인터넷 투표는 안전하지 않으며 공공 선거에 사용되어서는 안 된다

 (blog.citp.princeton.edu)
6P by GN⁺ 16시간전 | ★ favorite | 댓글 4개
  • 인터넷 투표는 기술적으로 안전하게 구현할 수 없는 시스템으로, 수십 년간의 연구에서도 해결책이 발견되지 않았음
  • 스마트폰·컴퓨터 악성코드, 서버 해킹, 선거관리 서버 침입 등으로 인해 투표 조작이 가능하며, 한 명의 공격자가 대규모 조작을 할 수 있음
  • E2E-VIV(종단 간 검증형 인터넷 투표) 역시 검증 앱의 신뢰성, 영수증 방지, 분쟁 해결 부재 등으로 인해 근본적 취약점을 가짐
  • Mobile Voting Foundation의 VoteSecure는 이러한 문제를 모두 안고 있으며, 개발자들조차 완전한 보안이나 분쟁 해결 프로토콜이 없음을 인정함
  • 과학자들은 언론 보도나 홍보자료가 아닌, 동료평가된 연구를 통해서만 인터넷 투표의 신뢰성을 검증해야 한다고 강조함

인터넷 투표의 근본적 불안정성

  • 인터넷 투표는 기존 종이 투표보다 훨씬 높은 조작 위험을 가짐
    • 악성코드가 유권자의 기기에서 선택한 투표 내용을 바꿀 수 있음
    • 서버나 선거관리 시스템 내부자에 의한 조작도 가능
    • 인터넷을 통한 공격은 전 세계 어디서든 대규모로 실행될 수 있음
  • 종이 투표는 완벽하지 않지만, 대규모 부정이 탐지·처벌될 가능성이 높음
    • 반면 인터넷 투표는 단일 공격으로 수많은 표를 바꿀 수 있음

E2E-VIV(종단 간 검증형 인터넷 투표)의 한계

  • E2E-VIV는 유권자가 자신의 표가 올바르게 집계되었는지 확인할 수 있도록 설계되었으나, 다음과 같은 구조적 문제를 가짐
    • 검증 앱이 악성코드에 감염되면 거짓 정보를 보여줄 수 있음
    • 영수증 방지(receipt-free) 기능이 없으면 대규모 매표 행위가 가능
    • 신뢰성과 영수증 방지를 동시에 만족시키는 앱 설계가 매우 어려움
    • 검증 앱을 별도로 실행해야 하지만, 실제로 그렇게 하는 유권자는 극소수
    • 일부 유권자가 조작을 발견하더라도 증명할 방법이 없어 선거를 무효화할 수 없음
  • 따라서 E2E-VIV의 ‘검증’ 기능은 실질적 보안 강화 효과가 없음
    • 과학계에서는 이러한 한계를 이미 수년 전부터 공통된 견해로 인정

VoteSecure 사례 분석

  • Bradley Tusk의 Mobile Voting Foundation은 Free and Fair와 함께 VoteSecure라는 인터넷 투표 SDK를 개발했다고 발표
    • 보도자료에서는 “안전하고 검증 가능한 모바일 투표가 가능해졌다”고 주장
  • 그러나 여러 보안 전문가들이 VoteSecure의 심각한 취약점을 지적
    • 개발사 Free and Fair의 연구진도 “지적된 문제는 사실이며, 더 나은 방법을 모르겠다”고 인정
    • VoteSecure는 영수증 방지 기능이 없고, 분쟁 해결 프로토콜이 미비하며, 악성코드 감염 시 검증이 무의미
    • 또한 대규모 자동화된 매표 공격투표 탈취(clash attack) 가능성이 존재
  • Free and Fair은 “VoteSecure는 완전한 투표 시스템이 아니라 암호화 코어 수준”이라고 설명

과학적 합의와 권고

  • 수십 년간의 연구 결과, 인터넷 투표를 안전하게 만들 수 있는 기술은 존재하지 않음
    • E2E-VIV 연구도 근본 문제를 해결하지 못함
  • 선거 관계자와 언론은 ‘보도자료 기반 과학’에 주의해야 함
    • 신뢰성 검증은 동료평가된 학술 연구를 통해서만 가능
    • 보도자료나 기업 홍보는 선거 시스템의 신뢰성을 판단하는 근거가 될 수 없음

서명한 전문가 그룹

  • 이 성명은 선거 보안 분야의 21명 컴퓨터 과학자가 공동 서명
    • 서명자에는 Andrew Appel(프린스턴대) , Ronald Rivest(MIT) , Bruce Schneier(하버드대) 등 주요 연구자가 포함
    • 서명은 개인 자격으로 이루어졌으며, 소속 기관의 공식 입장은 아님
bbulbum 4시간전  [-]

블록체인이 사용된다면??

답변달기
bbulbum 4시간전  [-]

아 종단간의 신뢰 문제라서 별로 연관이 없겠네요.

