개표 시스템 보안관리 미흡… 해커 마음대로 결과값 바꿀 수 있어접속 권한, 계정 관리도 부실… 인터넷 통해 선관위 내부망 침투선거인명부 내용도 조작할 수 있어… 대리투표해도 확인 못해선관위, 해킹 사고 대응 엉망… 동일한 직원 대상으로 연속해 해킹
  • ▲ 10일 선관위 사이버 보안점검 결과에 대해 브리핑하고 있는 백종욱 국정원 3차장. ⓒ국가정보원
    ▲ 10일 선관위 사이버 보안점검 결과에 대해 브리핑하고 있는 백종욱 국정원 3차장. ⓒ국가정보원
    대선과 총선 등 국내 주요 선거를 관리하는 선거관리위원회 시스템에서 해킹 취약점이 다수 발견됐다는 조사 결과가 나왔다. 북한과 중국 해커들이 선관위 내부망에 침투해 투·개표 결과를 조작하거나, 유권자 개인정보를 대량유출할 위험도 있는 것으로 나타났다.

    국가정보원·선관위·한국인터넷진흥원(KISA)은 합동보안점검팀을 구성해 국회 교섭단체 추천 여야 소속 참관인들의 참여하에 지난 7월17일부터 9월22일까지 보안점검을 실시했다. 

    이들 기관은 지난 5월 국회와 언론을 통해 선관위의 북한 해킹 대응 및 정보통신 기반시설 관리가 부실하다는 우려가 제기되자 보안점검을 벌였다. 합동보안점검은 크게 △시스템 취약점 △해킹 대응 실태 △기반시설 보안관리 등 3개 분야로 나누어 진행됐다.

    국정원은 합동보안점검 결과 선관위의 사이버 보안 관리가 부실한 점이 확인됐다고 10일 밝혔다.

    국정원은 "기술적인 모든 가능성을 대상으로 가상의 해커가 선관위 전산망 침투를 시도하는 방식으로 시스템 취약점을 점검했으며, 그 결과 투표 시스템, 개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다"고 설명했다.

    특히 개표 결과가 저장되는 '개표 시스템'의 보안 관리가 미흡한 것으로 드러났다. 해커가 결과값을 마음대로 변경할 수 있었다. 개표 시스템은 안전한 내부망(선거망)에 설치·운영하고 접속 패스워드도 철저하게 관리해야 하지만 선관위가 적절히 조치하지 않았던 것이다.

    투표지분류기에 비인가 USB를 무단연결해 해킹 프로그램을 설치할 수 있었던 것으로도 나타났다. 이를 통해 투표 분류 결과를 바꿀 수 있었다. 투표지분류기에 인터넷 통신이 가능한 무선통신장비도 연결할 수 있었다.

    시스템 관리부문에서도 문제가 여실히 드러났다. '통합선거인명부시스템'에는 인터넷을 통해 선관위 내부망으로 침투할 수 있는 허점이 발견됐다. 접속 권한 및 계정 관리도 부실해 해킹이 가능했던 것으로 파악됐다. 이를 통해 사전투표한 인원을 '투표하지 않은 사람'으로 바꾸거나 사전투표하지 않은 인원을 '투표한 사람'으로 표시할 수 있었다. 

    또한 존재하지 않는 '유령 유권자'도 정상적인 유권자로 등록하는 등 선거인명부 내용을 조작할 수 있었다. 통합선거인명부시스템은 유권자 등록 현황, 투표 여부 등을 관리하는 투표 시스템이다.

    이 외에도 해킹을 통해 사전투표 용지에 날인되는 청인(廳印·선관위 도장)·사인(私印·투표관리관의 도장) 파일을  절취할 수 있었으며, 실제로 사전투표용지와 QR 코드가 동일한 투표지를 무단으로 인쇄할 수 있었다. 

    아울러 일부 위탁선거에 활용되는 '온라인투표시스템'에서는 해커가 대리투표해도 확인되지 않았다. 사전투표소에 설치된 통신장비에 외부 비(非)인가 PC도 연결할 수 있었다. 부재자투표의 한 종류인 '선상투표'의 경우에는 시스템 보안 취약으로 암호 해독이 가능해 특정 유권자의 기표 결과를 열람할 수 있었다.

    시스템 관리에서는 선관위의 망 분리 보안정책이 미흡해 전산망 간 통신이 가능하고 인터넷에서 내부 중요 망(업무망·선거망 등)으로 침입할 수 있었다. 

    나아가 단순한 패스워드를 사용해 해커의 시스템 침투가 용이했다. △내부 포털 접속 패스워드 △역대 선거시 등록한 후보자 명부 △재외선거인명부 등을 암호화하지 않아서 '개인정보 대량유출'에도 노출돼 있었다.
  • ▲ 투표지 분류기 모습. ⓒ뉴데일리DB
    ▲ 투표지 분류기 모습. ⓒ뉴데일리DB
    '북한발 해킹 사고 대응' 관련 사전 인지, 후속 차단 미흡

    선관위는 최근 2년간 국정원에서 통보한 '북한발 해킹 사고'와 관련해서도 적절한 대응을 하지 않았다. 특히 선관위는 해킹 사고를 사전인지조차 하지 못하고 있는 것으로 확인됐다.

    2021년 4월께 선관위 인터넷 PC가 북한 '킴수키(Kimsuky)' 조직의 악성코드에 감염돼 상용 메일함에 저장된 대외비 문건 등 업무자료와 인터넷 PC의 저장 자료가 유출되는 사건이 벌어졌다.

    그러나 선관위는 이메일 해킹 사고의 피해자에게 해당 사실을 통보조차 하지 않았다. 결국 동일한 직원을 대상으로 사고가 연속으로 발생했다.

    합동보안점검팀이 선관위의 31개 평가항목에 점수를 매긴 결과, 100점 만점에 31.5점에 그쳤다. 

    반면, 선관위가 동일 기준으로 실시한 2022년도 '주요정보통신 기반시설 보호대책 이행여부 점검' 자체 평가 결과는 100점이었다. 

    완전히 상반된 결과가 나온 것이다. 선관위는 이에 그치지 않고 정보보호 전문 서비스 기업이 아닌 '무자격 업체'에 일을 맡긴 것으로 드러났다.

    합동보안점검팀은 "국제 해킹 조직들이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있었다"며 "북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황이었다"고 설명했다.

    합동보안점검팀은 이어 "이번 점검은 국가 선거 시스템 전반에 대한 보안 취약점들을 선제 도출하는 계기"라면서 "합동점검팀은 선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응체계와 연동시켜 해킹 대응 역량을 강화하는 방안을 제의했다"고 밝혔다.

    아울러 합동보안점검팀은 "선관위와 함께 해킹에 악용 가능한 망 간 접점, 사용자 인증 절차 우회, 유추할 수 있는 패스워드 등을 즉시 보완했다"며 "최대한 이른 시일 내에 이번 보안점검에서 적출된 다양한 문제점을 조치할 예정"이라고 말했다.

    선관위 관계자는 그러나 "기술적 가능성이 실제로 이어지려면 다수의 내부 조력자가 조직적으로 가담해 시스템 관련 정보를 해커에게 제공하고 위원회 보안 관제 시스템을 불능상태로 만들어야 한다"면서 "수많은 사람의 눈을 피해 조작한 값에 맞춰 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오"라고 항변했다.

    이 관계자는 그러면서 "내부 조력자 가담을 전제한다면 그 어떤 보안 시스템도 안전성을 담보하기 어렵다"고 주장했다.