북한 등이 중앙선거관리위원회의 투·개표 관리 시스템을 언제든 침투할 수 있는 상태로 파 악 됐다고 국가정보원(국정원)이 밝히며 사례를 공개하자 시민단체 활빈단 홍정식 대표가 11일 서울서초구 내곡동 국정원,용산 대통령실 청사 앞에서 투표 시스템, 개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다는 국내 최고 정보기관의 판단을 "국민들은 믿지 않을 수 없다"며 "선관위 공무원들중 양심 선언할 정의로운 폭로자가 용기있게 나오고 검찰은 엄중한 사안에 대해 즉각 수사 개시하라"고 강력하게 촉구했다. 국정원은 지난 10일 선관위,한국인터넷진흥원 (KISA)과 함께 지난 7월 17일부터 9월 22일까지 벌인 합동 보안점검 결과 선관위의 사이버 보안 관리가 부실한 점이 확인됐다고 했다. 국정원은 "기술적인 모든 가능성을 대상으로 가상의 해커가 선관위 전산망 침투를 시도하는 방식"으로 시스템 취약점을 점검했으며 그 결과 투표 시스템, 개표 시스템, 선관위 내부망 등에서 해킹 취약점이 다수 발견됐다고 밝혔다. 국정원에 따르면 유권자 등록 현황과 투표 여부 등을 관리하는 선관위의 '통합선거인명부 시스템' 은 인터넷을 통해 침투할 수 있고, 접속 권한 및 계정 관리가 부실해 해킹이 가능한 것으로 확인됐다. 국정원은 "이를 통해 '사전 투표한 인원'을 '투표하지 않은 사람'으로 표시하거나 '사전 투표하지 않은 인원'을 '투표한 사람'으로 표시할 수 있고, 존재하지 않는 유령 유권자도 정상적인 유권자로 등록할 수 있었다"고 밝혔다. 또 사전투표 용지에 날인되는 청인(廳印·선관위 도장),사인(私印·투표관리관의 도장) 파일을 선관 위 내부 시스템에 침투해 훔칠 수 있었다는 게 국정원의 발표다. 테스트용 사전투표 용지 출력 프로그램의 통제가 엄격하지 않은 탓에 실제 사전투표 용지와 QR 코드가 같은 투표지를 무단으로 인쇄할 수 있다 더욱이 사전투표소에 설치된 통신장비에 사전 인가된 장비가 아닌 외부의 비인가 컴퓨터도 연결 할 수 있어 내부 선거망으로 침투할 수 있다. 위탁 선거에 활용되는 선관위 '온라인투표시스템' 의 경우 정당한 투표권자가 맞는지를 인증하기 위한 절차가 미흡해 해커가 대리 투표하더라도 확인이 불가능했다. 부재자 투표의 한 종류인 '선상투표'는 특정 유권 자의 기표 결과를 암호화해 볼 수 없도록 관리 하고는 있으나 암호 해독이 가능해 기표 결과를 열람할 수 있다. 국정원은 투표 조작을 넘어 개표 결과까지 바꿔 버릴 수 있다는 사실이 드러났다고 밝혔다. 특히 투표지 분류기에서는 USB 등 외부 장비의 접속을 통제해야 하지만, 비인가 USB를 무단으로 연결해 해킹 프로그램을 설치할 수 있었으며 이를 통해 투표 분류 결과를 바꿀 수 있었다고 한다. 또 선관위의 전반적 시스템 자체도 해킹에 취약한 것으로 파악됐다는 게 국정원의 설명이다. 국정원에 따르면 선관위는 중요 정보를 처리하는 내부 전산망을 인터넷과 분리해야 하지만,망 분리 보안 정책이 미흡해 전산망 간 통신이 가능했고 인터넷에서 선관위 업무망·선거망 등 내부 중요망 으로 침입할 수 있다. 주요시스템에 접속할 때 선관위서 사용하는 비밀 번호는 숫자·문자·특수기호를 혼합해 안전하게 만들어야 함에도 비교적 단순한 비밀번호를 사용 해 손쉽게 유추가 가능했다는 게 국정원 설명이다 내부 포털 접속용 비밀번호는 더욱이 암호화하지 않은 채 평문으로 저장해뒀던 것으로 나타났다. 국정원은 선관위는 최근 2년간 국정원이 통보한 북한발 해킹 사고에 대해 인지하지 못하고 있었으 며, 적절한 대응 조치도 하지 않았음을 확인했다 고 밝혔다. 선관위는 지난해 '주요 정보통신 기반 시설 보호 대책 이행 여부 점검'을 자체 평가한 결과 '100점 만점'이었다고 국정원에 통보했지만, 이번 점검에 서 같은 기준으로 재평가했더니 31.5점에 불과 했다고 국정원은 전했다. 취약점 분석 평가를 관련법령에서 정한 '정보보호 전문 서비스 기업'이 아닌 무자격 업체를 통해 하는 등 법 위반 사례마저 발견됐다. 국정원은 "합동점검팀은 선관위에 선거 시스템 보안 관리를 국가 사이버 위협 대응체계와 연동 시켜 해킹 대응 역량을 강화하는 방안을 제의했다 "며 "해킹에 악용 가능한 망간 접점, 사용자 인증 절차 우회, 유추 가능한 비밀번호 등은 선관위와 함께 즉시 보완했다"고 밝혔다.
|