답변달기
GN⁺ 16시간전  [-]
Hacker News 의견들

  • 나는 호주에서 살고 있음. 여기서는 종이와 연필로 투표하고, 판지 부스에서 진행함. 비용은 선형적으로 늘어나지만, 커뮤니티 신뢰 측면에서는 여전히 종이 투표가 기계보다 훨씬 낫다고 생각함
    영국에서는 원격 투표 제안을 받은 적이 있는데, 동형암호 기반의 안전한 온라인 투표라면 환영했을 것 같음. 이미 정부에 KYC를 제출했으니 신원 확인 문제는 없다고 봄
    호주는 모든 투표용지를 사람이 검토하고, 정당이 감시할 권리를 가짐. 선거 무결성에 대한 의심이 거의 없고, 정기적으로 검증함. 미국의 경우 “현재 방식보다 얼마나 나아질 수 있을까?”가 핵심 질문이라고 생각함

    • 나도 펜으로 우편 투표를 함. 광학 스캐너로 집계하고, 사람이 읽을 수 있는 기록이 남음. 매우 경제적이고 대규모 조작이 어려움. 인터넷 투표는 절대 신뢰하지 않음. 펜과 종이면 충분함
    • 문제는, 투표자가 자신의 표가 제대로 집계됐다는 걸 증명할 수 있다면, 협박자에게도 그걸 증명할 수 있다는 점임. 즉, 비밀 투표 원칙이 깨질 위험이 있음
    • “그냥 잘 작동한다”는 이유 중 가장 큰 건 호주 선거관리위원회(AEC) 가 정부로부터 독립적이기 때문임. 여기에 의무투표선호투표제가 더해져 민주주의가 건강하게 유지됨
    • 인도 선거위원회도 매우 진지하게 임한다고 들었음. 인도의 선거 관리 체계는 꽤 인상적임
    • 종이 시스템은 국소적으로, 시끄럽게 실패하지만 인터넷 시스템은 조용히, 대규모로 실패

  • 종이 투표의 부정 방식은 수세기 동안 알려져 있음. 그래서 그에 대한 대응 절차도 잘 확립되어 있음. 봉인된 투표함, 중립적 참관인, 공개 개표 등으로 신뢰를 확보함
    반면 인터넷 투표는 부정 방법이 일반인에게 잘 알려져 있지 않음. 완벽히 안전하더라도 신뢰는 떨어질 수밖에 없음. 비밀 투표가 필수인 이상, 종이 투표가 여전히 최선임

    • 참고로, 1946년 미국 테네시주 아테네 전투(Battle of Athens) 사건을 보면, 폐쇄된 공간에서 부정 개표가 어떤 결과를 낳는지 알 수 있음. 위키백과 링크
    • 중립 참관인이 없을 정도로 양극화된 선거라면, 각 정당의 참관인을 두고 카메라로 개표 과정을 기록하면 됨
    • 또 다른 사례로 Box 13 스캔들이 있음. 위키백과 링크. LBJ가 상원의원 자리를 얻을 때 종이 투표 조작이 있었다는 의혹이 있음
    • 종이 투표는 단순해서 누구나 검증 가능함. 전자 투표는 불투명하고, 원격 투표는 자유 의사 보장이 어렵고, 비밀 투표만이 매수 방지를 가능하게 함. 결국 신뢰는 “누구나 직접 확인할 수 있음”에서 나옴
    • 나는 반대로 생각함. 시스템이 충분히 투명하고 검증 가능하다면 신뢰할 수 있음. 다만 프라이버시 보존이 핵심 과제임

  • 선거의 가장 중요한 요소는 신뢰, 효율성은 부차적임. 전자 투표로 전환하면서 신뢰가 훼손되었고, 적대적 세력이 조작하기 쉬워졌음. 인터넷 투표는 이를 더 악화시킬 것임. 종이 투표로 돌아가야 함

    • 미국은 이미 대부분 종이 투표 + 전자 집계 방식을 사용 중임. 되돌아갈 필요가 없음
    • 이미 종이 투표를 하고 있음. 완전 수동으로 돌아가면 오히려 오류와 무효표가 늘어날 것임. 투표기계를 불신하게 만든 세력이 오히려 과거엔 재검표를 막았다는 점이 아이러니함
    • 미국 유권자의 95% 이상이 종이 기반 투표를 함. Verified Voting 통계
    • 조지아에서는 컴퓨터로 투표하면 종이 영수증이 출력되고, 스캐너에 넣어 집계함. 예전 Diebold 기계는 해킹 취약했음
    • 캘리포니아의 우편 투표 신원 확인은 서명 유사도만으로 판단함. 사실상 명예 시스템임. 관련 법 조항

  • 악성코드가 유권자의 기기에서 표를 바꿀 수 있다는 지적은 타당함. 하지만 스마트폰은 이미 일상 대부분의 보안 거래에 사용되고 있음.
    서버 해킹 위험도 있지만, 정부가 개인정보를 보관하는 이유도 결국 위험 대비 보상 분석 때문임.
    지금은 온라인 투표의 보상이 위험보다 작지만, 실시간 참여형 민주주의 모델을 상상하면 이야기가 달라질 수 있음. 다만 가장 큰 문제는 무관심과 참여율 저조

  • 인터넷 투표는 대규모 조작이 쉬움. 하지만 인터넷 뱅킹도 마찬가지로 위험함. 결국 장단점의 균형이 핵심임. 인터넷 투표의 이점이 단점을 상쇄할 수 있을까?

