국정원 "선관위 투표 시스템, 北 공격 취약…내부 자료 유출도 확인"

올 7월부터 두달간 합동 보안 점검…결과 발표

가상 해커가 사이버 공격 시도하는 방식 등 실시

"해커가 과거 투표 결과 바꿨는지 여부는 확인 안돼"

백종욱 국정원 3차장 [사진=국정원]

국가정보원(국정원)은 중앙선거관리위원회(선관위)가 운영하는 내부 시스템에서 망 분리 미흡 등 보안 취약점을 발견하고 이를 일부 조치했다고 10일 밝혔다.

앞서 지난 5월 국회·언론은 선관위 시스템의 보안 조치가 미흡하다는 이유로 북한의 사이버 공격 우려를 제기했다. 이에 국정원은 올해 7월부터 선관위·한국인터넷진흥원(KISA)과 두 달간 합동 보안 점검을 실시했다. 이번 점검에는 국회 교섭단체가 추천한 여야 참관인도 함께 했다.

이번 보안 점검은 △시스템 취약점 △해킹 대응 실태 △기반시설 보안 관리 등 3개 분야로 나눠 진행됐다. 시스템 취약점 점검은 투표·개표 시스템과 시스템 관리 등 부문 취약점을 악용해 가상의 해커가 선관위 전산망 침투를 시도하는 방식으로 실시했다.

◆투표 시스템 거쳐 선관위 내부망 침투 가능

국정원은 선관위의 통합 선거인 명부 시스템에서 인터넷을 통해 선관위 내부망으로 침투할 수 있는 취약점을 발견했다. 접속 권한과 계정 관리도 부실한 것으로 나타났다.

이로 인해 사전 투표한 인원을 '투표하지 않은 사람'으로, 사전 투표하지 않은 인원을 '투표한 사람'으로 바꿔 표시가 가능했다. 존재하지 않은 유령 유권자도 정상 유권자로 등록하는 등 선거인 명부 내용을 변경할 수 있었다는 게 국정원 측의 설명이다.

사전투표 용지에 날인되는 선관위의 청인(廳印)과 투표인의 사인(私印) 파일을 절취하는 것도 가능했다. 또한 테스트용 사전투표 용지 출력 프로그램도 엄격히 사용 통제되지 않아 실제 사전 투표 용지와 QR코드가 동일한 투표지를 무단으로 인쇄할 수 있었다.

여야 정당 등 일부 위탁 선거에 활용되는 온라인투표시스템에는 정당한 투표권자 여부를 인증하기 위한 절차가 미흡, 해커가 대리 투표하더라도 확인이 되지 않는 문제점이 발견됐다. 사전투표소에 설치된 통신 장비에 외부 비인가 PC도 연결할 수 있어 내부 선거망으로 침투가 가능했다.

◆개표 시스템 보안 조치 미비…망분리도 미흡해

개표 결과가 저장되는 개표 시스템도 보안 관리가 미흡했다. 국정원에 따르면 해커가 개표 결과 값을 변경할 수 있었다.

투표지 분류기에서는 이동식 저장장치(USB) 등 외부 장비로 해킹 프로그램 설치가 가능했다. 투표지 분류기에 인터넷 통신이 가능한 무선 통신 장비도 연결할 수 있었다.

시스템 관리 측면에서는 선관위 내부 전산망과 인터넷 네트워크 간 분리가 제대로 이뤄지지 않았다. 주요 시스템 접속 시 사용하는 비밀번호는 숫자·문자·특수기호를 혼합하지 않고 단순하게 설정했다. 

더불어 국정원은 선관위가 △내부 포털 접속 비밀번호 △역대 선거시 등록한 후보자 명부·재외선거인명부 등을 평문으로 저장하고 있어 해커가 내부 주요 서버 침투에 악용할 수 있다고 봤다. 개인정보 대량 유출의 위험성도 확인했다.

◆北 추정 해킹에 철저히 대응 안 해

최근 2년간 국정원이 통보한 북한발 해킹 사고에 선관위는 사전 인지하지 못하고 있었다. 관련 적절한 대응·조치도 하지 않은 것으로 확인됐다.

특히 이메일 해킹 사고의 경우 피해자에 통보를 하지 않아 동일 직원 대상으로 사고가 연속으로 발생했다는 게 국정원 측의 설명이다.

지난 2021년 4월 선관위의 인터넷 PC가 북한 배후로 추정되는 김수키 조직의 악성코드에 감염된 이후 상용 메일함에 저장된 대외비 문건 등 업무 자료와 인터넷 PC에 저장된 자료가 유출된 사실도 확인했다.

◆무자격 업체에 취약점 점검 맡겨

국정원은 선관위가 운영 중인 주요 정보통신 기반 시설에 대한 보안 관리 실태도 계량 평가했다.

앞서 선관위는 지난해 '주요 정보통신 기반 시설 보호대책 이행 여부 점검'에서 자체 평가 점수를 100점 만점으로 국정원에 통보한 바 있다. 그러나 합동 보안 점검팀이 31개 평가 항목에서 동일 기준으로 재평가한 결과, 전산망과 용역 업체 보안관리 미흡 등 이유로 점수는 31.5점에 그쳤다.

선관위는 취약점 분석 평가를 관계법이 정한 정보보호 전문 서비스 기업이 아닌 무자격 업체에 맡기기도 했다.

국정원 관계자는 "국제 해킹조직이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있었는바 북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황이었다"고 강조했다.

이어 "이번 점검은 국가 선거 시스템 전반에 대한 보안 취약점을 선제 도출하는 계기가 됐다"면서 "합동 점검팀은 선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응 체계와 연동해 해킹 대응 역량을 강화하는 방안을 제의했다"고 말했다.