중앙선거관리위원회 사이버 보안 관리가 부실한 것으로 조사됐다. 해커들이 통상적인 수법으로 선관위 내부망을 해킹하고, 투·개표 시스템도 조작할 수 있었다. 선관위는 이에 대해 "다수의 내부 조력자가 조직적으로 가담하지 않고서는 사실상 불가능한 시나리오"라고 반박했다.
국가정보원은 선관위, 한국인터넷진흥원(KISA)과 함께 올해 7월 17일부터 9월 22일까지 벌인 합동 보안점검 결과 이 같은 문제가 발견됐다고 10일 밝혔다. 다수 취약점에 대해 국정원은 선관위와 함께 해킹에 악용 가능한 망간 접점, 사용자 인증절차 우회, 유추 가능한 패스워드 등 문제점을 즉시 보완했다.
국정원은 이날 경기도 성남시 국가사이버안보협력센터에서 진행한 관련 브리핑을 통해 선관위 보안점검 결과에 대해 발표했다. 브리핑에 따르면 보안 점검은 크게 △시스템 취약점 △해킹대응 실태 △기반시설 보안관리 등 3개 분야로 구분해 진행했다. 실제 점검은 가상의 해커가 선관위 전산망 침투를 시도하는 방식으로 이뤄졌다.
점검 결과, 대통령 선거·국회의원 총선거·지방선거에서 유권자 등록현황·투표 여부 등 관리에 사용하는 '통합선거인명부시스템'은 인터넷을 통해 침투할 수 있었던 것으로 확인됐다. 해당 시스템의 접속 권한 및 계정 관리도 부실해 해킹할 수 있었던 것으로 확인됐다.
이를 통해 '사전 투표 인원을 투표하지 않은 사람', '사전 투표하지 않은 인원을 투표한 사람'으로 표시할 수 있고, 존재하지 않은 유권자도 '정상적인 유권자'로 등록 가능하다고 국정원은 설명했다. 사전 투표용지에 날인되는 청인(廳印, 선관위 도장), 사인(私印, 투표소 관리 측 도장) 파일도 선관위 내부 시스템에 침투해 훔칠 수 있고, 실제 사전 투표용지와 QR코드가 같은 투표지도 무단 인쇄할 수 있었다.
'선상 투표'는 특정 유권자 기표 결과를 암호화해 관리하고 있으나, 암호 해독이 가능해 기표 결과 열람이 가능한 것으로 확인됐다. 사전 투표소에 설치한 통신 장비 역시 사전 인가된 장비가 아닌 외부 비인가 컴퓨터도 연결할 수 있어 내부 선거망으로 침투 가능한 것으로 확인됐다.
개표 시스템 역시 '보안 관리 미흡'으로 해커가 결괏값을 변경할 수 있었던 것으로 확인됐다. 안전한 내부망에 개표 시스템을 설치, 운영하고 접속 비밀번호도 철저하게 관리해야 하지만 선관위가 그러지 않았다는 뜻이다.
특히 투표지 분류기에 USB 등 외부 장비 접속을 통제해야 하지만, 실제 비인가 USB 무단 연결이 가능해 해킹 프로그램 설치도 가능했던 것으로 확인됐다. 이 경우 투표 분류 결과까지 바꿀 수 있는 것으로 드러났다.
브리핑에 따르면 선관위가 중요 정보를 처리하는 내부 전산망에 대한 '망 분리 보안'도 미흡했던 것으로 드러났다. 인터넷에서 선관위 업무망·선거망 등 내부 중요망으로 침입할 수 있다는 뜻이다.
특히 선관위는 최근 2년간 국정원이 통보한 북한발 해킹 사고에 대해 인지하지 못했고, 적절한 대응 조치도 하지 않았던 것으로 확인됐다.
특히 2021년 4월 선관위의 인터넷 컴퓨터가 북한 '김수키' 조직의 악성코드에 감염돼 상용 메일함에 저장한 대외비 문건 등 업무 자료, 해당 컴퓨터 저장 자료가 유출된 사실도 이번 점검에서 확인됐다.
선관위가 지난해 '주요 정보통신 기반 시설 보호 대책 이행 여부 점검' 자체 평가에서 '100점 만점'이라고 국정원에 통보했으나 이번 점검 결과는 '31.5점'에 불과했다.
한편 선관위는 국정원 등의 보안 점검 결과 발표에 같은 날 입장문을 통해 "기술적 가능성이 실제 부정선거로 이어지려면 다수의 내부 조력자가 조직적으로 가담해 시스템 관련 정보를 해커에게 제공, 위원회 보안 관제 시스템을 불능 상태로 만들어야 하며, 수많은 사람의 눈을 피해 조작한 값에 맞춰 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오"라고 밝혔다.
다만 보안 취약에 대해 선관위 측은 "현재 진행 중인 서울 강서구청장 보궐선거가 안정적으로 실시될 수 있도록 보안 패치, 취약 패스워드 변경, 통합선거인명부 DB 서버 접근 통제 강화 및 DB 위·변조 여부 탐지 등 보완이 시급한 사항에 대한 조치를 완료했다"고 말했다.
이어 "내년 국회의원 선거에 국민이 안심하고 투표할 수 있도록 시스템 접근 제어 및 통제를 더욱 강화하고 보안 장비를 추가하는 한편, '보안 컨설팅 결과 이행 추진 태스크포스(TF)팀'을 구성해 개선사항 후속 조치 이행 상황 등을 확인·점검할 예정"이라고 덧붙였다.