선관위 시스템 비번이 12345…그래놓고 자체 보안점수 "100점"

백종욱 국가정보원 3차장이 10일 경기도 성남시 국가사이버안보협력센터에서 선관위 사이버 보안점검 결과에 대해 브리핑하는 모습. 국가정보원 제공, 연합뉴스

국가정보원(국정원)·한국인터넷진흥원(KISA)·중앙선거관리위원회(선관위)의 합동 보안점검 결과 드러난 허점은 상당부분 선관위의 안일한 보안의식에서 기인한 것으로 나타났다. 기본적으로 인터넷과 내부 중요망(업무망·선거망)의 분리가 제대로 이뤄지지 않았고, 자체 보안 점검을 무자격업체에 맡기기도 했다.

국정원은 10일 KISA와 공동으로 진행한 브리핑에서 "선관위는 중요 정보를 처리하는 내부 중요 전산망을 인터넷과 분리해 사전 인가된 접속만 허용하는 등 철저하게 관리해야 하지만, 망분리 보안정책이 미흡했다"고 밝혔다. 인터넷 망과 내부 중요망 사이에 접점이 생겨서 가상의 해커들이 인터넷 망을 통해 선관위의 업무망·선거망으로 침입할 수 있었다는 얘기다.

실제 사전투표소에 설치된 통신장비에는 사전에 인가된 장비가 아닌 외부 비(非)인가 PC도 연결할 수 있어 이를 통해 내부 선거망으로 침투가 가능했고, 해외 공관과 연결된 재외공관선거망을 통해서도 선관위의 내부망에 침투할 수 있는 구조였다는 게 국정원의 설명이다.

지난 5일 오후 강서구 방화1동 주민센터 대강당에서 마련된 강서구청장 보궐선거 사전투표소에서 선관위 관계자가 모의시험을 실시하는 모습. 사진은 국정원과 한국인터넷진흥원의 중앙선거관리위원회 합동점검 결과 브리핑 내용과 직접적인 관련 없음. 뉴스1

주요 시스템에 접속할 때 사용하는 패스워드(비밀번호)도 일부는 쉽게 뚫렸다. 숫자·문자·특수기호 혼합이 아닌 단순한 조합으로 설정돼 있었기 때문이다. 실례로 숫자 '12345'를 나열하거나 일부 장비의 경우에는 출고시에 설정되어있던 비밀번호(admin 등)를 그대로 사용하기도 했다. 또 내부포털의 접속을 위한 비밀번호나 역대 선거시 등록한 후보자명부·재외선거인명부를 암호화하지 않아서 개인정보가 대량으로 유출될 위험성도 있는 것으로 확인됐다.

해킹사고에 대한 대응이나 후속 조치도 미흡했던 것으로 나타났다. 2021년 4월 경 선관위 PC가 북한 연계 해커조직인 '김수키'(Kimsuky)의 악성코드에 감염돼 상용 메일함에 저장된 대외비 문건 등 업무자료와 인터넷PC의 저장자료가 유출된 사실이 새로 확인됐다. 국정원은 2021년부터 올해까지 선관위 관련 해킹 8건을 선관위에 통보했지만, 선관위는 통보 전 이를 알지 못했다고 한다. 또 선관위가 e메일 해킹사고의 피해자에게 관련 내용을 통보하지 않아 동일 직원의 e메일이 계속해서 해킹에 뚫린 사실도 확인됐다.

국정원에 따르면 합동 보안 점검팀이 31개 평가항목을 기준으로 선관위의 주요 정보통신기반시설 보호대책 이행 여부를 평가한 결과 100점 만점에 31.5점에 불과했다. 앞서 선관위가 2022년 동일한 항목으로 자체 평가해 국정원에 제출한 결과는 100점 만점이었다. 이 과정에서 선관위가 취약점 분석평가를 관계 법령에서 정한 '정보보호 전문서비스 기업'이 아닌 무자격 업체에 맡기는 등의 위법 사례도 드러났다는 게 국정원의 설명이다.

과천 중앙선관위 청사의 모습. 강정현 기자

국정원은 당초 보안 점검에 참여한 3개 기관이 모두 참여하는 합동 브리핑을 추진했으나 이날 브리핑은 점검의 '대상'인 선관위만 빠진 채 진행됐다. 선관위는 "단순히 기술적인 해킹 가능성만을 부각해 선거결과 조작 가능성을 언급하는 것은 선거 불복을 조장해 사회통합을 저해할 수 있다"는 내용이 담긴 별도의 입장문을 배포하며 사실상 국정원의 주장을 반박했다.

선관위는 "기술적 해킹 가능성이 실제 부정선거로 이어지려면 다수의 내부 조력자가 조직적으로 가담해 시스템 관련 정보를 해커에게 제공하고, 위원회 보안 관제시스템을 불능 상태로 만들어야 하며, 수많은 사람의 눈을 피해 조작한 값에 맞춰 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오"라고 지적했다.

이어 "우리나라 투·개표는 '실물 투표'와 '공개 수작업 개표' 방식으로 진행되며 정보 시스템과 기계 장치 등은 이를 보조하는 수단에 불과하다"며 "투·개표 과정에 수많은 사무원, 관계 공무원, 참관인, 선거인 등이 참여하고 있고 실물 투표지를 통해 언제든지 개표 결과를 검증할 수 있다"고 강조했다.

향후 보안역량 강화도 다짐했다. 선관위는 "현재 진행 중인 서울 강서구청장 보궐선거가 안정적으로 실시될 수 있도록 보안 패치, 취약 패스워드 변경, 통합선거인명부 DB 서버 접근 통제 강화 및 DB 위·변조 여부 탐지 등 보완이 시급한 사항에 대한 조치를 완료했다"며 "내년 국회의원 선거에 국민들이 안심하고 투표할 수 있도록 시스템 접근 제어 및 통제를 더욱 강화하고 보안 장비를 추가하는 한편, '보안 컨설팅 결과 이행 추진 태스크포스(TF)팀'을 구성해 개선사항 후속 조치 이행 상황 등을 확인·점검할 예정"이라고 강조했다.

정영교 기자 chung.yeonggyo@joongang.co.kr