2019.07.24

전자 투표, '충분한 보안'은 어느 정도인가

J.M. Porup | CSO
선거 보안은 어느 정도면 충분할까? 아마 답은 ‘패배한 후보자가 자신의 패배를 인정하기에 충분해야 한다’일 것이다. 그렇다면 2020년 미 선거에서 그렇게 될 수 있을까? 아마도 아닐 것이다. 

스탠퍼드 대학교의 국제 안보 및 협력 센터의 상임 연구학자이고, 스탠퍼드 사이버 정책 센터의 ‘미국 선거 보안(Securing American Elections)’ 보고서의 공동 저자인 허브 린은 “이게 충분한 것인가? 어느 정도여야 충분한 것인가?”라고 질문했다. 그는 “유감스럽지만 답은 기술적인 것이 아니다. ‘충분하다’는 투표 기계가 해킹되지 않았다고 선거에서 패한 후보가 납득할 수 있는 정도가 아닐 것이라는 의미이다”라고 말했다.  

그는 “패배자가 지지자를 동원해 결과에 불만을 제기할 가능성을 고려해야 한다”라고 덧붙이며 “물론 선거 기계는 조직적 및 기술적 차원에서 모두 충분히 고품질이어야 하고, 공격에 견딜 수 있고, 따라서 패한 후보가 정당하게 패했음을 납득할 수 있어야 한다”라고 말했다. 

이는 선거 보안이 기술적 문제이기도 하지만, 그만큼이나 정치적 문제이기도 하다는 의미이다. 얼마나 많은 돈이 사용되었는지, 어떤 보안 통제 수단이 배치되었는가와 무관하게 유권자는 투표가 공정했음을 확신해야 한다. 즉 선거 인프라는 오늘날의 대다수 정보 보안 난제와는 다른 차원의 문제다. 

현재 여러 선거구가 종이 없는 투표라는 이슈에서 벗어나는데 어려움을 겪고 있고, 이는 이론의 여지가 없다. 우리는 실질적으로 신뢰할만한 투표 보안이라는 새롭고 공정한 땅에 어떻게 하면 도달할 것인가?

모든 정치 문제가 그러하듯이 절충이 있을 수밖에 없다.

선거 보안 절충 
선거 보안 전문가들 사이의 합치된 의견은 인간이 읽을 수 있는 종이 투표가 바람직하다는 것이다. 그렇다면 인간의 손으로 표시되는 투표 용지가, 기계로 표시되고 인간이 읽을 수 있는 투표 용지보다 더 우월한가? 아니면 그 반대인가? 

유권자는 걸핏하면 실수를 저지른다. 사각형 안에 X 대신, 사각형 주변으로 동그라미를 그린다. 그렇지 않으면 사각형을 부분적으로만 채운다. 또는 실수로 표기한 부분을 긁어버리고, 다른 사각형을 만든다. 이런 종류의 투표자 오류는 종이 투표가 시작된 때부터 우리와 함께 했다. 

하나의 제안된 – 그리고 실제 배치된 – 대안은 투표 용지를 투표함에 넣기 전에 유권자가 검토할 수 있는 터치스크린 투표 인쇄 기계를 사용하는 것이다. 터치스크린 기계는 투표를 계수하지 않고, 투표 용지에만 관여한다. 

그러나 기계가 실수하지 않았음을 확인하기 위해 투표 선택을 성실하게 검토할 투표자가 얼마나 될까? 투표 용지가 길다면 특히 그러하다. 해킹된 투표 체킹 기계라면 투표자의 선택을 화면에 표시하지만, 다른 투표 선택을 인쇄할 수 있다. 가스 라이팅(gas lighting) 가능성도 문젯거리이다. 

이는 각각 좋은 점과 나쁜 점을 가진 절충이다. 선거 결과에 의문을 제기하기란 쉽다. 단지 한두 명의 투표자가 기계가 투표 용지를 잘못 표시했다고 고함을 지르는 것이면 충분하다(사실이든 사실이 아니든). 아울러 모든 투표자의 의사를 보장할 수 있는 방식으로 투표를 계수하는 것도 중요하다. 

