부정선거, 불법선거 관련

선관위 전산망 얼마든지 해킹 가능성 있다!!!

道雨 2013. 1. 2. 12:18

 

 

 

  선관위 전산망 얼마든지 해킹 가능성 있다!!!

                                                                          (서프라이즈 / 뉴요코리안 / 2013-01-02)


보안의 기본도 모르는 선관위 관계자, 그 입 다물라!

보안의 가장 큰 허점은 바로 자신감에 따른 방심이다.

 

필자가 이 글을 쓰기 전에 먼저 하나를 전제하고 가도록 하겠다. 필자의 이 글은 선관위 관계자의 보안에 관한 무시(무식)를 지적하는 글이며, 따라서 이번 한국의 대선에서 선관위의 전산망을 누가 해킹했다거나, 전자 개표기의 프로그램을 조작했다는 것을 말(주장)하는 것이 아님을 먼저 밝힌다.

지난번 선관위 원준희 사무관이라는 관계자가 모 라디오 인터뷰에서 선관위의 전산망은 자체 전산망(?)이라 해킹의 가능성이 없다는 아주 무식한 발언을 한 바 있다. 그리고 이번에는 보아하니 아예 선관위가 공식적인 해명서를 내고 똑같은 주장을 하는 것을 보고 필자는 경악을 금치 않을 수 없었다.

특히, "개표결과의 전송 또한 수작업으로 선관위 전산망을 통해 전송하기 때문에 해킹이 불가능하다"는 발언은 그야말로 보안의 무지함을 드러내고 있어 그 사태가 심각하다고 할 것이다. 자체 전산망(?)이라서 원천적으로 해킹 가능성이 없다? 이 말이 사실일까?

필자가 한국에서 '인터넷 보안 전문가'로 일하면서 은행의 인터넷 뱅킹은 물론 국가 기관 전산망의 해킹 취약성도 누차 경고한 바 있지만, 정부 기관 공무원들의 구태의연한 인식으로 별로 개선되지 못했던 사실이 있다. 하지만 10년이 흐른 지금도 국가 기관이 이러한 안일한 사고방식을 가지고 있으니, 한국 정보 보안의 앞날이 걱정될 뿐이다.

그렇게 자신한다면, 속된 말로 세계적인 해커들이 달려들어 바보로 만들 것이며, 그때는 통곡을 해도 버스가 지나가고 난 다음이라는 사실을 세계의 유수한 해킹 사례가 증명하고 있다. 그런데도 한국의 선관위는 저런 일자무식의 발언을 계속하는 것을 보니 더욱 놀라울 뿐이다.


우리 아들이 해킹을요? 그럴 리가? 모니터를 아버지가 박살 냈는데... 어떻게???

이 딱딱한 보안 이야기를 좀 더 재미있게 하고 한국의 보안 의식 수준을 높이고자 사례를 몇 가지 들기로 한다.

사례 1 : 아마 십여 년 전의 이야기(실화입니다)

서울의 모 경찰서에 12살 전후의 어린이가 울면서 찾아 왔다.

"경찰 아저씨, 어떤 사람이 내 무기를 도둑질해 갔어요?" "모 무기? 그게 몬데?" "어앙^^ 내가 어제 산 무기인데요,, 백만 원이 넘어요^^" "모? 백만 원이 넘어??? 어케 된 일이니?..."

요즈음이야 각 경찰서마다 이른바 사이버 수사대가 있고 사이버 범죄에 대한 인식도 강화되었지만, 초장기 이런 일이 벌어지자 웃지 못할 소동이 일어났다. 사이버상에서는 백만 원이 넘는 물건이나 현실적으로 존재하는 것도 아니고 참 경찰이 난감했던 것이다.

그 아이템이 꼭 현실적인 돈으로 사고 또한, 현실 돈으로도 거래된다고 해서 그것이 절도죄가 되는 것이 아니고 지적 재산권과 마찬가지로 물건(사이버상이라도)을 훔친 것이기에 당연히 절도죄가 성립되는 것이다. 지금이야 이런 이야기(결론)가 상식이지만, 초장기에는 이러한 인식이 자리를 잡는 데도 많은 시일이 걸렸다.

