국가정보원(국정원) 등의 합동 보안 점검 결과 선거관리위원회(선관위) 내부망 해킹이 가능하고 사전투표 및 개표 결과도 조작할 수 있는 것으로 드러나면서 국민적 우려가 커지고 있다. 국정원은 2년간 북한 정찰총국 소행으로 추정되는 7차례의 공격 사실을 매번 통보했지만, 선관위는 뾰족한 대책을 세우지 않았다. 선관위는 “해킹 가능성이 부정선거 가능성으로 이어지는 건 아니다”라는 다소 군색한 해명을 내놓았다.
사이버 보안 문제는 10월 국회 국정감사에서도 도마에 올랐다. 보건복지위원회에서는 국민건강보험공단의 해킹 시도(2019년 1781건→2022년 8429건), 국방위원회에서는 군 대상 해킹 시도(2022년 9021건→2023년 1~9월 1만335건), 기획재정위원회에서는 한국원산지정보원 대상 해킹 시도(2019년 1만8612건→2022년 4만7647건)가 급증한 데 대한 위원들의 성토가 이어졌다. 사물인터넷(IoT) 등 정보 기반 산업이 발전하면서 해킹 우려도 커지고 있지만 한국의 ‘사이버 보안 불감증’은 여전하다는 지적이 많다.
7~9월 국정원·선관위·한국인터넷진흥원(KISA)의 합동 보안 점검 결과 선관위 전산망에 침투시킨 가상의 해커가 시스템을 쉽게 뚫었다고 최근 국정원이 발표했다.
“그렇다. 가장 완벽한 보안을 자랑해야 할 선관위가 국제 해킹 조직이 ‘통상적’으로 쓰는 해킹 수법에 쉽게 뚫렸다니 참담하다. 보안성을 고려하지 않고 프로그램을 개발했거나, 오류나 설계 결함을 방치해 취약한 접속 환경이 만들어진 결과다.”
사전투표 용지에 날인되는 청인(廳印: 선관위 도장), 사인(私印: 투표 관리관 도장) 파일도 탈취할 수 있었다. 이러면 개표 결과 조작도 가능한데.
“내외부망 분리가 완벽하지 않았다. 이 경우 해커는 취약 서버로 침투해 방화벽을 지나 내부 중요망(업무망·선거망 등)에 침입한다. 데이터를 조작하려면 데이터베이스 접속 권한이나 계정이 필요한데, 이 정도면 관리자 수준의 계정이 이미 노출됐다고 봐야 한다. 사실상 보안 관리를 안 한 것이다.”
대리 투표도 가능했다는 건….
“온라인투표 시스템 인증 절차가 미흡했기 때문이다. 해당 페이지가 화면에 표시될 때 개발자 도구를 이용해 노출된 정보를 조작하거나, 허위로 통과할 수 있는 정보를 전송해 인증을 우회했을 개연성이 크다.”
민간 보안사고도 2018년 500건에서 지난해 1142건으로 급증했는데.
“튼튼한 철제 대문이 달린 집에 살다 보면 ‘집을 지켜야 한다’는 인식이 낮아지듯, 대형 포털사이트에 가입하면 그들이 정보를 지켜줄 거라는 환상을 갖는다. 하지만 전혀 그렇지 않다. 사용자는 비밀번호를 자주 바꾸고 안 쓰는 계정은 삭제하는 등 스스로 관리하는 것이 중요하고, 사회적으론 규제 패러다임을 바꿔야 한다. 2016년 인터파크 회원 2540만 명의 개인정보가 유출됐는데, 5년간 민사소송 끝에 피해 고객 인당 10만 원씩 배상하라는 판결이 났다. 선진국에서 이런 사고가 나면 수조 원 배상 판결이 나와 회사가 망하곤 한다.”
“선진국은 기업 자율성은 보장하되, 엄중하게 책임을 묻는 ‘네거티브 방식’(금지사항 외 나머지는 허용)의 규제를 한다. 사고가 나면 기업은 선제적으로 소비자 피해를 보상하고, 이후 정부가 나서 징벌적 손해배상을 통해 과징금을 부과한다. 반면 한국은 ‘포지티브 방식’(허용사항 외 나머지는 금지)이다 보니 사고가 나도 업체는 ‘관계기관 가이드라인에 따랐다’고 항변하고, 법원은 이를 받아들인다. 국내 금융사들이 공인인증서를 채택하고 같은 보안 프로그램을 사용하는 것도 이 때문이다. 이런 규제 방식은 보안 취약성을 낳는다.”
지금까지 보안은 해커가 공격한 데이터를 분석해 방어 전략을 짜왔기 때문에 같은 방식의 공격에는 효율적이지만 신종·변종 공격에는 취약했다. ‘스텔스 MTD’(Moving Target Defence: 이동형 표적방어) 기술은 그렇지 않은 거 같다.
