10일 선관위 사이버 보안점검 결과에 대해 브리핑 중인 백종욱 국가정보원 3차장 ⓒ국가정보원

[디지털데일리 이종현기자] 투표의 공정한 관리를 책임질 중앙선거관리위원회(이하 선관위)의 사이버보안이 엉터리 수준이라는 지적이 제기됐다. 실제 조사 결과 총체적 난국이라는 말이 나올 만큼 부실한 수준인데, 다수의 문제점이 발견됐음에도 제대로 보완될지 여부조차도 불확실한 상황이다.

선관위, 국가정보원(이하 국정원), 한국인터넷진흥원(KISA)은 합동점검팀을 꾸려 7월17일부터 9월22일까지 선관위에 대한 보안점검을 진행했다. 정치적 해석을 경계해 기술적으로 해킹이 가능한지, 어떤 보안 취약점이 있는지 등을 살피는 데 집중했다.

조사 결과 선관위의 보안은 최악 수준인 것으로 확인됐다. 단적인 예로 국정원이 정보통신기반시설을 대상으로 진행하는 기관 보호대책 이행여부 평가에서 선관위는 100점 만점 중 31.5점을 받았다. 119개 기관의 평균 점수는 81.9점으로, 기존 최하점은 44.6점이었지만 선관위는 이보다 한참 낮은 점수를 받았다.

합동점검팀의 조사 과정에서 선관위는 공공기관이라면 의무적으로 도입해야 하는 망분리조차도 제대로 하지 않은 것으로 나타났다.

망분리는 흔히들 인트라넷(Intranet)이라고도 불리는, 인터넷과는 별개의 망(Network)을 운영하는 것을 뜻한다. 공공기관 대부분은 보안을 위해 자체망을 사용 중이다. 선관위의 경우 업무망과 선거망을 두고 시스템을 운영하고 있다. 망을 분리시켰다면 외부와의 접점이 없기에 보안에 소홀한 점이 있어도 정보의 유‧노출을 막을 수 있다.

그러나 선관위는 업무망 등에 접속 가능한 PC가 인터넷에도 접속할 수 있게 하는 등, 보안 관리를 제대로 하지 않은 것으로 확인됐다. 조사 중 악성코드에 감염돼 있는 직원 PC도 발견됐는데 이는 해커가 마음만 먹으면 선관위의 인트라넷에도 접근할 수 있다는 것을 의미한다.

실제 합동점검팀은 모의해킹을 통해 존재하지 않는 유령 유권자를 정상적인 유권자로 등록하는 식의 선거인명부 내용 변경, 사전 투표한 인원을 투표하지 않은 사람으료 표시하는 등의 조작이 가능한 것을 기술적으로 증명했다. 실제 사전투표용지와 QR코드가 동일한 투표지를 무단으로 인쇄하는 것은 물론이고 부재자 투표의 한 종류인 선상투표는 유권자 기표 결과를 암호화해 관리 중이지만 취약점으로 특정 유권자의 기표결과를 열람할 수도 있었다.
 

ⓒ국가정보원

정당 등 일부 위탁선거에 활용되는 온라인투표시스템에서는 정당한 투표권자가 맞는지를 인증하는 절차도 제대로 갖춰지지 않았다. 해커가 대리 투표를 하더라도 확인이 되지 않는다는 지적이다.

이와 같은 조사 결과가 발표되자 선관위는 “부정선거 방지를 위한 법적‧제도적 장치를 배제하고 기술적 부분에 한정해 실시된 컨설팅 결과다. 기술적 해킹 가능성만으로 실제 선거결과 조작 등 부정선거 실행은 불가능”이라며 대립각을 세웠다. 실제 해킹에 성공하려면 보안관제시스템을 불능 상태로 만들고 내부 조력자가 조직적으로 가담해야 한다는 주장이다.

그러나 조사에서 드러난 총체적 보안 부실로 선관위의 주장은 설득력을 잃는다. 망분리가 제대로 이뤄지지 않고 있다는 점, 데이터베이스(DB) 서버의 로그 감사기능이 꺼져 있다는 점, 직원 PC가 악성코드에 감염돼 있는 것을 몰랐다는 점 등은 제대로 된 보안관제가 이뤄지지 않고 있음을 시사한다. 선관위의 보안 용역을 수행한 기업에 대한 질타도 나오는 배경이다.

내부 조력자가 필요하다고 주장했지만 대부분의 해킹은 내부자의 계정을 탈취하는 방식으로 진행된다는 점을 감안하면 안심하기 어렵다. 해커가 직원의 정상 계정을 탈취해 인트라넷에 접근하고, 이를 통해 더 높은 권한을 취득하고, 최종적으로 내부 데이터를 훔치거나 조작하는 것. 해커들이 흔히 쓰는 수법이다. 2022년 삼성전자의 대규모 정보유출도 이같은 방식으로 진행됐다.

익명을 요구한 사이버보안 전문가는 “합동점검팀의 말이 사실이라면 선관위의 보안시스템은 제대로 작동되고 있다고 보기 어렵다. 주요 시스템의 비밀번호도 12345 내지는 출고시 설정돼 있는 기본 비밀번호를 사용했다고 하던데, 장비가 있더라도 제대로 사용하지 않고 있는 것으로 보인다”고 꼬집었다.

문제는 취약한 보안이 드러났음에도 제대로 보완될지 확신할 수 없다는 점이다.

국정원은 정보통신기반보호법에 따라 매년 정보통신기반시설에 대한 보안 점검을 실시한다. 해당 점검은 국정원이 해당 기관의 장과 협의해 진행하는 방식으로, 선관위는 국정원의 점검을 거부하고 자체 점검 결과를 국정원에 제출해오는 것에 그쳤다.

이 과정에서 선관위가 스스로에게 지나치게 관대해 왔다는 점도 도마 위에 올랐다. 선관위는 2022년 자체 점검 결과 100점이라고 제출했지만 합동점검 결과 31.5점 수준인 것으로 확인됐다. 이와 같은 ‘스스로에게 관대함’이 향후 대응에도 적용되는 것 아니냐는 우려다.

국정원은 합동점검 이후 드러난 문제점이 제대로 보완됐는지 확인할 수 있느냐는 질문에 “헌법기관인 선관위에게 후속 조치를 강제할 법적 근거는 없다”고 답했다.