사례 2: 내 불만을 안 들어주면... 사이트 다 날릴 거에요^^

이 시기에 또 다른 유명한 사건이 터진다. 이른바, 하이텔, 천리안, 나우누리,의 시기, 한국 인터넷 발달의 초장기, 주로 텍스트 위주로 많은 온라인 커뮤니티가 형성되고 있었던 시기이다. 어느 날 이 커뮤니티 담당 회사에 전화가 걸려 온다

"정말 그러실 거에요^^ 내 말이 거짓말이 아니에요^^ 어쩔 수 없죠,, 그럼 이 동호회방 날립니다.^^" "아니, 학생 그게 아니고 어디 사는데? 우리 천천히 이야기하자^^"

어느 중학생으로 보이는 남자 학생이 이 회사로 전화를 걸어와 아주 작은 불만을 이야기했으나, 그러느니 하고 회사는 방심하고 말았다. 하지만 이후 진짜로 그 동호회방이 날아가고 만 것이다.(다행히 백업한 것이 있어 큰 피해는 없었으나) 이른바 이 학생이 그 회사 전산 시스템을 좌지우지할 수 있는 최고의 루트(root) 권한을 획득한 것이었다.

어떻게 잘 달래어서 이 사태를 수습한 서버 관리자는 대체 어떤 취약점으로 이 학생이 루트 권한을 획득했는지를 알아보려고 선물을 준비하여 집을 방문하였다. 그러나 문을 열어준 학생의 어머니 왈 "우리 아들이 컴퓨터를 잘한다고요? 그럴리 가요? 밤낮 컴에만 매달려 있어 지난달 아버지가 아예 모니터를 박살 내서 요즈음은 컴퓨터를 하지도 못하는데요???" 무슨 말씀을???

부모들이 놀랄까 봐, 컴퓨터 회사에서 왔다는 말로 둘러대고 드디어 그 학생의 방에 들어간 회사 관계자는 그만 화들짝 놀라고 말았다. 요즈음이야 그래픽 시대이지만, 그 당시는 거의 텍스트 수준의 인터넷 시절이라 이 학생 모니터가 없으니, 프린터를 모니터 대용으로 이용하고 화면 프린터 기능을 이용하여 인터넷 접속과 채팅을 하고 있었던 것이다. (참 유명한 스토리인데, 이 글을 적다 보니... 요즘 이 학생 모하시는지... 혹 이 글 보시면 필자에게 연락하시기 바란다.^^)

사례 3 : 마이크로 소프트(MS)사, 우린 절대 해킹 안 당했다??? 호언장담, 하지만...

2000년대 초반 미국과 중국의 해커들 간에 사이버 전쟁이 한창이었다. 그런데 놀랍게도 중국 해커들은 MS사의 윈도우 체제 취약점을 이용하여 이를 기반으로 하고 있던 미국의 웹 사이트들을 박살 내기 시작했다. MS사의 긴급 패치로 사태 확산은 일단 막았지만, 조금 더 후에는 다시 다른 취약점을 이용해 또 해킹이 성공하는 일이 벌어지고 말았다.

보안전문가들에게는 비상이 걸리고 우려 섞인 목소리들이 흘려 나오기 시작했다. 중국(해커)이 MS사 윈도우 체제의 핵심 소스 코드를 확보하지 않고서는 불가능한 일일 것인데, 어떻게 중국 해커들이 이 소스 코드를 획득했을까? 하는 의문들이 번져가고 있었던 것이다. 물론 MS사는 절대 해킹을 당한 적도 없고(요즘 선관위 관계자가 주장하듯이, MS 소스 코드는 서버 전산망에 노출되어 있지도 않고, 따라서 해킹의 위험성은 있을 수 없다. 라고 주장했던 것이다.)

하지만 이 시기 필자를 비롯한 세계 유수의 보안전문가들은 보안 사이트에서의 의견 교환을 통하여, 그 당시 유명했던 해킹 툴인 '서버7' 등을 이용하여 일단의 해커가 미 MS사 내부 직원으로 컴퓨터를 해킹했으며(백도어 삽입), 이후 이 내부 직원으로 위장하여 MS 주요 서버나 전산망에 얼마든지 들어갔을 수 있다는 결론을 내리고 있었다.

하기야 MS 입장에서야 법적으로도 아니 전산적으로도(MS가 볼 때에는 허가된 내부 직원이 들락날락 거린 것이니...) 절대 해킹을 안 당했다는 말은 맞을 것이다. 이 보안 업계의 (전문가들 사이에서만) 유명했던 사례는 그렇게 MS가 유야 무야 덮으면서 세월에 묻히어 갔다.


