[기자수첩] 보안 기본원칙도 안 지킨 선관위

지난 2014년 전 세계에 설치된 개인용 폐쇄회로(CC)TV 7만3000여개가 해킹돼 생중계되는 소동이 일어났다. 개인 주택의 침실과 거실, 미용실, 병원 내부 등이 해커가 운영하는 사이트에 고스란히 노출됐다. 피해 CCTV의 비밀번호는 대부분 ‘12345′. 제조사가 설정한 초기 비밀번호를 변경하지 않은 것이다. CCTV 화면을 확인하기 위해서는 CCTV 전산망에 접속해야 하는데, 비밀번호가 간단해 해커가 영상을 빼낼 수 있었던 것이다.

쉽게 유추할 수 없는 비밀번호를 사용하는 것은 보안의 기본원칙이다. 그러나 상당수 사람들은 CCTV 해킹 사태를 겪고도 비밀번호 재설정 없이 CCTV를 사용했다. 결국 이듬해 비밀번호 12345를 쓰는 CCTV 3000여대가 같은 해커에게 또 다시 해킹됐다.

중앙선거관리위원회의 보안 의식도 별반 다르지 않았다. 국가정보원과 한국인터넷진흥원이 합동보안점검팀을 구성해 지난 7~9월 가상의 해커가 선관위 전산망을 침투하는 방식으로 시스템을 점검한 결과, 선관위 관계자들이 사용하는 비밀번호는 12345 등 초기 설정 그대로였다. 선관위 관계자들은 시스템 비밀번호를 숫자·문자·특수기호를 혼합해 사용하는 보안원칙 기본 중 기본을 지키지 않았다.

국정원은 선관위 시스템의 보안 상태에 대해 “현관문이 열쇠로 잠기지 않고 열려있던 것을 확인했다”고 설명했다. 보안 점검 결과에 따르면 국제 해킹 조직들이 일반적으로 쓰는 해킹 수법 만으로도 선거인 명부와 개표 결과를 조작하는 것이 가능했다. 해커가 내부시스템에 침투해 사전투표용지를 무단으로 인쇄할 수 있었고, ‘선상투표’에서 특정 유권자의 기표 결과를 알아낼 수 있었다.

선관위의 선거 업무 시스템이 속수무책으로 뚫린 것은 비밀번호 뿐만 아니라 망분리, 계정 관리에서 안이한 보안 의식을 갖고 있었기 때문이다. 국정원은 선관위 내부 전산망과 외부 인터넷 간의 ‘망분리’ 보안정책이 미흡해 “외부 인터넷에서 선관위 내부망에 침입할 수 있었다”고 설명했다. 이 때문에 선관위 선거망을 통해 재외공관 운영망을 침투하고, 역으로 재외공간 운영망으로 선관위 선거망을 접속하는 것도 가능했다.

더 심각한 것은 선관위의 안일한 태도다. 국정원은 최근 2년 간 총 8차례에 걸쳐 북한발 해킹 사고가 선관위에서 일어났음을 통보했지만, 선관위는 이 사실을 내부에서 제대로 파악하지 못하고 적절한 대책도 세우지 않았다. 국정원의 보안 점검 결과 발표에는 “선거시스템 해킹 가능성이 실제 부정선거 가능성으로 이어지는 건 아니다”라는 입장을 밝혔다.

개인 CCTV 해킹 피해는 개인에 국한되지만, 선관위 해킹의 피해는 전 국민에게 영향을 미친다. 선관위는 5000만명이 넘는 국민들의 선거인명부를 관리하고 대통령, 국회의원, 지방자치단체장 등을 뽑는 투표의 공정한 관리를 담당하는 국가 기관이다. 선관위 보안 시스템에 존재하는 작은 틈을 제대로 메꾸지 않으면 악의적인 세력에 의한 균열이 점점 커질 수 있다. 선관위에 대한 신뢰가 떨어지면 어느 국민이 선거 결과를 믿을 수 있을까.

지난 8월 영국에서 최대 4000만명에 달하는 유권자 정보가 노출된 사실이 알려지는 등 선거를 둘러싼 해킹은 한국 뿐 아니라 세계 곳곳에서 문제가 되고 있다. 특히 우리는 선관위 인터넷 PC를 해킹해 대외비 문건 등을 빼낸 사실이 있는 북한과 마주하고 있다. 선관위는 ‘헌법상 독립기관’이라는 방패를 내세워 외부 지적에 귀닫지 말고, 보안 시스템에 미세한 구멍도 없게 철저히 단속하길 바란다.

- Copyright ⓒ 조선비즈 & Chosun.com -