수능 출제-관리 맡은 교육평가원의 ‘내다버린 보안의식’

규정 어기고… 금지된 개인용 USB 무단 사용 의혹
사실 숨기고… 국정원 실사前 “접속기록 삭제” 지시

한국교육과정평가원이 지난해 9월 국가정보원의 현장실사를 앞두고 미등록 USB사용 기록을 삭제하도록 공지한 문서. 콤퓨터 하드디스크 기록을 삭제하는 방법까지 자세히 알려주소 있다.

대학수학능력시험을 출제하는 한국교육과정평가원이 정보 보안지침을 지키지 않은 데다 지난해 국가정보원 현장실사를 앞두고 위반 사실을 은폐하려 한 의혹이 드러났다.

7일 동아일보가 입수한 자료에 따르면 평가원은 지난해 9월 초 국정원 현장점검에 대비해 휴대용 저장장치(USB) 사용 이력을 삭제하도록 ‘로그아웃클리너(LogoutCleaner)’라는 프로그램을 전 직원에게 배포했다.

평가원 전산정보센터는 당시 프로그램 사용법을 안내하면서 ‘9월 7일로 예정된 국정원 현장실사 전에 반드시 프로그램을 실행해 각 사업단, 팀, 부서 등에서 미등록 USB 사용 기록을 일괄 삭제하라’는 공지까지 띄웠다.

자체 보안규칙에 따르면 평가원은 전산자료가 입력된 보조기억매체에는 별개의 관리번호를 부여해 관리해야 한다. USB를 업무용으로 사용하려면 관리대장에 등록해야 하며 미등록 USB는 원칙적으로 사용할 수 없다는 얘기다.

따라서 평가원이 관련 기록을 삭제하도록 지시하고 이에 필요한 프로그램을 배포한 이유는 개인 USB를 무단으로 사용하는 직원이 적지 않았기 때문으로 추정할 수 있다. 또 보안상 복사해서는 안 되는 정보를 개인 USB에 담아 다녔을 가능성도 배제할 수 없다.

USB를 통한 정보 유출 가능성에 대비해 정부 부처는 국정원이 인증한 USB만을 구매해 일련번호를 매겨 관리하고, ‘보조기억매체 관리 솔루션’을 도입해 운영하고 있다. USB를 기관 서버와 연결해 사용 이력을 서버에 남기고 어떤 자료가 USB를 통해 이동됐는지도 파악하기 위해서다. 정보 유출을 막는 동시에 사고가 나더라도 경로를 파악하기 위한 장치다.

하지만 평가원 측은 “예산 문제 때문에 USB 관리 솔루션을 도입하지 않는 대신 관리대장에 기록하도록 하고 있다”고 설명했다. 직원들이 보안의식 부족이나 부주의로 개인 USB를 사용한다면 이 과정에서 정보가 유출될 수도 있다.

평가원은 초중고교 학업성취도 평가와 수능시험 문제를 출제하고 채점 결과를 분석하는 기관이어서 최악의 경우 자칫 입시 관련 자료가 노출되는 사고로 이어질 수도 있다. 실제로 평가원은 보안 관련 사고로 여러 차례 홍역을 치렀다. 2008년 12월 소속 직원의 e메일이 해킹돼 수능 성적 분석 자료가 사설 입시업체에 넘어갔고, 2009년 9월에는 해킹으로 서버 시스템이 마비됐다.

안철수연구소의 이현수 선임컨설턴트는 “시스템이 갖춰져 있지 않다 보니 습관적으로 미등록 USB를 사용하다가 국정원 조사를 앞두고 기록을 부랴부랴 지운 것으로 보인다”며 “회계부정을 저지르고, 이를 은폐하기 위해 분식회계를 한 것이나 마찬가지”라고 꼬집었다.

강혜승 기자 fineday@donga.com

남윤서 기자 baron@donga.com