또 하나 절충해야 할 사항은 계수 속도이다. 종이 투표의 한가지 커다란 결점은 손으로 계수하는데 긴 시간이 걸린다는 점이다. 이런 계수는 아무리 선의의 투표소 작업자라도 오류를 범하기 쉽다. 위험 제한 감사와 함께 광학 스캐너를 이용해 계수하는 것은 속도와 정확성 사이의 적절한 절충이라고 널리 인식되어 있다. 이는 더 빠르지만 여전히 동시적이지는 않다. 위험 제한 감사 역시 시간이 걸린다. 이는 결과를 알고자 하는 압력이 있을 때 문제일 수 있다. 

린은 “유럽에서는 기다린다. 제대로 될 때까지 기다리는 것이다. 반면 미국에서는 그런 인내심이 없다”라고 말했다. 

또 다른 절충은 장애를 가진 국민이 투표 기계에 접근할 수 있도록 보장하는 것과 관련된다. 린은 “맹인도 투표권이 있고, 투표자 프라이버시 권리가 있다” 라고 지적하며, “이들을 위한 특수 기계를 마련할 수 있다. 하지만 그 다음에는 이들이 확연히 두드러져서 창피하다고 느끼는 문제가 생긴다. 이는 정치적 결단이다. 누군가는 결정을 내려야 한다. 그리고 정치인들은 양쪽에서 날리는 집중 포화를 견뎌야 한다”라고 말했다. 

린은 “취사 선택이 이루어져야 한다. 그게 근본적 문제이다. 어떠한 취사 선택을 할 것인지 결정하는 것은 공공 정책의 문제이다”라고 말했다. 

스탠퍼드 보고서는 침투 테스팅, 투표 기계의 코드 검사를 촉구
대다수 CSO 독자가 알고 있듯이 컴플라이언스와 보안은 같지 않다. 스탠퍼드 보고서는 체크리스트 컴플라이언스가 투표 기계의 보안을 보장하는데 전혀 부적절하다고 비난한다. 그러면서 “체크리스트 컴플라이언스에 의한 보안의 보증은 인증 프로세스의 한 요건으로서 기초적 수준의 보안을 제공하지만, 대립 쌍 프로세스를 통해 평가되는 보안보다 수준이 떨어지는 것으로 알려져 있다”라고 지적했다. 

아울러 보고서는 영리적 투표 기계 판매자의 제품의 폐쇄형 소스와 소유적 성질에 대해서도 비난한다. 그러나 오픈소스 투표 시스템을 요구하기까지는 않았다. 보고서는 “선거용 하드웨어와 소프트웨어를 공급하는 벤더는 서드파티에 의한 소스 코드 검사에 저항하는 것이 보통이다. 외부인이 소스 코드에 액세스하도록 허용한다면 지적 재산권이 훼손된다는 것이다”고 말했다. 

보고서는 투표 결과의 무결성을 보장하기 위해 투표 인프라에 대한 침투 테스트가 정규적이고 계속적인 투표 프로세스의 일부가 되어야 한다고 주장한다. 또한 보고서는 비공개, 비경쟁 합의 하에서 서드파티에 의한 소스 코드 검사를 주장했다. 

선거 보안을 관심 있게 지켜보는 사람이라면 선거 보안에 관한 ‘2018년 국립 아카데미 보고서(National Academies 2018 report on election security)’를 익히 알고 있을 것이다. 보고서는 투표 인프라 강화 방법에 관해 수많은 보안 전문가의 구체적이고 확실한 권고안을 제시했던 바 있다. 스탠퍼드 보고서는 한 단계 더 나아간다. 침투 테스트와 서드파티 코드 검사뿐 아니라 다중일 투표 기간 역시 촉구한다 (불가피한 컴퓨터 장애가 발생할 때 사람들에게 투표할 시간을 주기 위해). 아울러 후보자가 자신의 선거 활동을 보안할 수 있도록 정당이 재원 및 인력 자원을 지원하는 것을 더 쉽게 만들도록 권고한다. 

그렇다면 선거를 제대로 치를 정도로 충분한 보안은 정확히 어느 정도인가? 이에 대한 답은 계속 움직이는 표적과 같다. 기술이 진화함에 따라 새로운 위협이 출현할 것이고, 일부는 우리가 아직 상상조차 못한 것일 수 있다. 

