2020.02.18

모바일 투표 앱을 둘러싼 '계속되는' 논쟁

Lucas Mearian | Computerworld
미국에서 여러 주의 선거 공무원은 투표 접근성을 확대하기 위한 방법으로 다양한 모바일 투표 애플리케이션을 시험해왔다. 그러나 MIT 연구원들은 대중적으로 쓰이는 앱에 누군가 이를 악용할 수 있는 보안 취약점들이 있다고 지적했다. 
 
ⓒDemocracy Live

MIT가 행한 보아츠(Voatz) 앱에 대한 분석에 따르면 ‘개별 이용자가 투표했던 방식을 해커가 바꾸고, 중지시키며, 노출할 수 있는’ 여러 취약점이 확실하게 드러났다. 

나아가, MIT는 보아츠가 투표자 신원 확인과 검증에 이용하는 팔로알토의 주미어(Jumio)라는 업체는 잠재적인 프라이버시 문제가 있음을 발견했다.

이번 연구는 최근 논란이 있었던 아이오와주 민주당 대통령 전당대회를 계기로 이루어졌다. 여기서는 투표를 기록하기 위해 온라인 앱을 이용했지만, 앱에서 오류가 발견됐다. 원인은 코딩 결함과 불충분한 테스팅이었다. 

일부 보안 전문가는 유일하게 안전한 투표 형식은 종이 투표라고 오랫동안 말해왔다. 
 
ⓒVOATZ
보아츠 모바일 투표 앱은 총투표자가 600명에 불과한 웨스트 버지니아주 덴버, 그리고 오리건, 유타, 워싱턴 주의 5개 카운티 등 소규모 시험 투표에 사용되었다. 주로 해외에 거주하는 사전 선거 참여를 위한 것이었다. 

위 보고서에 대응해, 보아츠는 MIT의 보고서가 이미 구식이 된 안드로이드 버전을 대상으로 했기 때문에 결함이 있다고 주장했다. 

보아츠는 2월 13일 블로그 게시물에서 “다른 100여 명의 연구원처럼, MIT가 해커원 상의 공개 버그 바운티 프로그램으로 우리의 최신 앱 버전을 이용해 테스트하고 검증했다면, 틀린 방식에 근거해 주장하는 보고서를 발간하지 않았을 것이다”라고 밝혔다. 

보아츠는 “600명 미만의 투표자를 비롯해, 우리가 지금까지 시험한 9건의 정부 선거는 어떠한 문제도 보고되지 않았다. 안전하고 확실하게 수행되었음을 분명히 하고 싶다”라고 말했다. 

2018년 웨스트 버지니아주는 중간 총선에서 투표를 원하는 해외 거주 군인 및 가족을 위해 보아츠 모바일 투표 앱을 시범적으로 이용했다. 

웨스트 버지니아주 국무장관실은 2018년 보아츠 시범 투표에 대한 국토안보부의 평가를 인용했다. 평가에서는 “어떠한 위협 행위자의 행동이나 과거의 사악한 활동의 부산물이 보아츠 네트워크에서 검출되지 않았다”라고 밝혔다. 

국무부에 따르면 선거 당일 보아츠 플랫폼으로 생성된 투표용지에 대한 감사에서도 결과가 정확한 것으로 나타났다. 

웨스트 버지니아주 국무장관인 맥 워너의 마이크 퀸 보좌관은 이메일에서 “우리는 <컴퓨터월드> 등의 언론에 해외, 군대, 신체장애가 있는 부재자 투표자에게 전자적으로 부재자 투표용지를 제공한다는 웨스트 버지니아주의 요건과 아울러 선거 보안 및 무결성을 달성하기 위해 최대한 주의를 기울였음을 전하고 싶다”라고 전했다.  

그러나 MIT 연구에서는 보아츠 모바일 앱의 설계가 더욱 투명할 필요성이 있다고 강조했다. 기술에 대해 공개된 정보가 기껏해야 모호하기 때문이다. 

보아츠 플랫폼은 엔드-투-엔드 암호화 및 투표자 검증을 보장하기 위해 모바일 폰 기반의 안면인식과 같은 생체인식, 하드웨어에 기반한 키스토어의 조합을 이용한다. 아울러 불변 전자 원장으로서 블록체인을 이용해 투표 결과를 저장한다. 

보아츠는 지적 재산 보호를 이유로 플랫폼에 대한 정식 상세 정보 제공을 거절했다고 연구원들은 자신의 보고서에서 밝혔다.  

