[시선집중] 보안전문가 “국정원 말도 맞고 선관위 말도 맞다! 너무 과장-확대 보도”

MBC라디오 2023. 10. 18. 09:53
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
<김승주 고려대 정보보호대학원 교수>
-국정원 발표, 인적 보안 뺀 이야기
-투표지 분류기에 USB 꽂아 해킹프로그램 심었을 경우
-선관위 해킹으로 투표결과 조작? 너무 우려할 필요 없어
-국정원, 보안점검 후 툴 2개 남겼다? 실수라고 보지만...
-국정원, 선관위 해킹 취약 발표 시기적으로 적절치 않아
-선관위도 빠른 조치 필요. 국정원, 확대해석 않게 발표했어야
-선관위, 국정원 보안점검 받아야? 그럼 국회 등 예외기관 다 받아야


■ 방송 : MBC 라디오 표준FM 95.9MHz <김종배의 시선집중>(07:05~08:30)

■ 진행 : 김종배 시사평론가

■ 대담 : 김승주 고려대 정보보호대학원 교수


☏ 진행자 > 서울 강서구청장 보궐선거일 하루 전이었습니다. 지난 10일 국정원이 선관위의 투개표관리시스템 보안점검을 한 결과 보안관리가 부실하다 이런 결과를 보도자료를 통해서 발표했습니다. 논란이 일고 있는데요, 이 문제 기술적인 측면에 한번 초점을 맞춰서 전문가 조언을 들어보도록 하겠습니다. 김승주 고려대 정보보호대학원 교수 전화 연결하겠습니다. 나와 계시죠?

☏ 김승주 > 네, 안녕하십니까?

☏ 진행자 > 일단 그냥 이것저것 떠나서 투개표시스템 해킹으로 개표 결과 조작이 가능하다는 얘기입니까, 국정원 얘기는?

☏ 김승주 > 국정원 얘기는 그렇고요. 그런데 선관위는 전체 선거 프로세스를 제대로 이해한다면 그렇게 될 수 없다고 얘기하고 있고요.

☏ 진행자 > 내부자가 협조하지 않고는 불가능하다, 선관위는 이렇게 주장하던데 교수님은 어떻게 봐야 됩니까? 교수님 설명 좀 해주세요.

☏ 김승주 > 가장 제가 예를 많이 드는 것이 우리가 일반적으로 보안이다라고 하면 사람이 하는 인적 보안하고 그 다음에 컴퓨터 보안, 이렇게 두 가지로 나눠집니다. 예를 들면 우리나라 삼성이든 현대든 대기업이 있지 않습니까? 대기업 컴퓨터에 해킹 프로그램이 들어가 있는 USB를 꽂아서 내부정보를 빼낼 수 있다, 만약에 제가 그렇게 발표한다면 삼성이나 현대는 부인할 겁니다. 그러면서 뭐라고 얘기하냐 하면 회사 내부에 USB를 반입하는 것 자체가 불가능합니다. 입구에서 사람이 다 조사해서 USB를 전부 다 빼놓으라고 얘기합니다, 이렇게 얘기하거든요. 그래서 지금 국정원이 발표한 것은 이런 인적 보안 부분은 전부 다 빼고 전산 시스템 컴퓨터만 봤을 때 취약한 부분이 존재한다 이렇게 얘기하고 있는 거고요. 선관위는 투표라는 것이 전산시스템 투표용지 분류기 같은 전산시스템의 도움도 받지만 투개표라든가 사람이 감시하는 그런 인적인 보안도 같이 진행하기 때문에 선거를 뒤엎는 건 좀 불가능하다, 시나리오상 불가능하다, 이렇게 얘기하고 있는 겁니다.

☏ 진행자 > 그러면 좁혀서 다시 한번 확인 질문 드려볼게요. 선관위 내부에서 인적 보안하고는 상관없이 원격으로 인터넷망을 통해서 투개표를 해킹을 해가지고 개표 결과를 조작할 수 있습니까, 기술적으로?