'전산망 해킹' 방식, 이것은 아주 낡은 옛날 해킹 방식일 뿐이다.

필자가 위의 세 가지 사례를 먼저 언급하는 이유는 간단하다. 보안에 관해 가장 무식한 사람들이 이른바 '전산망 해킹'만을 해킹인 줄 알고 착각하고 있다는 것을 지적하고자 함이다.

가장 최근의 예를 하나 더 들어 보기로 하자. 다 알다시피 몇 년 전 이른바 '위키리크스'는 미국의 막대한 외교 기밀문서를 획득하여 인터넷에 공개함으로써 심각한 파문을 몰고 온 바 있다. 미국의 국무부가 이들 기밀문서를 누가 해킹 좀 해가라고 인터넷상 전산망에 올려 놓았겠는가? 아니면 어느 바보 해커가 보안이 치밀한 미 국무부 전산망을 해킹하여 "나 좀 잡아가시오^^" 하고 바보짓을 했겠는가?

답은 간단한 것이다. 내부자가 제보를 했거나, 아니면 내부자 개인의 컴을 해킹하여 자료를 빼 왔거나, (그 내부자 컴퓨터에 이른바 백도어(backdoor)를 심어 그 내부자인 척하고 미 국무부 전산망에 들어갔을 것이다. 그러니 미국도 참 황당한 일을 당하고 만 것이다.

필자가 한국에서 유수의 보안 전문가들과 인터넷 보안의 중요성에 대한 문제를 역설하고 (십만 사이버 전사 양병설 등) 그 문제점을 지적했던 이유는 바로 보안도 해킹도 사람이 하는 일이라는 것이다. 그래서 이 보안 문제의 경각심에 관한 문제도 교육을 하거나 연구를 하다 보면, 다시 사람 문제 즉 인성 문제로 귀결되었음을 여러 번 느끼고 지적한 바 있다. 그런데도 선관위는 절대 해킹의 가능성이 없다는 일자무식의 발언을 계속하고 있으니 선관위의 전산망은 사람이 만지거나 건드리지 않는 신의 영역인가?

그렇다면, 필자는 어쩔 수 없이, 왜 이것이 일자무식인지, 그 해킹 가능성 문제를 언급하지 않을 수 없다.

우선 내부자에 의한 해킹 가능성 문제는 이미 지적한 바 있으니, 이를 별도로 하고 해킹 가능성을 열거해 보도록 하자. (다시 전제하지만, 이는 해킹 가능성이고 선관위의 보안 인식을 높이기 위해 언급하는 것이지, 이번에 선관위 전산 시스템이 이렇게 당하거나, 누가 조작했다는 것을 주장하는 것이 아님을 거듭 밝힌다.)

1. 전자 개표기 문제.

선관위는 전자 개표기는 표를 분류(?)하고 이를 다시 일일이 확인하는 과정을 거치는 것이라, 오류나 해킹 가능성이 없다고 한다. 하지만 누가 마음만 먹는다면, 아주 기초적인 조작 가능성이 있다. 즉 내부 프로그램을 조작하여 일정 수의 분류 시 마다 하나를 빼거나 더하게 한다면,(물론 이는 아주 기초적인 방식이고 들통 나기가 쉽지만,) 얼마든지 분류(개표) 수 조작이 전산적으로 가능하다.

그리고 이것은 미 의회 청문회에서 보안 프로그램 전문가도 지적하였듯이, 일반인들이 전혀 잘 알수 가 없을 수도 있다. 쉬운 예를 들자면, 이런 것이다. A 표의 천 매를 확인한 전자 개표기는 1000이라고 분명히 디스플레이에 표시한다. 묶음표를 개표 종사자들이 눈으로 확인해도 당연히 A 표의 천 매이고 정확한 개표인 것이다. 그러나 만약 이 내부 프로그램이 정교히 조작되어 있다면, 이 전자 분류기는 A의 획득 표수를 전송하면서 (이때 조작 프로그램이 작동되어) 얼마든지 숫자를 빼거나 더할 수 있는 것이다.

당연히 일반인들은 추후 다시 최종 집계된 결과를 재검산하지 않는 이상... 이 과정에서는 모르게 된다.

