[미디어펜=김소정 기자]중앙선거관리위원회의 시스템 점검을 위해 가상의 해커가 침투해본 결과 투·개표 관리 시스템을 북한 등이 언제든 해킹할 수 있었던 것으로 파악됐다.

국가정보원은 10일 선관위, 한국인터넷진흥원(KISA)과 함께 지난 7월 17일부터 9월 22일까지 벌인 합동 보안점검 결과에 대해 이같이 밝히며 내년 총선 전에 긴급 보완할 예정이라고 말했다.

국정원에 따르면, 먼저 투표 시스템에서 유권자 등록 현황, 투표 여부 등을 관리하는 통합선거인명부시스템에 인터넷을 통해 침투할 수 있는 허점이 존재하고, 접속 권한 및 계정 관리도 부실해 해킹이 가능한 것으로 확인됐다.

이를 통해 ‘사전 투표한 인원을 투표하지 않은 사람’으로 표시하거나 ‘사전 투표하지 않은 인원을 투표한 사람’으로 표시할 수 있고, 존재하지 않은 유령 유권자도 정상적인 유권자로 등록하는 등 선거인명부 내용을 변경할 수 있었다.

또 선관위의 내부 시스템에 침투해 사전투표 용지에 날인되는 청인(廳印·선관위 도장), 사인(私印·투표관리관의 도장) 파일을 훔칠 수 있었다. 아울러 테스트용 사전투표용지 출력 프로그램도 엄격하게 사용 통제되지 않아 실제 사전투표용지와 QR코드가 동일한 투표지를 무단으로 인쇄할 수 있었다.

여야 정당 등 일부 위탁선거에 활용되는 ‘온라인투표시스템’에선 정당한 투표권자가 맞는지 인증하기 위한 절차가 미흡해 해커가 대리투표를 하더라도 확인이 되지 않는 문제점도 발견했다. 

사전투표소에 설치된 통신장비에 사전 인가된 장비가 아닌 외부 비인가 PC도 연결할 수 있어 이를 통한 내부 선거망으로 침투도 가능했다.

부재자 투표의 한 종류인 ‘선상투표’의 경우엔 특정 유권자의 기표 결과를 볼 수 없도록 암호화해 관리하고 있으나 시스템 보안취약점으로 암호 해독이 가능해서 특정 유권자의 기표 결과를 열람할 수 있었다.

개표 시스템에선 접속 패스워드 등 보안관리가 미흡해 해커가 개표 결과값을 변경할 수 있는 사실도 드러났다. 투표지 분류기에선 비인가 USB 등 외부장비를 무단 연결해 해킹 프로그램 설치가 가능했고, 이를 통해 투표 분류 결과를 바꿀 수 있었다. 또한 투표지 분류기에 인터넷 통신이 가능한 무선통신장비도 연결할 수 있었다.

시스템 관리에 있어서 선관위는 증요 정보를 처리하는 내부 중요 전산망을 인터넷과 분리해 사전 인가된 접속만 허용하는 등 철저하게 관리해아 하는데도 망분리 보안정책이 미흡해 전산망간 통신이 가능하고, 인터넷에서 내부 중요망(업무망·선거망 등)으로 침입할 수 있었다.

이 밖에 선관위가 단순한 패스워드를 사용하고 있어 이를 손쉽게 유추해서 시스템 침투가 가능했고, 시스템 접속 패스워드 및 개인정보 등 중요 정보를 암호화해서 관리하는 방식도 따르지 않고 있었다.

특히 국정원은 이번에 이미 발생했던 과거 해킹사고 대응 부분에서도 후속 차단 및 보안 강화 조치가 미흡했던 사례들을 지적했다. 최근 2년간 국정원에서 통보한 북한발 해킹사고에 대해 선관위가 사전인지하지 못하고 있었으며 적절한 대응조치도 하지 않았다는 것이다.

국정원은 “이번 점검 결과는 지난 5월 국회 및 언론을 통해 선관위의 북한 해킹대응 및 정보통신기반시설 관리에 대한 부실 우려가 제기된 이후 합동보안점검팀이 구성되고, 국회 교섭단체 추천 여야 참관인들의 참여하에 이뤄진 것”이라고 밝혔다.

국정원은 “합동점검팀은 선관위에 선거시스템 보안관리를 국가 사이버위협 대응체계와 연동시켜 해킹대응역량을 강화하는 방안을 제의했다”며 “또한 선관위와 함께 해킹에 악용 가능한 망간 접점, 사용자 인증절차 우회, 유추 가능한 패스워드 등을 즉시 보완했으며, 최대한 빠른 시일 내 다른 문제점을 조치할 예정”이라고 말했다.