“MTD 기술은 신종이든, 구종이든 해커가 공격할 주소를 찾지 못하기 때문이다. 2017년부터 연구원 18명과 이 전략을 짜왔다. 쉽게 말해 서울 공덕역에서 여의도로 가려면 마포대교를 건너야 하는데 이 다리의 연결점(통로)을 보이지 않게 하는 거다. 서버 IP 주소와 포트 번호를 설정 주기(최대 1초) 내에서 무작위 변경하면 주소를 찾아 뚫을 확률은 42억 분의 1이다. 운 좋게 다리를 건너 집 대문을 뚫고 침입했다 해도 1초 만에 안방 문, 화장실 문 자물쇠가 다시 생겨 지속적으로 해킹하기가 어렵다.”
스텔스솔루션 연구진이 구현한 MTD는 2019년 미 국방부가 신속획득기술로 지정한 기술로, 세계적인 리서치 기업 미국 가트너는 “3~5년 뒤 보안 분야에서 가장 중요하게 사용될 기술”이라고 예측했다. 왕 대표는 고도화한 이 기술을 2월 스페인에서 열린 ‘MWC(모바일 월드 콩그레스) 2023’과 4월 미국에서 열린 ‘RSA(정보보안) 콘퍼런스 2023’에 출품해 호평받았다. 이어지는 그의 설명이다.
“현재 ‘스텔스 MTD’는 공군과 테스트를 마쳤고, 육군의 지휘부 워게임(전쟁이 일어난 상황을 가정한 시뮬레이션) 서버에 적용되고 있다. 사우디아라비아 등과도 테스트 중이다. 미 국방부 역시 현재 MTD 방식으로 보안 기술을 개발하고 있는데, 최근 ‘스텔스 MTD 방식을 함께 고도화하고 싶다’고 제안해왔다. 물론 이 기술을 고도화해 커머셜하게(상업적으로) 판매할 수도 있지만, 우선 대한민국에서 신기술을 적용한 ‘완벽한 보안’을 다지는 것이 목표다. 이후 ‘K-보안’으로 해외시장을 개척하고 싶다. 그동안 연구개발(R&D)에 집중해 기술 고도화를 이뤘으니, 이제 그 결과와 비전을 담은 논문을 해외 저널에 싣고자 준비하고 있다.”
사이버 보안 문제는 10월 국회 국정감사에서도 도마에 올랐다. 보건복지위원회에서는 국민건강보험공단의 해킹 시도(2019년 1781건→2022년 8429건), 국방위원회에서는 군 대상 해킹 시도(2022년 9021건→2023년 1~9월 1만335건), 기획재정위원회에서는 한국원산지정보원 대상 해킹 시도(2019년 1만8612건→2022년 4만7647건)가 급증한 데 대한 위원들의 성토가 이어졌다. 사물인터넷(IoT) 등 정보 기반 산업이 발전하면서 해킹 우려도 커지고 있지만 한국의 ‘사이버 보안 불감증’은 여전하다는 지적이 많다.
왕효근 ㈜스텔스솔루션 대표. [지호영 기자]
‘통상적’ 해킹 수법에 뚫린 선관위
왕효근 ㈜스텔스솔루션 대표는 “선관위 보안 점검 결과는 참담한 수준”이라며 “정보 유통량이 급증한 만큼 이제는 대한민국 보안 패러다임을 바꿔야 한다”고 지적한다. 스텔스솔루션은 해커로 하여금 공격할 서버 주소를 찾지 못하게 하는 주소변이기술을 세계 최초로 구현한 보안업체다. 이 기술은 5월 산업통상자원부의 신기술(New Excellent Technology·NET) 인증을 받았다. 다음은 왕 대표와 나눈 일문일답이다.7~9월 국정원·선관위·한국인터넷진흥원(KISA)의 합동 보안 점검 결과 선관위 전산망에 침투시킨 가상의 해커가 시스템을 쉽게 뚫었다고 최근 국정원이 발표했다.
“그렇다. 가장 완벽한 보안을 자랑해야 할 선관위가 국제 해킹 조직이 ‘통상적’으로 쓰는 해킹 수법에 쉽게 뚫렸다니 참담하다. 보안성을 고려하지 않고 프로그램을 개발했거나, 오류나 설계 결함을 방치해 취약한 접속 환경이 만들어진 결과다.”
사전투표 용지에 날인되는 청인(廳印: 선관위 도장), 사인(私印: 투표 관리관 도장) 파일도 탈취할 수 있었다. 이러면 개표 결과 조작도 가능한데.
“내외부망 분리가 완벽하지 않았다. 이 경우 해커는 취약 서버로 침투해 방화벽을 지나 내부 중요망(업무망·선거망 등)에 침입한다. 데이터를 조작하려면 데이터베이스 접속 권한이나 계정이 필요한데, 이 정도면 관리자 수준의 계정이 이미 노출됐다고 봐야 한다. 사실상 보안 관리를 안 한 것이다.”
