2016.10.11

선거 해킹에 대한 오해와 진실 Q&A

Steve Ragan | ARN
선거 해킹이 올해 미국 대통령 선거에서 핵심 주제로 떠올랐다. 후보자와 투표자 모두 러시아의 지원 하에 움직이는 것으로 추정되는 세력의 공격 대상이 되고 있기 때문이다.

이번 질문과 답을 통해 여러 보안 전문가들과 함께 선거 해킹에 대한 오해와 진실을 살펴본다.



Q. 미국 대통령 선거가 정말 해킹될 수 있는가? 가능하다면 어떤 방법으로 이뤄지는가?
"미 대통령 선거를 해킹해 결과를 바꿀 수 있는 가능성은 거의 없다. 투표자 등록 데이터베이스가 최근 취약한 것으로 드러났지만, 기록을 추가하고 수정하고 삭제하더라도 의도한 효과, 즉 선거 결과 변경은 일어나지 않는다. 단지 선거 당일 데이터베이스의 무결성에 대한 의문이 제기될 뿐이다." 레코디드 퓨처(Recorded Future)의 정보 및 전략 담당 CP 리바이 군더트가 한 말이다.

군더트는 목적이 무단 조작, 또는 시스템 자체의 무결성에 대한 의문을 일으키는 것이라면, 특히 투표자 등록 데이터베이스의 대다수가 해킹당한 경우 대통령 선거 '해킹'은 가능하다고 말했다.

이런 작업은 최근 애리조나주와 일리노이주에서 드러났듯이 인터넷을 통해 원격으로 또는 내부자를 통해 가능하다.

군더트는 종이가 남지 않는 직접 기록 전자 장치(Direct Recording Electronic, DRE) 시스템을 사용하는 플로리다와 같은 주의 선거구들이 문제가 될 수 있지만, 그나마 가능성은 희박하다고 설명했다.

"DRE 시스템은 컴퓨터이므로 특히 공급망의 초기 단계에 있는 구성 요소에 접근할 수 있는 경우 여러 가지 방법으로 이러한 컴퓨터를 공격할 수 있다. 그러나 운영체제와 애플리케이션이 사전에 변조된 경우가 아니라면 선거 당일 인터넷을 통한 원격 접근은 거의 불가능하다. 시스템이 인터넷에 연결되지 않기 때문이다."

다만 공격자가 DRE 시스템에 물리적으로 접근할 수 있다면 부가적인 하드웨어(블루투스, 와이파이, GSM, CMDA 등)를 추가해 나중에 원격 접근이 가능하게 할 수도 있다. 군더트는 그러나 "이 경우에도 추가해야 할 하드웨어의 규모가 비현실적일만큼 크다"고 말했다.

투표 집계기에 취약점이 있다고 하면 아마 많은 사람이 놀랄 것이다. 해커원(HackerOne)의 창업자이자 CTO인 알렉스 라이스는 "현재 슬롯 머신에 적용되는 안전 보장과 규정이 투표 집계기에 적용되는 것보다 더 많다"고 지적했다.

투표 집계기가 취약하다는 사실에 새삼 놀랄 필요는 없다. 그동안 모든 기술은 취약한 것으로 드러났고 투표 집계기 컴퓨터 시스템 역시 다르지 않다. 민주주의를 지탱하는 데 사용될 핵심 시스템에 대해 사전에 수행되는 타사 소스코드 검토, 취약점 공개, 투명한 제3자 검토와 같은 기본적인 보안 모범 절차를 투표 컴퓨터는 거친 적이 없다.

Q. 주 지방 선거는 어떤가? 지방 선거가 더 쉬운 공격 대상인가? 그렇다면 어떤 방법으로 해킹될 수 있는가?
군더트는 이 질문에 대한 대답은 사용되는 투표 메커니즘에 따라 좌우된다고 말했다. DRE는 종이 투표와 다른 복잡성을 수반하지만 선거를 하이재킹하려는 입장에서 관건은 선거 결과에 영향을 미치는 데 필요한 조작의 규모다. 따라서 필요한 작업의 규모만으로 보면 지방 선거가 대통령 선거보다 더 쉬운 공격 대상일 수는 있다.