2. 선관위 전산망 문제.

위에서도 언급했지만, 선관위는 개표기가 분류해도 이를 수작업으로 선관위 전산망(?)에 자체 전송하기에 해킹 가능성은 없다는 일자무식의 발언을 계속하고 있다. 필자가 이미 사람이 문제라는 점은 익히 지적하였기에, 그렇다면 그 선관위 전산망은 누가 관리하는가? 라는 아주 기본적인 문제는 별도로 하더라도 여기서도 해킹 가능성을 언급하기로 하자.

우선 가장 기본적인 무식을 깨쳐 주기로 하자. 인터넷이나 네트웍에 연결이 안 되어 원천적으로 해킹이 불가능하다고 한다. 얼핏 들으면 아주 맞는 말이다. 그렇다면 죽은 컴퓨터로 집계를 한다는 것일까? 아니면 각 개표소에 있는 컴퓨터는 전혀 연결이 안 되어 있어(또 안 되어 있어야 하고) 단지 엑셀 프로그램 등으로 집계만 하고 이 결과를 네트웍으로 전하면 큰일 나니... 그렇다면, 전화로 일일이 선관위 중앙 서버나 관계자에게 불려주고 이 관계자는 이를 받아서 다시 입력한다.???(이 말을 듣고 있는 독자들도 웃음이 나올 것이다.)

참 해킹이 무서워서 아주 구석기 시대로 돌아갔다는 말이다. 하지만 더 재미있는 이야기를 하나 더 하자. 이런 구시대 방식은 해킹을 안 당할 것 같지만. 전화로, 유선으로, 사람의 말로 불러준 것이기에... 사실은 해킹의 원천적인 출발점은 바로 유선 전화의 해킹이었고 해커들이 공짜로 전화를 사용하기 위한 방법을 개발하면서부터 시작되었다는 웃지 못할 역사적 사실이 있다.

하나 더 덧붙인다면, 이러한 해킹 기술은 특히 인터넷이 발달하면서 많은 포르노 사이트들이 등장하자, 해커들은 이 사이트들을 공짜로 보기 위해 많은 해킹 기술을 발전시켰으며, 역설적으로 유명 포르노 사이트의 보안 기술이 최고로 발전했던 웃지 못할 사실도 있는 것이다.

아무튼 쉽게 말하자면, 무언가 네트웍, 즉 연결(connect)이 되어야 하는 것이다. 예를 들자면 미 국방부도 전용 전산망으로 똘똘 뭉쳐 있으나, 이를 관리하는 관계자들은 일반 컴퓨터도 쓰고 있으니, 이를 통해 들어갈 수도 있고 그래서 미국도 이 보안 문제가, 즉 해킹을 방어할 방법이 100% 원천적으로 불가능하기에, 국가 정보 보안이 엄청나게 골치 아파지고 있는 것이다.


자체 전산망? 그 말이 더 무서운 말이다! 자체 전산망은 영원히 죽어있나?

좋다. 한발 양보하여 유선(?)으로 일단 전송한다 치자. 그렇다면 그다음은? 선관위는 자체 전산망(?)이라고 절대 해킹 가능성은 없다고 주장하고 있다. 하지만 보안 전문가인 필자가 볼 때에는 이 말이 더 무서운 말이다. 무슨 자체 전산망인가? 인터넷(WWW, 80포트)하고만 연결이 안 되어 있다고 해서 자체 전산망이라는 것인가? 그렇다면 누가 마음만 먹으면 더 조작이 가능하다는 말이니, 이 얼마나 위험천만한 일인가?

물론 상황이 이쯤 되면 선관위 관계자는 이렇게 답변할 것이다.(실제로 과거에 그렇게 답변한 적이 있다.) "아니 국민이 국가 공무원인 우리를 안 믿으면 어떻게 합니까? 우리는 정확합니다. 우리를 믿어 주세요^^" 참 불쌍한 말이다... 누가 안 믿는다 했는가? 그리고 이것은 믿고 안 믿고의 문제가 아니고 바로 취약성을 이야기하는, 즉 해킹 가능성에 관한 이야기인 것이다.

