• 화요일, 11월 24일
화요일, 11월 24일

블록체인 투표 앱 '보아츠', 보안에 구멍 뚫렸다.

블록체인 투표 앱 '보아츠', 보안에 구멍 뚫렸다.

블록체인 기반 투표 어플리케이션 보아츠 / 사진 = Flickr

[뉴스포픽=조예슬 기자] 오는 5월 미 지방선거를 앞두고 투표율을 올리기 위한 선거 유세가 한창인 가운데 미국에서 투표 보안 유지 시스템에 구멍이 뚫렸다는 소식이 전해져 충격을 주고 있다. 지난 12일 미 국토안보부(The Department of Homeland Security, 이하 ‘DHS’)는 보스턴에 위치한 블록체인 기반 모바일 투표 앱 공급업체 보아츠(Voatz)가 사이버 보안 감사에서 기술 인프라 부분에 많은 취약점을 발견했다고 밝혔다. 

미 국토안보부와 MIT 연구진 나서 조사 착수

미 국토안보부는 사이버 보안 및 인프라 보안국(Cybersecurity and Infrastructure Security Agency 이하,’CISA’)과 사건 수사 대응팀을 꾸려 지난 9월에 진행된 일주일간의 투표 운영 방식을 조사했다. 조사 결과, 미 국토안보부는 일주일 동안 보아츠는 어떠한 네트워크의 개입에도 방어하지 않았다며 보안을 더욱 강화하기 촉구하는 일련의 권고안을 발표했다. 

CISA에 제출한 MIT 연구원들의 보고서에 따르면 보아츠 앱에 유권자들의 신원을 상대편에 공개하고, 투표용지를 변경할 수 있는 등의 여러 가지 취약점들이 발견되었음이 나타났다.

MIT 수석 연구 과학 교수 대니얼 위츠너(이하,’위츠너 교수')와 대학원생 마이클 스펙터는 13일 “보아츠 앱의 투명성이 매우 제한적이며 해당 조사를 시행한 많은 연구원도 이에 동의했다.”라며 “보아츠앱의 취약점이 발견된 것은 인터넷 투표에 대한 한계와 투명성 제고에 대한 문제점을 시사한다.”라고 덧붙였다.

한편, CISA는 MIT 보고서와 다른 결론을 도출해 또 다른 가능성을 제기했다. CISA 앱 자체의 결함에 초점을 맞추지 않고 보아츠 내부 네트워크와 내부에 어떤 접촉이 있었는지에 집중했다. 미 국토안보부 조사관은 향후 보아츠 앱의 네트워크에 우려할 만한 몇 가지 문제를 발견했고 보아츠 앱 스스로 선제 조처를 하길 권고했다. 

MIT와 미 국토안보부의 보고서는 서부 버지니아, 콜로라도, 유타 등지에서 실시한 선거에 실제 사용된 보아츠 앱이 보안에 어떻게 접근하고 있는지를 대조적으로 보여준다. 미 국토안보부는 보아츠앱의 첫 출시와 실사용이 MIT 연구진들의 감독하에 이루어졌음에도 데이터 누락과 보안성에 대한 취약점이 극명히 드러났다고 주장한다. MIT 연구원들은 이 같은 주장에 대해 답변하지 않고 있다. 

MIT 연구진은 데이터 누락에 대한 답변은 거부했지만, 여전히 보아츠 앱의 투명성에 대한 문제점을 제기하며 당장 앱 사용이 중지되어야 한다고 주장했다. MIT 보고서는 보아츠 앱은 역설계 및 “클린룸" 서버를 재구축한 것을 기반으로 할 뿐 라이브 서버나 블록체인 백엔드에 상호작용한 적이 없다고 밝혔다. 

한편 MIT 연구진은 보아츠 앱에 사생활 취약성과 잠재적인 공격 수단이 많이 발견됐음을 인정했다. 이러한 공격이 사용자들의 투표권을 유추하고, 감사 추적을 훼손할 뿐 아니라, 투표지 내용을 변경할 수 있다고 밝혔다. 

반면 MIT 연구진은 보아츠가 온 체인 상 저장한 투표 결과에 접근하지 못했기 때문에 보아츠가 블록체인 상에서 투표에 어떻게 관여했는지는 밝혀낼 수 없었다. 대신 그들은 보아츠앱이 독자적으로 ‘블록체인과 유사한 시스템'에 투표 정보를 저장하지 않는다고 보고했다. 