2월 13일 블로그 게시물에서, 보아츠는 연구원의 접근법에 결함이 있다면서 이는 전체 시스템을 훼손할 수 있는 능력에 대한 이들의 주장을 근거 없이 만든다고 언급했다. 

보아츠는 “간단히 말해, 어떠한 증거나 서버로의 연결도 없이, 백엔드 서버가 이렇다 저렇다 말한 것으로 연구는 이미 신뢰성을 잃었다”라고 반박했다. 

연구원들은 2018년 보아츠가 보아츠 앱을 분석한 미시간 대학교의 연구원을 신고한 일을 상기시켰다. MIT 연구원들은 “이로 인해 해당 연구원은 FBI의 조사를 받았다”라고 말했다. 

보아츠가 자신의 기술을 자세히 밝히지 않는다고 비판받은 것은 이번이 처음이 아니다. 지난 5월, 국립 로렌스 리버모어 연구소 및 사우스캐롤라이나 대학교의 컴퓨터 과학자들은 선거 감시 단체들과 함께 보아츠가 기술을 자세히 설명하지 않은 것을 비판하는 자료를 발간했다. 

MIT 연구원들은 자신이 발간한 보고서에서 “위험이 큰 선거를 위해 인터넷이나 모바일 투표 솔루션을 제공하는 최소 4곳의 회사가 있다. 그리고 한 2020 민주당 대통령 후보자는 블록체인과 모바일 기기 투표를 자신의 정책 목록에 넣었다. 우리가 아는 바로는 이를 현실에서 성공적으로 수행한 업체는 보아츠가 유일하다”라고 말했다. 

보아츠와 아울러, 데모크라시 라이브(Democracy Live), 보템(Votem), 시큐어 보트(Secure Vote), Scytl은 모두 공공 또는 민간 선거에서 모바일이나 온라인 투표 기술을 시범적으로 운영해왔다. 예를 들어 회사 주주 및 대학 이사회 선거 등이다. 가장 최근에는 한 시애틀 지구에서 120만의 등록 투표자를 대상으로 하는 감사위원회 선거에서 데모크라시 라이브 기술이 시험적으로 사용되었다. 

투표율을 높이기 위한 방법으로 모바일 투표를 홍보하는 데 주력하는 비영리 단체인 터스크 필랜트로피스(Tusk Philanthropies)는 정부기관의 모바일 투표 시험을 장려하기 위해 경제적 지원을 제공하고, 정부기관에게 사업자 선정을 위임한다.  

터스크는 <컴퓨터월드>에게 독립적인 감사를 이행했기 때문에 모든 파일럿 선거 결과에 자신이 있다고 말하면서 “블록체인에서 이행된 투표가 정확하게 기록되고 표로 만들어진 것으로 나타났다”라고 덧붙였다. 

이어서 “우리는 언제나 새로운 보안 정보를 환영하고, 보안 전문가와 협력하여 이번 연구를 검토할 것이다. 보안은 발전하는 데 시간이 걸릴 수밖에 없는 인터랙티브한 과정이다. 우리의 선거에는 오류의 여지가 없다. 데이터 누출, 암호 훼손, 인증 장애, 도스(DoS) 공격이라면 특히 그러하다”라고 터스크는 전했다. 

오버스톡닷컴이 전체 지분을 소유한 투자 회사인 메디치 벤처 역시 보아츠를 지원했다. 보아츠 앱은 주로 세계 어느 곳에서나 스마트폰을 이용해 군인, 가족 등의 부재자 투표자가 투표할 수 있도록 했다. 

오버스톡의 CEO이자 메디치 벤처의 사장인 조너선 존슨은 MIT 보고서에 대한 뉴욕 타임스 기사에 대해 보아츠 앱이 안전하고 믿을 수 있다고 밝혔다.  

그는 “이는 투표 사기를 방지할 뿐 아니라, 투표자 프라이버시도 보호한다. 보아츠 앱은 심지어 감사에 쓰일 수 있는 투표용지도 생성해 투표의 정확성을 보장한다. 이는 선거 기술의 안전한 혁신을 향한 올바른 길이라고 믿는다. 투표의 미래가 좌절되는 것을 막아야 한다”라고 이야기했다. 

보안 전문가를 비롯해 모바일 또는 온라인 투표를 비판하는 사람들은 서버 침투 공격, 클라이언트 기기 악성코드, 도스, 여타 장애의 가능성이 열려 있다고 믿는다. 이들은 모두 투표자의 컴퓨터를 악성코드로 감염시키거나 투표용지를 처리하고 계수하는 선거 사무소의 컴퓨터를 감염시키는 것과 관련된다. 

