국정원, 합동점검 '충격 결과…선관위, 전산망과 투·개표 북한이 침투·조작할 수 있는 상태

국정원, 합동점검 '충격 결과…선관위, 전산망과 투·개표 북한이 침투·조작할 수 있는 상태

 

┃국가정보원·선관위·한국인터넷진흥원 / 합동보안점검팀을 구성해 국회 교섭단체 추천 / 여야 소속 참관인들의 참여 / 지난 7월17일부터 9월22일까지 보안점검을 실시 / 접속 권한, 계정 관리도 부실 / 인터넷 통해 선관위 내부망 침투 / 선거인명부 내용도 조작할 수 있어 / 대리투표해도 확인 못해 / 선관위, 해킹 사고 대응 엉망 / 동일한 직원 대상으로 연속해 해킹 / '북한발 해킹 사고 대응' 관련 사전 인지, 후속 차단 미흡 / 선관위, 18억 주고 '文후원 업체'와 수의계약했다

 

중앙선거관리위원회가 최근 5년간 9604건의 용역계약을 체결하면서 80% 가량을 수의계약으로 진행한 것으로 드러났다. 이 중 2219건의 수의계약은 100여개 업체들이 독점했고, 계약금은 623억원에 달했다.

 

이는 전체 수의계약 금액인 2076억원의 30%에 해당하는 규모인 만큼 선관위 용역계약을 특정 업체가 독점하는 것 아니냐는 우려의 목소리가 나온다.

 

국회 행정안전위원회 소속 정우택 국민의힘 의원이 11일 선관위로부터 제출받은 '중앙 및 시·도 선관위 수의계약 현황'에 따르면, 중앙 및 시·도 선관위는 2018년부터 올해 6월까지 7598건을 수의계약으로 진행했다.

 

문제는 114개의 업체가 전체 수의계약의 29%인 2219건을 맺으며 사실상 계약을 몰아줬다는 점이다. 선관위가 이들에게 수의계약으로 지급한 국가 예산은 전체 수의계약 2076억1573만원의 30%인 623억972만원이다.

 

이런 가운데 국정원은 10일 경기 성남시 국가사이버안보협력센터에서 '선관위 보안점검' 결과를 발표했다. 국정원과 한국인터넷진흥원(KISA), 선관위 등 3개 기관으로 구성된 합동보안점검팀은 지난 7월17일부터 9월22일까지 점검을 벌여 보안 취약점을 다수 적발했다.

 

이번 점검은 ▲시스템 취약점 ▲해킹대응 실태 ▲기반시설 보안관리 등 3개 분야에서 점검팀이 가상의 해커로 선관위 전산망에 침투를 시도하는 방식으로 이뤄졌다. 그 결과, 북한이 사전투표부터 개표 결과까지 조작 가능한 상태로 드러났다.

 

대선과 총선 등 국내 주요 선거를 관리하는 선거관리위원회 시스템에서 해킹 취약점이 다수 발견됐다는 조사 결과가 나왔다. 북한과 중국 해커들이 선관위 내부망에 침투해 투·개표 결과를 조작하거나, 유권자 개인정보를 대량유출할 위험도 있는 것으로 나타났다.

 

국가정보원·선관위·한국인터넷진흥원(KISA)은 합동보안점검팀을 구성해 국회 교섭단체 추천 여야 소속 참관인들의 참여하에 지난 7월17일부터 9월22일까지 보안점검을 실시했다.

 

이들 기관은 지난 5월 국회와 언론을 통해 선관위의 북한 해킹 대응 및 정보통신 기반시설 관리가 부실하다는 우려가 제기되자 보안점검을 벌였다. 합동보안점검은 크게 △시스템 취약점 △해킹 대응 실태 △기반시설 보안관리 등 3개 분야로 나누어 진행됐다.

