.gif)
국정원, 10일 국가사이버안보협력센터에서 ‘선거관리위원회’ 보안점검 결과 브리핑
국정원·선관위·KISA, 7월 19일~9월 22일 합동 보안점검, 주요 시스템 해킹 취약점 다수 발견
시스템 취약점, 해킹대응 실태, 기반시설 보안관리 등 3개 분야로 구분해 진행
[보안뉴스 김영명 기자] 올해 5월, 대한민국 헌법기관인 중앙선거관리위원회(위원장 노태악, 이하 중앙선관위)에서 최근 2년 새 북한 해킹 조직으로부터 다수의 사이버 공격을 받았던 사실이 알려져 우려가 제기된 바 있다. 이에 국가정보원과 선거관리위원회, 한국인터넷진흥원(KISA) 등 3개 기관은 7월 중순부터 합동 보안점검을 시행했다. 10월 10일 국가정보원은 2개월간 진행된 합동 보안점검의 결과를 브리핑하는 자리를 마련했다.
[이미지=gettyimagesbank]
당시 국회 행정안전위원회가 주관하는 제406회 국회(임시회) 제1차 중앙선관위 질의에서 박찬진 사무총장은 국정원으로부터 해킹 침투 통보가 있었다고 밝혔다. 그러면서도 국정원의 컨설팅을 거부하며 큰 논란이 일었다.
이날 국정원 백종욱 3차장은 모두 발언을 통해 “선관위의 해킹 사건과 관련해 7월 19일부터 9월 22일까지 선관위, 국정원, 한국인터넷진흥원이 합동 보안점검을 진행했다. 국정원은 특성상 브리핑 결과를 언론에 공개하지 않는다. 다만, 선관위가 대국민합동점점 계획을 발표를 앞두고 있고, 해당 결과에 앞서 저희가 오늘 자리를 마련했다”며 브리핑을 시작했다.
백종욱 3차장은 “선관위에 문제가 생기면 모든 피해가 국민에게 돌아가기 때문에 보안 취약점을 국민에 알리는 것이 중요하다. 이번 사건은 온전히 해커 관점에서 취약점을 확인했다. 선관위가 국정원에 통보한 대응조치의 적정성을 살펴본 결과 많은 보안 취약점이 나왔으며, 해킹에 즉시 악용할 수 있는 사용자 인증 취약점 등은 신속히 보완해 조치했다”고 말했다.
오늘 브리핑은 백종욱 3차장과 국가사이버안보센터장이 함께 진행했으며, △추진배경 및 개요 △보안점검 결과 △조치 및 개선 필요사항 등의 순으로 진행됐다.
먼저, ‘추진배경 및 개요’에서 해외 주요국 선거 관련 이슈를 보면, 영국에서 2023년 8월에 발생한 유권자 정보 탈취, 2017년에는 프랑스 선거 이슈 등을 언급했다. 국회는 국회 임시회 선관위 질의에서 선관위 해킹 시도가 2022년에만 4만여건이 있었다고 했지만, 선관위는 보안점검을 거부했다. 그러나 북한의 선관위 대상 해킹 공격은 2년간 수차례 진행된 것으로 나타났다.
국정원이 KISA와 피감기관인 선관위와 공동으로 진행한 이번 보안점검은 전자정부법 제56조 정보통신망 보안대책 수립 및 시행, 정보통신기반 보호법 제5조의2, 시행령 제9조의 2에 근거해 시행했다. 보안점검은 국정원, 선관위, 중앙선관위 합동으로 여·야 참관위가 참가했으며, 7월 3일~7월 14일에 사전점검, 7월 18일~9월 8일에 현장점검 순으로 진행했다.
3개 기관의 공동 보안점검을 보면, 선관위 전산망은 크게 인터넷상, 업무망, 선거망으로 구성됐다. 인터넷망은 선관위 홈페이지, 직원 인터넷 PC 등 운영을, 업무망은 선거사무관리를 위한 업무시스템 등 운영, 선거망은 투·개표 관련 주요 선거 시스템 운영 등으로 이뤄졌다.
