시스템 비밀번호 '12345'… 언제든 해커 공격에 투·개표 조작 가능 [해킹 취약한 선관위]

사전투표용지와 같은 QR코드 무단인쇄 가능… 위조 무방비
보안 관리 ‘총체적 부실’ 드러나
해커가 투표관리관 도장 훔칠 수 있고
사전투표소 통해 내부망 침투도 가능
북한발 해킹 사고 사전에 인지 못하고
국정원 통보받고도 적절한 조치 뒷짐
“자체 보안점검 100점 만점” 호언 불구
국정원 등 합동 재평가선 31.5점 그쳐
국정원 보안점검 결과에 반박 입장문
“선거관리 과정 다양한 검증 장치 마련
투표용지 무단 인쇄 등 사실상 불가능”

국가정보원이 10일 공개한 국정원·중앙선거관리위원회·한국인터넷진흥원(KISA) 합동 보안점검 결과 선관위는 해커의 투표결과 조작뿐 아니라 사전투표 용지 위조, 내부 선거망 침투 등이 벌어질 수 있는 총체적 보안 부실 상태로 드러났다.

국정원이 통보한 북한발 해킹 사고에 대해 인지하지 못했을뿐더러 언제든지 해커의 공격을 받고 투·개표 조작 등이 일어날 수 있는 취약한 상태였다는 것이다.

경기도 과천 중앙선거관리위원회의 모습. 연합뉴스

선관위는 그간 정치적 중립을 이유로 외부 조사를 거부해왔다. 그럼에도 자체 조사를 통해 ‘100점 만점’이라는 보안 점검 결과를 국정원에 통보한 것으로도 나타났다. 22대 총선이 6개월 앞으로 다가온 가운데 취약한 선관위 보안 시스템 개편이 시급하다는 지적이 나온다.

이날 국정원이 발표한 결과 선관위는 사전투표 용지 위조와 투표용지 무단 인쇄 등에 무방비 상태였다. 해커가 사전투표 용지에 날인되는 청인(廳印·선관위 도장), 사인(私印·투표관리관의 도장) 파일 등을 선관위 내부 시스템을 통해 훔칠 수 있었다. 테스트용 사전투표 용지 출력 프로그램 통제가 제대로 이뤄지지 않아 실제 사전투표 용지와 QR코드(정보무늬)가 같은 투표지도 무단으로 인쇄가 가능했다.

사전투표소를 통해 선관위 내부 선거망 침투도 어렵지 않은 것으로 드러났다. 국정원은 사전투표소에 설치된 통신장비에 외부 비인가 PC가 연결돼 선관위 선거망 침투가 어렵지 않았다고 지적했다. 선거망은 투·개표 관련 주요 선거 시스템이 운영되는 선관위 전산망이다. 인터넷 사용이 불가한 내부망임에도 이 같은 경로로 얼마든지 해킹이 가능하다는 것이다.

선관위가 주요 시스템 접속 시 사용하는 비밀번호도 비교적 단순하게 구성해 손쉽게 유추가 가능했다. 숫자·문자·특수기호 등을 혼합해 안전하게 만들어야 하는데도 기본적인 보안 관리가 제대로 이뤄지지 않았다. 숫자 ‘12345’를 나열하거나 아이디와 동일한 비밀번호를 쓴 사례가 드러났다. 내부 포털 접속용 비밀번호는 더욱이 암호화하지 않은 채 평문으로 저장해뒀던 것으로 나타났다.

선관위는 최근 2년간 국정원이 통보한 북한발 해킹 사고에 대해 인지하지 못하고 있었고 적절한 대응 조치도 하지 않았다고 국정원은 밝혔다.

국정원은 북한 정찰총국과 연계됐다고 알려진 해킹조직 ‘김수키(Kimsuky)’가 선관위 인터넷 PC를 악성코드에 감염시키는 과정에서 직원 개인 메일을 통해 대외비 자료가 유출된 사실도 확인했다. 국정원은 선관위가 개인 상용메일로 업무자료를 주고받도록 허용한 건 보안정책 부실을 보여주는 단적인 사례라고 지적했다.

해킹 사고가 발생한 이후 조치도 미흡했다. 선관위는 해킹 사고의 피해자에게 통보조차 하지 않았고 같은 직원을 대상으로 한 보안 사고가 잇달아 발생했다. 용역업체 직원끼리 선관위 직원 업무계정을 공유하는 등 관리업체의 보안 문제도 있었다.

국정원의 점검을 거부해왔던 선관위는 자체 보안 점검 결과 “100점 만점”이었다고 국정원에 통보하기도 했다. 국정원은 이같이 전하며 이번 점검을 통해 과거 선관위와 같은 기준으로 재평가했더니 31.5점이라는 점수가 나왔다고 설명했다.

국정원은 선거 때마다 반복되는 부정 선거 논란을 의식한 듯 이번 발표가 정치 공방으로 확산하는 것은 경계했다. 백종욱 국정원 3차장은 브리핑에서 “점검 결과를 과거에 제기된 선거 관련 의혹과 단순 결부시키는 건 경계해야 한다”며 “자유민주주의 근간인 선거가 국민 신뢰하에 공정하고 투명하게 관리되는 것이 중요한 만큼, 이번 점검은 향후 발생할 수 있는 대형 사이버 공격을 선제 차단하는 핵심 역할을 충분히 했으면 한다”고 말했다.