알렉스 라이스는 "대통령 선거와 지방 선거 모두 동일한 문제가 있지만 위험 대비 효과에 영향을 미치는 특징들이 약간 다르다"며, "지방 선거는 파급력이 상대적으로 낮으므로 지방 선거를 조작할 마음을 먹은 공격자라면 기술 수준이 그만큼 낮을 가능성이 높다. 한편 통계 표본이 적고 정밀 검사 수준도 비교적 느슨하므로 공격이 발각되지 않을 가능성도 높다"고 말했다.

Q. 투표 시스템 해킹의 성공 가능성은 어느 정도인가? 원격 하이재킹, 또는 현장의 물리적 접근 중 어느 형태의 공격 가능성이 높은가?
라이스는 "공격할 의지가 확고한 공격자가 투표 컴퓨터를 무단 조작하기 위해 선택할 수 있는 방법은 많다"고 말했다.

대부분의 투표 컴퓨터가 수명이 종료되고 보안 업데이트를 받지 못하는 윈도우 XP로 운용된다는 점은 심각한 문제다. 가능한 또 다른 공격 계층은 연결된 시스템이다. 라이스는 "투표 컴퓨터가 전체적으로, 완전히 인터넷으로부터 분리되었다는 증거는 아직 보지 못했다"고 설명했다.

이 외에 공격 대상 지역에서 컴퓨터를 작동 불능 상태로 빠트릴 수 있는 서비스 거부 공격도 가능하다.

라이스는 "가장 중요한 문제는 투명성의 부재로 인해 투표 하이재킹이 발생하지 않았음을 합리적으로 보장할 방법이 없다는 것이다. 이러한 해소되지 않는 의혹이 음모론자들이 선거 결과에 이의를 제기할 명분을 제공하고 있으며, 이런 이의에 대해 확고하게 반박할 수도 없게 한다. 선거 과정의 진정성에 대한 높은 수준의 신뢰성을 유지하지 못하는 것은 민주주의 그 자체에 위협이 된다"고 말했다.

Q. 공격자가 침투해서 선거 결과를 변경할 수 있다고 가정하면 지방 선거 사무국 또는 연방 정부에서 그러한 사실을 얼마나 신속하게 발견할 수 있는가?
군더트는 "DRE가 정상적으로 작동한다면 종이가 남지 않는 DRE 시스템의 무단 변경을 탐지하기는 어렵다. 애리조나와 일리노이 주에서 발생한 투표자 등록 데이터베이스 무단 접속은 이미 탐지됐다"고 말했다.

라이스는 이 경우에도 투명성 문제가 드러난다고 말했다. 투명성이 없으면 이런 변조를 탐지할 수 있는 통제 수단이 무엇인지 거의 알 수 없기 때문이다.

Q. 현실적으로 투표를 하이재킹하는 이유는 무엇인가?
군더트는 "공격자가 대량의 DRE 시스템에 접근하고 이동식 매체를 변경할 수 있다고 가정한다면(그럴 가능성은 거의 없지만) 동기는 많다. 타국이 노리는 분열/혼란 조장도 그 중 하나"라고 말했다.

스카이포트 시스템즈(Skyport Systems) CEO 아트 길리랜드는 후보자들의 정책 변경에 초점을 두는 간첩 활동도 목표가 될 수 있다고 말했다.

길리랜드는 "가령 친러주의자냐 반러시아적 입장이냐에 따라 국제 관계에 큰 영향을 미칠 수 있다. 또 다른 목적은 예를 들어 데이비드 듀크를 선택해 단순히 혼란을 야기하는 것이다. 어노니머스(Anonymous)와 같은 무정부주의자와 핵티비스트는 자신들의 주장을 밝히기 위해서라도 능히 그럴 수 있다"고 말했다.

Q. 선거 주기 동안 투표 시스템을 노릴 이유가 무엇인가? 모든 시선이 시스템과 데이터에 집중되는 기간이므로 역효과가 더 큰 공격이 아닌가?
라이스는 "이 질문은 무단 침입을 탐지했다는 가정이 필요하다"고 말했다. "더 첨단 보안 시스템에서도 탐지되는 무단 침입은 소수에 불과하다. 투표 시스템이 이러한 공격의 영향을 받지 않는다는 믿음은 자만이다. 침입은 가능하고, 그 침입을 탐지하기도 극히 어렵다고 생각해야 한다"고 말했다.