☏ 김승주 > 아니요. 지금 이번에 국정원이 발표한 것은 원격으로 투개표 결과를 조작한다고 그런 것이 아니고 투표용지 분류기에 USB를 꽂아서 해킹 프로그램을 심었을 경우에

☏ 진행자 > 그럴 때만?

☏ 김승주 > 결과를 조작할 수 있다 이렇게 얘기를 한 것이고, 선관위에서는 그럼 그거를 꽂으려면 내부자의 도움이 있어야 되는데 그걸 어떻게 합니까, 이렇게 얘기를 하는 거죠.

☏ 진행자 > 그럼 선관위 내부에 간첩이 있어야 된다는 얘기잖아요, 그 얘기는?

☏ 김승주 > 뭐 아무튼 협조 있어야 된다는 얘기죠.

☏ 진행자 > 그러면 별로 현실성 있는 얘기는 아니다, 이렇게 정리해도 되는 겁니까?

☏ 김승주 > 너무 우려할 필요는 없다고 정의하면 될 것 같고요. 사실은 바로 그 이유 때문에 과기정통부 산하기관으로 한국인터넷진흥원이라는 곳이 있습니다. 한국인터넷진흥원이 국감을 받았는데 국감장에서 국정원 의견도 맞고 선관위 의견도 맞습니다, 이렇게 얘기를 했거든요.

☏ 진행자 > 그건 또 뭐예요, 그러면?

☏ 김승주 > 전산 시스템만 보면 취약한 부분이 있다는 건 국정원 얘기가 맞고 전체적인 선거 프로세스 자체에는 사람도 들어가 있기 때문에 선거 프로세스를 뒤엎는 건 불가능하다, 이렇게 얘기한 선관위 얘기도 맞다고 얘기를 한 겁니다.

☏ 진행자 > 하여간 그럼 중간 정리를 한번 제가 이해한 거 한번 말씀드려볼게요. 제가 제대로 이해했는지 말씀해 주세요. 이번에 국정원이 보안점검에서 해킹 가능성을 언급한 거는 그 누군가가 투개표 과정에 직접 들어가서 USB를 꽂는다든지 하는 사람의 노력이 들어간 해킹의 경우로 한정이 되는 거죠. 그러니까.

☏ 김승주 > 그렇죠. 그렇게 한정된다고 보시면 됩니다.

☏ 진행자 > 저는 처음에는 원격, 다른 나라에서 인터넷망 타고 들어와서 뭔가를 조작한다 이런 건 줄 알았더니 그게 아니네요?

☏ 김승주 > 그렇죠. 이번에 본 것은 전산시스템 자체에 대한 취약한 부분이 뭐가 있나를 본 것이지 선거 과정을 똑같이 재현한 상태에서 원격에서 들어와서 개표결과를 조작했다 이런 건 아닙니다.

☏ 진행자 > 알겠습니다. 세상에는 모든 가능성을 다 열어놔야 되니까 그럼 그렇다고 치고, 그러면 교수님이 보시기에 뭔가 보완할 과제가 생겼다고는 평가를 하세요?

☏ 김승주 > 당연히 그렇죠. 선거라는 것이 굉장히 민감한 부분이고 그래서 잡음이 없어야 됩니다.

☏ 진행자 > 물론이죠.

☏ 김승주 > 수개표라든가 이런 것들을 같이 동반한다 하더라도 사전 점검을 철저히 해서 전산시스템상 여러 가지 취약한 부분들을 미리미리 없애야 하는 건 선관위의 의무입니다. 그리고 선관위가 자체 점검을 통해서 잘하겠다 이렇게 분명히 얘기를 했거든요. 그런데 그 부분에 있어서는 분명히 선관위가 잘못한 것이고요. 그래서 이번 국정원이 지적한 사항들에 대해서 선관위는 빨리 조치할 필요는 있습니다. 국정원도 사실은 이런 부분을 발표할 때 조금 더 국민들 눈높이에 맞춰서 확대해석되지 않도록 정확히 얘기할 의무가 있거든요.

