중앙선거관리위원회의 투·개표 관리 시스템이 북한 등이 언제든 침투할 수 있는 상태인 것으로 파악됐다. 다만 선관위는 내부자 가담없인 부정선거가 불가하다고 반박했다.
10일 국가정보원은 선관위·한국인터넷진흥원(KISA)과 함께 지난 7월 17일부터 9월 22일까지 벌인 합동 보안점검 결과 선관위의 사이버 보안 관리가 부실한 점이 확인됐다고 밝혔다.
국정원은 "기술적인 모든 가능성을 대상으로 가상의 해커가 선관위 전산망 침투를 시도하는 방식으로 시스템 취약점을 점검했다"면서 투표 시스템, 개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다고 전했다.
이에 따르면 유권자 등록 현황과 투표 여부 등을 관리하는 선관위의 '통합 선거인 명부 시스템'은 인터넷을 통해 침투할 수 있고, 접속 권한 및 계정 관리가 부실해 해킹이 가능한 것으로 확인됐다. 사전투표 용지에 날인되는 청인(廳印·선관위 도장), 사인(私印·투표관리관의 도장) 파일을 선관위 내부 시스템에 침투해 훔칠 수도 있었다.
특히 국정원은 "개표 결과가 저장되는 '개표 시스템'은 안전한 내부망에 설치·운영하고 접속 비밀번호를 철저하게 관리해야 한다"며 "하지만 보안 관리가 미흡해 해커가 개표 결괏값을 변경할 수 있음이 드러났다"고 했다.
투표지 분류기에서는 USB 등 외부 장비의 접속을 통제해야 하지만, 비인가 USB를 무단으로 연결해 해킹 프로그램을 설치할 수 있었으며 이를 통해 투표 분류 결과를 바꿀 수 있었다고 전했다.
아울러 선관위의 망 분리 보안 정책이 미흡해 전산망 간 통신이 가능했고 인터넷에서 선관위 업무망·선거망 등 내부 중요망으로 침입할 수 있었다며 전반적 시스템 자체도 해킹에 취약한 것으로 파악됐다고 국정원은 설명했다.
그러면서 선관위는 지난해 '주요 정보통신 기반 시설 보호 대책 이행 여부 점검'을 자체 평가한 결과 '100점 만점'이었다고 국정원에 통보했지만, 이번 점검에서 같은 기준으로 재평가했더니 31.5점에 불과했다고 했다.
반면 선관위는 국정원의 발표에 "다수의 내부 조력자가 조직적으로 가담하지 않고서는 사실상 불가능한 시나리오"라고 반박했다.
선관위는 이번 합동 보안점검에 대해 "부정선거 방지를 위한 법적·제도적 통제 장치 등을 배제한 상태에서 선관위가 운영 중인 시스템·장비를 대상으로 순수하게 기술적인 내용에 한정해서 실시했다"고 지적했다.
이어 "선거 시스템에 대한 기술적 해킹 가능성이 곧바로 실제 부정선거 가능성으로 이어지는 건 아니다"라면서 "기술적 가능성이 실제 부정선거로 이어지려면 다수의 내부 조력자가 조직적으로 가담해 시스템 관련 정보를 해커에게 제공하고, 위원회 보안 관제시스템을 불능 상태로 만들어야 하며, 수많은 사람의 눈을 피해 조작한 값에 맞춰 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오"라고 주장했다.
선관위는 투·개표가 실물 투표와 공개 수작업 개표 방식이 진행된다는 점을 들어 "정보 시스템과 기계 장치 등은 이를 보조하는 수단에 불과하다. 투·개표 과정에 수많은 사무원, 관계 공무원, 참관인, 선거인 등이 참여하고 있고 실물 투표지를 통해 언제든지 개표 결과를 검증할 수 있다"고 강조했다.
그러면서 거듭 "선거관리 과정에 안전성 및 검증가능성을 보장할 수 있는 다양한 제도적 장치들이 마련돼있어 선거 결과 조작은 사실상 불가능하다"고 강조했다. 사전투표용지 무단 인쇄와 사전투표 현황 조작 가능성에 대해서도 "현실적으로 불가능하다"며 전면 반박했다.
아울러 "이번 컨설팅에서 북한 해킹으로 인한 선거 시스템 침해 흔적은 발견되지 않았다"며 "다만 2021년 4월경 직원 1명의 외부 인터넷용 PC가 악성코드에 감염된 사실이 있으나 내부 업무망이나 선거 시스템 침해 흔적은 발견되지 않았다"고도 했다.
김수영 한경닷컴 기자 swimmingk@hankyung.com
관련뉴스