미국 컴퓨터학회(ACM) 기술정책위원회의 제레미 엡스타인은 보아츠 등의 모바일 투표 플랫폼에 비판적이다. 그는 MIT 연구가 매우 철저했고, 전문가들이 여러 해 동안 지적해온 것을 정확히 입증했다고 밝혔다. 

엡스타인은 이메일에서 “인터넷 투표는 위험하다. 보아츠 시스템이 여러 종류의 공격에 취약한 것은 새삼스러울 게 없다. 소스 코드나 여타 내부 정보에 접근하지 못한다고 하더라도 마찬가지다. MIT가 시연한 공격은 미국 선거를 조작하고자 하는 비-국가 차원의 악의적 사람들도 얼마든지 할 수 있는 것이다. 게다가 이러한 악의적 사람들은 MIT팀이 한 것처럼 결과를 공개하지 않을 것이다. 그렇다면 우리는 선거가 조작되었는지도 알 수 없을 것이다”라고 이야기했다. 

5년 차의 보아츠는 MIT가 이용한 낡은 앱이 심지어 회사의 서버로도 연결되지 않았다고 비난했다. 보아츠의 서버는 아마존웹서비스와 마이크로소프트 애저에서 호스팅 된다. 

보아츠는 공적 투표를 기록하는 실제 서버로의 연결 없이, “MIT는 보아츠 서버의 상상된 버전을 가공했다. 그리고는 이들의 작용 방식에 대해 가설을 세우고, 시스템 컴포넌트 사이의 상호작용을 가정했지만, 이는 그냥 틀린 것이다”라고 말했다. 

엡스타인은 보아츠의 발언으로 보아츠가 공격의 심각성이나 보안이 일반적으로 작용하는 방식에 대해 무지하다는 점이 드러났다고 밝혔다. 

엡스타인은 “보아츠 제품을 이용하려는 어떤 선거 공무원이든 실제 선거에서 은밀한 공격이 민주주의를 훼손하기 전에 계획을 취소하도록 권고한다”라고 전했다. ciokr@idg.co.kr
 



2020.02.18

모바일 투표 앱을 둘러싼 '계속되는' 논쟁

Lucas Mearian | Computerworld
미국에서 여러 주의 선거 공무원은 투표 접근성을 확대하기 위한 방법으로 다양한 모바일 투표 애플리케이션을 시험해왔다. 그러나 MIT 연구원들은 대중적으로 쓰이는 앱에 누군가 이를 악용할 수 있는 보안 취약점들이 있다고 지적했다. 
 
ⓒDemocracy Live

MIT가 행한 보아츠(Voatz) 앱에 대한 분석에 따르면 ‘개별 이용자가 투표했던 방식을 해커가 바꾸고, 중지시키며, 노출할 수 있는’ 여러 취약점이 확실하게 드러났다. 

나아가, MIT는 보아츠가 투표자 신원 확인과 검증에 이용하는 팔로알토의 주미어(Jumio)라는 업체는 잠재적인 프라이버시 문제가 있음을 발견했다.

이번 연구는 최근 논란이 있었던 아이오와주 민주당 대통령 전당대회를 계기로 이루어졌다. 여기서는 투표를 기록하기 위해 온라인 앱을 이용했지만, 앱에서 오류가 발견됐다. 원인은 코딩 결함과 불충분한 테스팅이었다. 

일부 보안 전문가는 유일하게 안전한 투표 형식은 종이 투표라고 오랫동안 말해왔다. 
 
ⓒVOATZ
보아츠 모바일 투표 앱은 총투표자가 600명에 불과한 웨스트 버지니아주 덴버, 그리고 오리건, 유타, 워싱턴 주의 5개 카운티 등 소규모 시험 투표에 사용되었다. 주로 해외에 거주하는 사전 선거 참여를 위한 것이었다. 

위 보고서에 대응해, 보아츠는 MIT의 보고서가 이미 구식이 된 안드로이드 버전을 대상으로 했기 때문에 결함이 있다고 주장했다. 

보아츠는 2월 13일 블로그 게시물에서 “다른 100여 명의 연구원처럼, MIT가 해커원 상의 공개 버그 바운티 프로그램으로 우리의 최신 앱 버전을 이용해 테스트하고 검증했다면, 틀린 방식에 근거해 주장하는 보고서를 발간하지 않았을 것이다”라고 밝혔다. 

