보안

선거 불신 초래한 선관위, 통합보안관제 맡은 ‘윈스’ 책임론 불거질까

이종현 기자
경기도 과천시 중앙선거관리위원회 전경 ⓒ연합뉴스
경기도 과천시 중앙선거관리위원회 전경 ⓒ연합뉴스

[디지털데일리 이종현기자] 중앙선거관리위원회(이하 선관위)의 사이버보안 체계가 처참한 수준인 것으로 드러났다. 내년도 제22대 국회의원선거(이하 총선)을 앞두고 논란을 자초한 데 대한 비난의 수위가 높아지는 가운데 선관위에게 통합보안관제 서비스를 제공 중인 기업의 책임론도 불거지고 있다. 현재 선관위의 통합보안관제 사업을 수행 중인 곳은 윈스다.

선관위의 보안 실태는 총체적 난국이다. 선관위, 국가정보원(이하 국정원), 한국인터넷진흥원(KISA)으로 조성된 합동보안점검팀 조사에 따르면 선관위는 업무망 등에 접속 가능한 PC가 인터넷에도 접속할 수 있게 하는 등, 망분리를 제대로 적용하지 않은 것으로 드러났다. 악성코드에 감염돼 있는 직원 PC도 발견됐는데 이는 해커가 마음만 먹으면 선관위의 인트라넷에도 접근할 수 있다는 것을 의미한다.

실제 합동점검팀은 모의해킹 과정에서 존재하지 않는 유령 유권자를 정상적인 유권자로 등록하는 식의 선거인명부 내용 변경, 사전 투표한 인원을 투표하지 않은 사람으료 표시하는 등의 조작이 가능한 것을 기술적으로 증명했다.

또 실제 사전투표용지와 QR코드가 동일한 투표지를 무단으로 인쇄하는 것은 물론이고 부재자 투표의 한 종류인 선상투표는 유권자 기표 결과를 암호화해 관리 중이지만 취약점으로 특정 유권자의 기표결과를 열람할 수도 있었다.

선관위의 보안이 얼마나 미흡한지는 수치로도 드러난다. 합동점검팀은 선관위의 기관 보호대책 이행여부 점수를 31.5점으로 평가했다. 국정원이 119개 정보통신기반시설을 대상으로 조사한 평가에서는 평균 점수가 81.9점이다. 선관위가 압도적인 꼴찌다. 전문 보안 서비스를 제공받고 있다기에는 지나치게 허술한 상황이다.

현재 선관위의 통합보안관제 및 사이버보안 운영을 맡고 있는 윈스는 2023년부터 2024년까지 2년간 선관위 정보시스템에 대한 24시간 실시간 관제 및 전문기술지원 등을 제공토록 계약돼 있는 상태다.

통상 공공기관 사업의 경우 단일 기업만 참여하면 유찰시키는데, 2차례 유찰이 될 경우 수의계약으로 진행할 수 있다. 선관위의 2023~2024년 통합보안관제 사업은 3차례의 유찰 끝에 윈스가 수의계약으로 따냈다. 사업 규모는 11억4192만원이다.

선관위의 통합보안관제 사업 제안요청서에는 사업 범위를 ▲통합관제 및 사이버보안시스템 운영 ▲사이버침해 예방 및 대응체계 마련 ▲보안동향 분석 및 위원회 보안 수준 향상 등으로 정의하고 있다. 합동점검팀이 지적한 문제 대부분은 윈스가 관리해야 할 영역이지만 제대로 수행되지 않은셈이다.

단기간 내 발생한 사고나 내부 직원에 의한 실수에 대한 모든 책임을 관제 기업에게 전가하는 것은 지나치게 가혹하다. 하지만 선관위의 경우 전반적인 보안 체계의 문제라는 점에서 일반적인 사고 사례와는 경우가 다르다. 더욱이 윈스는 이전에도 선관위의 보안 사업을 다수 수주해왔기에 비판을 피하기 어려울 전망이다.

ⓒ윈스
ⓒ윈스

윈스는 2019년부터 2024년까지 선관위의 통합보안관제 사업을 모두 따냈다. 특히 이미 보안관제 사업을 수행 중이던 2022년에는 제20대 대통령선거, 제8회 전국동시지방선거를 이유로 진행된 1억9200만원의 특별 집중관제 사업도 따냈다. 2020년 진행된 제21대 국회의원선거에 대비해 10대의 장비를 도입하는 사업도 윈스의 몫이었다.

이번 선관위 사태와 관련 보안관제사업을 수행 중인 기업에게도 책임이 있는 것 아니냐는 질문에 백종욱 국정원 3차장은 “오랫동안 (사업을) 하는 입장에서 관행적으로 해오던 것이 쌓여서 문제를 일으킬 수 있다고 본다”며 공감을 표했다.

눈길을 끄는 것은 윈스가 선관위 보안 사업에 5차례 참여해 100%의 성공률을 보였다는 점, 또 5개 사업 중 4개 사업이 수의계약으로 진행됐다는 점이다. 윈스는 선관위 사업으로 총 38억5172만원을 벌어들였다. 이중 27억4292만원은 수의계약으로 진행됐다.

유독 높은 선관위의 수의계약 비율에 정치권 일각에서는 윈스의 모기업인 금양통신의 대표인 김을재 회장의 문재인 전 대통령의 후원 이력을 두고 ‘특혜를 받은 것 아니냐’는 의혹도 제기됐다. 현재 윈스의 대표인 김보연 대표는 김을재 회장의 아들이다.

정치적인 해석과는 별개로, 업계에서는 선관위의 사업이 투입되는 자원에 비해 수익성이 떨어진다고 주장했다. 업계 관계자는 “투표 기간 업무가 과중한 것에 비해 수익성이 좋지 않다”거나 “‘받은 만큼’만 일하다가 사달이 난 것 아닌가 싶다”는 등의 의견을 전했다.

향후 변화를 기대하기도 어렵다. 합동보안점검을 통해 다수의 문제점이 수면 위로 드러났지만 헌법기관인 선관위에게 후속조치를 강제할 수는 없다. 현재 5년째 선관위의 보안관제사업을 맡고 있는 윈스와의 계약도 내년까지 이어진다.

한편 이번 선관위와 관련한 논란이 지속하는 가운데 오는 13일 진행 예정인 국회 행정안전위원회(이하 행안위) 국정감사에서 추가적인 논의가 이어질 것으로 예상된다. 이날 행안위는 선관위와 진실‧화해를위한과거사정리위원회, 소방청, 한국소방산업기술원 등 4개 기관에 대한 국정감사를 진행할 예정이다.

이종현 기자
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널