北해킹 의혹 퍼트려 놓고 중앙선관위 노후 장비 교체엔 ‘모르쇠’
- 중앙선관위 해킹시도 4년8개월간 16만여건 불구 보안 장비 낡아
- 북한해킹 의혹에 헌법상 독립기관에도 국정원 보안컨설팅 받아
- 노후 장비 교체 절실하지만 윤석열 정부 관련 예산 반영에‘인색’
- 이형석 의원, “노후 장비 교체와 자체 점검 강화해 해킹 대응을”
더불어민주당 이형석의원실에서 배포한 자료를 토대로하면 중앙선거관리위원회를 겨냥한 해킹 공격이 지난 2018년부터 올해 8월까지 모두 16만 3,658건에 달했음에도, 선관위는 내용연수 내용연수: 통상적인 사용에 감당할 수 있는 기간
가 경과한 낡은 보안장비를 사용하고 있는 것으로 밝혀졌다.
특히 내년 22대 총선을 앞두고 노후 장비 교체 등 대책 마련이 시급하지만, 중앙선관위의 2024년 정보보호 예산은 법정 확보 예산의 3분의 1 수준에 그친 것으로 나타났다.
국회 행정안전위원회 소속 더불어민주당 이형석 국회의원(광주 북구을)이 중앙선거관리위원회로부터 제출받은 자료에 의하면 중앙선관위을 대상으로 한 해킹시도는 지난 2018년부터 올해 8월까지 16만 3,658건으로 집계됐다.
문제는 잦은 해킹시도에도 불구하고 선관위가 예산이 없어 낡은 정보보호 관련 장비를 그대로 사용하고 있다는 점이다.
중앙선관위 보안장비 실태를 보면, 업무망·인터넷망을 보호하는 방화벽과 유해사이트 차단, 업무망 침입방지 장비의 내용연수는 3년에서 5년 가량 경과한 것으로 파악됐다. (‘23.8월 기준)
해당 장비의 기술지원도 2019년과 2020년에 종료된 것으로 조사됐다. 통상 기술지원이 종료되면 △문제 해결 관련 기술 지원 △소프트웨어 업데이트 △보안 업데이트 등 기술적인 지원을 받을 수 없어 보안에 취약하게 된다.
내년에도 악성코드를 탐지하는 웹셀탐지시스템과 통신망 보안 강화에 필요한 전용 보안사설망의 내용연수가 경과된다.
정보보호시스템(노후장비) 현황 [단위: 백만원]
장비명
수량
기술지원 종료
(‘23.12.기준 경과 기간)
내용연수 경과(‘23.12.기준 경과 기간)
방화벽 장비
4식
2019. 12.(4년)
2018. 12.(5년)
방화벽 장비
2식
2019. 12.(4년)
2022. 05.(5년)
방화벽 장비
2식
2019. 12.(4년)
2022. 05.(5년)
침입방지시스템
2식
2022. 06.(1년 6개월)
2020. 03.(3년 10개월)
문서보안(DRM)
1식
2020. 12.(1년)
2022. 12.(1년)
유해사이트 차단시스템
1식
2020. 06.(3년 6개월)
2018. 12.(5년)
개인정보 검색시스템
2식
2019. 05.(4년 8개월)
2020. 06.(3년 6개월)
장비명
수량
기술지원 종료
(‘23.12.기준 경과 기간)
내용연수 경과(‘23.12.기준 경과 기간)
웹셀탐지시스템
1식
2022. 12.(6개월)
2024. 05.(미도래)
전용 보안사설망
(SSL VPN)
2식
2023. 06.(1개월)
2024. 05.(미도래)
중앙선관위는 중앙뿐 아니라, 전국 시·도 및 구·시·군 선관위에서 운영하는 모든 정보화 시스템과 전산장비의 정보보안을 총괄하고 있어 보안시스템에 한 치 빈틈이 없어야 한다.
헌법기관인 중앙선관위가 독립성 훼손 논란에도 불구하고 지난 5월 북한 해킹 시도 의혹이 제기되자 국정원의 보안점검을 받은 이유이기도 하다.
중앙선관위는 국정원과 한국인터넷진흥원(KISA)의 합동 보안 컨설팅에서 ‘미흡’ 지적을 받았다.
당시 주요 지적 사항은 정보화 예산과 인력이었다.
현행 「국가 정보보안 기본지침」 상 ‘정보보호 예산’은 전체 정보화 예산 중 15% 이상 확보돼야 하지만 2023년 중앙선관위의 정보보호 예산은 10억 200만 원으로 정보화 예산 대비 4.9% 수준에 불과했다.
중앙선관위와 같은 헌법상 독립기관인 헌법재판소와 국회의 정보보호 예산 비중이 각각 10.2%와 12.3%에 견줘 상당히 낮은 수준이다.
중앙선관위가 지난 3년간 정보보안 체계를 강화하기 위해 예산 증액을 꾸준히 요구했지만, 재정당국이 예산을 반영해 주지 않고 있기 때문이다.
선관위는 내년도 예산안에 29억 900만원의 정보보호예산을 요구했으나 반영액은 절반에도 못 미치는 13억 8200만원에 지나지 않았다.
2023 정보보호 인력 및 예산 현황 [단위: 백만원]
인력(위탁)
정보화예산
정보보호 예산
예산비율
9명(6)
20,798
1,002
4.9%
3년간 정보보호 예산 요구현황 (단위 : 백만원)
구 분
요구액
반영액
미반영액
2022년도
1,266
960
306
2023년도
1,870
1,002
868
2024년도
1차 : 2,188
1,382
1,527
2차 : 2,909
결국 윤석열 정부는 ‘북한 해킹시도’에 부화뇌동해 헌법상 독립기관인 중앙선관위에 대한 보안점검을 강행하도록 하면서도 정작 해킹 대비를 위한 예산은 제대로 반영해 주지 않고 있는 것이다.
이형석 의원은 “정부·여당은 독립기관인 중앙선관위의 자체적인 보안점검 의사를 묵살하며 국정원 점검을 수검시켰지만 이와 관련된 예산을 반영하지 않은 것은 모순된 태도”라며 “중앙선거관리위원회는 노후화된 정보보호 관련 장비 교체와 자체적인 보안점검 강화를 통해 사이버 공격 위협에 대해 철저히 대비해야 한다”고 말했다.