이번 해킹은 인터넷망에서부터 시작해 업무망, 그리고 선거망 순으로 이뤄졌다. 점검 결과 망분리가 미흡해 망간 접점이 발생했으며, 패스워드 관리 부실해 제품 출시 초기 패스워드를 그대로 사용해 인터넷망부터 내부 선거시스템까지 침투가 가능했다.
▲해커 관점에서 실시한 시스템 취약점 진단[자료=국가정보원]
투표 시스템의 문제점은 통합선거인명부 탈취와 변경이 가능했다. 통합선거인명부 시스템은 내부망 침투 취약점이 있었으며, 계정관리도 부실했다. 사전투표 여부 변조는 사전투표 여부 플래그를 해커가 해킹해 기록을 삭제하는 방법으로 이뤄졌다. 투표 시스템 두 번째 문제점은 통합선거인명부 시스템에서 선관위의 투표소 사인을 위조해 무단으로 사용할 수 있었다. 실제 투표용지와 점검반 출력 투표용지를 보면 동일한 QR시스템이 나왔다.
세 번째로 온라인투표시스템의 대리투표가 가능했다. 온라인투표시스템은 위탁선거에 사용하는데, 정당대표 등이 선거지원을 하는 시스템이며 개인별 온라인 접속코드를 통해 접속하거나 패스워드가 단순해 쉽게 유추하 수 있었다. 네 번째로 ‘사전투표소’를 통해 선거망에 침투가 가능했다. 사전투표소는 유권자 정보 조회를 위해 선관위 시스템과 직접 연결돼 있다. 해커는 비인가 장비를 통해 통신장비를 연결하고 선거시스템에 침투가 가능했다.
다섯 번째로 선상투표 결과를 열람할 수 있었다. 선상투표 결과는 일반적으로 팩스를 통해 선관위 메인시스템으로 전송된다. 선상투표는 암호화돼 저장하고 전송되지만, 해커는 암호키를 획득, 해킹을 통해 선상투표 암호를 해독하고 무단으로 열람했다. 여섯 번째, 재외선거망까지 접근이 가능했다. 해커는 해킹으로 재외선거망에 접속했으며, 재외선거 시스템을 통해 재외국민 선거인명부를 탈취하고, 재외공관의 직원 PC도 접근이 가능했다. 또한, 재외공관 운영망을 통해 선관위 내부에 접속할 수 있었다.
개표 시스템 문제점은 ‘개표DB’ 해킹이 가능했다. 선관위의 인터넷망은 특별한 보안이 없어 득표수를 변경할 수 있었으며, 변경된 개표수가 방송될 수 있었다. 또한, ‘투표지분류기’ 해킹이 가능했다. 투표지 분류기에 USB를 통해 악성코드를 설치하고, 무선통신장비 연결이 가능했으며, 검증 프로그램을 우회해 투표지 분류 결과를 변경할 수 있었다.
한편, 이번 보안점검에서 합동 점검팀은 비공개로 안전하게 관리해야 하는 투표지분류기 프로그램이 인터넷에 노출돼 누구나 내려받을 수 있는 것을 확인할 수 있었다.
북한 해킹대응 실태 점검 결과를 보면, 국정원은 선관위에 통보한 해킹 사건의 피해여부 및 조치 내용, 국정원이 보유한 위협정보 활용, 해킹 여부 점검 등을 시행했다. 선관위는 국정원의 통보가 있기 전까지 2021~2023년에 선관위와 관련된 8건의 해킹에 대해 전혀 인지하지 못했으며, 해킹 원인의 조사도 없고, 자료유출도 확인하지 못했다. 이번 조사를 통해 밝혀진 내용은 북한 김수키 해킹조직에 의한 메일 계정 탈취공격으로 선관위 직원의 상용 메일과 인터넷PC에 접속해 대외비 등 자료를 유출했다. 이는 보안정책이 부실했기 때문인데, 실제 선관위 직원들이 개인 상용메일을 통해 업무자료를 유통한 사례가 발견되기도 했다.