    • 은행 해킹은 거의 불가능함. SWIFT 같은 시스템으로 거래가 추적되고 되돌릴 수 있음. 선거는 그런 실패 허용 여지가 없음. 선거 해킹은 곧 민주주의 붕괴임
    • 은행 사기는 보험으로 복구 가능하지만, 선거 신뢰는 복구 불가
    • 인터넷 뱅킹은 익명성이 없지만, 투표는 익명이어야 함

  • 종이 투표의 비용과 비효율성은 오히려 장점임. 조작이 어렵고, 시민이 선거 과정에 직접 참여하게 만들어 결정의 무게감을 높임

  • 투표는 세 단계로 구성됨: 투표, 개표, 보관. 세 단계 모두 투명하고 감사 가능해야 신뢰가 생김.
    멕시코의 사례가 좋은 예임.

    1. 모든 사람이 지역 투표소에서 종이로 투표함
    2. 자원봉사자와 정당 참관인이 현장에서 개표함
    3. 결과를 전자 전송하고, 종이 결과를 일주일간 게시함
      중앙 시스템은 합산만 하며, 누구나 현장 결과와 온라인 결과를 대조할 수 있음.
      이런 분산 구조 덕분에 결과는 빠르고 신뢰도 높음. 다만 ‘회전문 투표’ 같은 강압적 방식은 여전히 존재함
    • 왜 미국만 투표 절차가 이렇게 논란이 되는지 이해가 안 됨. 종이 투표를 요구하면 인종차별이라 하고, 개표 기한을 제한하면 외국인 혐오라 함. 유럽은 훨씬 합리적으로 운영함
    • 아이다호에서는 종이 투표 후 전자 집계, 필요시 수동 재검표 가능함. 인터넷 연결 없이 빠르고 감사 가능한 이상적인 조합임
    • 비밀 투표를 포기하면 투명성 문제의 상당 부분이 사라짐. 다만 이는 민주주의의 근본을 흔드는 선택임
    • 전자 투표도 여러 검증 계층(layer) 을 두면 비슷한 신뢰성을 확보할 수 있음
    • 프랑스도 거의 같은 방식으로 운영함

  • Tom Scott의 “전자 투표가 나쁜 이유” 영상이 필수 시청 자료임
    1부 영상 / 2부 영상

  • 문제는 기술이 아니라 신뢰할 수 없는 주체들임. 투표는 돈을 벌지 않기 때문에, 은행 수준의 보안 투자를 하기가 어려움.
    게다가 이미 정보 조작과 봇 활동이 여론을 왜곡하고 있음. 종이 투표가 낫지만, 현실은 이미 디지털 혼탁 상태임

    • 예측하건대 2026년 트럼프 행정부가 “선거 보안” 명목으로 전자 투표만 허용하려 할 것임. 정치적으로 유리한 업체가 시스템을 제공하고, 소송이 이어져 혼란이 길어질 것임. 결국 양당 모두 결과를 불신하게 될 위험이 큼

  • 나는 이 글의 공동 저자이자 Georgia Tech의 교수임. 보안·프라이버시·공공정책을 연구함. 내 CV 참고 가능함. 질문이 있으면 답변하겠음

    • Swiss Post e-voting 시스템의 검증 방식에 대해 살펴본 적 있는지 궁금함
    • 투표는 모든 유권자가 직접 검증 가능해야 함. 손으로 세는 것보다 복잡한 시스템은 신뢰를 잃게 됨
답변달기
brilliant08 15시간전  [-]

전자투표시스템은 대중 공공으로부터의 무작위 신뢰성 검증의 문제를 해결할 수 없다고 봅니다.
시스템의 코드 검증은 선별된 특별 계층에서만 가능하고, 검증한 코드가 현장에서 사용된 코드가 맞는지 여부도 신뢰할 수 없겠지요.
종이투표 결과를 전자시스템으로 수집하는 과정만을 전자화한 대한민국에서 무슨 논란이 벌어졌고, 어떤 사회적 혼란이 생겼는가를 보면, 완전한 전자투표시스템이 도입되면 어떤 사회적 혼란이 발생할지 대충 유추 가능해보입니다.

답변달기