본문 바로가기 주메뉴 바로가기 검색 바로가기
美 상원의회 법안, 투표 기계 보안 대거 강화한다
상태바
美 상원의회 법안, 투표 기계 보안 대거 강화한다
2024년도 정보수권법은 연방 인증 투표 기계의 모의 해킹 실험 의무화, 독립 연구원의 기계 취약점 노출 작업 허용 규정 등을 명시한다.
By Eric Geller, WIRED US

미 의회가 미국 선거 기술을 더 엄격한 사이버 보안 검증 시험대에 올려서 자세히 분석한다.

미국 중앙정보기관(CIA)과 같은 정보기관 예산 지원을 다루는 2024년도 정보수권법(Intelligence Authorization Act)에는 ‘시큐어 IT법(SECURE IT Act)’을 통한 ‘선거 존중을 위한 선거 사이버보안 강화(Strengthening Election Cybersecurity to Uphold Respect for Elections)’ 규정이 포함되었다. 연방 인증 투표 기계와 투표함 스캐너 모의 해킹 실험 의무화 규정과 독립 연구원이 모든 방면에서 선거 시스템 결함을 검증할 실현 가능성을 탐구하는 시범 프로그램도 포함되었다.

마크 워너(Mark Warner) 버지니아주 민주당 상원 의원과 수잔 콜린스(Susan Collins) 마인주 공화당 상원의원이 초기 공동 발의한 시큐어 IT법은 적국이 미국의 민주주의를 해칠 의도를 지닌 시대에 핵심 선거 기술 보안을 훨씬 더 개선할 수 있다.

상원정보위원회(Senate Intelligence Committee) 의장이기도 한 워너 의원은 “시큐어 IT법은 실제 해커 세력이 이용하는 툴과 방식으로 시스템 침투를 시도하면서 연구원이 적의 행동 방식을 생각하고는 숨겨진 취약점을 드러낼 권한을 부여한다”라고 설명했다.

선거 기술 보안 강화를 추진하는 계획은 선거 보안 우려가 선거구 관료 살해 위협, 투표 현장 내 폭력, 인공지능(AI)이 촉발한 거짓 정보 등 더 깊은 위험성으로 전환되었으나 국회의원 사이에서는 해커가 선거 시스템에 침투할 가능성 우려가 남아있다는 사실을 강조한다. 미국 정부가 선거 시스템을 주요 기반 시설로 인식하지만, 선거 시스템 보안은 다른 중요한 업계보다는 규제가 약한 편이다.
 
[사진=Pixabay]
[사진=Pixabay]

2016년 미국 대통령 선거 당시 러시아의 선거 개입으로 투표 기계 위협이 주목받았다. 선거 시스템의 주요 보안을 개선했으나 최신 기계에서도 결함을 찾을 수 있다는 사실에도 시민의 관심이 쏠렸다. 사이버 보안 전문가 사이에서는 선거 시스템 보안 강화를 위한 연방 보안 표준 강화, 독립 보안 감사 추가를 촉구하는 목소리가 이어졌다. 시큐어 IT법은 두 가지 방식으로 우려를 해소하고자 한다.

첫 번째 조항은 미국 선거보조위원회(US Election Assistance Commission)가 최근 모의 해킹을 투표 기계 보안 인증 절차에 추가한 사실을 규정으로 다룬다. (최근, 선거보조위원회는 선거 기계와 투표함 스캐너 보안과 여러 주의 선거 기계 공급사 대상 보안 표준 준수 의무화를 다루는 방식으로 선거 시스템 인증 표준을 쇄신했다.)

이전 테스트 방식은 기계에 바이러스 방지 소프트웨어, 데이터 암호화 기술 설치 등 특정 방어 수단이 적용된 것을 인증하는 간단한 방식으로만 진행됐다. 그러나 실제 해킹 상황을 모방하는 모의 해킹을 시행한다면, 실제 공격 시 악용할 수 있는 취약점을 발견하여 중요한 소프트웨어 결함과 관련한 새로운 정보를 제공할 수도 있다.

과거, 버지니아주 선거관리 위원이었던 뉴욕대학교 브레넌정의센터(Brennan Center for Justice) 선거보안팀 자문 위원 에드가르도 코르테스(Edgardo Cortés)는 “지난 몇 년간 많은 이들이 선거 장비 모의 해킹 의무화를 촉구했다”라고 전했다.