보아츠는 “600명 미만의 투표자를 비롯해, 우리가 지금까지 시험한 9건의 정부 선거는 어떠한 문제도 보고되지 않았다. 안전하고 확실하게 수행되었음을 분명히 하고 싶다”라고 말했다. 

2018년 웨스트 버지니아주는 중간 총선에서 투표를 원하는 해외 거주 군인 및 가족을 위해 보아츠 모바일 투표 앱을 시범적으로 이용했다. 

웨스트 버지니아주 국무장관실은 2018년 보아츠 시범 투표에 대한 국토안보부의 평가를 인용했다. 평가에서는 “어떠한 위협 행위자의 행동이나 과거의 사악한 활동의 부산물이 보아츠 네트워크에서 검출되지 않았다”라고 밝혔다. 

국무부에 따르면 선거 당일 보아츠 플랫폼으로 생성된 투표용지에 대한 감사에서도 결과가 정확한 것으로 나타났다. 

웨스트 버지니아주 국무장관인 맥 워너의 마이크 퀸 보좌관은 이메일에서 “우리는 <컴퓨터월드> 등의 언론에 해외, 군대, 신체장애가 있는 부재자 투표자에게 전자적으로 부재자 투표용지를 제공한다는 웨스트 버지니아주의 요건과 아울러 선거 보안 및 무결성을 달성하기 위해 최대한 주의를 기울였음을 전하고 싶다”라고 전했다.  

그러나 MIT 연구에서는 보아츠 모바일 앱의 설계가 더욱 투명할 필요성이 있다고 강조했다. 기술에 대해 공개된 정보가 기껏해야 모호하기 때문이다. 

보아츠 플랫폼은 엔드-투-엔드 암호화 및 투표자 검증을 보장하기 위해 모바일 폰 기반의 안면인식과 같은 생체인식, 하드웨어에 기반한 키스토어의 조합을 이용한다. 아울러 불변 전자 원장으로서 블록체인을 이용해 투표 결과를 저장한다. 

보아츠는 지적 재산 보호를 이유로 플랫폼에 대한 정식 상세 정보 제공을 거절했다고 연구원들은 자신의 보고서에서 밝혔다.  

2월 13일 블로그 게시물에서, 보아츠는 연구원의 접근법에 결함이 있다면서 이는 전체 시스템을 훼손할 수 있는 능력에 대한 이들의 주장을 근거 없이 만든다고 언급했다. 

보아츠는 “간단히 말해, 어떠한 증거나 서버로의 연결도 없이, 백엔드 서버가 이렇다 저렇다 말한 것으로 연구는 이미 신뢰성을 잃었다”라고 반박했다. 

연구원들은 2018년 보아츠가 보아츠 앱을 분석한 미시간 대학교의 연구원을 신고한 일을 상기시켰다. MIT 연구원들은 “이로 인해 해당 연구원은 FBI의 조사를 받았다”라고 말했다. 

보아츠가 자신의 기술을 자세히 밝히지 않는다고 비판받은 것은 이번이 처음이 아니다. 지난 5월, 국립 로렌스 리버모어 연구소 및 사우스캐롤라이나 대학교의 컴퓨터 과학자들은 선거 감시 단체들과 함께 보아츠가 기술을 자세히 설명하지 않은 것을 비판하는 자료를 발간했다. 

MIT 연구원들은 자신이 발간한 보고서에서 “위험이 큰 선거를 위해 인터넷이나 모바일 투표 솔루션을 제공하는 최소 4곳의 회사가 있다. 그리고 한 2020 민주당 대통령 후보자는 블록체인과 모바일 기기 투표를 자신의 정책 목록에 넣었다. 우리가 아는 바로는 이를 현실에서 성공적으로 수행한 업체는 보아츠가 유일하다”라고 말했다. 

보아츠와 아울러, 데모크라시 라이브(Democracy Live), 보템(Votem), 시큐어 보트(Secure Vote), Scytl은 모두 공공 또는 민간 선거에서 모바일이나 온라인 투표 기술을 시범적으로 운영해왔다. 예를 들어 회사 주주 및 대학 이사회 선거 등이다. 가장 최근에는 한 시애틀 지구에서 120만의 등록 투표자를 대상으로 하는 감사위원회 선거에서 데모크라시 라이브 기술이 시험적으로 사용되었다. 

