큰사진보기
▲  백종욱 국가정보원 3차장이 10일 경기도 성남시 국가사이버안보협력센터에서 선관위 사이버 보안점검 결과에 대해 브리핑하고 있다. 2023.10.10
ⓒ 연합뉴스	관련사진보기

  
이원태 한국인터넷진흥원장이 16일 국회 과학기술정보방송통신위원회 국정감사에서 중앙선거관리위원회·국가정보원과 합동으로 실시한 선관위 정보보안시스템 점검결과와 관련해 "선관위와 국정원의 입장 모두 일리는 있다"면서도 "(선관위 시스템의 보안취약점을) 너무 과도하게 해석해서 선거관리 전체까지 위험에 빠진다고 해석하기엔 많은 한계점이 있다고 생각한다"고 말했다.

특히 국정원이 강서구청장 보궐선거 하루 전인 10일 한국인터넷진흥원(KISA) 명의를 함께 담아 보안점검 결과 발표에 대해서 '결과 내용이나 배포 시점 등에 대한 사전 협의가 없었다'는 입장을 밝혔다.

앞서 국정원은 지난 7월 17일부터 9월 22일까지 선관위·KISA와 함께 선관위 정보보안시스템을 합동 보안점검한 결과 투·개표 시스템 등 선관위의 사이버 보안 관리가 부실한 점이 확인됐다고 발표한 바 있다. 이에 대해 선관위는 따로 입장문을 통해 "(국정원 발표는) 다수의 내부 조력자가 조직적으로 가담하지 않고서는 사실상 불가능한 시나리오", "단순히 기술적인 해킹 가능성만 부각해 선거 결과 조작 가능성을 언급하는 것은 선거 불복을 조장한다"고 반박했었다.

이러한 상황에서 합동 보안점검에 참여한 KISA가 지난 10일 국정원의 점검결과 발표에 대한 사전 협의를 거치지 않았다고 밝힌 셈. 또한 김기현 국민의힘 대표 등 여당과 일부 보수언론들이 이번 점검결과를 두고 선관위의 부실 선거관리, 더 나아가 부정투표 가능성까지 거론하는 데 대해서도 선을 그은 것으로 볼 수 있다.

국정원 보도자료에 등장한 KISA로고, 사전협의 없었다

'보안점검 결과를 국정원으로부터 공유 받았나'라는 민형배 더불어민주당 의원의 질문에 이원태 원장은 "공유받지 못했다"라고 말했다. "국정원 보도자료에 KISA 로고가 나란히 나왔는데 사전협의된 내용인가"라고 묻는 말에도 "(KISA에서) 지원인력을 제공하는 것 이상의 충분한 협의가 되진 않았다"고 말했다. 처음 합동점검을 협의할 당시 최종 점검결과 발표 때 3개 기관이 나란히 열거되는 것으론 알고 있었지만 해당 결과에 대한 선관위와 국정원의 의견이 엇갈리고 각자 발표되는 상황 등에 따른 추가 협의는 없었다는 얘기다.

"기관 명의가 도용당한 셈인데 이의제기는 하지 않았나"라는 질문에 이 원장은 "이의제기는 하지 않았고"라며 "이미 자료가 배포된 상황이라 향후 보도자료를 배포하기 전에 사전협의를 할 수 있도록 요청을 하려고 한다"고 답했다.

이 원장은 국정원에서 발표한 점검결과에 대한 KISA의 입장도 따로 내놨다. 그는 관련 질문에 "선관위 일부 시스템에서 보안취약점이 발견돼 해킹 가능성이 있다는 점은 확인됐다고 생각하지만 제기된 이슈 중 투·개표 과정 중 비시스템적 측면, 물리적이거나 법·제도적인 통제장치까지 감안하지 못해 선거관리 전반에 대한 위험성으로 판단하는 건 현실적으로 어렵다고 본다"고 말했다.