시큐어 IT법의 두 번째 조항은 선거보조위원회가 선거 기술의 취약점 공개 프로그램을 실험하도록 요구한다. 실험 대상이 되는 선거 기술 중에는 유권자 등록 데이터베이스, 선거 결과 웹사이트 등 연방 테스트 대상이 되지 않은 시스템도 포함되었다.

취약점 공개 프로그램은 기본적으로 시민 권리를 중시하는 사이버 보안 전문가가 특별히 모색하는 보안 강화 방식이다. 선거 주최 기관의 컴퓨터 시스템의 공정성이라는 명확한 규정에 따라 운영하는 철저한 조사 참여자는 설계 혹은 구성 과정의 결함을 찾는 방식으로 선거 시스템 해킹 시도를 한다. 이후 실험 과정에서 발견한 결함을 기관에 보고하고, 그 대가로 일정 보상을 받는다.

여러 전문가 단체가 선거 시스템의 광범위한 영역에서 버그를 찾도록 하는 워너 의원과 콜린스 의원의 발의안은 미국의 민주주의에서 중요한 역할을 하는 기계 보안을 대거 향상할 수 있다.

시범 프로그램은 수십 년 동안 선거 시스템 결함 검증, 공개 방식을 두고 다투었던 선거 공급사와 연구원 간의 관계에 많은 이들이 집중하는 실험이 될 것이다. 시큐어 IT법은 선거보조위원회에 잠재적인 테스트 참여자 평가, 테스트 참여자가 테스트 후 발견한 취약점 무엇이든 180일간 대중에 공개하는 행위 금지를 요구하면서 공급사를 달래려 한다. (취약점은 선거보조위원회와 국토안보부에 즉시 보고해야 한다.)

그러나 한 가지 조항이 우려를 촉발할 수 있다. 시큐어 IT법은 제조사가 보고된 심각한 취약점 확인 시 180일 이내로 패치 배포를 하거나 기타 위험 완화 작업을 해야 한다. 인증된 투표 소프트웨어의 변경 사항을 모두 검토해야 하는 선거보조위원회는 수정 작업 이후 90일 내로 수정 사항을 승인해야 한다. 주어진 기한에 승인받지 못한 수정 사항은 인증된 것으로 간주한다. 단, 선거보조위원회가 추후 검토할 수 있다.

공급사는 취약점 발견 사항 공개 금지 기한 내에 문제를 고치지 못할 수도 있다. 승인받지 못할 가능성과 수정 사항을 모든 고객사에 배포하지 못할 수도 있다.

선거 기계 공급사 보팅웍스(VotingWorks) 전무이사 벤 아디다(Ben Adida)는 “현장에서 기계 업데이트를 진행하는 데 몇 주가 걸릴 수도 있다”라고 말했다.

일부 공급사는 법안에 명시된 연구원의 합법적 보호규정에 분노할 수도 있다. 법안은 컴퓨터 사기 및 악용법(Computer Fraud and Abuse Act), 디지털 밀레니엄 저작권법(Digital Millennium Copyright Act)으로 금지하는 테스트 활동 예외를 제외 및 법률을 준수한 검증 활동을 한 연구원의 의도치 않은 프로그램 조항 위반을 대상으로 한 연구원 제소 금지를 명시한 안전 조항도 포함했다.

자금 문제에도 의문을 제기할 수 있다. 시큐어 IT법은 선거보조위원회의 취약점 공개 프로그램 운영 자금을 새로 조달할 권한이 없다.

벤 호블란드(Ben Hovland) 선거보조위원회 의장은 “의회가 선거보조위원회의 책임 강화를 지원하는 데 필요한 자금도 고려하기를 바란다. 취약점 공개 프로그램 투자는 선거 보안 유지, 강화를 위해 중요하다”라고 말했다.

반면, 법안의 전망은 확실하지 않다. 상원 의회를 통과해도 하원 의회에서도 통과할 가능성을 기대할 만한 조짐이 없기 때문이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
A Senate Bill Would Radically Improve Voting Machine Security
이 기사를 공유합니다
RECOMMENDED