☏ 진행자 > 그럼요, 선관위 업무에 대한 불신이 심각한 문제로 연결될 수 있죠.

☏ 김승주 > 그렇죠, 그런 부분에서는 국정원도 조금은 실수를 했던 것 같습니다.

☏ 진행자 > 그 문제와 관련해서 좀 이따 따로 여쭤볼 게 있고요. 국정원 주도의 보안점검 뒤에 점검 도구, 이른바 툴 두 개가 남아 있는 사실이 발견돼서 선관위에서 삭제됐다는 얘기가 있던데 이건 무슨 얘기입니까?

☏ 김승주 > 이게 보통 전산시스템에 대한 보안점검을 하려면 여러 가지 점검 프로그램을 깔아야 됩니다. 이 점검 프로그램이지만 사실은 해킹 프로그램 동작하는 것과 유사하게 동작을 하는데요. 그런데 이런 것들이 점검이 다 끝나고 나면 그것들을 다 삭제해서 그런 것들을 없애야 되는데 그것이 몇 개가 남아 있었나 봅니다.

☏ 진행자 > 그러면 실수라고 봐야 되는 겁니까? 어떻게 봐야 되는 겁니까?

☏ 김승주 > 그건 사실은 기술의 영역이 아니기 때문에 사실은 뭐라고 말씀드릴 수가 없고요. 그런데 사실 선관위가 국정원의 보안감사를 받아야 되느냐 말아야 되느냐를 놓고 선관위는 정치적 어떤 중립성이 지켜져야 되는 부분인데 어떻게 국정원의 점검을 받을 수 있느냐 이래서 논란이 됐었거든요.

☏ 진행자 > 맞아요.

☏ 김승주 > 그런데 사실은 저는 이걸 실수라고 봅니다만, 해킹 프로그램이 이렇게 완전히 지워지지 않고 남아 있고, 그 다음에 여러 가지 발표하는데 이렇게 불미스러운 잡음이 생기면, 사실은 국정원의 보안점검을 자발적으로 받으려는 그런 어떤 의지가 사라지거든요.

☏ 진행자 > 근데 그 해킹 가능성에 대한 보안점검을 한다는 국정원이 그런 프로그램을 남긴다라는 게 앞뒤가 맞는 얘기입니까?

☏ 김승주 > 사실은 이런 일이 발생하면 안 되지만 사람이 하는 일이니 만큼 그런 것들이 깔끔하게 정리가 안 된 것 같습니다.

☏ 진행자 > 따로 떼어서 여쭤보고 싶은 게요. 보안점검을 해서 보안에 취약점이 있다는 사실을 발견했다고 치더라도 그걸 보도 자료를 통해서 공개를 하는 게 타당한 결정입니까?

☏ 김승주 > 제 개인적인 의견을 물으신다면 저는 그건 잘못됐다라고 생각을 합니다. 왜냐하면 보통 국정원이 보안점검을 하고 나서는 그 해당 결과에 대해서 해당 기관에 비공개로 통보를 해 줍니다.

☏ 진행자 > 당연히 해야죠.

☏ 김승주 > 그러고 나서 조치를 취하게 되는데 이번에는 관심이 집중되니까 발표를 해서 경각심을 불러일으킬 수도 있었을 것 같은데, 사실은 시기적으로는 적절치 않았다라고 봅니다.

☏ 진행자 > 시기적으로는. 보궐선거 전날이라고 하는 점을 말씀하시는 건가요?

☏ 김승주 > 맞습니다.

☏ 진행자 > 시기가 중요한 이유가 뭘까요?

☏ 김승주 > 사람들이 지금 말씀하신 것처럼 야 이거를 굳이 발표해야 되는 거야? 그것도 이 시점 해야 되는 거야? 이렇게 의혹을 제기할 수 있잖아요. 사실은 그런 일이 없도록 만약에 발표하고 싶었으면 좀 시간이 지난 다음에 발표해도 늦지는 않거든요. 지금 선관위가 빨리 조치를 취해서 그걸 고치게 하는 게 1순위인 거지.

