“선관위, 해킹 취약…개표결과-선거인명부 조작 가능”
국정원·선관위·KISA, 지난 7월 17일~9월 22일 간 선관위 시스템 대상 합동 점검 실시
선관위, 합동점검팀 권고 등을 바탕으로 총선前 사이버보안 역량 긴급 보완 예정
제22대 총선을 6개월 앞둔 10일 선거인 명부, 개표 등과 관련된 선거관리위원회 시스템에서 해킹 취약점이 다수 발견됐다는 국가정보원의 점검 결과가 발표됐다. 해커가 선관위 내부망에 침투해 개표 결과를 조작할 수 있고, 유권자 개인 정보가 대량 유출될 위험성도 있는 것으로 나타났다.
이는 선관위와 국정원, 한국인터넷진흥원(KISA)이 합동 보안 점검팀을 구성해 국회 교섭단체 추천 여야 소속 참관인들의 참여하에 7월 17일~9월 22일 보안 점검을 실시한 결과다. 이들 기관은 지난 5월 국회와 언론을 통해 선관위의 북한 해킹 대응 및 정보통신기반시설 관리가 부실하다는 우려가 제기되자 보안 점검을 벌였다.
● 해커가 유권자 특정해 기표 결과 열람…대리 투표 여부 확인도 미흡
국정원은 선관위의 시스템 취약점을 점검하기 위해 가상의 해커가 선관위 전산망 침투를 시도하는 방식으로 점검을 실시했다.
그 결과 유권자의 등록 현황, 투표 여부 등을 관리하는 ‘통합 선거인명부 시스템’에서 인터넷을 통해 선관위 내부망으로 침투할 수 있는 허점이 발견됐다. 이와 함께 해당 시스템 접속 권한과 계정 관리도 부실해 해킹이 가능한 것으로 확인됐다.
또 선관위 내부 시스템도 해킹으로 침투가 가능했다. 이를 통해 사전투표용지에 날인되는 선관위의 청인(廳印)과 투표소의 사인(私印) 파일을 훔칠 수 있었다. 테스트용 사전투표용지 출력 프로그램 사용도 엄격히 통제되지 않아 실제 사전투표용지와 QR코드가 같은 투표용지를 무단으로 인쇄할 수 있었다.
일부 위탁 선거에 활용되는 ‘온라인 투표 시스템’에서는 정당한 투표권자 인증 절차가 미흡해 해커가 대리로 투표해도 대리임이 확인되지 않았다. 부재자 투표의 한 종류인 ‘선상 투표’의 경우 암호 해독이 쉽게 가능해 특정 유권자의 기표 결과도 열람할 수 있었다.
사전투표소에 설치된 통신장비에서는 사전 인가된 장비가 아닌 외부 비(非)인가 PC도 연결할 수 있어 내부 선거 망으로 해커가 침투할 가능성이 발견됐다.
● 개표 결과도 해커가 변경 가능…개인정보 대량 유출 위험성도
국정원의 점검 결과 개표 결과가 저장되는 선관위의 ‘개표 시스템’은 보안 관리가 미흡해 해커가 개표 결과값을 쉽게 변경할 수 있었다. 투표지 분류기에서는 비인가 USB 등 외부 장비를 무단으로 연결해 해킹 프로그램 설치가 가능한 것으로 확인됐다. 또 투표지 분류기에 인터넷 통신이 가능한 무선 통신 장비도 연결할 수 있었다.
시스템 접속을 위한 패스워드, 개인정보 등의 중요 정보를 제대로 암호화하지 않아 개인정보가 대량으로 유출될 위험성도 확인됐다. 특히 주요 시스템 접속 시 사용하는 패스워드는 특수기호, 숫자, 문자 등이 혼합되지 않고 단순하게 설정되어 있어 해커가 손쉽게 유추할 수 있었다.
망 분리 보안정책도 미흡해 해커가 내부 중요 전산망으로 침투할 수 있었다. 원래 선관위의 내부 주요 전산망은 인터넷과 분리해 사전 인가된 접속만 허용하는 등 철저하게 관리돼야 한다. 하지만 부실한 관리로 외부 인터넷을 통해 선관위 업무망, 선거망으로 해커가 쉽게 침입할 수 있었다.