보아츠앱의 투명성 부족에 대한 문제점이 제기되면서 MIT 연구원들은 공공 문서에 대한 회사의 ‘블랙박스' 접근 방식이 대중으로부터 투표에 대한 신뢰를 완전히 무너뜨릴 수 있음을 지적했다. 연구진은 또한 "정부의 정당성은 정당이나 외부 행위자가 간섭할 수 없는 민주적 절차에 대한 철저한 조사와 투명성에 의존하고 있다."고 덧붙였다.

MIT의 연구 결과, 보아츠 앱 사용 중지되어야…

보아츠 앱의 문제점들이 제기되면서 MIT 연구원들은 선출된 공무원들에게 즉각 앱을 포기하라고 권고했다. 그들은 "전자 전용 모바일이나 인터넷 투표 시스템이 선거 시스템의 엄격한 보안 요건을 실질적으로 극복할 수 있을지는 여전히 불확실하다"고 말했다. 

반면 유타주 선거위원회 감독관 아멜리아 파워스 가드너(이하,’가드너 감독관’)는 MIT 연구진의 주장에 반론을 제기했다. 장애가 있는 유권자와 해외 거주 국민을 위해 보아츠 앱 시스템 구축을 감독한 결과 연구원들이 발견한 버그가 투표에 문제가 된 것은 사실이지만, "현재 제기된 문제점들은 어쩌면 그럴지도 모르는 일"에서 나온 것이며 보안에 대한 문제점이 제기된 이후로 앱이 패치되었다.”고 밝혔다. 

또한 가드너 감독관은 보아츠앱이 현재 부재자 투표 대용인 이메일 투표보다 보아츠앱이 훨씬 나은 대안이라고 강조했다. 가드너 감독관은 "모바일 로딩에 대한 이런 우려는 타당할 수 있지만, 모바일 앱의 사용에 의문을 품게 하는 보안 수준까지는 올라가지 않는다"고 말했다. 

오픈 소스 선거 기술 연구소의 공동 설립자 겸 최고 기술 책임자인 존 시브스(이하,’시브스’)는 파워스 가드너의 주장에도 불구하고 연구자들의 많은 우려가 여전히 남아 있다고 말했다. 

시브스는 “선거 관리들과 컴퓨터 과학자들은 매우 다른 세상에 살고 있음으로 서로 의견이 맞지 않을 수도 있지만, 컴퓨터 과학 연구원들이 소프트웨어 공급업체를 평가할 수 있도록 선거위원회의 세계를 완전히 이해할 필요는 없다."라며 "우리는 새로운 버전이 더 낫다는 보아츠 앱의 주장을 입증할 수 없지만, 검사된 버전이 상당히 기본적인 문제를 가지고 있는 것은 여전히 사실이다."라고 주장했다. 

여전히 유효한 전자 투표

보아츠 앱 측은 MIT 보고서를 문제 삼으며 투표 조작에 대한 공포심을 조장한다고 반박했다. 보아츠 앱 관계자는 "연구자들의 접근방식은 선거 과정을 의도적으로 방해하고, 우리의 선거 시스템 보안에 의혹을 제기하며, 두려움과 혼란을 확산시키는 것에 목적이 있는 것 같다"라고 말했다. 

한편 보아츠 앱은 DHS 보고서에 대한 서면 진술 및 대변인을 통한 해명을 하지 않았지만, 대부분의 권고사항에 대해 조치를 취했다. 

여전히 DHS 보고서는 보아츠 앱 자체에 대해 결론을 내리지 못하고 있다. 특히 보아츠 앱을 배포한 웨스트버지니아는 지금까지 아무런 문제도 보지 못했다고 주장했다.

맥 워너 웨스트버지니아 주지사 대변인 마이크 퀸은 "워너 장관은 오는 5월 예비선거에 적용할 기술에 대해 3월 1일 이전에 결정을 내릴 것"이라고 밝혔다. "처음부터 그랬듯이 우리의 결정은 보안과 접근성에 중점을 둔 최고의 정보에 기초할 것”이라고 덧붙였다. 

0
이 글을 페이스북으로 퍼가기 이 글을 트위터로 퍼가기 이 글을 카카오스토리로 퍼가기 이 글을 밴드로 퍼가기

0 Comments

Add Comment

captcha
자동등록방지 숫자입력
클라우드 고객 최대 관심사는 요금, 파일 공유

클라우드 고객 최대 관심사는 요금, 파일 공유

[뉴스포픽=장성호 기자] 본투글로벌센터 멤버사인 클라우다이크는 클라우드 서비스 사용 고객의 주요 관심사가 요금, 파일 공유, 권한관리 순이라는 분석 결과를 10일 밝혔다.클라우드 파일 공유 서비스 기업인 ...

