• 선거인명부 시스템 해킹돼도 부정선거 사실상 불가능

• 전자 개표기는 없다, 분류기·계수기만 있을 뿐

• 국정원 해킹은 관제 시스템 끈 상태서 진행

• ‘취약점 발견=해킹 성공’ 아니다

• 비밀번호 ‘12345’ 설정 등 부실 관리는 잘못

• 최강 해킹 실력+참관인 매수 재력 있어야 그나마…

• 중국 해커는 해킹 가능? 한국 해커가 실력 더 좋아

• 김어준 ‘더 플랜’으로 음모론 고개…“설득 계속할 것”

“선거인명부 시스템을 해킹하는 것은 어렵다. 설령 해킹에 성공해 사전투표를 조작하더라도 본 투표일에 부정선거 사실이 발각될 가능성이 매우 높다. 투표를 하러 온 사람은 자신이 사전투표자로 분류됐다는 사실을 알게 되기 때문이다. 엄청난 해킹 실력과 전국의 참관인들을 모두 매수할 수 있는 재력을 겸비한 사람만이 그나마 부정선거를 저지를 수 있다. 이마저도 이른바 열혈 당원으로 구성된 개표 참관인들이 모두 매수된다고 전제했을 때 얘기다.”
‌
김승주 고려대 정보보호대학원 교수는 2월 10일 ‘신동아’ 인터뷰에서 그동안 선거에서 부정선거가 치러졌을 가능성은 사실상 없다고 강조했다. 중앙 선거관리위원회(선관위)의 서버가 해킹돼도 여러 ‘제도적 장치’가 있어 부정선거는 어렵다는 게 요지다. 참관인의 검토와 사전투표 여부 확인 등도 제도적 장치에 포함된다.
‌
김 교수는 선관위 선거정보시스템 보안자문위원회 위원장을 맡고 있다. 선관위는 국가정보원 등 관계 기관으로부터 보안점검을 받는데, 보안자문위는 이 검사가 제대로 이뤄졌는지 재점검하는 역할을 수행한다. 김 교수는 “선거 절차가 자동화됐다고 생각할 수 있으나 한국의 선거는 수개표 시스템으로 진행된다”며 “관리 부실 등 선관위의 잘못도 있으나, 이것이 부정선거가 있었다는 근거는 되지는 않는다”고 말했다. 다음은 김 교수와의 일문일답.

