뻥 뚫린 무사안일 '선관위'..."투·개표 모두 해킹 가능"
가상 해킹에 뻥 뚫린 선관위
국정원 2개월간 선관위 전산망 가상 해킹 후 보안점검 결과 공개
"선관위, 북한이 어느 때라도 공격 가능…보안 부실"
2021년 4월 '김수키' 악성코드에 대외비 문건 유출
중앙선거관리위원회의 투·개표 관리 시스템은 북한 등이 언제든 침투할 수 있는 상태로 파악됐다.
국가정보원은 선관위, 한국인터넷진흥원(KISA)과 함께 지난 7월 17일부터 9월 22일까지 벌인 합동 보안점검 결과 선관위의 사이버 보안 관리가 부실한 점이 확인됐다고 10일 밝혔다.
국정원 "北, 선관위 PC 10분간 해킹…메일도 열람"
부정선거에도 활용 가능
(편집자주)
국정원은 "기술적인 모든 가능성을 대상으로 가상의 해커가 선관위 전산망 침투를 시도하는 방식"으로 시스템 취약점을 점검했으며 그 결과 투표 시스템, 개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다고 밝혔다.
해킹으로 투표 여부 바꾸고 '유령 유권자' 등록…선관위 도장 파일 절취
유권자 등록 현황과 투표 여부 등을 관리하는 선관위의 '통합 선거인 명부 시스템'은 인터넷을 통해 침투할 수 있고, 접속 권한 및 계정 관리가 부실해 해킹이 가능한 것으로 확인됐다.
국정원은 "이를 통해 '사전 투표한 인원'을 '투표하지 않은 사람'으로 표시하거나 '사전 투표하지 않은 인원'을 '투표한 사람'으로 표시할 수 있고, 존재하지 않는 유령 유권자도 정상적인 유권자로 등록할 수 있었다"고 밝혔다.
또 사전투표 용지에 날인되는 청인(廳印·선관위 도장), 사인(私印·투표관리관의 도장) 파일을 선관위 내부 시스템에 침투해 훔칠 수 있었다.
선관위, 부정선거 소송 중에 서버 이전 강행..시민들과 대치 상태
fntoday.co.kr/news/articleView.html?idxno=234080
edited by kcontents
아울러 테스트용 사전투표 용지 출력 프로그램의 통제가 엄격하지 않은 탓에 실제 사전투표 용지와 QR코드가 같은 투표지를 무단으로 인쇄할 수 있었다.
더욱이 사전투표소에 설치된 통신장비에 사전 인가된 장비가 아닌 외부의 비인가 컴퓨터도 연결할 수 있어 내부 선거망으로 침투할 수 있었다.
위탁 선거에 활용되는 선관위 '온라인투표시스템'의 경우 정당한 투표권자가 맞는지를 인증하기 위한 절차가 미흡해 해커가 대리 투표하더라도 확인이 불가능했다.
부재자 투표의 한 종류인 '선상투표'는 특정 유권자의 기표 결과를 암호화해 볼 수 없도록 관리하고는 있으나 암호 해독이 가능해 기표 결과를 열람할 수 있었다.
개표 결과까지 바꿀 수 있어…투표지 분류기에 해킹 프로그램 연결 가능
투표 조작을 넘어 개표 결과까지 바꿔버릴 수 있다는 사실이 드러났다.
국정원은 "개표 결과가 저장되는 '개표 시스템'은 안전한 내부망에 설치·운영하고 접속 비밀번호를 철저하게 관리해야 한다"며 "하지만 보안 관리가 미흡해 해커가 개표 결괏값을 변경할 수 있음이 드러났다"고 밝혔다.
특히 투표지 분류기에서는 USB 등 외부 장비의 접속을 통제해야 하지만, 비인가 USB를 무단으로 연결해 해킹 프로그램을 설치할 수 있었으며 이를 통해 투표 분류 결과를 바꿀 수 있었다고 한다.
투표지 분류기에 인터넷 통신이 가능한 무선 통신 장비도 연결할 수 있었다.
인터넷으로 침입 가능한 선관위 내부망
선관위의 전반적 시스템 자체도 해킹에 취약한 것으로 파악됐다.
국정원에 따르면 선관위는 중요 정보를 처리하는 내부 전산망을 인터넷과 분리해야 하지만, 망 분리 보안 정책이 미흡해 전산망 간 통신이 가능했고 인터넷에서 선관위 업무망·선거망 등 내부 중요망으로 침입할 수 있었다.
주요 시스템에 접속할 때 선관위에서 사용하는 비밀번호는 숫자·문자·특수기호를 혼합해 안전하게 만들어야 함에도 비교적 단순한 비밀번호를 사용해 손쉽게 유추가 가능했다는 게 국정원 설명이다.
내부 포털 접속용 비밀번호는 더욱이 암호화하지 않은 채 평문으로 저장해뒀던 것으로 나타났다.
北해킹 경고해줘도 대응 안 해…선관위 '우린 100점', 다시 보니 '31.5점'
선관위는 최근 2년간 국정원이 통보한 북한발 해킹 사고에 대해 인지하지 못하고 있었으며, 적절한 대응 조치도 하지 않았음을 확인했다고 국정원은 밝혔다.