 

국정원·선관위·KISA 합동점검 '충격 결과' "선거 투표·개표 조작 가능" 개표 시스템 보안관리 미흡 해커 마음대로 결과값 바꿀 수 있어…중앙선거관리위원회(이하 선관위) 전산망과 투·개표 시스템은 북한이 언제든지 침투·조작할 수 있는 상태로 드러났다. 특히 선관위는 킴수키(Kimsuky)를 필두로 한 북한 배후 사이버 공격에 투표지분류기에 비인가 USB를 무단연결해 해킹 프로그램을 설치할 수 있었던 것으로도 나타났다. 이를 통해 투표 분류 결과를 바꿀 수 있다. 투표지분류기에 인터넷 통신이 가능한 무선통신장비도 연결할 수 있었다. 대외비 문건을 유출당했으면서도, 국가정보원의 보안점검을 거부하고 거짓 채점으로 '100점 만점'이라는 자체 평가를 제출한 것으로 드러났다.

 

국정원은 합동보안점검 결과 선관위의 사이버 보안 관리가 부실한 점이 확인됐다고 10일 밝혔다.

 

국정원은 "기술적인 모든 가능성을 대상으로 가상의 해커가 선관위 전산망 침투를 시도하는 방식으로 시스템 취약점을 점검했으며, 그 결과 투표 시스템, 개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다"고 설명했다.

 

특히 개표 결과가 저장되는 '개표 시스템'의 보안 관리가 미흡한 것으로 드러났다. 해커가 결과값을 마음대로 변경할 수 있었다. 개표 시스템은 안전한 내부망(선거망)에 설치·운영하고 접속 패스워드도 철저하게 관리해야 하지만 선관위가 적절히 조치하지 않았던 것이다.

 

시스템 관리부문에서도 문제가 여실히 드러났다. '통합선거인명부시스템'에는 인터넷을 통해 선관위 내부망으로 침투할 수 있는 허점이 발견됐다. 접속 권한 및 계정 관리도 부실해 해킹이 가능했던 것으로 파악됐다. 이를 통해 사전투표한 인원을 '투표하지 않은 사람'으로 바꾸거나 사전투표하지 않은 인원을 '투표한 사람'으로 표시할 수 있었다.

 

또한 존재하지 않는 '유령 유권자'도 정상적인 유권자로 등록하는 등 선거인명부 내용을 조작할 수 있었다. 통합선거인명부시스템은 유권자 등록 현황, 투표 여부 등을 관리하는 투표 시스템이다.

 

이 외에도 해킹을 통해 사전투표 용지에 날인되는 청인(廳印·선관위 도장)·사인(私印·투표관리관의 도장) 파일을 절취할 수 있었으며, 실제로 사전투표용지와 QR 코드가 동일한 투표지를 무단으로 인쇄할 수 있었다.

 

아울러 일부 위탁선거에 활용되는 '온라인투표시스템'에서는 해커가 대리투표해도 확인되지 않았다. 사전투표소에 설치된 통신장비에 외부 비(非)인가 PC도 연결할 수 있었다. 부재자투표의 한 종류인 '선상투표'의 경우에는 시스템 보안 취약으로 암호 해독이 가능해 특정 유권자의 기표 결과를 열람할 수 있었다.

 

시스템 관리에서는 선관위의 망 분리 보안정책이 미흡해 전산망 간 통신이 가능하고 인터넷에서 내부 중요 망(업무망·선거망 등)으로 침입할 수 있었다.

 

나아가 단순한 패스워드를 사용해 해커의 시스템 침투가 용이했다. △내부 포털 접속 패스워드 △역대 선거시 등록한 후보자 명부 △재외선거인명부 등을 암호화하지 않아서 '개인정보 대량유출'에도 노출돼 있었다.

 

선관위는 최근 2년간 국정원에서 통보한 '북한발 해킹 사고'와 관련해서도 적절한 대응을 하지 않았다. 특히 선관위는 해킹 사고를 사전인지조차 하지 못하고 있는 것으로 확인됐다.

