[포럼] 중요성 커진 선거관리 정보시스템 보안

염흥열 순천향대 정보보호학과 교수

올해는 우리나라 국가 장래를 결정하는 대통령 선거가 있는 해다. 우리나라 선거 관리는 후보자 소개 및 공약소개, 유권자 신원확인, 투표 준비, 투·개표, 결과 집계 등 전 과정에 걸쳐 정보시스템에 크게 의존하고 있다.

전체 선거 과정 투명성과 투개표 결과 무결성 확보는 무엇보다도 중요하다. 이는 선거관리 정보시스템의 투명성과 무결성과 직결된다.

투개표 전 과정이 투명하게 유권자에게 공개되고 선거 결과가 국민이 선택한 대로 왜곡 없이 올바르게 반영돼야 선거관리 정보시스템의 신뢰성은 보장된다. 이제 선거관리 정보시스템의 보안은 대의 민주주의를 완성하는 필요충분조건이 되고 있다.

2009년 이후 지금까지 우리나라에서 발생했던 2009년 7.7 사이버 공격, 2013년 3.20 사이버 공격, 2016년 개인정보유출사고, 2016년 국방부 내부망 해킹 사고에 이르기 까지 많은 사이버 공격이 북한 소행으로 검경찰이 밝혔다. 대선기간 동안 북한에 의한 선거관리 정보시스템 사이버 공격도 전혀 배제할 수 없는 상황이다.

국내외를 막론하고 선거 결과에 영향을 미칠 수 있는 사이버 공격은 어제 오늘 일이 아니다. 대표적 사이버 위협은 해킹으로 습득한 중요 정보를 선거 기간 동안 공개하는 것이다. 의도는 원하지 않은 후보에게 타격을 주거나 원하는 후보에게 이로운 환경을 조성하는 것이다.

미국 오바마 대통령과 러시아 푸틴 대통령 간 지난 미국 대선 당시 러시아의 선거개입 논쟁이 외교전으로 비화하고 있다. 오바마 행정부는 러시아 정부가 지원하는 해커가 지난 대선기간 동안에 미국 민주당 전국위원회 고위 간부들의 이메일을 해킹해 중요 정보를 빼냈고, 트럼프 당선자에게 유리한 정보를 폭로 사이트인 위키리크스 등을 통해 공개했다고 간주하고 있다. 이에 대한 보복으로 미국 오바마 정부는 미국 주재 러시아 외교관 35명에 대한 추방하는 조치를 지난 연말에 취했다. 러시아는 이에 대해 당장 대응하지 않았지만, 이로 인해서 양국간 팽팽한 외교적 긴장관계가 조성되고 있다.

국가간 사이버 공격이 외교적 긴장 관계를 조성할 뿐만 아니라 선거 결과에도 영향을 미칠 수 있음을 간과해서는 안 된다.

다른 사이버 위협은 선거관리를 전담하는 정보시스템을 해킹해 선거 투·개표 데이터를 변경하는 것이다. 아직 이러한 사이버 공격 사례는 국내외를 망라해 아직 많이 알려지지 않고 있다.

또 다른 사이버 공격은 정보시스템이 제공하는 선거 관련 서비스에 대한 가용성을 훼손하는 것이다.

작년 국회의원선거 투표일인 4월 13일 오후 2시경에 선관위 '내 투표소 찾기' 서비스에 대한 분산서비스거부 (일명 디도스) 공격이 발생했다. 2011년에는 서울시장 보궐 선거에서도 선관위 홈페이지에 디도스 공격을 감행한 사례도 있다. 디도스 공격을 위해서는 적어도 악성코드에 감염된 수십만 대 이상의 좀비 컴퓨터를 사전에 확보할 필요가 있으며 무고한 일반 사용자 컴퓨터가 선거관리 정보시스템을 공격하는데 이용될 수 있다.

최근 사이버 공격은 일회성으로 그치지 않는다. 정보시스템 관리자 등 공격 대상이 분명히 결정해져 있고 장기간에 걸쳐 잠복해 있다가 필요한 시점에 효과적인 사이버 공격을 감행하는 지능형지속위협 (APT) 이 빈번히 발생하고 있다.

이는 선거기간 동안 사이버 공격에 반짝 대응한다고 선거관리 정보시스템의 안전성을 담보할 수 없음을 의미한다. 선거관리 정보시스템에 대한 직접적 핵심 보안 요구사항은 선거 데이터 무결성과 가용성과 선거관리 서비스 가용성 확보에 있다. 예를 들어, 자동 투표 분류와 결과 집계 등을 담당하는 정보시스템에 악성코드가 침투하면 선거 데이터 무결성이 훼손되거나 선거 관련 데이터가 파괴될 수 있으므로 이에 대한 대비가 필요하다.

선거관리 정보시스템에 대한 디도스 공격은 선거관리 서비스(투표소 찾기 서비스 등)의 가용성을 훼손하게 되므로 이에 대한 대응도 필요하다. 이렇게 해야 선거 후 불필요한 국가적 논란과 혼란을 미리 막을 수 있다.

유비무환 정신이 필요하다. 선거관리 정보시스템에 대한 사이버 보안 체계를 철저히 점검하고 작금의 공격 수준에 대응할 수 있도록 개선해야 한다. 외부 및 내부 공격으로부터 선거관리 정보시스템의 안전성과 가용성에 대한 점검도 필요하다.

먼저 선거관리 정보시스템 취약성을 찾아내고 제거해야 한다. 선거관리 정보시스템에 잠입해 있을지 모를 악성코드를 찾아서 제거하는 것도 중요하다. 지능형 사이버 공격 시도를 상시적으로 모니터링해 막아야 하며, 취약성으로부터 초래되는 잠재적 보안 위험을 제거해야 한다. 최근 사이버 위협에 대비해 선거관리 정보시스템의 기술적, 관리적, 물리적 보호 대책의 강화가 요구된다. 한마디로 선거관리 정보시스템의 정보보호 관리체계의 강화가 요구된다.

대의 민주주의는 국민에 의한 선거를 통해 이뤄진다. 민주주의 완성은 투표 데이터의 무결성과 가용성 확보가 무엇보다도 전제돼야 한다. 선거관리 정보시스템에 대한 긴급 보안 점검이 필요하며, 사이버보안 대응 자세, 인식제고, 인적 및 물적 자원의 투자가 요구되는 시점이다.

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]