특히 2021년 4월에는 선관위의 인터넷 컴퓨터가 북한 '김수키' 조직의 악성코드에 감염돼 상용 메일함에 저장됐던 대외비 문건 등 업무 자료와 해당 컴퓨터의 저장 자료가 유출된 사실이 이번 점검에서 드러났다.
선관위는 지난해 '주요 정보통신 기반 시설 보호 대책 이행 여부 점검'을 자체 평가한 결과 '100점 만점'이었다고 국정원에 통보했지만, 이번 점검에서 같은 기준으로 재평가했더니 31.5점에 불과했다고 국정원은 전했다.
취약점 분석 평가를 관련 법령에서 정한 '정보보호 전문 서비스 기업'이 아닌 무자격 업체를 통해 하는 등 법 위반 사례마저 발견됐다.
국정원은 "합동보안점검팀은 국제 해킹조직들이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있었던 바, 북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황이었다"고 설명했다.
이어 "합동점검팀은 선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응체계와 연동시켜 해킹 대응 역량을 강화하는 방안을 제의했다"며 "해킹에 악용 가능한 망간 접점, 사용자 인증 절차 우회, 유추 가능한 비밀번호 등은 선관위와 함께 즉시 보완했다"고 밝혔다.
(서울=연합뉴스) 하채림 홍국기 김지헌 기자 jk@yna.co.kr
[요약]
가상 해킹 선관위 전산망 보안점검 결과
국정원이 지난 7∼9월 선관위·한국인터넷진흥원(KISA)과 함께 선관위에 대해 가상 해킹 공격을 통해 실시한 합동 보안점검 결과는 충격적이다.
투표지분류기 해킹과 함께 유령투표, 중복투표가 가능하고 심지어 득표수 조작까지 할 수 있었다. 보안이 가장 철저해야 할 투·개표가 해킹 공격에 사실상 무방비로 노출돼 있었던 것이다.
(서울=연합뉴스) 반종빈 기자
‘얌체’ 선관위원장...대법원장車 꼬리 물고 버스차로 달려
노태악, 법규 무시하다 과태료
현직 대법관인 노태악 중앙선거관리위원장이 탄 관용차가 지난해 10월 경찰 호위를 받는 김명수 당시 대법원장 관용차를 따라 버스전용차로로 통행하다 적발돼 과태료 9만원 처분을 받은 것으로 나타났다. 비슷한 시기 노 위원장은 대법관 자격으로 해외 출장을 다녀오는 길에도 대법관 관용차가 아니라 선관위원장 관용차를 이용했다. 여당은 “5부 요인 중 한 명인 선관위원장이 법과 원칙을 무시하고, 헌법상 독립기관인 선관위를 대법원의 하부 기관으로 전락시켰다”고 비판했다.
10년간 선관위원장 좌익이 맡아와
부정선거 정황 의심해야
(편집자주)
국민의힘 정우택 의원이 9일 선관위에서 받은 자료를 보면, 노 위원장이 탄 선관위 관용차는 지난해 10월 1일 오후 경부고속도로 상행선에서 버스전용차로 통행 위반으로 2차례 단속 카메라에 찍혔다. 위치는 경기 안성시와 서울 서초구 원지동 부근이었고, 32분 간격으로 단속 카메라에 걸렸다. 이에 대해 선관위는 “충남 계룡대에서 열린 국군의날 기념식 참석 후 경찰 차량 호위를 받는 대법원장 차와 함께 버스전용차로를 이용해 복귀하는 과정에서 부과받은 건”이라고 밝혔다. 노 위원장은 당시 경찰에 호위 요청을 따로 하지 않았고 호위 대상도 아니었지만 대법원장 차를 뒤따라 버스전용차로로 운행했다고 한다.
당시 부과된 과태료 9만원은 선관위원장 관용차 운전기사가 납부했다고 선관위는 밝혔다. 이에 대해 선관위 관계자는 “원칙이 운전자 부담”이라면서도 구체적 납부 과정에 대해서는 언급하지 않았다. ‘누구 지시로 경찰 호위를 받는 대법원장 관용차를 따라갔느냐’는 본지 질의에는 “통상 국가 행사를 하면 법원 차량이 같이 행사에 참석하는 경우가 가끔 있으니 그렇게 그냥 같이 온 것 같다”며 “누가 먼저 ‘따라오라’ ‘따라가겠다’ 이런 말까지 했는지는 모르겠다”고 답했다.
한편 노 위원장은 대법관 자격으로 해외 출장을 다녀오는 과정에서 공항과 자택으로 이동하는 길에도 선관위원장 관용차를 이용했다. 노 위원장은 지난해 10월 5일 국회 국정감사에 선관위원장 신분으로 출석해 ‘해외 출장’을 이유로 인사말만 하고 퇴장했는데, 이때 선관위원장 차를 타고 인천국제공항으로 갔다. 그는 2주 뒤 해외 출장을 마치고 인천공항에서 귀가하는 길에도 선관위원장 차를 불렀다.
김승재 기자 조선일보
케이콘텐츠
