투표지 분류기의 보안에 대해서

제가 과학 게시판에 글을 쓰면서 많이 격해져있던 것 같아서 침착하고 다시 한번 투표지 분류기의 보안에 대하여 설명해드리도록 하겠습니다.

먼저 이 '기계'에 대해서 확실히 정의하고 가겠습니다.
이 기계의 정식 명칭은 '전자 개표기'가 아닌 '투표지 분류기' 이고 따라서 우리나라는 '전자개표'가 아닌 '수개표'라고 할 수 있습니다.
* 투표지 분류기는 심사/집계 이전 단계에서 분류를 돕는 단순 보조 기계 장치이며 공직선거법 제178조 제4항에 따른 기계 장치입니다.

ⓐ 그럼 이 투표지 분류기는 어떻게 보안되고 있을까요?

투표지 분류기는 [관리적보안/기술적보안/물리적보안] 이렇게 총 3개의 다중 보안 체계를 갖추고 있습니다.

각 보안 체계에 대해서 간략하게 설명해드리자면

1. 관리적 보안 - 관리자 권한이 있는 사람(보안카드를 소유하고 있는 사람)만이 투표지 분류기 프로그램에 접근할 수 있습니다.

2. 기술적 보안 - 공개키 기반의 암호화 방식을 사용하고 분류기 프로그램 설치/실행시 무결성 검증 프로그램으로 위/변조를 확인하며 위조/변조된 경우에는 작동하지 않습니다.

3. 물리적 보안 - 선거일 전일에 각 당에서 추천한 위원들과 함께 투표지 분류기 공개 시연과

봉인과정(위원들의 싸인이 적힌 봉인지를 투표지 분류기의 전원부/USB연결부/운용장치부분에 부착합니다.)을 참관합니다.

선거일에도 역시 정당추천위원들이 전날 봉인 상태의 이상유무를 확인하고 봉인 해제 과정에도 참여합니다.

* 몇몇분들이 봉인지를 떼고 붙여도 표시가 안난다고 하시는데 이는 사실이 아닙니다. 특수봉인지는 훼손될 경우 하얀색 무늬가 생깁니다.

ⓑ 투표지 분류기가 누군가에 의해서 해킹(조작)할 수 있나요?

1. 네트워크를 통한 제3자에 의한 해킹 → 투표지 분류기는 철저한 오프라인 운영되어서 네트워크를 통한 해킹을 불가능합니다.

① 유무선 네트워크를 원천 차단함. (네트워크로 해킹/조작불가, 네트워크 연결 역할을 하는 유/무선 LAN 카드 제거로 인터넷 연결 원천 차단)
② 한 개표소내의 각 투표지분류기는 같은 조를 구성하는 제어용 컴퓨터에만 연결되어(다른 개표라인의 투표지 분류기와 연결되지 않음)독자가동됨.
③ 투표지분류기와 관련하여 "중앙선관위 - 시도선관위-구 시 군개표소간" 연결이 없음.

* 간혹 몇몇분들이 뇌피셜로 투표지 분류기가 실제로는 적어도 두번이상 선관위 서버에 접속된다고 말하나 이는 사실이 아닙니다.

투표지 분류기 운용장치에 프로그램을 설치할 때는 네트워크를 사용하지 않으며 USB메모리를 통해 투표지 분류기 프로그램을 설치합니다.

(자세한 설치과정은 다음과 같습니다. '선관위 내부망 PC로 다운로드 → USB로 파일 옮기기 → 분류기 PC 보안절차 → 프로그램 업데이트/무결성체크')

2. 선관위가 사전에 조작 → 위에서 설명드린 투표지 분류기 보안체계 중 '물리적 보안'이 있기 때문에 이 역시 불가능합니다.

투표지 분류기는 선거일 전날에 각 당에서 추천한 위원들이 투표지 분류기 공개 시연과 봉인과정을 참관하고 선거일날 해제과정에도 참여하기 때문에 선관위가 사전에 조작하였더라면 공개 시연에서 검출될 수 밖에 없습니다.

2-1. 공개 시연때는 제대로 되게하고 선거일에는 조작되게 구축할 수도 있는데요?

→ 선거일 전날에 하는 공개 시연에서도 역시 '무결성 검증 프로그램'을 거쳐서 투표지 분류기 프로그램을 실행하기 때문에 조작되었더라면 검출될 수 밖에 없습니다.

