국가정보원(국정원)은 북한 등 외부세력이 마음만 먹으면 어느 때라도 중앙선거관리위원회(선관위) 내부 시스템에 침투해 선거 투·개표를 조작할 수 있다고 밝혔다.

10일 국정원과 한국인터넷진흥원(KISA)은 브리핑을 열고 선관위·국정원·KISA 3개 기관 합동으로 7월17일~9월22일 선관위 사이버 보안관리에 대한 합동 점검을 실시한 결과를 공개했다.

대통령 선거, 국회의원 총선거 등 전국 선거에 사용되는 선관위 내부망 보안관리가 부실해 공격 세력이 의도하면 투·개표 조작도 가능하다는 게 국정원 결론이다.

다만 이전 선거 과정에서 선관위 내부망이 외부세력에 뚫린 정황은 발견되지 않았다.

[유령 유권자 등록·투표지 무단 인쇄 가능]

합동 점검은 가상의 해커가 모든 기술을 동원해 선관위 전산망 침투를 시도하는 방식으로 진행됐다. 해커의 관점에서 조작할 수 있는 부분을 기술적으로 확인한 것이다.

국정원에 따르면 선거인명부에서 사전 투표한 인원을 투표하지 않은 인원으로 표시하거나, 반대로 사전 투표하지 않은 인원을 투표한 사람으로 분류하는 것이 모두 가능했다. 존재하지 않는 유령 유권자를 정상적인 유권자로 등록할 수도 있었다.

가상 해커들은 통합선거인명부 시스템에서 사전 투표용지에 날인되는 선관위 청인과 투표소 사인을 빼내는 데 성공했다. 용역업체 직원이 관리하는 테스트프로그램을 활용해 실제 사전투표용지와 QR코드가 동일한 투표지를 무단으로 대량 인쇄할 수도 있었다.

사전투표소에 설치된 통신장비에 외부 비인가 PC가 연결돼 내부 선거망 침투가 어렵지 않았다고 국정원은 지적했다.

주요 시스템에 접속할 때 사용하는 패스워드(비밀번호)는 숫자, 문자, 특수기호 혼합이 아닌 단순한 조합으로 설정돼 침투 길을 열어줬다.

개표 시스템은 내부망 접속 패스워드 관리가 철저하지 않아 해커가 후보별 득표 수를 변경할 수 있었다.

숫자 12345를 나열하거나 아이디와 동일한 'admin(관리자)'을 패스워드로 쓴 사례가 드러났다.

망분리 보안정책도 제대로 이뤄지지 않아 인터넷에서 내부 중요망을 뚫을 수 있었다.

선관위 홈페이지 등과 관련 있는 인터넷망과 달리, 업무망과 선거망은 인터넷 등 외부 통신망과 분리·차단 돼야 한다.

업무망은 선거사무를 관리하는 업무 시스템을 운영하며, 선거망은 투·개표 관련 주요 선거 시스템을 관리한다. 특히 선거망이 공격 당하면 투·개표 조직이나 선거 시스템 마비가 발생할 수 있다.  

해킹사고가 발생한 이후 후속 조치도 미흡했다.

국정원에 따르면 선관위는 이메일 해킹사고의 피해자에게 통보조차 하지 않아 같은 직원을 대상으로 연속으로 보안 사고가 발생했다.

국정원은 북한 정찰총국과 연계됐다고 알려진 해킹조직 '킴수키(Kimsuky)'가 2021년 4월 선관위 인터넷PC를 악성코드에 감염시켜 직원의 상용 메일함에 저장된 대외비 자료가 유출된 사실도 확인했다.

이 과정에서 선관위가 개인 상용메일로 업무자료를 주고받도록 허용한 건 보안정책 부실을 보여주는 단적인 사례라고 국정원은 짚었다.

용역업체 직원끼리 선관위 직원 업무계정을 공유 하는 등 관리업체 보안 문제도 있었다.

[확대해석 경계…"과거 의혹과 결부 안 돼"]

국정원은 선거 때마다 반복되는 부정 선거 논란 및 그로 인한 불복 움직임을 의식한 듯 확대해석을 자제해 달라고 요청했다.

백종욱 국정원 3차장은 "점검 결과를 과거에 제기된 선거 관련 의혹과 단순 결부시키는 건 경계해야 한다"며 "자유 민주주의 근간인 선거가 국민 신뢰 하에 공정하고 투명하게 관리되는 것이 중요한 만큼, 이번 점검은 향후 발생할 수 있는 대형 사이버 공격을 선제 차단하는 핵심 역할을 충분히 했으면 한다"고 밝혔다.

브리핑은 미니 총선이라고 불릴 만큼 여야가 사활을 걸고 있는 서울 강서구청장 보궐선거 본투표 하루 전 열렸다.

예민한 시기 선거 시스템 신뢰도를 흔들 수 있는 브리핑을 개최한 배경에 대해서 국정원 관계자는 "온몸에 암세포가 퍼진 환자에게 (암이라고) 했더니 그동안 잘 지냈는데 왜 겁주냐고 하면 어떻게 하겠느냐"고 반문했다.

국정원은 보안 점검 이후 강서구청장 선거와 관련해 취약서버 패스워드 변경 등 긴급조치를 했지만, 만족할 만한 수준은 아니라고 설명했다.