레노버 LENOVO,.. 

해킹 팀 메일에서 언급됐다

​최근문제가 된 이탈리아 '해킹팀' 메일에 선관위가 2014년 도입한 투표지분류기 컴퓨터사 명칭도 거론됐다. 

선관위는 작년 6.4 지방선거를 앞두고  투표지 분류기 1300여 대를 새로 만들었는데 제어용 컴퓨터로 중국(Lenovo)사 U330노트북을 달았다

레노버사 노트북은 해킹에 취약한 '백도어'가 설치되엇다는 지적이 있어 미국, 영국, 호주 등 국가에서 공무용으로 쓰지 못하게 한 제품이다,

선관위는 "무선모뎀칩을 빼면 컴퓨터를 쓸 수 없다"며 모뎀칩을 물리적으로 제거하지 않고 '차단'하는 방법으로 쓰겠다며 버텼다

파파이스 진행자 김어준 씨는 "레노버사 노트북에 내장된 무선인테넷 기능 칩셋을 제거해도 컴퓨터 작동은 된다"며 

해킹 위험이 있는 내장무선모뎀칩셋을 제거해야 된다고 방송을 통해 주장하기도 했다

하지만 선관위는 2014년 6월4일 지방선거 7.30일 재보궐 그리고 2015년 4.29 재보궐 선거 개표할 때도 무선인터넷 칩셋을 제거하지않고 썼다.

선관위는 앞으로도 노트북에 내장된 인터넷 기능을 제거하지 않고, 바이오스 조작으로 인터넷을 차단해 사용하겠다고 한다. 

선거법 상 '전자개표'를 할 수 없는 선거(대선,총선,지방선거)는, 인터넷이 되는 전산조직(컴퓨터 등)을 사용하면 안된다. 이유는 인터넷이 되는 컴퓨터는

해킹의 위험이 있기 때문이기도 하다 그런데 이번 해킹팀 메일에는 레노버사 제품은 이미 RCS(원격조정 및 관리를 할 수 있는해킹 프로그램)

을 이미 지원한다는 내용도 나온다 이 '레노버'라는 언급이 선관위 투표지분류기의 노트북을 의미하는지는 아직 확인되지 않았다. 

'원격제어가 가능한 해킹 프로그램'과'선관위가 개표 때 사용하는 캐표기에 붙은 레노버 노트북',이 둘은 연관이 과연 없는 것이지,

'전자개표장치 사용을 반대하는 사람들'은 진실이 과연 무엇인지 추적하고 있다

​국정원, 

전자개표기 해킹은 안했을까?

​10년 넘게 공인인증 안한'전자개표기'...보안 안전은 '글쎄 

국정원이 이탈리아의 업체'해킹 팀'에서 해킹 프로그램을 도입해 최근까지 사용한 사실이 드러나 큰 파장을 낳고 있다.

프로그램 구매 시기가 총선과 대선 시기에 집중돼 있어 선거에 악용됐을 가능성이 매우 높은 상황이다. 이와 관련해 꼭 짚어야할 점이 있다.

국정원이 총선과 대선 시기에 해킹을 하였다면 주요 목표물에 혹시 '전자개표기'(투표지분류기)가 들어 있지 않았겠느냐는 의혹이다.

​선거관리 위원회는 2002년 전자개표기를 첫 도입한 이래 한번도 국가공인검증(CC인증)을 한 적이 없다. 

CC인증이란 공통평가기준(Common Criteria, 약어 CC) 인증의 약자로서 "국가 또는 공공기과넹 도입되는 정보보호시스템의 안정성과 신뢰성을 

인증하여 국가 공공기관의 정보보호 역량을 강화하기 위한 제도"를 말한다.

이 업무는 오랫동안 국정원 사이버안전센터가 담당해왔고 작년 하반기에 미래부로 업무가 이관됐다. 

전자개표기는 제어용PC, 분류기, 프린터기의 일체형으로 구성되어 있다.

이 가운데 제어용PC는 프로그램과 명령으로 분류기와 프린터기를 작동시킨다. 