2-2. 선관위가 '무결성 검증 프로그램'을 조작하면 되는거 아닌가요?

→ 이 역시 불가능합니다. 무결성 검증 프로그램은 '검증용 보안카드'에 담겨있는데 이 검증용 보안카드는 선관위가 만드는게 아니라 선거전에 열리는 보안자문위원회에서 원내 5개 정당이 추천한 보안 전문가들과 외부 전문가들(학계 정보기술 관련 공공기관 시민 단체 등에서 추천)이 선거 당일날 사용될 각종 보안카드와 암호화 키를 생성하고 검증까지 마치기 때문입니다.

* 선관위가 운용 프로그램 소스코드를 공개하지 않아서 이러한 소프트웨어적인 보안과정은 다 요식행위라고 하시는 분이 계시나 선관위는 보안자문위원회에서 투표지 분류기 보안체계와 운용프로그램 소스코드를 공개하고 있습니다.

2-3. 더플랜에선 투표지 분류기 프로그램을 쉽게 조작할 수 있던데요?

→ 더플랜에서 사용된 방식은 '아무런 보안장치 없이' 단순히 설치되있던 투표지 분류기 프로그램에 조작된 DLL 파일을 덮어씌워서 조작하는 방식입니다.
이 방식으로 투표지 분류기 프로그램을 조작한다면 실제 선거시에는 투표지 분류기 설치/실행시 반드시 거쳐야하는 무결성 검증 프로그램에 의하여 검출될 수 밖에 없습니다.

3. 그럼 아예 해킹(조작) 가능성이 없는겁니까?

→ 아닙니다. 투표지 분류기 역시 기계이기 때문입니다. 투표지 분류기는 보안체계로 인하여 해킹 가능성이 낮은 것이지, 아예 없다고 말씀드릴 수 없습니다. 해킹 가능성이 있기 때문에 선거전마다 선관위가 보안자문위원회 개최하고 보안프로그램 점검하는 등의 대처를 하고 있는 것입니다. 이번 19대 대선 역시 보안자문위원회가 2017년 4월 6일에 개최되었으며 참석한 보안자문위원들의 명단은 아래와 같습니다.

앞의 모든 소프트웨어적인 보안장치들을 뚫고 투표지 분류기를 해킹하였더라도 우리나라는 앞에서 설명하였듯이 '전자개표' 가 아닌 '수개표'라서 투표지 분류기로 1차 분류한 다음에 심사 집계부에서 투표지 심사 계수기로 개표사무원들이 육안으로 다시 한번 확인하는 과정이 있기 때문에 해킹에 의한 혼표가 있으면 검출될 수 밖에 없습니다.

* 투표지 심사 계수기는 분당 150매의 속도로 운영되며 이는 육안으로 혼표 식별이 충분히 가능한 속도입니다.

* 투표지 심사 계수기는 2인 1조로 확인하며 시민의 눈 및 개표참관인 역시 확인할 수 있습니다.

* 개표사무원은 공무원,교직원,공공기관 직원 및 일반 국민중에서 개표사무원을 위촉합니다.

* 만약 개표사무원들이 혼표를 발견하지 못하여서 개표가 잘못되었더라도 우리 선거법에는 오류를 시정할 수 있는 장치가 있습니다.

① 우리 선거법은 선거쟁송 절차를 두고 있어 선거결과에 관하여 이의가 있을 경우에는 선거후라도 얼마든지 선거 또는 당선의 효력을 다툴 수 있습니다.

② 특히 유권자가 투표한 투표지 현품과 투표지이미지 파일이 그대로 봉인되어 보존되기 때문에 재검증은 얼마든지 가능합니다.

ⓓ 결론 (제가 하고싶은 말)

1. 현재 우리나라 개표 시스템으로는 투표지 분류기를 조작하면 들통날 수 밖에 없는 시스템입니다.

2. 외국의 전자개표기가 해킹될 수 있다고 문제가 되었을 때 나온 대안이 우리나라 개표 시스템과 같은 '기계가 1차분류하고 사람이 재확인하자.' 입니다.

3. 더 나은 개표방식이 있다면 찬성하나 굳이 빠르고 정확한 투표지 분류기를 사용하지 않아야할 이유가 있을까요?

긴 글 읽어주셔서 감사합니다. 더 할 말이 있다면 댓글로 추가 작성하도록 하겠습니다. 본인의 뇌피셜로 본 내용에 대해서 반박하신다면 답변하지 않겠습니다.