[디지털데일리 이종현기자] 국가정보원(이하 국정원)이 중앙선거관리위원회(이하 선관위)에 대한 합동보안점검 결과를 발표했다. 총체적 부실로, 해킹 위협에 고스란히 노출돼 있다는 지적이다. 이와 관련 선관위는 기술적 가능성일 뿐, 실제 선거결과 조작 등은 불가능하다며 반박에 나섰다.

이번 합동보안점검은 지난 5월경 선관위의 보안 미흡 논란에서 비롯했다. 당초 선관위는 헌법상 독립기관이라는 점, 정치적 논란 소지 등을 이유로 국정원의 보안점검을 거부했으나 논란이 확산되자 입장을 바꿔 수용한 바 있다. 점검은 선관위와 국정원, 한국인터넷진흥원(KISA)이 함께 진행했다.

조사 결과 선관위의 보안 수준은 국내 공공기관 중 최하 수준인 것으로 나타났다. 실제 해커가 침입해 사전 투표한 인원을 투표하지 않은 사람으로 표시하거나, 투표하지 않은 인원을 투표한 사람으로 표시하는 등의 조작도 가능한 것으로 확인됐다. 심지어 존재하지 않는 유령 유권자를 정상 유권자로 등록하는 등의 선거인명부 내용 변경도 가능했다.

이와 관련 선관위는 “부정선거 방지를 위한 법적‧제도적 통제 장치를 배제한 상태에서 순수한 기술적 내용에 한정해 실시한 조사 결과”라며 선거 시스템에 대한 해킹 가능성이 실제 부정선거 가능성으로 이어지는 것은 아니라고 반박했다.

선관위 관계자는 “기술적 가능성이 실제 부정선거로 이어지려면 다수의 내부 조력자가 조직적으로 가담해 시스템 관련 정보를 해커에게 제공하고 위원회 보안관제시스템을 불능 상태로 만들어야 하며 수많은 사람들의 눈을 피해 조작한 값에 맞추어 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오”라고 주장했다. 내부 조력자 가담을 전제한다면 그 어떤 보안 시스템도 안전성을 담보하기 어렵다고도 부연했다.

다만 이와 같은 선관위의 주장에도 불구하고 허술한 보안에 대한 질타는 이어질 것으로 전망된다. 합동점검 결과 선관위는 망분리조차도 제대로 이뤄지지 않았다. 실제 악성코드에 감염돼 있는 직원 PC도 발견됐다. 만약의 사태 이후 조사할 수 있는 로그조차도 제대로 기록되지 않아 심층 조사가 어려운 상태다.

또 내부자 조력 없이는 해킹에 성공하기 어렵다고 강조하지만 제대로 된 보안시스템이라면 내부자에 의한 유‧노출도 감시하는 것이 당연하다. 그 무엇도 믿지 말라는 제로 트러스트(Zero Trust) 보안 모델이 대두된 배경이기도 하다.

선관위는 현재 진행 중인 서울 강서구청장보궐선거를 위해 보안패치, 취약 패스워드 변경, 통합선거인명부 데이터베이스(DB) 접근통제 강화 등 보완이 시급한 사항에 대해 조치를 완료했다고 밝혔다. 내년도 국회의원선거가 안전하게 이뤄질 수 있도록 시스템 접근제어 및 통제를 강화하고 보안장비를 추가하는 동시에 합동점검 결과 이행추진 TF를 꾸려 후속조치를 하겠다는 입장이다.