자, 그리고 그다음 문제를 보자, 그렇게 집계한 결과는 배포 안 하는가? 방송국에도 배포하고 선관위 웹사이트에도 자동(?) 배포하는 데, 그래도 네트웍이랑 연결이 안 되어 있다? 아... 이것도 또 집계는 자체 전산망에서 하고 (누가 해킹할까 봐...) 또 누가 일일이 손으로 적어서 인터넷 선관위 웹사이트에는 따로 수작업으로 올리고, 각 방송국에도 해킹이 두려워 수작업으로 자료를 보낸다??? (벌써 이 정도 이야기했으면, 선관위이든 이 글을 보시는 독자분들이든 이것이 얼마나 허무맹랑한 웃지 못할 소리인 줄 아실 것이다.)

선관위 관계자분, 정말 왜들 그러시나??? 아주 초 고급적인 (물론 가능성의) 이야기를 하나 더 해주고자 한다.

인터넷 해킹 기술의 발달과 해커들의 고도화된 수준으로 많은 변종 백도어들이 만들어지고 있으며, 이 백도어들은 최신 백신 프로그램에는 잡히지도 않는다. 잡히는 백도어는 이미 한물간 백도어 인 것이다. 이 백도어는 누구의 컴퓨터 속에 조용히 숨어 있으면, 아무도 그 존재를 모른다.(자, 여기에서 이 백도어가 예를 들어, 선관위 전산망에는 절대 없다고 단언할 수 있는가? 물론 있다고 주장하는 것이 증거도 없는 허위 주장이지만, 그렇다고 절대 그럴 가능성이 없다는 것도 똑같이 바보라는 말이다.)

살아 있는 물체가 아니라서 숨도 쉴 필요가 없는 이 백도어, 언제 힘을 발휘할까? 그렇다. 이 백도어는 해당 컴퓨터가 필요에 따라 인터넷이든 여느 전산망과 연결되는 순간, 막강한 힘을 발휘하여 주인(해커)에게 바로 연락을 취하고(컴퓨터 사용자나 서버 관리자는 전혀 모른다.) 그 컴퓨터나 전산망은 이미 해커의 수중에 놓이게 되는 것이다.

이것은 아주 지나간 옛날의 보안과 해킹의 기초적인 상식이다. 그런데... 그런데,


한국 선관위가 미 CIA보다도 보안이 뛰어나다고???

해킹 방어 기술에 있어서 세계 최고의 기술을 가지고 있고 자체 전산망은 물론 이중 삼중의 방화벽으로 무장한 미 국방부나, 국무부 그리고 CIA도 연일 변화하는 해킹 기술에 대비하고자 밤잠을 못자면서 불안감으로 방어 시스템을 더욱 정비하고 보안 기술의 확장에 전력을 다하는데, 유독 한국의 선관위는 자체 전산망(?)이라서 아무 문제가 없다니???

참, 한숨만 나오는 이 어이가 없는 소리를 한국의 선관위는 언제까지 할는지... 한국 보안의 앞날이 감감할 뿐이다.

한국의 중앙선거관리위원회! 필자는 증거가 없는(?) 이른바 부정선거 의혹을 부풀리기 위해 이 글을 적는 것이 아니다.

다시 말하지만, 정말 제대로 된 정보 보안 의식을 한국의 각 정부 기관들은 특히 관계 공무원들은 이제라도 갖추기를 바란다.

따라서 선관위는 제발 보안의 기본도 모르는 일자무식의 소리는 다시는 하지 말기를 바란다.

(참고 : 이 글을 쓴 뉴요코리안은 2000년도 초, 시큐어소프트(주) 해커스랩연구소 과장(해커관리 담당), (주)해커스랩 기획팀장, 시큐어뉴스(주) 대표 등을 역임한 보안 전문가이며, 2007년 도미하여 현재 뉴욕에 거주 중이며, 한국 언론의 미국 통신원과 <오마이뉴스> '국제관계' 시민기자, 등의 일을 하고 있음을 밝힙니다. 참고로 필자가 시큐어뉴스 경영 시에(2000년 11월) 발표한 한국 '국내 인터넷 서비스 보안 허술'에 관한 내용이 'KBS 9시 뉴스'에 단독 보도된 바 있습니다.)

<KBS 9시 뉴스 보기 (클릭)> (저도 지금 보니, KBS가 무슨 변환 작업한다고 (내용은 있지만) 동영상 서비스는 안 되고 있군요^^)

 

뉴요코리안