중앙선관위, 12.12 대통령 담화 이후 3 번째 설명 자료: 선관위 서버 탈취 관련 설명자료

중앙선거관리위원회,

12.12 대통령 담화이후 3번째 설명 자료:  선관위 서버 탈취 관련 설명자료

★ 12. 12. 대통령 담화 선관위 정보시스템 관련 설명

□ 전체 시스템․장비에 대한 점검 불응, 일부만 허용했다는 주장

➠ 합동 보안컨설팅은 ‘23. 7. 3. ~ 9. 22. 기간 중 위원회 서버시스템 전체를 대상으로 점검 진행. 점검 불응 및 일부만 허용하였다는 주장은 사실과 다름 

□ (일부만 점검했음에도)국정원 직원의 해킹시도에 얼마든지 데이터 조작 가능 주장

➠ 합동 보안컨설팅 당시 모의해킹은 국정원이 사전 요청한 시스템 구성도, 정보자산 현황, 시스템 접속계정 등 시스템 정보를 제공하였고, 위원회 보안정책도 예외 처리하는 등 시나리오 상황하의 결과로서 해당 내용으로 기반으로 위원회 정보시스템의 데이터 조작이 가능하다는 주장은 수용불가 

□ 방화벽은 사실상 무용지물, 비밀번호도 매우 단순 주장

➠ 합동 보안컨설팅 당시 효율적 점검을 위해 방화벽 등 일부 보안시스템 해제하는 등 위원회 보안정책 예외 적용

➠ 위원회는 업무·선거망, 인터넷망을 물리적으로 분리하여 운영 중이며, 50여 대 이상의 방화벽과 서버 접근제어 시스템을 이용하여 권한이 없는 비인가자의 주요 시스템 접속 등 통제

➠ 비밀번호가 단순한 시스템이 일부 있었으나, 보안컨설팅 결과 이행추진시 즉시 변경 조치완료 및 중요시스템의 경우 인증서, 모바일 등을 활용한 2차 인증체계 도입 

□ 시스템 보안 회사도 작은 규모의 전문성 부족 주장

➠ 23년 합동 보안컨설팅 당시의 통합관제업체는 보안관제전문기업*, 정보보호전문서비스기업** 및 소프트웨어사업자 자격을 모두 갖춘 정보보안 전문업체

*********************************************************************************************************************************

■ 보안관제 전문기업

국가사이버안전관리규정에 국가·지자체·공공기관 보안관제센터 위탁운영 지원을 목적으로 과학기술정보통신부에서 지정하며 해당 자격취득업체는 ’24년현재 23개 업체에 한함   

■ 정보보호전문서비스기업

주요정보통신기반시설에 대한 취약점 분석·평가 업무 및 보호대책 수립업무 지원 목적으로 정보보호산업의 진흥에 관한 법률 및 시행령 등에 따라 과학기술정보통신부에서 지정하며 해당 자격취득업체는 ’24년현재 29개 업체뿐

*********************************************************************************************************************************************************************

➠ ‘24년 현재 보안관제전문기업 및 정보보호서비스기업 자격을 모두 충족하는 업체는 13개 업체에 불과

□ 총선 앞두고 개선 요구하였으나 개선 여부 알 수 없었다는 주장

➠ 보안컨설팅 이후 이행추진TF 구성을 통해 지적된 취약점 대부분을 개선 완료

➠ 개선 결과 국정원 통보 및 국정원의 2차례의 이행여부 현장 점검 완료(정당 참관인 입회)

★ 비상계엄 선관위 서버 정보 탈취 관련 설명

□ 계엄군의 서버사진 촬영으로 서버 네트워크 구성을 파악해서 원격으로 정보 탈취 가능 주장

➠ 해당 서버들은 인터넷에 연결되지 않은 폐쇄망(에어갭 또는 망분리)으로 외부에서 원격 접속 자체가 불가능

➠ CCTV와 보안시스템 확인 결과 계엄군이 전산실에 실제 머무른 시간은 약 15분 가량이며, 서버 사진을 촬영하였으나, 라우터 등 통신장비를 연결하거나 서버에 접속 또는 프로그램을 설치한 사실은 없는 것으로 확인됨.