대리 투표도 가능했다는 건….
“온라인투표 시스템 인증 절차가 미흡했기 때문이다. 해당 페이지가 화면에 표시될 때 개발자 도구를 이용해 노출된 정보를 조작하거나, 허위로 통과할 수 있는 정보를 전송해 인증을 우회했을 개연성이 크다.”
민간 보안사고도 2018년 500건에서 지난해 1142건으로 급증했는데.
“튼튼한 철제 대문이 달린 집에 살다 보면 ‘집을 지켜야 한다’는 인식이 낮아지듯, 대형 포털사이트에 가입하면 그들이 정보를 지켜줄 거라는 환상을 갖는다. 하지만 전혀 그렇지 않다. 사용자는 비밀번호를 자주 바꾸고 안 쓰는 계정은 삭제하는 등 스스로 관리하는 것이 중요하고, 사회적으론 규제 패러다임을 바꿔야 한다. 2016년 인터파크 회원 2540만 명의 개인정보가 유출됐는데, 5년간 민사소송 끝에 피해 고객 인당 10만 원씩 배상하라는 판결이 났다. 선진국에서 이런 사고가 나면 수조 원 배상 판결이 나와 회사가 망하곤 한다.”
보안 규제 ‘네거티브’로 바꿔야
왜 그러한 차이가 날까.“선진국은 기업 자율성은 보장하되, 엄중하게 책임을 묻는 ‘네거티브 방식’(금지사항 외 나머지는 허용)의 규제를 한다. 사고가 나면 기업은 선제적으로 소비자 피해를 보상하고, 이후 정부가 나서 징벌적 손해배상을 통해 과징금을 부과한다. 반면 한국은 ‘포지티브 방식’(허용사항 외 나머지는 금지)이다 보니 사고가 나도 업체는 ‘관계기관 가이드라인에 따랐다’고 항변하고, 법원은 이를 받아들인다. 국내 금융사들이 공인인증서를 채택하고 같은 보안 프로그램을 사용하는 것도 이 때문이다. 이런 규제 방식은 보안 취약성을 낳는다.”
지금까지 보안은 해커가 공격한 데이터를 분석해 방어 전략을 짜왔기 때문에 같은 방식의 공격에는 효율적이지만 신종·변종 공격에는 취약했다. ‘스텔스 MTD’(Moving Target Defence: 이동형 표적방어) 기술은 그렇지 않은 거 같다.
“MTD 기술은 신종이든, 구종이든 해커가 공격할 주소를 찾지 못하기 때문이다. 2017년부터 연구원 18명과 이 전략을 짜왔다. 쉽게 말해 서울 공덕역에서 여의도로 가려면 마포대교를 건너야 하는데 이 다리의 연결점(통로)을 보이지 않게 하는 거다. 서버 IP 주소와 포트 번호를 설정 주기(최대 1초) 내에서 무작위 변경하면 주소를 찾아 뚫을 확률은 42억 분의 1이다. 운 좋게 다리를 건너 집 대문을 뚫고 침입했다 해도 1초 만에 안방 문, 화장실 문 자물쇠가 다시 생겨 지속적으로 해킹하기가 어렵다.”
스텔스솔루션 연구진이 구현한 MTD는 2019년 미 국방부가 신속획득기술로 지정한 기술로, 세계적인 리서치 기업 미국 가트너는 “3~5년 뒤 보안 분야에서 가장 중요하게 사용될 기술”이라고 예측했다. 왕 대표는 고도화한 이 기술을 2월 스페인에서 열린 ‘MWC(모바일 월드 콩그레스) 2023’과 4월 미국에서 열린 ‘RSA(정보보안) 콘퍼런스 2023’에 출품해 호평받았다. 이어지는 그의 설명이다.
“현재 ‘스텔스 MTD’는 공군과 테스트를 마쳤고, 육군의 지휘부 워게임(전쟁이 일어난 상황을 가정한 시뮬레이션) 서버에 적용되고 있다. 사우디아라비아 등과도 테스트 중이다. 미 국방부 역시 현재 MTD 방식으로 보안 기술을 개발하고 있는데, 최근 ‘스텔스 MTD 방식을 함께 고도화하고 싶다’고 제안해왔다. 물론 이 기술을 고도화해 커머셜하게(상업적으로) 판매할 수도 있지만, 우선 대한민국에서 신기술을 적용한 ‘완벽한 보안’을 다지는 것이 목표다. 이후 ‘K-보안’으로 해외시장을 개척하고 싶다. 그동안 연구개발(R&D)에 집중해 기술 고도화를 이뤘으니, 이제 그 결과와 비전을 담은 논문을 해외 저널에 싣고자 준비하고 있다.”