투표율을 높이기 위한 방법으로 모바일 투표를 홍보하는 데 주력하는 비영리 단체인 터스크 필랜트로피스(Tusk Philanthropies)는 정부기관의 모바일 투표 시험을 장려하기 위해 경제적 지원을 제공하고, 정부기관에게 사업자 선정을 위임한다.  

터스크는 <컴퓨터월드>에게 독립적인 감사를 이행했기 때문에 모든 파일럿 선거 결과에 자신이 있다고 말하면서 “블록체인에서 이행된 투표가 정확하게 기록되고 표로 만들어진 것으로 나타났다”라고 덧붙였다. 

이어서 “우리는 언제나 새로운 보안 정보를 환영하고, 보안 전문가와 협력하여 이번 연구를 검토할 것이다. 보안은 발전하는 데 시간이 걸릴 수밖에 없는 인터랙티브한 과정이다. 우리의 선거에는 오류의 여지가 없다. 데이터 누출, 암호 훼손, 인증 장애, 도스(DoS) 공격이라면 특히 그러하다”라고 터스크는 전했다. 

오버스톡닷컴이 전체 지분을 소유한 투자 회사인 메디치 벤처 역시 보아츠를 지원했다. 보아츠 앱은 주로 세계 어느 곳에서나 스마트폰을 이용해 군인, 가족 등의 부재자 투표자가 투표할 수 있도록 했다. 

오버스톡의 CEO이자 메디치 벤처의 사장인 조너선 존슨은 MIT 보고서에 대한 뉴욕 타임스 기사에 대해 보아츠 앱이 안전하고 믿을 수 있다고 밝혔다.  

그는 “이는 투표 사기를 방지할 뿐 아니라, 투표자 프라이버시도 보호한다. 보아츠 앱은 심지어 감사에 쓰일 수 있는 투표용지도 생성해 투표의 정확성을 보장한다. 이는 선거 기술의 안전한 혁신을 향한 올바른 길이라고 믿는다. 투표의 미래가 좌절되는 것을 막아야 한다”라고 이야기했다. 

보안 전문가를 비롯해 모바일 또는 온라인 투표를 비판하는 사람들은 서버 침투 공격, 클라이언트 기기 악성코드, 도스, 여타 장애의 가능성이 열려 있다고 믿는다. 이들은 모두 투표자의 컴퓨터를 악성코드로 감염시키거나 투표용지를 처리하고 계수하는 선거 사무소의 컴퓨터를 감염시키는 것과 관련된다. 

미국 컴퓨터학회(ACM) 기술정책위원회의 제레미 엡스타인은 보아츠 등의 모바일 투표 플랫폼에 비판적이다. 그는 MIT 연구가 매우 철저했고, 전문가들이 여러 해 동안 지적해온 것을 정확히 입증했다고 밝혔다. 

엡스타인은 이메일에서 “인터넷 투표는 위험하다. 보아츠 시스템이 여러 종류의 공격에 취약한 것은 새삼스러울 게 없다. 소스 코드나 여타 내부 정보에 접근하지 못한다고 하더라도 마찬가지다. MIT가 시연한 공격은 미국 선거를 조작하고자 하는 비-국가 차원의 악의적 사람들도 얼마든지 할 수 있는 것이다. 게다가 이러한 악의적 사람들은 MIT팀이 한 것처럼 결과를 공개하지 않을 것이다. 그렇다면 우리는 선거가 조작되었는지도 알 수 없을 것이다”라고 이야기했다. 

5년 차의 보아츠는 MIT가 이용한 낡은 앱이 심지어 회사의 서버로도 연결되지 않았다고 비난했다. 보아츠의 서버는 아마존웹서비스와 마이크로소프트 애저에서 호스팅 된다. 

보아츠는 공적 투표를 기록하는 실제 서버로의 연결 없이, “MIT는 보아츠 서버의 상상된 버전을 가공했다. 그리고는 이들의 작용 방식에 대해 가설을 세우고, 시스템 컴포넌트 사이의 상호작용을 가정했지만, 이는 그냥 틀린 것이다”라고 말했다. 

엡스타인은 보아츠의 발언으로 보아츠가 공격의 심각성이나 보안이 일반적으로 작용하는 방식에 대해 무지하다는 점이 드러났다고 밝혔다. 

엡스타인은 “보아츠 제품을 이용하려는 어떤 선거 공무원이든 실제 선거에서 은밀한 공격이 민주주의를 훼손하기 전에 계획을 취소하도록 권고한다”라고 전했다. ciokr@idg.co.kr
 

X