한국은 전자개표 아닌 수개표 시스템

많은 사람이 “전자 개표기를 통한 전산 조작이 가능하다”고 말한다.
‌
“한국은 선거 과정에 ‘전자 개표기’라는 것을 사용하지 않는다. ‘전자 투표지분류기’와 ‘전자 계수기’만 사용할 뿐이다. 시민들이 투표지에 도장을 찍고 제출하면 전자 투표지분류기가 후보별로 분류한다. 도장이 찍힌 위치를 인식해 후보별로 용지를 모으는 식이다. 도장의 위치가 애매하면 ‘미분류’로 간주된다. 후보자별 투표지 분류를 마치면 개표사무원이 수(手)검표를 한다. 이후 전자 계수기를 통해 결과를 재확인한다. 이처럼 한국은 전자 개표가 아닌 수개표를 한다. 기계를 사용한다지만 개표 속도를 높이기 위한 보조 수단일 뿐이다.”
‌
사실상 수개표 시스템이다?
‌
“22대 총선(2024. 4. 10) 이전에는 다른 방식으로 개표가 진행됐다. 후보별로 투표용지가 분류되면 이를 전자 계수기에 집어넣는 식이다. 이때 전자 계수기가 굉장히 느리게 작동하도록 조치했고, 계수 과정을 육안으로 확인하도록 했다. 이렇게 해도 부정선거 의혹이 사그라지지 않더라. 그래서 결국 먼저 수검표를 하고, 전자 계수기로 결과를 재확인하도록 바꿨다. 개표 과정의 속도를 늦춘 대신 사람의 관여도를 훨씬 높였다.”
‌
부정선거를 의심하는 이들은 “사전투표가 문제”라고 말한다.
‌
“과거에는 선거일에 부정이 이뤄졌다는 주장이 많았다. 이를 반박하는 여러 자료가 나오자 무대가 사전투표로 옮겨졌다. 부정선거론자는 상황이 불리해지면 논점을 계속 바꾼다.”
‌
“선관위 서버를 해킹해 사전투표자 수를 부풀리고, 이에 맞춰 불법 투표지를 투입해 결과를 조작할 수 있다”는 주장도 있다.
‌
“선관위는 선거인명부 시스템 해킹에 충분히 대비한다. 게다가 전용망(내부망)을 사용하는 만큼 해킹 자체가 상당히 어렵다. ‘상당히 어렵다’고 말한 이유는 세상에 100% 확실한 것은 없기 때문이다.”
‌
김 교수의 말처럼, 선관위 내부망 해킹이 불가능한 일은 아니다. 국정원은 2023년 10월 10일 선관위·한국인터넷진흥원(KISA)과 합동 보안점검을 실시한 뒤 “선거인명부 시스템에 침투 및 해킹이 가능했다”고 발표했다. 당시 국정원은 “사전 투표한 인원을 투표하지 않은 사람으로 표시하거나, 사전 투표하지 않은 인원을 투표한 사람으로 표시할 수 있고, 존재하지 않는 ‘유령 유권자’도 정상적인 유권자로 등록할 수 있었다”고 설명했다. 선관위는 “다수의 내부 조력자가 조직적으로 가담하지 않고서는 사실상 불가능한 시나리오”라고 반박했다.
‌
국정원은 선관위 시스템을 해킹하는 것은 가능하다고 발표했는데.
‌
“일부 발언만 인용돼 오해가 생겼다. 백종욱 당시 국정원 3차장은 언론 브리핑에서 ‘선거의 제도적 통제 장치는 고려하지 않고 기술적 측면에서 해커의 관점으로 취약점 여부를 확인한 것’이라고 말했다. 참관인 등 다양한 통제 요소를 논외로 하고, 순수하게 기술적 측면만 살펴봤다는 얘기다.”
‌
선관위도 “보안관제 시스템을 끊은 상태에서 일부 취약점이 발견됐다”고 인정했는데.
‌
“외부에서 신원 미상자가 접속을 시도하거나, USB를 통해 특정 프로그램을 설치하려고 시도하면 보안관제 시스템에서 잡아낸다. 이후 보안관제를 담당하는 업체는 해당 사실을 선관위에 알린다. 국정원의 사전 점검, 즉 모의 해킹은 해킹 프로그램과 유사한 ‘점검 툴’을 설치하며 시작된다. 보통 USB를 통해 설치한다. 이 경우 컴퓨터에 USB를 연결하는 순간 관제 시스템에서 이상 접속 알람을 띄우고 설치를 막는다. 점검 당시 이러한 조치가 이뤄지지 않도록 사전 조치한 후 해킹 가능성을 점검했다. 해커들과 동일한 상황에서 점검이 진행된 게 아니었다.”
‌
왜 그런 방식으로 점검했나.
‌
“이 방식이 틀렸다고 할 수는 없다. 보안관제 시스템이 무력화돼 내부망 침입에 성공하더라도 2중 보안장치가 작동돼야 하고, 이를 점검할 필요가 있다. 선관위처럼 엄격한 보안이 요구되는 곳은 여러 단계의 보안 절차를 두고 이를 점검한다. 당시 선관위의 보안 문제가 크게 이슈가 돼 보안관제 시스템을 끈 상태에서 내부망의 보안을 점검하는 것을 허용했다. 보통 이런 방식으로 점검하면 그동안 몰랐던 여러 문제점이 발견된다. 그간 보안관제 시스템이 잘 작동했다 보니 안일해진 측면도 있었다.”
‌
비밀번호를 ‘12345’로 설정한 문제 말인가.
‌
“그렇다. 분명 선관위의 잘못이다. 다만 해당 비밀번호가 선관위 시스템을 좌지우지할 수 있는 ‘키’는 아니다. 선관위 시스템에 들어가려면 여러 계정 및 비밀번호가 필요하다. 그중 하나가 12345로 설정됐다는 의미다. 이후 선관위는 보완조치를 마쳤고, 국정원으로부터 두 차례 재점검을 받았다. ‘OK 사인’이 떨어진 다음 22대 총선을 치렀다.”
‌
선거부정이 아닌 ‘관리 부실’ 문제다?
‌
“당시 국정원 3차장이 ‘점검 결과를 부정선거 의혹과 결부하는 것은 경계해야 한다’고 얘기한 이유다. 그런데 사람들이 취약점이라는 표현에 대해 많이 오해하더라.”
‌
어떻게 오해하나.
‌
“‘취약점이 발견됐다=해킹에 성공했다’라고 여기는 경향이 있다. 둘은 다른 의미다. 인터넷뱅킹을 겨냥한 해킹을 예로 들어보자. 공인인증서 소프트웨어에서 취약점이 발견될 수 있다. 이것이 해커가 계좌이체를 마음대로 할 수 있다는 의미는 아니다. 불법 계좌이체에 성공하려면 공인인증서 시스템 외에도 OTP 비밀번호, 계좌 비밀번호 등 2, 3차 보안장치를 모두 뚫어야 하기 때문이다. 이처럼 취약점을 하나 찾았다고 해킹에 성공할 수는 없다. 취약점을 여러 개 모아야 해킹이 가능하다.”
‌
다양한 취약점을 모아 해킹에 성공하면 부정선거가 가능한 것 아닌가.
‌
“설령 선거인명부 시스템을 해킹해 사전투표를 조작했다고 치자. A씨가 사전투표를 했다고 거짓으로 처리한 다음 투표 결과를 조작하는 식이다. 이 경우 A씨는 본 선거일 투표장의 신원 확인 절차 과정에서 자신이 ‘사전투표자’로 분류된 사실을 알게 될 것이다. A씨가 모종의 이유로 항의하지 않았을 수도 있다. 하지만 전국의 수많은 사람을 대상으로 이러한 조치가 이뤄졌는데, 그간 아무도 문제 삼지 않았다는 것은 말이 안 된다.”
‌
참관인 등을 매수하면 부정선거가 가능하지 않나.
‌
“각 후보가 추천하는 사람이 참관인으로 활동한다. 후보들은 열혈 당원을 참관인으로 추천한다. 열혈 당원이 확인하고 있는 만큼 조작이 어렵다.”