그러나 모든 경우에 있어서 최종 관문은 동일하다. 즉, 투표 결과가 매우 완벽해서 어떤 패배자라도 스스로 정당하게 패배했음을 인정하지 않을 수 없을 정도여야 한다. 그렇다면 우리의 선거는 안전하다. ciokr@idg.co.kr
 



2019.07.24

전자 투표, '충분한 보안'은 어느 정도인가

J.M. Porup | CSO
선거 보안은 어느 정도면 충분할까? 아마 답은 ‘패배한 후보자가 자신의 패배를 인정하기에 충분해야 한다’일 것이다. 그렇다면 2020년 미 선거에서 그렇게 될 수 있을까? 아마도 아닐 것이다. 

스탠퍼드 대학교의 국제 안보 및 협력 센터의 상임 연구학자이고, 스탠퍼드 사이버 정책 센터의 ‘미국 선거 보안(Securing American Elections)’ 보고서의 공동 저자인 허브 린은 “이게 충분한 것인가? 어느 정도여야 충분한 것인가?”라고 질문했다. 그는 “유감스럽지만 답은 기술적인 것이 아니다. ‘충분하다’는 투표 기계가 해킹되지 않았다고 선거에서 패한 후보가 납득할 수 있는 정도가 아닐 것이라는 의미이다”라고 말했다.  

그는 “패배자가 지지자를 동원해 결과에 불만을 제기할 가능성을 고려해야 한다”라고 덧붙이며 “물론 선거 기계는 조직적 및 기술적 차원에서 모두 충분히 고품질이어야 하고, 공격에 견딜 수 있고, 따라서 패한 후보가 정당하게 패했음을 납득할 수 있어야 한다”라고 말했다. 

이는 선거 보안이 기술적 문제이기도 하지만, 그만큼이나 정치적 문제이기도 하다는 의미이다. 얼마나 많은 돈이 사용되었는지, 어떤 보안 통제 수단이 배치되었는가와 무관하게 유권자는 투표가 공정했음을 확신해야 한다. 즉 선거 인프라는 오늘날의 대다수 정보 보안 난제와는 다른 차원의 문제다. 

현재 여러 선거구가 종이 없는 투표라는 이슈에서 벗어나는데 어려움을 겪고 있고, 이는 이론의 여지가 없다. 우리는 실질적으로 신뢰할만한 투표 보안이라는 새롭고 공정한 땅에 어떻게 하면 도달할 것인가?

모든 정치 문제가 그러하듯이 절충이 있을 수밖에 없다.

선거 보안 절충 
선거 보안 전문가들 사이의 합치된 의견은 인간이 읽을 수 있는 종이 투표가 바람직하다는 것이다. 그렇다면 인간의 손으로 표시되는 투표 용지가, 기계로 표시되고 인간이 읽을 수 있는 투표 용지보다 더 우월한가? 아니면 그 반대인가? 

유권자는 걸핏하면 실수를 저지른다. 사각형 안에 X 대신, 사각형 주변으로 동그라미를 그린다. 그렇지 않으면 사각형을 부분적으로만 채운다. 또는 실수로 표기한 부분을 긁어버리고, 다른 사각형을 만든다. 이런 종류의 투표자 오류는 종이 투표가 시작된 때부터 우리와 함께 했다. 

하나의 제안된 – 그리고 실제 배치된 – 대안은 투표 용지를 투표함에 넣기 전에 유권자가 검토할 수 있는 터치스크린 투표 인쇄 기계를 사용하는 것이다. 터치스크린 기계는 투표를 계수하지 않고, 투표 용지에만 관여한다. 

그러나 기계가 실수하지 않았음을 확인하기 위해 투표 선택을 성실하게 검토할 투표자가 얼마나 될까? 투표 용지가 길다면 특히 그러하다. 해킹된 투표 체킹 기계라면 투표자의 선택을 화면에 표시하지만, 다른 투표 선택을 인쇄할 수 있다. 가스 라이팅(gas lighting) 가능성도 문젯거리이다. 

이는 각각 좋은 점과 나쁜 점을 가진 절충이다. 선거 결과에 의문을 제기하기란 쉽다. 단지 한두 명의 투표자가 기계가 투표 용지를 잘못 표시했다고 고함을 지르는 것이면 충분하다(사실이든 사실이 아니든). 아울러 모든 투표자의 의사를 보장할 수 있는 방식으로 투표를 계수하는 것도 중요하다. 