 

2021년 4월께 선관위 인터넷 PC가 북한 '킴수키(Kimsuky)' 조직의 악성코드에 감염돼 상용 메일함에 저장된 대외비 문건 등 업무자료와 인터넷 PC의 저장 자료가 유출되는 사건이 벌어졌다.

 

그러나 선관위는 이메일 해킹 사고의 피해자에게 해당 사실을 통보조차 하지 않았다. 결국 동일한 직원을 대상으로 사고가 연속으로 발생했다.

 

합동보안점검팀이 선관위의 31개 평가항목에 점수를 매긴 결과, 100점 만점에 31.5점에 그쳤다.

 

반면, 선관위가 동일 기준으로 실시한 2022년도 '주요정보통신 기반시설 보호대책 이행여부 점검' 자체 평가 결과는 100점이었다.

 

완전히 상반된 결과가 나온 것이다. 선관위는 이에 그치지 않고 정보보호 전문 서비스 기업이 아닌 '무자격 업체'에 일을 맡긴 것으로 드러났다.

 

 

합동보안점검팀은 "국제 해킹 조직들이 통상적으로 사용하는 해킹 수법을 통해 선관위 시스템에 침투할 수 있었다"며 "북한 등 외부 세력이 의도할 경우 어느 때라도 공격이 가능한 상황이었다"고 설명했다.

 

합동보안점검팀은 이어 "이번 점검은 국가 선거 시스템 전반에 대한 보안 취약점들을 선제 도출하는 계기"라면서 "합동점검팀은 선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응체계와 연동시켜 해킹 대응 역량을 강화하는 방안을 제의했다"고 밝혔다.

 

아울러 합동보안점검팀은 "선관위와 함께 해킹에 악용 가능한 망 간 접점, 사용자 인증 절차 우회, 유추할 수 있는 패스워드 등을 즉시 보완했다"며 "최대한 이른 시일 내에 이번 보안점검에서 적출된 다양한 문제점을 조치할 예정"이라고 말했다.

 

먼저 선관위 전산망은 보안이 필요한 시스템까지 외부에서 얼마든지 침투할 수 있는 것으로 확인됐다. 전산망은 인터넷망·업무망·선거망 등 크게 3가지로 구성된다. 이 가운데 투·개표 관련 주요 선거 시스템을 운용하는 업무망·선거망은 외부 접속으로부터 분리돼야 하나, 시스템 관리 부실로 망 분리가 제대로 이뤄지지 않은 것으로 나타났다.

 

대표적인 관리 부실 사례로, 선관위는 제품 출시 초기의 패스워드 값을 그대로 사용해온 것으로 확인됐다. 이로 인해 통합선거인명부를 탈취하거나 그 내용을 조작하는 것도 가능했다. 특히 사전투표 여부를 고쳐 이미 투표한 인원을 투표하지 않은 사람으로 뒤바꾸거나, 존재하지 않는 '유령 유권자'를 실제 유권자처럼 등록하는 일도 가능했다.

 

개표 시스템의 경우 인터넷으로 개표 데이터베이스(DB)를 해킹하는 것이 가능하다는 진단이 나왔다. DB를 안전한 내부망에 설치하지 않은 데다 패스워드 관리도 부실했다. 해커가 특정 후보의 득표 수를 변경할 수 있었으며, 이렇게 조작된 결과가 선거방송을 통해 그대로 송출될 경우 선거에 혼란을 초래할 우려가 크다는 것이 점검팀의 판단이다.

 

 

'투표지 분류기' 또한 해킹에 취약한 것으로 나타났다. USB를 통해 분류기에 악성코드를 설치하거나 허가되지 않은 무선통신장비를 연결하는 것이 가능했으며, 검증 프로그램에서도 허점이 다수 발견됐다. 실제 기표 결과와 분류 결과를 변경할 수 있다는 뜻이다. 특히 분류기 운영 프로그램이 인터넷에 그대로 노출돼 있어 해커가 사전 입수하는 것도 가능했다.