CCTV 해킹은 ‘미션 임파서블’에서나 가능

사전투표함을 바꿔치기할 수도 있지 않나.
‌
“사전투표함을 바꿔치기하더라고 선거인명부 시스템을 조작해야 한다. 선거인명부 시스템에서 선거인 명단을 훔친 뒤, 그 사람을 흉내 내 사전투표를 해야 하기 때문이다. 물론 이 경우도 해당 사람이 본 투표장에 가면 사전투표를 했다고 표시되는 문제는 여전하다. 게다가 사전투표가 종료되면 투표함은 특수봉인지로 봉인된다. 이후 후보자별 참관인과 경찰의 동행하에 투표함을 선관위로 운반한다. 운반된 투표함은 선관위 내 별도 장소에 보관되는데 이곳에는 CCTV가 항시 켜져 있고 생중계된다. 이곳은 출입문도 다 봉쇄된다. 이 모든 조치를 무력화해야 사전투표함 바꿔치기가 가능하다.”
‌
영화에서는 CCTV 화면을 조작하는 장면이 자주 등장한다. 실제로 그럴 수는 없나.
‌
“영화 ‘미션 임파서블’에서나 나오는 장면이다. 인터넷으로 접속이 가능한 인터넷에 연결되는 IP카메라와 달리 폐쇄형인 CCTV는 해킹이 어렵다. ‘해커 월드컵’으로 불리는 ‘데프콘’이라는 대회가 있다. 여기서 한국팀이 두 번이나 우승했다. 대회 성적만 놓고 보면 중국 해커들보다 좋다. 우승 멤버들 중 상당수가 고려대 학생이다. 이 학생들에게 CCTV 영상을 조작하라고 시켜도 쉽게 해내지 못한다. 사람들이 계속 ‘중국 해커라면 가능하지 않으냐’고 말하는데, 현실은 그렇지 않다.”
‌
선관위 자체를 불신하는 사람도 많다. 선관위가 자신의 이익을 위해 선거 결과를 좌지우지한다는 식이다.
‌
“어떻게 가능하겠나. 선관위는 선거 이후로도 법으로 정한 기간 동안 투표용지를 보관한다. 문제가 제기되면 재검표하기 위해서다. 실제로 민경욱 전 미래통합당(현 국민의힘) 의원이 문제 제기를 해 재검표가 이뤄진 전례가 있다. 막상 재검표했는데 선거 부정은 밝혀지지 않았다. 이제는 사람들이 ‘선관위 서버를 다 공개하라’고 말한다. 물론 서버를 공개할 수 있다. 다만 선관위 마음대로 결정할 수 있는 사안이 아니다. ‘공공기관의 정보 공개에 관한 법률’에서 선거와 관련된 정보는 비밀을 지키도록 정했기 때문이다. 선관위 사무총장이 ‘여야가 합의해 영장을 발부받아 오면 공개할 의사가 있다’고 말한 까닭이다. 선관위는 적법절차에 따라 정보 공개를 요청한다면 응하겠다는 입장이다.”
‌
“선관위의 말을 못 믿겠다”는 반응도 많다.
‌
“‘법원이 선관위와 한통속인데 영장을 발부해 주겠냐’는 의심이다. 그간 선관위는 압수수색을 엄청나게 많이 받았다. 영장이 발부됐기 때문에 가능한 일이었다.”
‌
백혜련 더불어민주당 의원에 따르면, 2020년부터 올해 1월 초까지 검찰과 경찰은 중앙 및 지역 선관위를 181차례 압수수색했다. 이 중 91.16%(165건)는 윤석열 대통령 임기 중 이뤄졌다.
‌
부정선거 의혹을 줄이기 위해 어떤 접근이 필요한가.
‌
“방송인 김어준 씨가 영화 ‘더 플랜’(2017)을 만들며 여러 음모론이 시작됐다. 더 플랜부터 지금의 부정선거론까지 부정선거에 대한 모든 내용을 정리해 증적(證跡)을 남겨야 한다. 중도층이나 청년들이 부정선거 음모론에 빠지지 않도록 유도하는 조치도 필요하다. 부정선거에 대한 의심을 줄이기 위해서는 보안에 집중하기보다 사회에 퍼진 불신을 줄이는 데 초점을 맞춰야 한다. 극좌와 극우 입장에 있는 사람들을 설득하기란 쉽지 않겠지만, 그럼에도 설득과 토론을 멈추면 안 된다.”