“대리투표해도 몰라”… 해커에 뚫린 선관위 업무 시스템

투표·개표 총체적 부실
“직접선거·비밀선거 안 지켜져”
선관위, 北 해킹 인지도 못해

지난달 경기도 과천 중앙선관위 모습. / 연합뉴스

중앙선거관리위원회의 선거 업무 관련 내부 시스템이 북한 등 외부 세력의 해킹 공격에 취약한 상태인 것으로 확인됐다. 가상의 해커가 대리투표를 해도 선관위 내부에서 확인하지 못하는 상태였고, 해커가 개표 결과를 조작할 수도 있는 등 선관위 내부 시스템이 총체적으로 부실했다.

국정원은 10일 ‘선관위 보안점검 결과’ 관련 브리핑을 열고 이같이 밝혔다. 국정원은 한국인터넷진흥원(KISA)과 함께 10주간(7월17일~9월22일) 가상의 해커가 선관위 전상망 침투를 시도하는 방식으로 선관위 시스템을 점검했다. 국회 교섭단체 추천 여야 참관인도 보안점검에 참여했다.

◇대리투표·결과 조작 가능… “망분리 미흡 원인”

국정원의 보안점검 결과 선관위의 내부 시스템은 ▲투표 시스템 ▲개표 시스템 ▲시스템 관리 등 선거 업무 전반에서 문제가 있었다. 우선, 유권자 등록현황·투표 여부 등을 관리하는 ‘통합선거인명부시스템’에는 인터넷을 통해 외부 세력이 선관위 내부망으로 침투할 수 있는 허점이 존재했다. 해커가 사전투표한 인원을 투표하지 않은 사람으로 표시하거나, 사전 투표하지 않은 인원을 투표한 사람으로 표시할 수 있는 식이다.

사전투표용지를 해커가 무단으로 인쇄할 수도 있었다. 해커가 내부시스템에 침투해 사전투표 용지에 날인되는 廳印(선관위)·私印(투표소) 파일을 절취한 뒤 사전투표용지 출력 프로그램을 활용해 투표용지를 무단 인쇄할 수 있던 것이다. 국정원은 용역 업체 직원이 관리하는 사전투표용지 출력 프로그램 사용이 엄격하게 통제되지 않았다고 설명했다. 해커가 무단 인쇄한 투표용지의 QR코드는 실제 사전투표 용지와 동일했다.

선거의 4원칙(보통·평등·직접·비밀)도 보장되지 않았다. 여야 정당 등 일부 위탁선거에 활용되는 ‘온라인투표시스템’에서 해커가 대리 투표를 해도 선관위 내부에서 이 사실을 확인할 수 없는 상태였고, 부재자 투표의 한 종류인 ‘선상투표’에서는 특정 유권자의 기표 결과를 볼 수 없도록 암호화된 데이터가 쉽게 해독 가능했다. 특정 유권자가 어떤 후보자에게 표를 던졌는지 확인이 가능한 것이다.

국가사이버안보센터장은 “선상투표에서 특정 유권자의 기표 결과를 열람할 수 있는 등 비밀투표라는 선거 원칙을 위배하는 중대한 취약점이 확인됐다”면서 “재외국민의 사전투표를 위해 구성된 재외선거망에서 해커가 침투해 재외국민 선거인명부를 탈취하거나, 재외공관 업무용 피씨에서 역으로 선관위 내부망 침투도 가능한 구조였다”고 말했다.

이번 보안점검에서는 선관위 내부 시스템을 침투해 개표결과 조작이 가능했던 점도 확인됐다. 개표결과가 저장되는 개표시스템이 안전한 내부망에 설치·운영되지 않고, 접속 패스워드 관리가 부실해 해커가 특정 후보의 득표수를 변경할 수 있었다. 국정원은 이같은 상태가 지속되면 해커에 의해 조작된 투표결과가 그대로 발표돼 선거에 극심한 혼란을 초래할 수 있다고 밝혔다.

또 외부장비 접속을 통제할 수 있는 투표지분류기에 비인가 USB를 무단 연결해 해킹 프로그램 설치가 가능했다. 이를 통해 해커가 투표 분류 결과를 바꿀 수 있었고, 투표지분류기에 인터넷 통신이 가능한 무선 통신 장비 연결이 가능해 악성 코드를 설치할 수도 있었다.