 

앞서 국정원은 북한에 의한 해킹 공격 8건을 선관위에 통보했다. 선관위는 국정원 통보 전까지 피해 사실을 인지하지 못했으며, 이후로도 해킹 원인을 조사하거나 자료 유출 여부도 확인하지 않은 채 방치했다. 공격 대상자에 피해 사실을 통보하지 않은 데다 추가 보안조치도 하지 않아, 북한이 공격했던 대상자가 동일한 공격에 연속 피해를 당한 것으로 확인됐다.

 

점검팀이 피해 내용을 조사한 결과, 북한의 대표적 해커 조직 킴수키(Kimsuky)에 의해 선관위 메일 계정을 탈취하려는 공격이 이뤄진 것으로 파악됐다. 선관위 직원의 계정을 통해 상용메일과 인터넷 PC에 담긴 자료를 탈취했고, 대외비 문서까지 북한에 다수 유출됐다. 이 과정에서 선관위 직원들이 개인 상용메일로 업무자료를 유통한 사실도 적발됐다.

 

문제는 선관위가 이런 취약한 시스템에 대한 점검을 거부하고 보안 수준을 스스로 '만점' 처리했다는 것이다. 그간 국정원 현장점검을 거부해온 선관위는 지난해 자체점검 결과를 '100점'으로 제출했다. 그러나 재평가를 해보니 실제 점수는 31.5점에 불과했다. 지난해 보호대책을 점검받은 기관 119곳의 평균 81.9점의 절반에도 못 미치며, 당시 최저점 44.6점보다 낮은 것이다.

 

선관위는 재평가에서 31개 평가 항목 중 절반에 가까운 15개 항목에 '0점'을 받았다. 업무망이 분리돼 있지도 않으면서 분리돼 있다고 거짓으로 채점했으며, 무자격 업체에 취약점 분석·평가를 맡기거나 용역업체에 선관위 직원 수준의 관리자 권한을 부여하기도 했다. 실제 용역업체 직원이 비인가 USB 등을 통해 선관위 내부자료를 유출한 사실도 드러났다.

 

다만, 국정원은 선관위가 임대 보안장비 등을 이미 반납해버린 탓에 이번 점검으로 모든 문제를 확인할 순 없다고 지적했다. 북한이 언제든지 침투·조작할 수 있는 상태라는 점까지는 확인했지만, 과거 어느 시점에 선거망 공격이 있었는지 여부는 정확히 확인하기 어렵다는 것이다. 이번 점검에선 전체 장비 6400여대 가운데 5% 수준에 불과한 317대를 확인하는 데 그쳤다.

 

점검에 참여했던 국정원 관계자는 "선관위가 실제로 점검을 했는지 의심스러울 정도로 엉터리였다"고 꼬집었다. 또 '북한에 의해 중복 공격을 당한 사례'에 관해서는 "지방선관위 간부급 직원으로, 해킹 메일을 확인해보니 해당 직원을 타겟팅해서 공격한 것으로 파악됐다"며 "임의로 메일을 뿌린 것이 아니라 선관위 직원을 사칭해서 (고의로) 접근한 것"이라고 설명했다.

 

백종욱 국정원 3차장은 "인력과 충분한 기간이 보장되면 자세하 점검을 통해 더 많은 취약점을 밝힐 수는 있겠지만, 과거 해킹 여부까지 추적하는 것은 어렵다"고 말했다. '강서구청장 보궐선거에서도 해킹 공격이 가능한지' 묻는 말엔 "즉시 조치로 전산망 간 접점을 제거 완료했고, 온라인투표 인증우회 보완 등 (시급하게) 필요한 조치까진 마친 상태"라고 설명했다.

 

선관위 관계자는 그러나 "기술적 가능성이 실제로 이어지려면 다수의 내부 조력자가 조직적으로 가담해 시스템 관련 정보를 해커에게 제공하고 위원회 보안 관제 시스템을 불능상태로 만들어야 한다"면서 "수많은 사람의 눈을 피해 조작한 값에 맞춰 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오"라고 항변했다.