지난해 발생한 사건들을 보면, 이런 의견에 반박할 여지는 거의 없다. 악의적 해커들은 세계에서 가장 앞선 기술을 자랑하는 기업과 조직들로부터 수백만 건의 기록과 수백만 달러의 돈을 손쉽게 훔쳤다.

아트 길리랜드는 "다른 국가들은 최고의 장비와 인력으로 방어하고 있는 민감한 시스템을 늘 해킹한다. 그러니 자원봉사자가 지키고 모니터링하는 투표 시스템을 조작하는 것은 해커 커뮤니티 관점에서는 '애들 장난' 수준일 것"이라고 말했다.

다른 생각들
브로미움(Bromium)의 CTO 사이먼 크로스비는 이번 질문에 몇 가지 흥미로운 견해를 제시했다. 크로스비는 "사이버 피해망상이 새로운 차원의 불합리로 이어지고 있다"면서 "이런 추세를 이끄는 주역은 '사이버 러다이트(Cyber Luddite)'라고 할 수 있다"고 말했다.

크로스비는 "이들의 의견은 '가장 신뢰할 수 있는 보안 연구원들이 안전한 투표 시스템 구축은 불가능하다는 데 동의한다. 따라서 영원히 종이 투표를 고수해야 한다'는 것이다"고 설명했다.

크로스비는 "종이 투표 시스템을 고집할 경우 큰 단점을 떠안아야 한다. 떨어지지 않은 펀칭 종이 조각을 기억하는가? 완벽한 투표 시스템을 구축하기란 불가능하다. 그러나 지금은 극히 안전한 컴퓨터 시스템을 구축할 수 있다. 독립 보안 전문가의 적절한 감사와 테스트를 거치는 이러한 시스템은 투표의 정확성을 높이고 세계의 발전에도 크게 기여하게 될 것"이라고 덧붙였다. editor@itworld.co.kr



2016.10.11

선거 해킹에 대한 오해와 진실 Q&A

Steve Ragan | ARN
선거 해킹이 올해 미국 대통령 선거에서 핵심 주제로 떠올랐다. 후보자와 투표자 모두 러시아의 지원 하에 움직이는 것으로 추정되는 세력의 공격 대상이 되고 있기 때문이다.

이번 질문과 답을 통해 여러 보안 전문가들과 함께 선거 해킹에 대한 오해와 진실을 살펴본다.



Q. 미국 대통령 선거가 정말 해킹될 수 있는가? 가능하다면 어떤 방법으로 이뤄지는가?
"미 대통령 선거를 해킹해 결과를 바꿀 수 있는 가능성은 거의 없다. 투표자 등록 데이터베이스가 최근 취약한 것으로 드러났지만, 기록을 추가하고 수정하고 삭제하더라도 의도한 효과, 즉 선거 결과 변경은 일어나지 않는다. 단지 선거 당일 데이터베이스의 무결성에 대한 의문이 제기될 뿐이다." 레코디드 퓨처(Recorded Future)의 정보 및 전략 담당 CP 리바이 군더트가 한 말이다.

군더트는 목적이 무단 조작, 또는 시스템 자체의 무결성에 대한 의문을 일으키는 것이라면, 특히 투표자 등록 데이터베이스의 대다수가 해킹당한 경우 대통령 선거 '해킹'은 가능하다고 말했다.

이런 작업은 최근 애리조나주와 일리노이주에서 드러났듯이 인터넷을 통해 원격으로 또는 내부자를 통해 가능하다.

군더트는 종이가 남지 않는 직접 기록 전자 장치(Direct Recording Electronic, DRE) 시스템을 사용하는 플로리다와 같은 주의 선거구들이 문제가 될 수 있지만, 그나마 가능성은 희박하다고 설명했다.