다만, 선관위가 과거 선거에 사용됐던 임대 장비가 이미 반납됐고, 보안장비 로그의 보존기간이 2년으로 경과했다는 점, 그리고 DB서버 감사 기능을 오프(OFF)로 했으며, 비인가 무선인터넷 사용이 확인돼 선관위에서 보유한 전체 640여대 장비 중 극히 일부만 확인했다는 한계가 있었다.
▲2022년도 기반시설 보호대책 이행여부 재평가 결과[자료=국가정보원]
선관위의 기반시설 보안점검 결과에서 국정원은 정보통신기반 보호법을 중심으로 관리(6개), 시스템보안(11개), 인원 및 자산(7개), 위기대응(7개) 등 31개 점검항목에서 선관위가 자체점검해 100점 만점이라고 보고했던 것을 다시 점검했다. 이 결과에서 평가 점수는 31.5점이 나왔으며, 31개 항목 중 0점을 받은 항목이 15개로, 타 기관 대비 보안수준이 심각한 것으로 드러났다. 이는 지난해 국정원의 평가점수 분포 평균에서 최하점 수준이다.
정보시스템 망분리 및 운영 실태에서도 업무망이 인터넷과 미분리돼 개인 쇼핑몰 등 접속이 가능했으며, 기반시설 취약점 분석 및 평가에서도 무자격 업체가 관리했던 것으로 나타났다. 이밖에도 2018~2023년에 선관위가 시행한 총 185건의 정보화 사업 중 104건이 수의계약으로 이뤄진 것도 확인했다. 동일업체가 다년간 수의계약을 체결했으며, 관행이 다수 적발됐다.
국정원은 보안점검 후 보안조치 방안을 △즉시(1개월 내) △단기(3개월 내) △중장기 등 3단계로 진행할 것을 권고했다. ‘즉시’ 조치할 것은 △전산망간 접점 제거 △온라인 투표 인증우회 보완 △취약서버 패스워드 변경(이상 조치 완료) △인터넷PC 문서편집기 삭제 등이며, ‘단기’ 조치할 사항은 △전 서버 최신 보안패치 △네트워크 접근제어 강화 △사전투표소 전산망 보안 강화 △용역업체 관리권한 축소를, ‘중장기’ 조치 사항은 △전체 전산망 재설계 △상주용역업체 전산망 분리 △2차 보안인증 체계 구축 △정보보호 전담조직 신설 등을 제안했다.
백종욱 3차장은 “처음에는 보안점검을 마친 즉시 3개기관 합동으로 브리핑을 하려고 했지만, 최종 브리핑의 리허설 과정에서 더욱 국민에게 쉽게 알리기 위해 내용을 보완하기 위해 며칠을 연기했다. 또한, 오늘 이 자리에 선관위가 참석하지 않은 것은 피감기관인 선관위와 국정원 및 KISA와 입장이 다르기 때문”이라고 말했다. 이어 “이번에 선관위에서 해킹 당한 PC는 지방 선관위의 간부급 직원의 PC인 것으로 드러났다. 오늘 취약점 여부를 발표한 것도 다음 총선까지 시간이 얼마 남지 않았기 때문에 완전한 조치는 아니더라도 큰 문제 없이 투표가 진행이 가능하도록 하기 위해서 마련한 자리”라고 덧붙였다.