즉 전자개표기의 머리와 같은 역할을 한다. 이처럼 전자개표기가 "CC인증 대상 목록이 아니다"는 이유로 지난 대선 때까지 이 기기에 대한 공인인증을

하지 않았다.

​전자정부법 56조에 의하면 "국회, 법원, 헌법재판소, 중앙선거관리위원회 및 행정부는 전자정부의 구현에 필요한 정보통신망과 행정정보 등의  

안정성 및 신뢰성 확보를 위한 보안대책을 마련하여야한다"고 규정한다. 

이 규정을 지키지 않는 것이다.

물론 전자정부법 56조 4항은 국회, 법원, 헌법재판소, 중앙선관위 경우는 해당 기관의 장이 필요하다고 인정하는 경우에만 적용한다는 제한 규정이 있다.

하지만 "필요하지 아니하다고 인정하는 경우에는 해당기관의 장은 제3항에 준하는 보안조치(즉 국정원CC인증의 준하는 보안조치)를 마련하여야 한다."

는 단서가 있다. 이런 법령이 있음에도 국정원은 지금껏 전자개표기에 대한 국가공인거검증(cc인증)을 요구한 바 없다.

중앙선관위 위원장도 국정원에서 하는 CC인증에 준한 조치를 지난 대선 때까지 하지 않았다. 이는 전자개표기의 보안, 안정성, 신뢰성에 있어 

얼마나 취약한 상태인가를 드러낸다. 전자개표기의 CC인증을 하지않은 이유가 무엇인지 작년 5월 8일 국정원에 정보공개청구를 하였다. 

국정원은 한 달이 지난 한 달이 지난 6월 10일에야 "민원인께서 질의하신 선관위 투표지분류기는 정보보호를 목적으로 개발 판매되는 제품이 아니므로

CC인증 대상이 아니"라고 답하였다.

아울러 "국정원은 동 제품이 CC인증 대상은 아니나 선관위가 검증 요청 시 지원할 수 있다"고 밝혔다

​"전자개표기를 CC인증을 해야하지 않느냐"는 지적에 대해 중앙선관위 선거2과위 관계자는 지난 15일 통화에서 "2014년 신형 투표지분류기를 도입하며 

KTC등 공인인증을 거쳤다"며 "굳이 별도의 CC인증이 필요없다는" 반응을 보였다. 

하지만 기자가 정보공개로 받은 자료에 의하면 선관위가 신형 전자개표기(투표지분류기)를 도입할 떄 받은 KTC(한국기계전기전자시험), 

EMC(적합성 등록), RBCE(방송통신기자재 등의 적합등록) 등의 인증은 기기의 성능 검증을 위한 테스트라 해킹의 위험을 방지하는 보안 안정성에 

대한 테스트와는 거리가 있어 보인다. 더욱이 KTC 검사성적서에 의하면 검사방법이 '의뢰자 제시규격'이며,"이 성적서는 의뢰자가 제시한 시료 및 

시료명으로 시험한 결과 전체 제품의에 대한 품질을 보증하지는 않습니다"라고 명시돼 있다. 즉 선관위가 테스트를 요구한 신형 전자개표기(투표지분류기)

의 일부 제품을 대상으로 테스트 했지에, 나머지 제품들의 성능에 대해서는 품질을 보증하지 않았다는 의미로 해석될 수 있다.

이처럼 한계가 뚜렷한 공인인증마저 2012년 19대 총선, 18대 대선 당시엔 아예 없었다.

대선 당시 전자개표기는 심한 경우 한 투표구에서 54%~63%(부산 북구, 전북 정읍) 넘는 미분류표(전자개표기가 투표지인식에 실패해 토해낸 표)

를 쏱아냈다. 전남 순천과 서울 양천구 목동에선 혼표(정상적인 분류표에서 다른 후보자 표가 섞인 표)도 발견된 바 있다. 

이는 전자개표기의 보안, 안정성에 큰 구멍이 나 있었음을 보여주는 사례들이다.