"DRE 시스템은 컴퓨터이므로 특히 공급망의 초기 단계에 있는 구성 요소에 접근할 수 있는 경우 여러 가지 방법으로 이러한 컴퓨터를 공격할 수 있다. 그러나 운영체제와 애플리케이션이 사전에 변조된 경우가 아니라면 선거 당일 인터넷을 통한 원격 접근은 거의 불가능하다. 시스템이 인터넷에 연결되지 않기 때문이다."

다만 공격자가 DRE 시스템에 물리적으로 접근할 수 있다면 부가적인 하드웨어(블루투스, 와이파이, GSM, CMDA 등)를 추가해 나중에 원격 접근이 가능하게 할 수도 있다. 군더트는 그러나 "이 경우에도 추가해야 할 하드웨어의 규모가 비현실적일만큼 크다"고 말했다.

투표 집계기에 취약점이 있다고 하면 아마 많은 사람이 놀랄 것이다. 해커원(HackerOne)의 창업자이자 CTO인 알렉스 라이스는 "현재 슬롯 머신에 적용되는 안전 보장과 규정이 투표 집계기에 적용되는 것보다 더 많다"고 지적했다.

투표 집계기가 취약하다는 사실에 새삼 놀랄 필요는 없다. 그동안 모든 기술은 취약한 것으로 드러났고 투표 집계기 컴퓨터 시스템 역시 다르지 않다. 민주주의를 지탱하는 데 사용될 핵심 시스템에 대해 사전에 수행되는 타사 소스코드 검토, 취약점 공개, 투명한 제3자 검토와 같은 기본적인 보안 모범 절차를 투표 컴퓨터는 거친 적이 없다.

Q. 주 지방 선거는 어떤가? 지방 선거가 더 쉬운 공격 대상인가? 그렇다면 어떤 방법으로 해킹될 수 있는가?
군더트는 이 질문에 대한 대답은 사용되는 투표 메커니즘에 따라 좌우된다고 말했다. DRE는 종이 투표와 다른 복잡성을 수반하지만 선거를 하이재킹하려는 입장에서 관건은 선거 결과에 영향을 미치는 데 필요한 조작의 규모다. 따라서 필요한 작업의 규모만으로 보면 지방 선거가 대통령 선거보다 더 쉬운 공격 대상일 수는 있다.

알렉스 라이스는 "대통령 선거와 지방 선거 모두 동일한 문제가 있지만 위험 대비 효과에 영향을 미치는 특징들이 약간 다르다"며, "지방 선거는 파급력이 상대적으로 낮으므로 지방 선거를 조작할 마음을 먹은 공격자라면 기술 수준이 그만큼 낮을 가능성이 높다. 한편 통계 표본이 적고 정밀 검사 수준도 비교적 느슨하므로 공격이 발각되지 않을 가능성도 높다"고 말했다.

Q. 투표 시스템 해킹의 성공 가능성은 어느 정도인가? 원격 하이재킹, 또는 현장의 물리적 접근 중 어느 형태의 공격 가능성이 높은가?
라이스는 "공격할 의지가 확고한 공격자가 투표 컴퓨터를 무단 조작하기 위해 선택할 수 있는 방법은 많다"고 말했다.

대부분의 투표 컴퓨터가 수명이 종료되고 보안 업데이트를 받지 못하는 윈도우 XP로 운용된다는 점은 심각한 문제다. 가능한 또 다른 공격 계층은 연결된 시스템이다. 라이스는 "투표 컴퓨터가 전체적으로, 완전히 인터넷으로부터 분리되었다는 증거는 아직 보지 못했다"고 설명했다.

이 외에 공격 대상 지역에서 컴퓨터를 작동 불능 상태로 빠트릴 수 있는 서비스 거부 공격도 가능하다.

라이스는 "가장 중요한 문제는 투명성의 부재로 인해 투표 하이재킹이 발생하지 않았음을 합리적으로 보장할 방법이 없다는 것이다. 이러한 해소되지 않는 의혹이 음모론자들이 선거 결과에 이의를 제기할 명분을 제공하고 있으며, 이런 이의에 대해 확고하게 반박할 수도 없게 한다. 선거 과정의 진정성에 대한 높은 수준의 신뢰성을 유지하지 못하는 것은 민주주의 그 자체에 위협이 된다"고 말했다.