강서구청장 보궐선거를 하루 앞두고 진교훈(왼쪽) 더불어민주당 후보와 김태우 국민의힘 후보가 10일 서울 강서구 한 아파트 앞에서 유세 차량에 올라 유권자들에게 지지 호소를 하고 있다. 뉴스1

서울 강서구청장 보궐선거를 하루 앞둔 민감한 시기에 선관위 보안 실태를 특정해 발표가 열린 배경과 관련해 국정원 관계자는 “온몸에 암세포가 퍼진 환자에게 (암이라고) 했더니 그동안 잘 지냈는데 왜 겁주냐고 하면 어떻게 하겠느냐”며 “제대로 치료가 될 수 있도록 설득하고 끌어줘야 하기 때문에 발표한 것”이라고 설명했다.

국정원은 이번 점검 이후 강서구청장 보궐선거를 앞두고 조치를 취했다고 설명했다. 이 관계자는 “정확하게 저희가 (선관위에) 권고를 했고 긴급하게 조치가 필요한 부분 대해서는 조치를 했다”며 “다만 오늘 얘기한 취약점들과 관련해 앞으로도 선관위가 보안방안을 마련해야 할 것이라 생각한다”고 덧붙였다. 백 차장은 “선관위 입장에서도 점검 결과를 받았기 때문에 시스템 취약점이 있도록 하지 않을 것이라 생각하고 이번 선거는 시스템이 보완될 수 있다고 본다”고 말했다.

내년 총선을 앞둔 선관위 보안 시스템 개선에 대해 백 차장은 “시간이 얼마 남지 않았다. 많은 예산이 요구되는 대폭적인 개선은 어렵지만 선거의 보안 조치가 돼도록 해야 한다고 생각한다”고 말했다.

올해 초 선관위 고위 간부 자녀 및 친·인척 특혜 채용 비리가 불거지면서 선관위에 대한 종합 점검이 필요하다는 목소리가 커졌다. 여기에 선관위가 북한의 해킹 공격에도 국정원 권고를 무시했다는 의혹이 겹쳐졌고, 선관위는 국회 교섭단체가 추천한 여야 참관인들이 참여하는 보안점검을 수용했다.

◆선관위 “기술적 해킹 가능성 있어도 내부 조력자 없이는 부정선거 못 해”

국가정보원의 보안점검 결과에 대해 중앙선관위는 “기술적 해킹 가능성만으로 실제 선거결과 조작 등 부정선거 실행은 불가능하다”는 입장을 내놨다. 기술적으로 해킹 가능성이 있더라도 내부자의 조력 없이는 실제 부정선거가 이뤄질 수 없다는 주장이다.

선관위는 10일 입장문을 내고 국정원이 선관위 선거 업무 시스템의 해킹 취약점을 다수 발견했다고 발표한 데 대해 반박했다.

백종욱 국가정보원 3차장이 10일 경기도 성남시 국가사이버안보협력센터에서 선관위 사이버 보안점검 결과에 대해 브리핑하고 있다. 국가정보원 제공

선관위는 “선거 시스템에 대한 해킹 가능성이 곧바로 실제 부정선거 가능성으로 이어지는 것은 아니다”라며 “기술적 가능성이 실제 부정선거로 이어지려면 다수의 내부 조력자가 조직적으로 가담해 시스템 관련 정보를 해커에게 제공하고 위원회 보안관제시스템을 불능 상태로 만들어야 하며, 수많은 사람의 눈을 피해 조작한 값에 맞춰 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오”라고 강조했다.

이어 “만약 내부 조력자 가담을 전제한다면 어떠한 뛰어난 보안시스템도 안전성을 담보하기 어려울 것”이라며 “단순히 기술적인 해킹 가능성만을 부각해 선거결과 조작 가능성을 언급하는 것은 선거 불복을 조장해 사회 통합을 저해하고 선거 시스템의 신뢰를 떨어뜨려 국민 불안과 사회 혼란을 야기할 수 있으며, 나아가 선출된 권력의 민주적 정당성까지 훼손할 위험성이 있다”고 밝혔다. 그러면서 “우리나라의 선거관리 과정에는 안전성 및 검증 가능성을 보장할 수 있는 다양한 제도적 장치들이 마련돼 있어 선거결과 조작은 사실상 불가능하다”고 말했다.

해킹을 통해 사전투표용지에 인쇄되는 위원회 청인 및 투표관리관 사인 파일을 절취할 경우 사전투표용지를 무단으로 인쇄할 수 있다는 가능성에 대해서는 “실제 투표용지와 동일한 투표용지를 발급하기 위해선 청인, 사인 외에도 투표용지발급기 및 전용드라이버, 프로그램을 모두 취득해야 하므로 현실적으로 불가능하다”고 해명했다. 또 북한의 해킹으로 인한 선거 시스템 침해 흔적은 발견되지 않았다며 “다만 2021년 4월쯤 직원 1명의 외부 인터넷용 PC가 악성코드에 감염된 사실이 있으나 내부 업무망이나 선거 시스템 침해 흔적은 발견되지 않았다”고 설명했다.

곽은산·박지원 기자