국정원은 보안 점검 결과 선관위 내부망은 외부 인터넷망에서도 접근 가능한 구조였다고 설명했다. 선관위가 업무망·선거망을 인터넷망과 제대로 분리하지 않은 채 사용하고, 선관위 주요 시스템 접속 시 사용하는 패스워드를 부실하게 관리했기 때문이다.

백종욱 국가정보원 3차장이 10일 경기도 성남시 국가사이버안보협력센터에서 선관위 사이버 보안점검 결과에 대해 브리핑하고 있다. / 국정원 제공

◇북한 해킹 확인… 선관위, 인지도 못해

북한은 실제 선관위의 부실한 시스템을 파고 들기도 했다. 국정원에 따르면 지난 2021년 4월 선관위 인터넷 PC가 북한 ‘킴수키(Kimsuky)’ 조직의 악성코드에 감염됐다. 이 과정에서 선관위 상용 메일함에 저장돼 있던 대외비 문건 등의 업무 자료와 인터넷 PC 저장자료가 유출된 사실이 확인됐다.

국정원은 관계자는 “선관위에 통보한 북한발 해킹사고 8건에 대한 대응실태를 점검한 결과 선관위는 국정원 통보 전까지 인지하지조자 못했다”면서 “선관위는 해킹 원인 파악 및 자료 유출 여부 확인 등 적절한 대응 조치도 하지 않았다”고 밝혔다. 또 해킹 사고 피해자에게 해킹 사실을 통보하지 않아 중복 피해가 일어난 사실도 확인됐다.

다만, 북한이 선관위 내부망까지 침투했는지 여부는 확인되지 않았다. 과거 선거에 사용됐던 임대 장비가 이미 반납된 상태고, 보안장비 로그가 존재하지 않은 상태이기 때문이다. 국정원 관계자는 “점검 기간과 인원의 한계로 선관위 전체 장비의 약 5%만 점검이 가능했다”면서 “내부망에 대한 해킹이 확인되지 않았을 뿐, 가능성은 확인돼 추가 조사가 필요하다”고 말했다.

이같은 부실에도 선관위는 2022년 ‘주요정보통신기반시설 보호대책 이행여부 점검’에서 자체 평가 점수를 100점 만점으로 국정원에 통보했다. 국정원이 재평가한 결과 선관위 점수는 31.5점으로 119개 국가 주요 시설 평균(81.9점)의 절반도 되지 않았다. 또 최약점 분석평가를 관계 법령에서 정한 ‘정보보호 전문서비스 기업’이 아닌 무자격 업체를 통해 실시하기도 했다.

국정원 등 합동점검팀은 선관위 보안 취약점에 대해 시급성과 중대성을 고려해 즉시(1개월 내)·단기(3개월 내)·중장기 등으로 나눠 조치할 것을 권고했다고 밝혔다. 선관위와 함께 해킹에 악용 가능한 망감 접점, 사용자 인증절차 우회, 유추 가능한 패스워드 등을 즉시 보완했고, 선관위가 보안역량을 강화할 수 있도록 전담 조직 및 예산을 대폭 확대하도록 권고했다.

백종욱 국정원 3차장은 “사이버 공격으로 선거정보시스템에 문제가 발생할 경우 그 피해는 고스란히 국민들에게 돌아가 선관위의 보안취약점에 대한 점검 결과를 투명하게 알리는 것이 매우 중요하다고 생각했다”면서 “특히 국가 배후 해킹은 파급력이 엄청 크기 때문에 해킹에 대해 심각하게 인식하고 대응해야 한다”고 말했다.

앞서 국정원은 최근 2년간 선관위 측에 북한 정찰총국의 해킹 메일과 악성 코드 감염 등 해킹 공격 사실을 7차례(또 다른 외부 세력의 공격 포함 시 8차례) 통보하면서 보안 점검을 받도록 권고했지만, 선관위는 헌법상 독립 기관인 점과 정치적 논란 소지 등을 이유로 거부했다. 이후 선관위 채용 비리가 잇달아 터지면서 선관위 기능 전반에 대한 종합적 점검이 불가피하다는 여론이 커지자 선관위는 지난 5월 국정원의 보안점검을 받아들였다.

- Copyright ⓒ 조선비즈 & Chosun.com -