Q. 공격자가 침투해서 선거 결과를 변경할 수 있다고 가정하면 지방 선거 사무국 또는 연방 정부에서 그러한 사실을 얼마나 신속하게 발견할 수 있는가?
군더트는 "DRE가 정상적으로 작동한다면 종이가 남지 않는 DRE 시스템의 무단 변경을 탐지하기는 어렵다. 애리조나와 일리노이 주에서 발생한 투표자 등록 데이터베이스 무단 접속은 이미 탐지됐다"고 말했다.

라이스는 이 경우에도 투명성 문제가 드러난다고 말했다. 투명성이 없으면 이런 변조를 탐지할 수 있는 통제 수단이 무엇인지 거의 알 수 없기 때문이다.

Q. 현실적으로 투표를 하이재킹하는 이유는 무엇인가?
군더트는 "공격자가 대량의 DRE 시스템에 접근하고 이동식 매체를 변경할 수 있다고 가정한다면(그럴 가능성은 거의 없지만) 동기는 많다. 타국이 노리는 분열/혼란 조장도 그 중 하나"라고 말했다.

스카이포트 시스템즈(Skyport Systems) CEO 아트 길리랜드는 후보자들의 정책 변경에 초점을 두는 간첩 활동도 목표가 될 수 있다고 말했다.

길리랜드는 "가령 친러주의자냐 반러시아적 입장이냐에 따라 국제 관계에 큰 영향을 미칠 수 있다. 또 다른 목적은 예를 들어 데이비드 듀크를 선택해 단순히 혼란을 야기하는 것이다. 어노니머스(Anonymous)와 같은 무정부주의자와 핵티비스트는 자신들의 주장을 밝히기 위해서라도 능히 그럴 수 있다"고 말했다.

Q. 선거 주기 동안 투표 시스템을 노릴 이유가 무엇인가? 모든 시선이 시스템과 데이터에 집중되는 기간이므로 역효과가 더 큰 공격이 아닌가?
라이스는 "이 질문은 무단 침입을 탐지했다는 가정이 필요하다"고 말했다. "더 첨단 보안 시스템에서도 탐지되는 무단 침입은 소수에 불과하다. 투표 시스템이 이러한 공격의 영향을 받지 않는다는 믿음은 자만이다. 침입은 가능하고, 그 침입을 탐지하기도 극히 어렵다고 생각해야 한다"고 말했다.

지난해 발생한 사건들을 보면, 이런 의견에 반박할 여지는 거의 없다. 악의적 해커들은 세계에서 가장 앞선 기술을 자랑하는 기업과 조직들로부터 수백만 건의 기록과 수백만 달러의 돈을 손쉽게 훔쳤다.

아트 길리랜드는 "다른 국가들은 최고의 장비와 인력으로 방어하고 있는 민감한 시스템을 늘 해킹한다. 그러니 자원봉사자가 지키고 모니터링하는 투표 시스템을 조작하는 것은 해커 커뮤니티 관점에서는 '애들 장난' 수준일 것"이라고 말했다.

다른 생각들
브로미움(Bromium)의 CTO 사이먼 크로스비는 이번 질문에 몇 가지 흥미로운 견해를 제시했다. 크로스비는 "사이버 피해망상이 새로운 차원의 불합리로 이어지고 있다"면서 "이런 추세를 이끄는 주역은 '사이버 러다이트(Cyber Luddite)'라고 할 수 있다"고 말했다.

크로스비는 "이들의 의견은 '가장 신뢰할 수 있는 보안 연구원들이 안전한 투표 시스템 구축은 불가능하다는 데 동의한다. 따라서 영원히 종이 투표를 고수해야 한다'는 것이다"고 설명했다.

크로스비는 "종이 투표 시스템을 고집할 경우 큰 단점을 떠안아야 한다. 떨어지지 않은 펀칭 종이 조각을 기억하는가? 완벽한 투표 시스템을 구축하기란 불가능하다. 그러나 지금은 극히 안전한 컴퓨터 시스템을 구축할 수 있다. 독립 보안 전문가의 적절한 감사와 테스트를 거치는 이러한 시스템은 투표의 정확성을 높이고 세계의 발전에도 크게 기여하게 될 것"이라고 덧붙였다. editor@itworld.co.kr

X