보안

이래서 총선 할 수 있겠나…해킹에 뻥 뚫려있는 선관위

이종현 기자

- 국정원-KISA, 선관위 보안점검…공공기관 최하수준

- 망분리 안돼 대리투표 등 투·개표 결과 조작 가능성

- 선관위 자체평가서 보안점수 100점 제출…"엉터리"

[디지털데일리 이종현기자] 중앙선거관리위원회(이하 선관위)의 사이버보안 수준이 총체적 부실이라는 것이 드러났다. 외부에서 투표지를 무단으로 인쇄하는 것은 물론 대리 투표, 유령 유권자 생성까지 가능했다. 그야말로 ‘엉터리’라는 지적이다.

10일 국가정보원(이하 국정원)은 선관위와 한국인터넷진흥원(KISA)이 함께 실시한 보안점검 결과를 발표했다. 선거인명부시스템, 개표시스템, 사전투표시스템 등 관련 해킹 대응 취약점이 다수 발견됐다. 내년도에 있을 제22대 국회의원선거(이하 총선)에 적신호가 들어온 상황이다.

국정원 백종욱 3차장은 “이번 점검은 선관위가 대국민 합동점검을 받아들인 결과를 알리는 차원이다. 해킹으로 선거 정보시스템에 대한 문제가 생길 경우 그 피해는 고스란히 국민에게 미치므로 보안 취약점에 대한 점검 결과를 투명하게 알리는 것이 중요하다고 생각한다”고 말했다.

이번 합동보안점검은 지난 5월경 선관위의 보안 미흡 논란에서 비롯했다. 당초 선관위는 헌법상 독립기관이라는 점, 정치적 논란 소지 등을 이유로 국정원의 보안점검을 거부했으나 논란이 확산되자 입장을 바꿔 수용한 바 있다.

7워17일부터 9월22일까지 2개월여간 진행된 보안점검 결과 선관위의 보안은 국내 공공기관 중 최하 수준인 것으로 확인됐다.

ⓒ국가정보원
ⓒ국가정보원

국정원은 매년 국내 공공기관을 대상으로 보안실태조사를 진행한다. 올해 조사대상 119개 기관은 100점 만점에 평균 75.4점을 받았다. 최하점은 44.6점이다. 해당 기준으로 합동조사팀이 선관위를 평가했을 때 선위 점수는 31.5점이다.

합동점검팀이 선관위 시스템 취약점을 진단한 결과 선관위는 인터넷망, 업무망, 선거망에 대한 망분리가 제대로 이뤄지지 않은 상태다. 인터넷에 노출된 PC를 통해 업무를 수행할 수 있는데, 이를 징검다리로 삼아 사전 투표한 인원을 투표하지 않은 사람으로 표시하거나 투표하지 않은 인원을 투표한 사람으로 표시하는 등의 조작도 가능했다는 설명이다.

심지어 존재하지 않는 유령 유권자를 정상적인 유권자로 등록하는 등 선거인명부 내용을 변경할 수 있는 것으로 나타났다. 실제 사전투표용지와 QR코드가 동일한 투표지도 무단으로 인쇄 가능했고, 여‧야 정당 등 위탁선거에 활용되는 온라인투표시스템은 정당한 투표권자인지 인증하는 절차가 미흡해 해커가 대리 투표하더라도 문제점을 발견하지 못한다고도 꼬집었다.

백 3차장은 “이번 점검은 오로지 기술적 관점에서, 해커 관점에서 취약점을 파악한 것”이라며 “선거 관련 의혹과 결부하는 것에 대해서는 경계해야 한다”고 밝혔다. 실제 조사에서 이미 치뤄졌던 선거들에 대한 조작 등 정황은 파악하지 못했다는 설명이다.

다만 국정원은 ‘조작이 없었다’고 단정짓기도 어렵다고 강조했다. 2개월여 기간 동안 조사한 선관위 장비는 전체의 5% 남짓이며 선거에 활용된 임대 장비 다수는 이미 반납됐다. 또 남은 장비도 로그가 기록되지 않도록 설정돼 있는 등 보안관제 사각지대가 있어 ‘없다’기보다는 ‘알 수 없다’에 가까운 상황이다. 실제 합동점검팀은 선관위 직원이 사용 중인 PC가 악성코드에 감염돼 있는 것도 파악한 상태다.

이처럼 처참한 수준의 보안 상황에도 불구하고 선관위는 ‘자체평가’에서 보안 점수를 100점으로 제출했다. 국정원 관계자는 “실제로 점검을 한 것인지 의심될 정도로 점수가 엉터리로 나왔다. 혹 오해를 할까봐 걱정돼 KISA와도 함께 서로 검증하며 점검했다는 걸 말씀드린다”며 조사의 객관성을 강조했다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널