☏ 진행자 > 그렇죠.

☏ 김승주 > 언론 브리핑하는 게 1순위는 아니니까.

☏ 진행자 > 인터넷진흥원 같은 경우는 지금 국정원에서는 보도자료에 공동명의로 인터넷진흥원을 올렸는데 인터넷진흥원은 나중에 알았다고 지금 하거든요.

☏ 김승주 > 그렇게 부인했죠. 지금 사실은 처음에 국정원이 발표할 때는 국정원과 선관위, 한국인터넷진흥원이 같이 협력해서 점검했다고 발표했는데 선관위는 그것에 대해서 아 그렇게 개표 결과가 뒤집어지지 않는다라고 반대 입장을 표명했고, 한국인터넷진흥원은 우리는 몰랐다 또 이렇게 국감장에서 얘기를 했거든요. 사실은 이런 것도 사실 그렇게 바람직하다고 볼 수는 없죠.

☏ 진행자 > 저는 상식적으로 국가기관 그것도 선거관리라고 한다면 진짜로 신뢰성이 생명인데 그거를 공개적으로 해킹 가능성이 있고 시스템이 취약하다라고 알아서 발표하는 게 이게 타당한 것인가 이건 좀 정치적 논란거리가 충분히 될 수 있을 것 같아서요.

☏ 김승주 > 저도 거기에 동의합니다. 그리고 여기서 많은 분들이 왜 선관위는 저렇게 중요한 일을 하는데 국정원의 보안점검을 안 받지 뭐 이렇게 얘기하시는 분들이 계세요.

☏ 진행자 > 그건 어떻게 보세요?

☏ 김승주 > 선관위 얘네들이 뭐 꿍꿍이가 있는 거 아니야 이렇게 얘기하시는 분들이 계신데 정부 산하기관이나 지자체들은 국정원의 보안성 점검을 의무적으로 받습니다.

☏ 진행자 > 맞아요.

☏ 김승주 > 그런데 예외로 분류된 조직들이 있습니다. 그게 정치적 중립성 의무 때문에 그렇게 하는 거거든요. 선관위도 그중 하나고요. 사실은 국회도 들어갑니다. 그래서 생각보다 예외로 들어가 있는 기관들이 꽤 되고요. 사실은 보안성 점검 이런 건 되게 중요하죠. 그래서 그게 중요하기 때문에 사전점검을 받아야 된다라고 얘기하려면 사실은 기존 예외였던 기관들도 다 받으라고 해야 되는 게 옳은 것이지 선관위만 꿍꿍이가 있으니까 저러는 거 아니야? 이렇게 하는 건 사실은 잘못된 얘기입니다.

☏ 진행자 > 그리고 말이 좋아 보안점검이지 보안점검을 하고 나면 이것저것 다 볼 수도 있는 거 아닙니까?

☏ 김승주 > 물론 그렇긴 하지만 사실은 그런 의무에 있어서는 굉장히 국정원이 엄격하게 하려고 제가 노력하는 걸로 제가 알고 있고요.

☏ 진행자 > 그래야 되죠, 당연히 물론. 그런데 만에 하나의 가능성 때문에 한 번 여쭤봤던 거고요.

☏ 김승주 > 맞습니다. 맞습니다.

☏ 진행자 > 기술적인 문제는 웬만하면 쉽게 가려고 빼놓았던 질문으로 다시한번 돌아가서 그런 말씀 여쭤볼 게 있는데 사람이 뭔가를 개입해서 뭔가를 조작해야만 해킹이 가능하다는 그런 시나리오잖아요, 지금 국정원이 이번에 발표한 게

☏ 김승주 > 내부자의 도움이 있어야 되는 거죠.

☏ 진행자 > 근데 그게 결국은 핵심 문제는 투표지 분류기 아닙니까?