▲국정원이 선관위에 제안한 보안역량 강화방안[자료=국가정보원]
백종욱 3차장은 이어 “선거 주권을 가진 국민들도 선거관리시스템에 문제가 없는지 계속 관심을 둬야 하고, 국정원도 선관위 보안점검을 진행했으면, 이를 정확하게 언론에 알리는 게 중요하다”며, “선관위 직원 개인의 메일이 뚫린 것과 관련해 이를 굉장히 작은 사건으로 치부하지만, 이메일 해킹으로 발생한 대규모 피해 사례는 국내외 다수가 있다. 정부부처에 근무하는 공무원 등을 타깃으로 한 경우 파급력이 크기 때문에 이메일 해킹 단 한 건이라도 심각하게 인식하고 대응하는 것이 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
국정원·선관위·KISA, 7월 19일~9월 22일 합동 보안점검, 주요 시스템 해킹 취약점 다수 발견
시스템 취약점, 해킹대응 실태, 기반시설 보안관리 등 3개 분야로 구분해 진행
[보안뉴스 김영명 기자] 올해 5월, 대한민국 헌법기관인 중앙선거관리위원회(위원장 노태악, 이하 중앙선관위)에서 최근 2년 새 북한 해킹 조직으로부터 다수의 사이버 공격을 받았던 사실이 알려져 우려가 제기된 바 있다. 이에 국가정보원과 선거관리위원회, 한국인터넷진흥원(KISA) 등 3개 기관은 7월 중순부터 합동 보안점검을 시행했다. 10월 10일 국가정보원은 2개월간 진행된 합동 보안점검의 결과를 브리핑하는 자리를 마련했다.
[이미지=gettyimagesbank]
당시 국회 행정안전위원회가 주관하는 제406회 국회(임시회) 제1차 중앙선관위 질의에서 박찬진 사무총장은 국정원으로부터 해킹 침투 통보가 있었다고 밝혔다. 그러면서도 국정원의 컨설팅을 거부하며 큰 논란이 일었다.
이날 국정원 백종욱 3차장은 모두 발언을 통해 “선관위의 해킹 사건과 관련해 7월 19일부터 9월 22일까지 선관위, 국정원, 한국인터넷진흥원이 합동 보안점검을 진행했다. 국정원은 특성상 브리핑 결과를 언론에 공개하지 않는다. 다만, 선관위가 대국민합동점점 계획을 발표를 앞두고 있고, 해당 결과에 앞서 저희가 오늘 자리를 마련했다”며 브리핑을 시작했다.
백종욱 3차장은 “선관위에 문제가 생기면 모든 피해가 국민에게 돌아가기 때문에 보안 취약점을 국민에 알리는 것이 중요하다. 이번 사건은 온전히 해커 관점에서 취약점을 확인했다. 선관위가 국정원에 통보한 대응조치의 적정성을 살펴본 결과 많은 보안 취약점이 나왔으며, 해킹에 즉시 악용할 수 있는 사용자 인증 취약점 등은 신속히 보완해 조치했다”고 말했다.
오늘 브리핑은 백종욱 3차장과 국가사이버안보센터장이 함께 진행했으며, △추진배경 및 개요 △보안점검 결과 △조치 및 개선 필요사항 등의 순으로 진행됐다.
먼저, ‘추진배경 및 개요’에서 해외 주요국 선거 관련 이슈를 보면, 영국에서 2023년 8월에 발생한 유권자 정보 탈취, 2017년에는 프랑스 선거 이슈 등을 언급했다. 국회는 국회 임시회 선관위 질의에서 선관위 해킹 시도가 2022년에만 4만여건이 있었다고 했지만, 선관위는 보안점검을 거부했다. 그러나 북한의 선관위 대상 해킹 공격은 2년간 수차례 진행된 것으로 나타났다.
국정원이 KISA와 피감기관인 선관위와 공동으로 진행한 이번 보안점검은 전자정부법 제56조 정보통신망 보안대책 수립 및 시행, 정보통신기반 보호법 제5조의2, 시행령 제9조의 2에 근거해 시행했다. 보안점검은 국정원, 선관위, 중앙선관위 합동으로 여·야 참관위가 참가했으며, 7월 3일~7월 14일에 사전점검, 7월 18일~9월 8일에 현장점검 순으로 진행했다.
3개 기관의 공동 보안점검을 보면, 선관위 전산망은 크게 인터넷상, 업무망, 선거망으로 구성됐다. 인터넷망은 선관위 홈페이지, 직원 인터넷 PC 등 운영을, 업무망은 선거사무관리를 위한 업무시스템 등 운영, 선거망은 투·개표 관련 주요 선거 시스템 운영 등으로 이뤄졌다.