"다수의 내부 조력자가 조직적으로 가담하지 않고서는 사실상 불가능한 시나리오"라는 선관위의 반박에 대해서도 "거기까지 감안해서 점검했다면 선거관리 전반에 대한 실질적인 피해 위험도에 대한 판단은 달리해야 한다고 생각한다"고 말했다.

다만, 이 원장은 '국정원이 이번 점검결과 발표를 통해 선거개입을 하려고 했던 것 아니냐'는 민 의원의 질문에는 "그런 해석까지 저한테..."라면서 답변에 난색을 표했다.

또한 KISA가 이번 합동점검 당시 부여된 역할이 제한적이어서 전체적인 점검결론을 단언하긴 어렵다고 덧붙였다. 이에 대해 그는 "선관위·국정원의 지원요청에 응했지만 지원점검인력 3명에 대한 것으로만 (KISA의 역할을) 한정했다"며 "(KISA는) 이번 점검과정에 대해 책임을 지고 협의할 수 있는 선관위·국정원과 대등한 위치가 아니다"고 설명했다.

"KISA, 10년 간 2차 피해 막으려 점검결과 외부 공표 안 해"... "그건 동의한다"

국민의힘 소속 장제원 과방위원장은 이에 다시 정확한 답변을 요구했다. 그는 "(점검결과에서) 해킹과 관련해 선관위의 보안점검 문제가 있는 것은 맞나"라며 "국정원의 보도자료에 (KISA는) 전혀 동의하지 않는 것이냐"고 재차 물었다.

이에 이 원장은 "(선관위의) 보안취약점을, (국정원의) 보도자료에서 나온 내용으로 발견했다면 해킹 위험성은 있지만 선거결과 조작 여부까지 종합적으로 판단하는 데는 많은 검토사항이 필요하다"고 답했다. 또한 "보안취약점과 관련한 점검결과에 대해서는 저희 직원이 (점검에) 관여한 것이라 해킹 위험 관련 내용에 대해서는 동의하는 편"이라며 기술적 측면에 대한 국정원 발표에는 동의한다는 입장을 취했다.

민 의원의 질문에 대한 답변 때보다는 다소 한 발 물러선 듯한 태도에 민주당 의원들의 질문은 거듭 이어졌다.

특히 박찬대 민주당 의원은 "KISA가 10년 간 민간기업에 대한 보안점검을 2257건 하고도 외부에 (보안취약점을) 공개한 적 없다. (보안점검 기업의) 2차 피해를 막기 위해서"라며 "선관위 보안체계 강화가 목적이었다면 KISA는 선관위와 함께 협의를 거쳐 공개범위와 내용 등을 조절해 발표했어야 했다"고 지적했다.

이 원장은 "점검내용과 결과 전체를 파악하지 못해서"라면서 "국정원도 공개된 보안취약점이 실질적인 피해나 위험으로 갈 수 있을 것이라 예측하고 그런 판단을 고려했을 것"이라고 답했다. 다만, 외부에 보안점검 결과를 공표한 적 없다는 박 의원의 지적에는 "그건 동의하고 있다"고 말했다.

이 원장은 이인영 민주당 의원의 관련 질문에도 다시 "(국정원·선관위) 양 기관으로부터 충분한 정보제공으 받지 않은 상황에서 (KISA의 역할에 대한) 여러 오해가 있는 것 같아 좀더 분명한 입장을 표명하고 싶다"면서 재차 같은 입장을 표명했다.

그는 "언론과 정치권에서 말하는 해석의 여지를 배제하고 본다면 선관위의 입장이나 국정원의 입장 모두 일리가 있다고 본다"라며 "선관위의 보안취약점은 충분히 예측가능하고 해킹 가능성이 있다고 보여진다. (하지만) 이를 너무 지나치게 해석해서 선거관리 전체까지 위험에 빠진다고 해석하기엔 많은 한계점이 있다고 생각한다. 그런 입장을 말하고 싶었다"고 말했다.