 

이 관계자는 그러면서 "내부 조력자 가담을 전제한다면 그 어떤 보안 시스템도 안전성을 담보하기 어렵다"고 주장했다.

 

선관위는 현행법상 최대 기준을 넘긴 고액 수의계약도 수차례 진행했다. A업체의 경우 중앙선관위와 19건의 수의계약을 체결했다. 총 계약금액은 총 33억9470만원으로, 계약 한 건당 평균 1억7867만원의 계약을 맺은 셈이다.

 

B업체는 중앙선관위를 비롯해 광주, 대구, 대전, 서울, 세종, 충남 등 시·도선관위와 총 30차례 수의계약을 맺었다. 총 계약금액은 182억6759만원이었다. 선거 관련 장비를 담당하는 업체인 점을 감안하더라도 상당한 규모의 액수다.

 

국가·지방계약법령상 물품·용역 소액 수의계약 한도는 올해 3월 1일부터 상향 조정돼 1억원으로 규정하고 있다. 이전까지는 5000만원 범위 내 계약에 한해서만 조달청을 통한 경쟁입찰 과정을 거치지 않고 정부기관 자체적으로 수의계약을 체결할 수 있었다.

 

그러나 선관위는 당시 기준 범위를 넘긴 수의계약을 체결하면서도 조달청에 입찰공고를 올리지 않았다. 중앙선관위는 2021년 2월 A업체와 21억5460만원 규모의 고액 수의계약을 진행하면서도 조달청에 입찰공고를 올리지 않았다. B업체와 지난 4월 맺은 160억5100만원 규모의 수의계약도 조달청 입찰공고에서 찾아볼 수 없었다. 국가계약법에 명시된 수의계약 사항을 위반하면 감사원의 감사가 진행된다.

 

선관위는 또 최근 5년간 보안 업무를 특정 업체에만 위탁하고 있었다. 주식회사 '윈스'는 권순일 전 대법관이 중앙선관위원장이던 2018년부터 지난해까지 총 8차례에 걸쳐 보안 업무 용역 관련 수의계약을 체결했다. 총 계약금액은 18억4492만원이었다.

 

2021년 4월 선관위 내부 인터넷 PC가 북한 '킴수키 조직'의 악성코드에 감염돼 대외비 문건이 유출되는 등 선관위가 보안 및 해킹에 취약하다는 지적이 꾸준히 제기됐다. 실제로 지난 10일 국가정보원과 한국인터넷진흥원(KISA)의 선관위 선거 시스템 보안점검 결과 북한 등 외부 세력의 해킹에 취약한 상황으로 확인됐다.

 

선관위는 이 같은 국정원의 점검 결과 발표에 "다수의 내부 조력자가 조직적으로 가담하지 않고서는 사실상 불가능한 시나리오"라고 반박했다. 선관위 측은 "컨설팅 결과는 법적·제도적 장치 등을 종합적으로 고려해 해석해야 한다"며 "선거 시스템에 대한 기술적 해킹 가능성이 곧바로 실제 부정선거 가능성으로 이어지는 건 아니다"라고 강조했다.

 

하지만 선관위는 개선 의지를 보이지 않았다. 국내 정보보호 전문 서비스 기업으로 지정된 업체가 28개나 있지만 선관위는 보안에 허점을 드러낸 '윈스'와 계속해서 수의계약을 진행한 것이다.

 

'윈스'는 문재인 전 대통령을 후원했던 기업인이 대주주로 있는 업체인 데다 문재인 정부 들어서면서 부터 선관위 보안 업무를 맡 게된 만큼 한차례 특혜 의혹이 일기도 했다.

 

이와 관련, 정우택 의원은 "법령을 무시하고 특정 업체에 다수의 수의계약을 몰아준 것은 '일감 몰아주기' 특혜로 비춰질 수밖에 없다"며 "정부 기관의 용역 계약은 국민 혈세로 운영되는 정부 예산이 투입되는 만큼 공정하고 투명한 과정이 수반돼야 한다"고 강조했다.