☏ 김승주 > 그렇죠. 여러 가지가 있긴 합니다만 지금 투표지 분류기가 가장 핵심이었죠. 그런데 많은 분들이 투표지 분류기 그러니까 그냥 투표용지를 넣으면 그걸로 개표가 이루어지는 줄 알고 계세요. 그런데 그렇지는 않고요. 일단 투표지 분류기를 통해서 후보별로 투표용지를 분류합니다. 그 다음에 사람이 들어가서 수개표를 하면서 그 장수를 또 한 번 세거든요. 그래서 투표지 분류기만 해킹한다고 해서 선거 결과가 잘못 조작될 거다 이런 건 우려라고 얘기하는 겁니다. 그리고 선관위 측도 투표지 분류기는 수개표를 위한 보조장비지 투표지 분류기에 전적으로 의존하지 않는다, 이렇게 얘기하는 거고요.

☏ 진행자 > 그러면 기본은 수개표고 다만 속도나 편의를 위해서 투표지 분류기가 약간 보완되고 있는 거다, 이렇게 이해하면 되는 거겠네요?

☏ 김승주 > 맞습니다. 사실은 투표지 분류기는 개표하는데 너무 시간이 오래 걸리면 국민들이 많이 기다려야 되니까 개표 시간을 단축하기 위해서 한 거거든요.

☏ 진행자 > 그러니까 투표지 분류기로 A후보가 몇 장, B 후보가 몇 장이 나오는 일단 분류를 하는데 기계도 오류가 있을 수 있으니까 그 다음에는 개표원이 들어가서 맞는지 일일이 다 확인한다라는 거잖아요, 시스템이?

☏ 김승주 > 맞습니다. 그래서 지금 투표 결과가 실제로 뒤집어지려면 USB를 반입해서 투표지 분류기에 해킹프로그램을 설치하고 그 다음에 거기 있는 사람들도 매수해서 수개표 작업도 조작하고 그 다음에 거기 참관하고 있는 사람들도 전부 다 매수해야 되는 이런 일련의 과정들이 다 뒤따라야 되는 겁니다.

☏ 진행자 > 소설 아닙니까, 그러면 그건?

☏ 김승주 > 그래도 만에 하나 대비를 하는 건 좋겠죠.

☏ 진행자 > 물론 만에 하나의 가능성 얘기하면 모든 걸 다 해야 되죠.

☏ 김승주 > 그런데 사실은 언론 보도나 여러 가지 발표가 너무 과도하게 나간 건 사실입니다.

☏ 진행자 > 그러면 교수님께서 보신 총평을 하자면 국정원의 발표에 대한 언론 보도도 약간 과장되고 불필요한 어떤 걱정만 더 키웠다 이렇게 평가하시는 겁니까?

☏ 김승주 > 국정원이 지적한 전산시스템 취약점은 정확하다고 저는 보고요. 그런데 발표에 있어서 조금 그게 국정원의 실수건 언론사의 실수건 간에 과장 확대돼서 보도됐다, 저는 이렇게 봅니다.

☏ 진행자 > 그래서 괜히 중앙선관위의 신뢰성만 더 깎아내려진 거 아니냐 이런 지적이시네요?

☏ 김승주 > 네, 맞습니다.

☏ 진행자 > 알겠습니다. 어떤 그림인지 이제 좀 이해가 되네요. 알겠습니다. 오늘 말씀 잘 들었습니다. 고맙습니다, 교수님.

☏ 김승주 > 네, 감사합니다.

☏ 진행자 > 지금까지 김승주 고려대 정보보호대학원 교수였습니다.

[내용 인용 시 MBC <김종배의 시선집중>과의 인터뷰 내용임을 밝혀주시기 바랍니다.]


Copyright © MBC&iMBC 무단 전재, 재배포 및 이용(AI학습 포함)금지

이 기사에 대해 어떻게 생각하시나요?
MBC에서 직접 확인하세요. 해당 언론사로 이동합니다.