'투표 보안' 궁극의 해법··· "SW 독립성과 제한적 감사"

CSO
2016년 대통령 선거가 끝난 후 정치와 IT 업계에서 가장 ‘뜨거운’ 담론 중 하나가 바로 선거(투표) 보안이었다. 외국이나 적대 세력이 미국의 디지털 투표 인프라를 해킹해 엉망으로 만들 수 있다는 우려와 불안이 커진 것이다. 일부 전문가는 디지털 투표를 포기하고 종이 투표로 돌아가야 한다고 주장했다.

© Getty Images Bank

이런 가운데 최고 정보 보안 전문가 6명이 지난 해 DEFCON 보팅 빌리지(Voting Village)에서 투표용 기계를 분석한 결과를 모아 선거 보안에 ‘경종’을 울리는 보고서를 발표했다. 이들은 여러 투표 기기와 솔루션에서 수십 가지 심각한 취약점을 발견했다. 여기에는 가장 많이 사용되는 투표 기기 업체인 일렉션 시스템즈 앤 소프트웨어(Election Systems & Software)의 제품도 1종 포함됐다. 공격자가 네트워크를 통해 원격으로 시스템을 해킹해 투표 수를 조작할 수 있는 취약점이다.

이 보고서 작성에 참여한 전문가 중 한 명으로 저명한 암호학자이자 조지타운 대학 교수인  매트 블레이즈는 최근 열린 슈무쿤(Shmoocon) 연례 컨퍼런스에서 "선거 관련 보안을 20년 간 연구 및 조사 했는데, 역대 가장 어려운 보안 문제에 직면했다"고 말했다.

비밀성과 투명성 사이
이런 문제가 발생하는 근본적인 이유는 투표 관련 요구사항 중 일부가 서로 상충된다는 점이다. 즉 비밀 유지와 투명성이 모두 필요한데, 이는 본질적으로 충돌하는 가치다. 블레이즈는 “다른 사람의 투표 내용을 알 수 없도록 하면서, 동시에 투표를 확실하게 집계할 수 있어야 한다. 선거가 끝난 후 다시 집계할 수도 없다. 특정 날짜까지 투표에 대한 집계를 완료하도록 규정돼 있기 때문이다"라고 말했다.

제도와 거점도 복잡하다. 현재 미국에는 54개의 선거법이 존재한다. 또 5,000여 카운티에서 선거를 관장하며, 무수히 많은 장소에서 투표가 이뤄진다. 이런 상황을 더 악화시키는 새로운 위협 요소가 2016년 선거 때 등장했다. 국가 수준의 해킹이다. 즉, 외국 정보 기관의 강력한 힘이 개입될 가능성이 있다는 것이다. 별것 아닌 선출직 선거 결과를 바꾸려던 단순한 시대는 오래 전에 지나갔다

미국 투표 인프라는 얼마 전까지만 해도 ‘원시적’ 형태의 구식 천공 카드였다. 그러나 2000년 부시 대 고어 대선 당시 구멍이 제대로 뚫리지 않는 투표 용지로 논란이 일자, ‘헬프 아메리카 보트 액트(Help America Vote Act)’ 법안이 만들어져 전자 및 투표 디지털 기기로의 변화를 견인했다. 그리고 이러한 변화는 투표 보안이 하드웨어와 소프트웨어와 완전히 종속되는 상황으로 이어졌다.

블레이즈에 따르면, 문제는 대부분의 소프트웨어가 아주 미흡하다는 점이다. 또 소프트웨어가 적절한지 여부를 판단할 수 있는 종합적인 기법도 존재하지 않는다. 그는 "선거 결과에 대한 대중의 신뢰는 투표 시스템에 대한 신뢰에서 출발한다"라고 말했다. 사실 종이 투표(용지)는 신뢰도가 높다. 모든 사람이 지켜 보기 때문에, 속임수나 부정 행위가 어렵다. 또 전자 방식 투표와 다르게, 종이 투표는 국가의 모든 투표 용지 상자를 바꿔치는 식의 '재앙적인 조작'이 일어나기 힘들다"라고 말했다.