2020 글로벌 PKI 및 IoT동향

2020 글로벌 PKI 및 IoT동향

[뉴스포픽=문현기 기자] 9일 오전 글로벌 정보보안 기업 엔트러스트(Entrust)가 ‘2020 글로벌 PKI 및 IoT동향 보고서’를 발표했다.보고서에 따르면 공개키기반구조(PKI) 기술 채택이 늘고 데이터 보호를 위한 기...

국제발신 스팸문자 中 '도박 스팸' 93.6%

국제발신 스팸문자 中 '도박 스팸' 93.6%

[뉴스포픽=장성호 기자] 한국인터넷진흥원(KISA)은 코로나19 장기화에 따른 사회 혼란과 불안 심리를 악용한 국제발신 스팸문자가 증가하고 있다고 19일 밝혔다.올해 9월까지 KISA 불법스팸대응센터로 접수된 국...

한국-유럽, 코로나 이후 ICT 표준 방향 모색

한국-유럽, 코로나 이후 ICT 표준 방향 모색

[뉴스포픽=고유미 기자] 과학기술정보통신부는 10월 13일부터 10월 16일까지 유관기관과 함께 ‘비일상(뉴 노멀) 시대 선도를 위한 정보통신기술(ICT) 표준의 역할’을 주제로 ‘글로벌 ICT 표준 콘퍼런스 2020(GISC...

코로나 시대 서비스 산업과 로봇

코로나 시대 서비스 산업과 로봇

[뉴스포픽=장성호 기자] 코로나19가 통제될 무렵 서비스 산업이 어느정도 살아남아 있을지는 누구도 예측할 수 없다. 미국의 한 산업 단체에서는 올해 말까지 미 전역 요식업체의 수익 손실이 2,400억 달러에 이...

AI 데이터 품질 표준안, 국내외 표준화 추진

AI 데이터 품질 표준안, 국내외 표준화 추진

[뉴스포픽=김한영 기자] 과학기술정보통신부가 디지털 뉴딜 ‘데이터 댐’의 핵심자원인 인공지능(AI) 데이터 관련 품질의 개념과 범위, 세부 요구사항 등을 정립한 표준안을 추진한다고 지난 5일 밝혔다.이 표준안...

AI 기업 오드컨셉, 자연어처리 분야 최고 권위 학회에 연구 논문 채택

AI 기업 오드컨셉, 자연어처리 분야 최고 권위 학회에 연구 논문 채택

[뉴스포픽=고유미 기자] 오드컨셉(대표 김정태)이 자연어처리 분야의 획기적 연구 성과를 해당 분야 최고 권위를 자랑하는 국제 학회에서 공개한다.오드컨셉은 최근 자사 기술 개발을 담당하는 문상환 엔지니어링...

에어아시아, 싱가포르 내 전자지갑 서비스 출시 예정

에어아시아, 싱가포르 내 전자지갑 서비스 출시 예정

[뉴스포픽=문현기 기자] 말레이시아의 에어아시아(AirAsia)가 핀테크 자회사 빅페이(BigPay)를 통해 싱가포르 내에 전자지갑 서비스를 출시할 예정이라고 지난 9월 28일 밝혔다. 빅페이는 말레이시아에서 20...

"2023년까지 스마트 랩 시장이 2배 성장할 것"...설리번 보고서

"2023년까지 스마트 랩 시장이 2배 성장할 것"...설리번 보고서

[뉴스포픽=고유미 기자] 28일 프로스트 앤드 설리번이 ‘2020 진단 기관의 혁신을 이끌 스마트 랩(Smart Labs as Key Drivers for the Digital Transformation of Diagnostic Laboratories, 2020)’ 분석 보고서를 ...

한국인공지능협회, 20개 기업과 AI 데이터 구축사업 MOU 체결

한국인공지능협회, 20개 기업과 AI 데이터 구축사업 MOU 체결

[뉴스포픽=김한영 기자] 사단법인 한국인공지능협회(회장 김현철. 이하, 협회)가 서울시의 ‘서울형 뉴딜 일자리 인공지능 학습 데이터 사업’ 주관기관으로 국내 대표적인 인공지능·데이터 기업 20개사와 협약을 ...