반인이 알거나 이용하지 못하는 수준의 해킹 수법을 동원하지도 않았다. A씨가 합격자 명단을 유출하는 데 걸린 시간은 불과 15분 안팎이다. 또 홈페이지에 대한 기본적인 지식이 있는 사람이라면 누구나 할 수 있는 간단한 방법이었다. 인사처의 보안이 그만큼 허술했다는 얘기다. 지인의 합격 여부를 알아보려던 A씨는 5급 공채의 경우 통상적으로 합격자 발표 전 날 합격자에게 통지가 간다는 점을 알고 있었다. 이를 토대로 5일 발표에 앞서 4일에 사이버국가고시 홈페이지에 이미 관련 문서가 올라올 것을 예상했다는게 경찰의 설명이다.
과연 A씨의 예상은 적중했다. A씨는 가장 최근에 올라온 외교관 후보자 선발시험 합격자 명단 파일을 열게하는 인터넷주소(URL)가 ‘2’로 끝난다는 것을 확인하고 이 숫자를 하나씩 올려가면서 접속을 시도했다. 결국 A씨가 숫자 ‘6’으로 끝나는 URL을 입력했을 때 합격자들의 수험번호가 들어 있는 문서가 열렸다. 이후 A씨는 이 URL을 인터넷 커뮤니티에 올렸다.
경찰은 인사처가 합격자 파일을 예약 게시하면서 적절한 보안조치를 하지 않은 탓에 유출이 이뤄진 것으로 보고 있다. 누구나 접근 가능한 URL과 웹페이지 정보를 이용해 합격자 명단을 확인한 것으로 해킹도 아니었다는 설명이다. 경찰 관계자는 “적절한 보안조치가 있었다면 A씨가 합격자 명단 파일에 접근하지 못했을 것”이라고 덧붙였다.
[최희석 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]