중앙선관위 정보보안시스템 컨설팅 결과 관련 입장

아래 내용은 윤석열 대통령의 2024년 12월 12일 (한국 시간) 담화문 발표직 후 중앙선거관리위원회가 유로저널에 보내온 자료를 게재해 공유합니다

중앙선관위 정보보안시스템 컨설팅 결과 관련 입장

▣ 부정선거 방지 위한 법적·제도적 장치 배제하고, 기술적 부분에 한정하여 실시

▣ 기술적 해킹 가능성만으로 실제 선거결과 조작 등 부정선거 실행 불가능

▣ 북한 해킹으로 인한 선거시스템 침해 흔적은 발견되지 않아

▣ 시스템 접근 제어·통제 강화 등 모든 역량 집중하여 보안 강화할 것 

중앙선거관리위원회, 국가정보원, 한국인터넷진흥원은 7. 3.부터 9. 22.까지 12주간  합동으로 선관위 정보보안시스템에 대한 보안컨설팅을 실시하였으며, 보안컨설팅 결과에 대한 우리 위원회 입장을 다음과 같이 알려드립니다.

□ 보안컨설팅 배경 및 목적

  이번 보안컨설팅은 고도화된 사이버 공격에 효과적으로 대응할 수 있도록 우리 위원회 보안시스템을 점검하여 미흡한 부분을 개선하는 등 정보보안체계를 더욱 견고히 구축하기 위하여 우리 위원회의 요청으로 국정원, KISA와 3자 합동으로 진행하였습니다.

□ 보안컨설팅 환경

  우리 위원회는 효율적 점검을 위해 보안컨설팅 실무단을 구성하여 국정원이 요청한 각종 정보·자료를 최대한 제공·지원하였습니다. 사전에 ▲시스템 구성도, ▲정보자산 현황, ▲시스템 접속 관리자·테스트 계정을 제공하였고, 사전준비에서 침입탐지·차단 등 자체 보안시스템을 일부 적용하지 않았습니다.

또한 부정선거 방지를 위한 법적·제도적 통제 장치 등을 배제한 상태에서 우리 위원회가 운영 중인 시스템·장비를 대상으로 순수하게 기술적인 내용에 한정하여 실시하였습니다. 

□ 보안컨설팅 결과에 대한 우려점

  이번 보안컨설팅의 결과는 위와 같은 컨설팅 배경·목적·환경 아래 실시되었기 때문에 부정선거 방지를 위한 다른 법적·제도적 장치 등을 종합적으로 고려하여 해석하여야 합니다.

그러므로 선거시스템에 대한 해킹 가능성이 곧바로 실제 부정선거 가능성으로 이어지는 것은 아닙니다.  

기술적 가능성이 실제 부정선거로 이어지려면 다수의 내부 조력자가 조직적으로 가담하여 시스템 관련 정보를 해커에게 제공하고, 위원회 보안관제시스템을 불능상태로 만들어야 하며, 수많은 사람들의 눈을 피해 조작한 값에 맞추어 실물 투표지를 바꿔치기해야 하므로 사실상 불가능한 시나리오입니다. 

  만약 내부 조력자 가담을 전제한다면, 어떠한 뛰어난 보안시스템도 안전성을 담보하기 어려울 것입니다.

  따라서 단순히 기술적인 해킹 가능성만을 부각하여 선거결과 조작 가능성을 언급하는 것은 ▲선거 불복을 조장하여 사회통합을 저해하고, ▲선거시스템의 신뢰성을 떨어뜨려 국민 불안과 사회 혼란을 야기할 수 있으며, ▲나아가 선출된 권력의 민주적 정당성까지 훼손할 위험성이 있습니다. 

□ 해킹을 통한 선거결과 조작 등 실현 가능성

  우리나라의 선거관리 과정에는 안전성 및 검증가능성을 보장할 수 있는 다양한 제도적인 장치들이 마련되어 있어 선거결과 조작은 사실상 불가능합니다.

  <개표결과 등 조작 가능성>

  우리나라의 투·개표는 ‘실물 투표’와 ‘공개 수작업 개표’ 방식으로 진행되며, 정보시스템과 기계장치 등은 이를 보조하는 수단에 불과합니다. 또한 투·개표 과정에 수많은 사무원, 관계공무원, 참관인, 선거인 등이 참여하고 있고, 실물 투표지를 통해 언제든지 개표결과를 검증할 수 있습니다.

  <사전투표용지 무단인쇄 및 사전투표현황 조작 가능성>

  통합선거인명부 DB에 접근하여 데이터를 위·변조하기 위해서는 사전에 서버 및 DB접속 정보 등을 확보하고 보안관제시스템을 불능상태로 만들어야 하므로 사실상 내부자 조력 없이 성공하기 어렵습니다. 

  해킹을 통해 사전투표용지에 인쇄되는 위원회 청인 및 투표관리관 사인 파일을 절취하는 경우, 사전투표용지를 무단으로 인쇄할 수 있다는 가능성을 제기하였으나, 실제 투표용지와 동일한 투표용지를 발급하기 위해서는 청인, 사인 외에도 투표용지발급기 및 전용드라이버, 프로그램을 모두 취득해야 하므로 현실적으로 불가능합니다.

□ 북한 해킹 피해 여부

  이번 보안 컨설팅에서 북한의 해킹으로 인한 선거시스템 침해 흔적은 발견되지 않았습니다. 

  다만, 2021. 4.경 직원 1명의 외부 인터넷용 PC가 악성코드에 감염된 사실이 있으나, 내부 업무망이나 선거시스템 침해 흔적은 발견되지 않았습니다.

□ 보안 취약점 개선 등 보안 강화 방안

  우리 위원회는 현재 진행 중인 서울 강서구청장보궐선거가 안정적으로 실시될 수 있도록 보안패치, 취약 패스워드 변경, 통합선거인명부 DB서버 접근 통제 강화 등 보완이 시급한 사항에 대한 조치를 완료하였습니다.

  내년 국회의원선거에 국민들이 안심하고 투표할 수 있도록 시스템 접근 제어 및 통제를 더욱 강화하고, 보안장비를 추가하는 한편, ‘보안컨설팅 결과 이행추진 TF팀’을 구성하여 개선사항 후속조치 이행 상황 등을 확인·점검할 계획입니다.

  감사부서 기능을 강화하여 정보보호정책의 적정성, 사이버위기관리 대응체계, 정보유출 예방 등 보안분야에 대한 심층 감사를 실시할 것입니다.

  아울러 중장기적으로 예산·인력 등을 확보하여 관리적·물리적·기술적 보안을 강화해 나갈 것임을 알려드립니다.