또 하나 절충해야 할 사항은 계수 속도이다. 종이 투표의 한가지 커다란 결점은 손으로 계수하는데 긴 시간이 걸린다는 점이다. 이런 계수는 아무리 선의의 투표소 작업자라도 오류를 범하기 쉽다. 위험 제한 감사와 함께 광학 스캐너를 이용해 계수하는 것은 속도와 정확성 사이의 적절한 절충이라고 널리 인식되어 있다. 이는 더 빠르지만 여전히 동시적이지는 않다. 위험 제한 감사 역시 시간이 걸린다. 이는 결과를 알고자 하는 압력이 있을 때 문제일 수 있다. 

린은 “유럽에서는 기다린다. 제대로 될 때까지 기다리는 것이다. 반면 미국에서는 그런 인내심이 없다”라고 말했다. 

또 다른 절충은 장애를 가진 국민이 투표 기계에 접근할 수 있도록 보장하는 것과 관련된다. 린은 “맹인도 투표권이 있고, 투표자 프라이버시 권리가 있다” 라고 지적하며, “이들을 위한 특수 기계를 마련할 수 있다. 하지만 그 다음에는 이들이 확연히 두드러져서 창피하다고 느끼는 문제가 생긴다. 이는 정치적 결단이다. 누군가는 결정을 내려야 한다. 그리고 정치인들은 양쪽에서 날리는 집중 포화를 견뎌야 한다”라고 말했다. 

린은 “취사 선택이 이루어져야 한다. 그게 근본적 문제이다. 어떠한 취사 선택을 할 것인지 결정하는 것은 공공 정책의 문제이다”라고 말했다. 

스탠퍼드 보고서는 침투 테스팅, 투표 기계의 코드 검사를 촉구
대다수 CSO 독자가 알고 있듯이 컴플라이언스와 보안은 같지 않다. 스탠퍼드 보고서는 체크리스트 컴플라이언스가 투표 기계의 보안을 보장하는데 전혀 부적절하다고 비난한다. 그러면서 “체크리스트 컴플라이언스에 의한 보안의 보증은 인증 프로세스의 한 요건으로서 기초적 수준의 보안을 제공하지만, 대립 쌍 프로세스를 통해 평가되는 보안보다 수준이 떨어지는 것으로 알려져 있다”라고 지적했다. 

아울러 보고서는 영리적 투표 기계 판매자의 제품의 폐쇄형 소스와 소유적 성질에 대해서도 비난한다. 그러나 오픈소스 투표 시스템을 요구하기까지는 않았다. 보고서는 “선거용 하드웨어와 소프트웨어를 공급하는 벤더는 서드파티에 의한 소스 코드 검사에 저항하는 것이 보통이다. 외부인이 소스 코드에 액세스하도록 허용한다면 지적 재산권이 훼손된다는 것이다”고 말했다. 

보고서는 투표 결과의 무결성을 보장하기 위해 투표 인프라에 대한 침투 테스트가 정규적이고 계속적인 투표 프로세스의 일부가 되어야 한다고 주장한다. 또한 보고서는 비공개, 비경쟁 합의 하에서 서드파티에 의한 소스 코드 검사를 주장했다. 

선거 보안을 관심 있게 지켜보는 사람이라면 선거 보안에 관한 ‘2018년 국립 아카데미 보고서(National Academies 2018 report on election security)’를 익히 알고 있을 것이다. 보고서는 투표 인프라 강화 방법에 관해 수많은 보안 전문가의 구체적이고 확실한 권고안을 제시했던 바 있다. 스탠퍼드 보고서는 한 단계 더 나아간다. 침투 테스트와 서드파티 코드 검사뿐 아니라 다중일 투표 기간 역시 촉구한다 (불가피한 컴퓨터 장애가 발생할 때 사람들에게 투표할 시간을 주기 위해). 아울러 후보자가 자신의 선거 활동을 보안할 수 있도록 정당이 재원 및 인력 자원을 지원하는 것을 더 쉽게 만들도록 권고한다. 

그렇다면 선거를 제대로 치를 정도로 충분한 보안은 정확히 어느 정도인가? 이에 대한 답은 계속 움직이는 표적과 같다. 기술이 진화함에 따라 새로운 위협이 출현할 것이고, 일부는 우리가 아직 상상조차 못한 것일 수 있다. 

그러나 모든 경우에 있어서 최종 관문은 동일하다. 즉, 투표 결과가 매우 완벽해서 어떤 패배자라도 스스로 정당하게 패배했음을 인정하지 않을 수 없을 정도여야 한다. 그렇다면 우리의 선거는 안전하다. ciokr@idg.co.kr
 

X