외부 세력이 대통령 선거, 국회의원 선거 등 중요 선거에서 투개표 결과를 조작할 수 있을 만큼 중앙선거관리위원회의 사이버 보안 관리가 허술한 것으로 나타났다.
국가정보원은 이같은 내용이 담긴 선관위 대상 합동 보안점검 결과를 10일 발표했다. 이번 점검은 국정원과 한국인터넷진흥원(KISA), 선관위 등 3개 기관이 지난 7월 17일부터 9월 22일까지 가상의 해커를 설정해 선관위 전산망 침투를 시도하는 시뮬레이션 방식으로 진행했다.
보안점검 결과 선관위의 △투표시스템 △개표시스템 △시스템 관리 등 전반에서 보안이 부실한 것으로 조사됐다.
투표시스템의 경우 인터넷을 통해 선관위의 통합 선거인명부 시스템에 침투할 수 있고 접속 권한 및 계정관리도 부실해 해킹이 가능했다.
이를 통해 사전투표 인원을 투표하지 않은 사람으로 표시하거나 사전투표를 하지 않은 인원을 투표한 사람을 표시할 수 있고 존재하지 않는 유령 유권자도 정상적 유권자로 등록하는 등 선거인명부 내용을 조작할 수 있던 것으로 조사됐다.
선관위 내부 시스템에 침투해 사전투표 용지에 날인되는 선관위, 투표소 파일을 절취할 수 있었고 테스트용 사전투표용지를 이용해 사전투표용지도 무단으로 다량 인쇄할 수 있었다.
정당들이 위탁한 선거에 활용되는 온라인 투표시스템에선 투표권자 인증 절차가 미흡해 해커가 대리 투표해도 정체를 확인할 수 없었다.
사전투표소에 설치된 통신장비에는 외부 비인가 PC도 연결할 수 있어 내부 선거망으로 침투할 수 있었고 부재자투표 중 하나인 선상(船上)투표의 경우 해커가 암호를 해독해 특정 유권자의 기표 결과를 열람할 수 있는 것으로 확인됐다.
개표 시스템에서도 취약점이 발견됐다. 개표시스템은 안전한 내부망에 설치돼 운영돼야 하고 접속 패스워드도 철저히 관리돼야 하지만 보안관리가 미흡해 해커가 개표 결괏값을 변경할 수 있던 것으로 드러났다. 투표지 분류기도 해킹프로그램을 설치해 투표 분류 결과를 바꿀 수 있던 것으로 조사됐다.
선관위의 시스템 관리도 부실한 것으로 확인됐다.
내부 중요 전산망과 인터넷을 분리해 사전 인가된 접속만 허용해야 하지만 망 분리 보안정책이 미흡해 전산망 간 통신이 가능해 인터넷으로 내부망에 침입할 수 있었다.
주요 시스템 패스워드도 숫자, 문자, 특수기호 혼합 설정이 아닌 단순 패스워드 사용으로 시스템 침투를 가능하게 했다.
또 내부 포털 접속 패스워드, 역대 선거 시 등록한 후보자명부·재외선거인명부를 암호화하지 않아 개인정보가 대량 유출될 위험성이 있는 것으로 드러났다.
선관위는 국정원이 통보했던 최근 2년간 북한발 해킹 사고를 사전에 인지하지 못하는 등 해킹 사고 대응에도 미흡한 것으로 조사됐다.
지난 2021년 4월 선관위 PC가 북한 `김수키`(Kimsuky) 조직의 악성코드에 감염돼 상용 메일함에 저장된 대외비 문건 등 업무자료와 PC의 저장자료가 유출된 사실도 확인됐다.
다만 북한 해커조직이 선관위 내부망에 침투했는지 여부는 확인되지 않았다.
과거 사용됐던 임대 장비가 이미 반납됐고 보안장비 로그 보존기간이 2년이었던 데다 무선 인터넷 사용으로 보안점검의 사각지대가 발생했기 때문이다.
이번 점검에선 인원과 기간의 제약으로 선관위 전체 장비의 5%만 점검할 수 있었고 외부의 침투 흔적을 확실하게 확인하기 위해서는 별도의 절차가 필요하다는 게 국정원의 설명이다.