중앙선거관리위원회

팩트체크 

선관위 정보보안시스템에 대한 팩트체크

팩트체크 1.

국정원의 전체 시스템·장비에 대한 점검 불응, 일부만 허용

중앙선거관리위원회, 국가정보원, 한국인터넷진흥원(이하 '합동 보안컨설팅 팀')은 2023. 7. 3.부터 9. 22.까지 합동으로 선관위 정보보안시스템에 대한 보안컨설팅을 실시하였습니다.

당시, 중앙선관위는 보유하고 있는 서버 중 미사용 장비를 제외한 전체 서버의 접근권한을 합동 보안컨설팅팀에 부여하였습니다. 또한, 합동 보안컨설팅 팀이 점검 대상으로 요청한 업무용 PC를 전량 제공하였습니다.

팩트체크 2.

해킹시도에 얼마든지 데이터 조작 가능하며 방화벽은 사실상 무용지물

합동 보안컨설팅 당시 중앙선관위는 국정원이 요청한 시스템 구성도, 정보자산현황, 시스템 접속 관리자·테스트 계정을 사전에 제공하였으며, 침입탐지·차단 등 자체 보안시스템을 일부 적용하지 않았습니다.

모의 해킹은 이러한 상황에서 진행되었으며, 해당 내용을 기반으로 우리 위원회의 방화벽이 사실상 무용지물이며 데이터 조작이 가능하다는 주장은 수용하기 어렵습니다.

팩트체크 3.

비밀번호 매우 단순

한 개 프로그램에서 비밀번호 운영 관련 미비점이 발견되었으나, 보안컨설팅 결과를 수용하여 즉시 변경하였습니다.

이후 모든 시스템의 비밀번호를 안전한 방식으로 변경하고 주요 시스템은 본인 인증을 포함한 다중 인증체계로 운영하고 있습니다.

팩트체크 4.

시스템 보안 관리회사도 작은 규모의 전문성이 부족한 회사

합동 보안컨설팅 당시 통합보안관제를 수행하던 업체는 보안관제전문기업, 정보보호전문서비스기업 및 소프트웨어사업자 자격을 모두 갖춘 정보보안전문업체입니다.

팩트체크 5.

선관위는 압수수색이나 강제수사의 대상이 아님

선관위는 적법절차에 따른 수사기관의 압수수색에 응하고 있으며, 과거 경력 채용 사건과 관련하여 압수수색이 진행되었습니다.

팩트체크 6.

'24년 4월 총선을 앞두고 개선 요구하였으나 개선 여부 알 수 없음

중앙선관위는 보안컨설팅 이후 이행추진TF를 구성하여 지적된 취약점을 대부분 조치하였으며, 이와 관련된 보도자료('중앙선관위, 정보보안시스템 개선 종합대책마련' 2023. 11. 2. 제공)를 홈페이지 게시 및 배포하였습니다.

또한 제22대 국회의원선거 실시 전에 정당 참관인의 입회하에 2차례 국정원과 합동으로 이행 여부 현장점검을 시행하였습니다.

※ 1차 점검은 1. 23.부터 1. 31.까지, 2차 점검은 3. 19.에 시행하여 제22대 국선 후보자등록신청개시일(3. 21.) 전에 조치 결과 이해 여부 현장점검을 완료함