그러나 투표라는 ‘방정식’에서 컴퓨터와 소프트웨어를 아예 없앤다고 문제가 해결되는 것은 아니다. 무엇보다 미국의 선거는 전 세계에서 가장 복잡하다. 투표 용지에 기록된 후보자와 안건이 여러 명, 여러 종류이기 때문이다. 또 사람이 수작업으로 득표를 집계하는 것이 기계보다 더 낫거나, 더 정확하다고 주장하기도 힘들다.

‘투표 행위’ 자체는 선거라는 방정식에서 하나의 요소에 불과하다. 투표 터미널 이면에 투표 ‘용지’에 대한 정의, 투표자(유권자) 등록, 백엔드 집계 및 보고 등 수 많은 컴퓨터 기능이 복잡하게 통합돼 있다. 블레이즈는 “컴퓨터는 선거 관련 업무가 직면한 여러 어려운 문제를 해결해준다. 컴퓨터를 선거에 사용하지 말아야 한다고 주장하는 것은 설득력이 없다”라고 말했다.

종이 투표는 더 이상 ‘선택지’가 될 수 없다. 무엇보다 현대 미국 선거에 필요한 정도와 수준으로 확장하는 것은 불가능하다. 그렇다면, 이러한 ‘난제’의 해결책은 무엇일까?
 
---------------------------------------------------------------
정보 보호 인기기사
->칼럼 | 방화벽·백신 소용없다··· 깜짝 놀랄 보안 ‘팩트' 5가지
->책임자 사퇴까지… 대가 톡톡히 치른 정보 유출 사고 9선
-> FBI, SNS 감시할 툴 모색
->“구글 애널리틱스, 노르웨이 개인정보보호법 위반”••• 정부기관 지적
-> FAQ : 미국 NSA 프리즘 사건의 기반 사실들
-> 오바마 미 대통령 "미국 시민들은 감시당하지 않는다"
---------------------------------------------------------------

소프트웨어 독립성과 위험을 제한하는 감사가 ‘해결책’
일부가 주장하는 블록체인 기술은 해결책이 될 수 없다. 블레이즈는 “블록체인에도 소프트웨어가 필요하다. 즉, 백엔드에 블록체인을 사용하는 경우에도 같은 문제가 사라지지 않고 남게 된다”라고 말했다. 그에 따르면, 선거 보안과 관련된 연구 및 조사를 실시한 NAS(National Academies of Science)가 2018년에 발표한 ‘안전한 투표(Securing the Vote)’ 보고서에 선거 보안 문제를 가장 효과적으로 해결할 수 있는 방법이 제시돼 있다. 블레이즈는 “투표 보안을 다룬 자료 중 역대 최고”라고 평가했다.

이 보고서는 선거와 관련된 디지털 투표 기기에 적용해야 하는 2가지 원칙을 제시한다. 첫 번째는 ‘소프트웨어 독립성’이다. 소프트웨어의 감지하지 못한 변화나 오류가 선거 결과에 있어 감지하지 못하는 변화나 오류를 초래하지 않는 투표 시스템을 의미한다. 두 번째는 ‘위험을 제한하는 감사’라는 개념이다. 이는 통계적인 기법이다. 선거 후 감사에서 투표 기기 중 일부를 표본으로 선택해 정확히 결과가 나왔는지 감사한다. 여기서 문제가 발견될 경우 수작업으로 투표를 집계한다. 블레이즈를 “이런 원칙을 적용하면 아주 높은 신뢰도를 얻을 수 있다"라고 말했다.

블레이즈에 따르면 정책 입안자들은 NAS를 무시할 수 없으므로, 아픙로 이 보고서가 큰 영향을 가져올 것이다. 이미 의회에 관련 법안이 몇몇 제출됐다. 주 정부에 종이 투표 ‘백업’과 위험 제한 감사를 유지 및 실시할 예산을 확보하는 법안이다. 이 법안은 민주당과 공화당 양당 모두의 지지를 받고 있다. 일부 주 정부는 자체적으로 위험 제한 감사를 실시하기 시작했다.

블레이즈는 이런 점을 감안했을 때 현 상황은 자신과 동료가 데프콘 보팅 빌리지 조사 결과를 발표했던 지난 해보다 낙관적이라고 평가했다. 일부 학자가 선거용 기기와 장치에서 취약점을 발견하기는 했지만, 미국 선거에서 이런 취약점이 실제 악용된 사례를 찾은 사람은 단 한 명도 없었다. ciokr@idg.co.kr