이번 해킹은 인터넷망에서부터 시작해 업무망, 그리고 선거망 순으로 이뤄졌다. 점검 결과 망분리가 미흡해 망간 접점이 발생했으며, 패스워드 관리 부실해 제품 출시 초기 패스워드를 그대로 사용해 인터넷망부터 내부 선거시스템까지 침투가 가능했다.
▲해커 관점에서 실시한 시스템 취약점 진단[자료=국가정보원]
투표 시스템의 문제점은 통합선거인명부 탈취와 변경이 가능했다. 통합선거인명부 시스템은 내부망 침투 취약점이 있었으며, 계정관리도 부실했다. 사전투표 여부 변조는 사전투표 여부 플래그를 해커가 해킹해 기록을 삭제하는 방법으로 이뤄졌다. 투표 시스템 두 번째 문제점은 통합선거인명부 시스템에서 선관위의 투표소 사인을 위조해 무단으로 사용할 수 있었다. 실제 투표용지와 점검반 출력 투표용지를 보면 동일한 QR시스템이 나왔다.
세 번째로 온라인투표시스템의 대리투표가 가능했다. 온라인투표시스템은 위탁선거에 사용하는데, 정당대표 등이 선거지원을 하는 시스템이며 개인별 온라인 접속코드를 통해 접속하거나 패스워드가 단순해 쉽게 유추하 수 있었다. 네 번째로 ‘사전투표소’를 통해 선거망에 침투가 가능했다. 사전투표소는 유권자 정보 조회를 위해 선관위 시스템과 직접 연결돼 있다. 해커는 비인가 장비를 통해 통신장비를 연결하고 선거시스템에 침투가 가능했다.
다섯 번째로 선상투표 결과를 열람할 수 있었다. 선상투표 결과는 일반적으로 팩스를 통해 선관위 메인시스템으로 전송된다. 선상투표는 암호화돼 저장하고 전송되지만, 해커는 암호키를 획득, 해킹을 통해 선상투표 암호를 해독하고 무단으로 열람했다. 여섯 번째, 재외선거망까지 접근이 가능했다. 해커는 해킹으로 재외선거망에 접속했으며, 재외선거 시스템을 통해 재외국민 선거인명부를 탈취하고, 재외공관의 직원 PC도 접근이 가능했다. 또한, 재외공관 운영망을 통해 선관위 내부에 접속할 수 있었다.
개표 시스템 문제점은 ‘개표DB’ 해킹이 가능했다. 선관위의 인터넷망은 특별한 보안이 없어 득표수를 변경할 수 있었으며, 변경된 개표수가 방송될 수 있었다. 또한, ‘투표지분류기’ 해킹이 가능했다. 투표지 분류기에 USB를 통해 악성코드를 설치하고, 무선통신장비 연결이 가능했으며, 검증 프로그램을 우회해 투표지 분류 결과를 변경할 수 있었다.
한편, 이번 보안점검에서 합동 점검팀은 비공개로 안전하게 관리해야 하는 투표지분류기 프로그램이 인터넷에 노출돼 누구나 내려받을 수 있는 것을 확인할 수 있었다.
북한 해킹대응 실태 점검 결과를 보면, 국정원은 선관위에 통보한 해킹 사건의 피해여부 및 조치 내용, 국정원이 보유한 위협정보 활용, 해킹 여부 점검 등을 시행했다. 선관위는 국정원의 통보가 있기 전까지 2021~2023년에 선관위와 관련된 8건의 해킹에 대해 전혀 인지하지 못했으며, 해킹 원인의 조사도 없고, 자료유출도 확인하지 못했다. 이번 조사를 통해 밝혀진 내용은 북한 김수키 해킹조직에 의한 메일 계정 탈취공격으로 선관위 직원의 상용 메일과 인터넷PC에 접속해 대외비 등 자료를 유출했다. 이는 보안정책이 부실했기 때문인데, 실제 선관위 직원들이 개인 상용메일을 통해 업무자료를 유통한 사례가 발견되기도 했다.