● 北 ‘해킹 사고’ 대응 미흡·사전 인지 못해
앞서 발생한 해킹 사고에 대한 대응 부분에서 선관위의 후속 차단과 보안 강화 조치가 미흡했던 사례도 드러났다.
국정원이 최근 2년간 선관위에 통보한 북한발 해킹 사고에 대해 선관위는 사전에 인지하지 못하고 있었고 적절한 대응 조치도 하지 않았던 것으로 나타났다. 2021년 4월경 선관위 인터넷 PC가 북한의 해킹 조직인 ‘킴수키(Kimsuky)’의 악성 코드에 감염돼 상용 e메일 함에 저장된 대외비 문건 등의 업무 자료, PC에 저장된 중요 자료가 유출되는 사고가 발생했다. 하지만 선관위는 e메일 해킹 사고 피해자에게 사고에 대해 통보조차 하지 않았고, 그 결과 동일한 직원에게 사고가 연속으로 발생했다.
이번에 국정원이 점검한 선관위의 ‘주요 정보통신기반시설 보호 대책 이행 여부’ 점수는 31.5점으로, 당초 2022년 선관위가 자체 이행 여부 점수를 100점이라고 국정원에 통보했던 것과 큰 차이가 있었다. 또 선관위는 ‘취약점 분석평가’를 관계 법령에서 정한 정보보호 전문 서비스 기업이 아닌 무자격 업체를 통해 실시하는 등 법을 위반하기도 했다.
국정원은 “합동 보안 점검팀은 국제 해킹 조직들이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있었다”며 “북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황이었다”고 설명했다. 이어 “선관위 측에 선거 시스템 보안 관리를 국가 사이버 위협 대응 체계와 연동시켜 해킹 대응 역량을 강화하는 방안을 제시했다”며 “최대한 이른 시일 내에 이번 보안 점검에서 적출된 다양한 문제점에 대한 조치를 할 예정”이라고 밝혔다.
이예지 동아닷컴 기자 leeyj@donga.com
https://n.news.naver.com/article/020/0003524534?sid=100
가상 해킹에 뻥 뚫린 선관위…국정원 "투·개표 모두 해킹 가능“
국정원 2개월간 선관위 전산망 가상 해킹 후 보안점검 결과 공개
"선관위, 북한이 어느 때라도 공격 가능…보안 부실"
2021년 4월 '김수키' 악성코드에 대외비 문건 유출
北해킹 경고해줘도 대응 안 해…선관위 '우린 100점', 다시 보니 '31.5점'
선관위는 최근 2년간 국정원이 통보한 북한발 해킹 사고에 대해 인지하지 못하고 있었으며, 적절한 대응 조치도 하지 않았음을 확인했다고 국정원은 밝혔다.
특히 2021년 4월에는 선관위의 인터넷 컴퓨터가 북한 '김수키' 조직의 악성코드에 감염돼 상용 메일함에 저장됐던 대외비 문건 등 업무 자료와 해당 컴퓨터의 저장 자료가 유출된 사실이 이번 점검에서 드러났다.
선관위는 지난해 '주요 정보통신 기반 시설 보호 대책 이행 여부 점검'을 자체 평가한 결과 '100점 만점'이었다고 국정원에 통보했지만, 이번 점검에서 같은 기준으로 재평가했더니 31.5점에 불과했다고 국정원은 전했다.
취약점 분석 평가를 관련 법령에서 정한 '정보보호 전문 서비스 기업'이 아닌 무자격 업체를 통해 하는 등 법 위반 사례마저 발견됐다.
국정원은 "합동보안점검팀은 국제 해킹조직들이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있었던 바, 북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황이었다"고 설명했다.
이어 "합동점검팀은 선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응체계와 연동시켜 해킹 대응 역량을 강화하는 방안을 제의했다"며 "해킹에 악용 가능한 망간 접점, 사용자 인증 절차 우회, 유추 가능한 비밀번호 등은 선관위와 함께 즉시 보완했다"고 밝혔다.
jk@yna.co.kr
https://n.news.naver.com/article/001/0014251706?sid=100
"비밀번호 12345" 가상해킹에 뻥 뚫린 선관위…내년 총선 관리는
https://n.news.naver.com/article/448/0000431080?cds=news_media_pc