다만, 선관위가 과거 선거에 사용됐던 임대 장비가 이미 반납됐고, 보안장비 로그의 보존기간이 2년으로 경과했다는 점, 그리고 DB서버 감사 기능을 오프(OFF)로 했으며, 비인가 무선인터넷 사용이 확인돼 선관위에서 보유한 전체 640여대 장비 중 극히 일부만 확인했다는 한계가 있었다.
▲2022년도 기반시설 보호대책 이행여부 재평가 결과[자료=국가정보원]
선관위의 기반시설 보안점검 결과에서 국정원은 정보통신기반 보호법을 중심으로 관리(6개), 시스템보안(11개), 인원 및 자산(7개), 위기대응(7개) 등 31개 점검항목에서 선관위가 자체점검해 100점 만점이라고 보고했던 것을 다시 점검했다. 이 결과에서 평가 점수는 31.5점이 나왔으며, 31개 항목 중 0점을 받은 항목이 15개로, 타 기관 대비 보안수준이 심각한 것으로 드러났다. 이는 지난해 국정원의 평가점수 분포 평균에서 최하점 수준이다.
정보시스템 망분리 및 운영 실태에서도 업무망이 인터넷과 미분리돼 개인 쇼핑몰 등 접속이 가능했으며, 기반시설 취약점 분석 및 평가에서도 무자격 업체가 관리했던 것으로 나타났다. 이밖에도 2018~2023년에 선관위가 시행한 총 185건의 정보화 사업 중 104건이 수의계약으로 이뤄진 것도 확인했다. 동일업체가 다년간 수의계약을 체결했으며, 관행이 다수 적발됐다.
국정원은 보안점검 후 보안조치 방안을 △즉시(1개월 내) △단기(3개월 내) △중장기 등 3단계로 진행할 것을 권고했다. ‘즉시’ 조치할 것은 △전산망간 접점 제거 △온라인 투표 인증우회 보완 △취약서버 패스워드 변경(이상 조치 완료) △인터넷PC 문서편집기 삭제 등이며, ‘단기’ 조치할 사항은 △전 서버 최신 보안패치 △네트워크 접근제어 강화 △사전투표소 전산망 보안 강화 △용역업체 관리권한 축소를, ‘중장기’ 조치 사항은 △전체 전산망 재설계 △상주용역업체 전산망 분리 △2차 보안인증 체계 구축 △정보보호 전담조직 신설 등을 제안했다.
백종욱 3차장은 “처음에는 보안점검을 마친 즉시 3개기관 합동으로 브리핑을 하려고 했지만, 최종 브리핑의 리허설 과정에서 더욱 국민에게 쉽게 알리기 위해 내용을 보완하기 위해 며칠을 연기했다. 또한, 오늘 이 자리에 선관위가 참석하지 않은 것은 피감기관인 선관위와 국정원 및 KISA와 입장이 다르기 때문”이라고 말했다. 이어 “이번에 선관위에서 해킹 당한 PC는 지방 선관위의 간부급 직원의 PC인 것으로 드러났다. 오늘 취약점 여부를 발표한 것도 다음 총선까지 시간이 얼마 남지 않았기 때문에 완전한 조치는 아니더라도 큰 문제 없이 투표가 진행이 가능하도록 하기 위해서 마련한 자리”라고 덧붙였다.
▲국정원이 선관위에 제안한 보안역량 강화방안[자료=국가정보원]
백종욱 3차장은 이어 “선거 주권을 가진 국민들도 선거관리시스템에 문제가 없는지 계속 관심을 둬야 하고, 국정원도 선관위 보안점검을 진행했으면, 이를 정확하게 언론에 알리는 게 중요하다”며, “선관위 직원 개인의 메일이 뚫린 것과 관련해 이를 굉장히 작은 사건으로 치부하지만, 이메일 해킹으로 발생한 대규모 피해 사례는 국내외 다수가 있다. 정부부처에 근무하는 공무원 등을 타깃으로 한 경우 파급력이 크기 때문에 이메일 해킹 단 한 건이라도 심각하게 인식하고 대응하는 것이 중요하다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
