메릴랜드에서는 투표기가 부팅되지 않아 유권자들이 몇 시간동안 투표를 하지 못했다. 남캐롤라이나에서는 선거관리인단이 투표기를 늦게 구입해 테스트를 충분히 하지 못한 결과 투표 화면상의 대통령 후보들 명단에 지방 선거 출마자들의 이름이 올라 있었다. 일부 텍사스 지역에서는 수천 표가 모자랐는데, 소프트웨어상의 버그로 인해 스페인어 표를 기록하지 못했기 때문이다. 전문가들은 2000년 대선 때보다 더 큰 규모로 재개표를 해야한다고 주장했다.
해킹피해 무방비
하지만 이번에는 공방의 대상이 될 투표 용지가 없다. 사실 수십만 표가 종이 형태로는 전혀 기록이 남지 않게 된다. 새로운 터치 스크린형 기계를 통해 행사된 표들이 컴퓨터 메모리나 스마트 카드 속으로 사라져 버린 채 조사해볼 투표용지를 전혀 남기지 않기 때문이다. 선거관리인들이 투표기에 저장된 기록을 인쇄할 수는 있지만 이것이 사람들이 실제로 투표한 결과를 정확하게 반영하는지는 알 도리가 없다.
설상가상으로 한 방송국 뉴스 리포터가 받은 제보에 따르면 돈을 받고 고용된 해커들이 특정 회사에서 제작된 투표기들의 코드를 조작해 후보 A의 득표중 10% 정도가 후보 B에게로 가도록 했다고 한다.
한편 콜로라도에서는 또다른 해커들이 전자 투표기에 사용되는 전자식 스마트 카드 한 상자를 훔쳐내 여러 명의 후보를 선택할 수 있도록 재프로그래밍했다고 자랑했는데, 이들은 비디오 게임을 해킹하듯 심심풀이로 했다고 밝혔지만 2004년 미 대선용이었을지도 모른다.
이것은 최악의 시나리오이지만 전혀 근거가 없는 일만은 아니다. 미국 유권자들의 1/3이 올해 11월 전자식 투표기가 갖춰진 투표소에 들어가겠지만 자신들의 투표 결과가 정확히 반영될지 아니면 기계 고장이나 조작으로 인해 무효표가 될지 확신할 수 없을 것이다. “100% 신뢰할 만한 전자식 투표 시스템용 기술은 존재하지 않을 겁니다”라고 스탠포드 대학 컴퓨터 과학자이자 전자 투표 전문가인 데이빗 딜은 말한다.
왜일까? 한 마디로 전자 투표기 자체가 컴퓨터이고, 잘 알다시피 컴퓨터는 종종 고장나기 때문이다.
이런 고장이 발생하면 신뢰하기에는 너무 부정확한 디지털 데이터들만이 발생한다. 종이 투표지 기록을 추가로 남길 만한 비용이나 필요성이 없다고 여겨졌기 때문이다. 일부 시민단체들에서는 위의 시나리오와 같은 대선 뒤집기 상황을 방지하려고 노력중이지만 수만 개의 전자식 투표기를 선거전까지 고치거나 테스트해 제기능을 발휘하게 할 방법이 없다. 이번 대선은 일종의 도박이 될 수도 있다. 첨단 투표기 덕분이다.
종이투표지에서 전자식투표로
아이러니컬하게도 선거관리인단이 전자식 투표기를 신뢰하게 한 것은 기존의 종이 투표지 기록이 애매했기 때문이다. 2000년 대선에서 종이 투표지의 문제점이 드러난 후 국회는 2002년에 미국 투표 지원법안(HAVA)을 통과시켰다.
이 법안에는 미국의 투표 기반시설 개선 비용 39억 달러가 포함되어 있는데, 이중 대부분이 다루기 힘든 천공기용 장치를 번쩍이는 새 전자 투표기로 교체하는 비용이었다. 이 지원금의 혜택을 보려는 주정부들은 2006년 이전에 투표기를 업그레이드 해야 했다. 만성적인 자금 부족에 시달려오던 주정부 선거관리인단들은 투표 장치를 신형으로 교체하는 데 적극적이었다.
“HAVA 통과 후 전자 투표기로 교체하려는 바람이 거세게 불어닥쳤습니다”라고 카네기 멜론 대학의 컴퓨터 과학자인 마이클 샤모스가 말한다.
“하지만 사람들은 이 기계에 관해 전혀 알지 못했습니다.” 지역 관리들이 정부에 지침을 요구하자 정부에서는 부처끼리 책임전가에 급급했다. HAVA에는 새로운 투표기에 대한 구체적 지침이 포함되어 있지 않았다.
대신 이 일을 관장하도록 선거 지원 위원회(EAC)라는 기관이 설립되었다. 올해 6월 EAC는 기술 지침 개발 위원회(TGDC)라는 또다른 기관을 설립했는데, 7월과 9월에 한 차례씩 회합을 가졌을 뿐 이제야 비로소 업무를 시작하고 있다. 선거관리인들은 이런저런 기관들을 설립해 자금을 확보했지만 자금 운용에 관한 조언은 하지 않았다.
투표기를 공식적으로 테스트 해보지도 않은 채 30개 주의 관리들은 다이볼드와 ES&S, 시쿼이아, 하트 인터시빅 같은 주요 전자 투표기 제조업체들의 프리젠테이션에 매료되었는데, 이 업체들은 투표기 공급 사업에 참여해 각자 자사의 전문 기술을 제공하게 되어 좋아했다. HAVA 덕분에 매출이 늘었기 때문이다.
가장 인기높은 전자 투표기는 다이렉트 레코딩 전자 장치(DREs)이다. 이 장치는 보통 대형 평면형 컴퓨터 모니터처럼 보이는데 네비게이션 버튼이 측면에 딸려 있는 경우도 있다. 2000년 대선 때의 혼란스러웠던 “나비 투표지”를 폐기하고 싶어하던 관리들은 판독이 용이하고 누구나 쉽게 사용할 수 있는 투표기를 적극 도입하고 싶어했다.
투표소에 들어서서 터치 스크린상의 원하는 후보자 칸을 살짝 누르기만 하면 되니 이보다 간단한 장치가 어디 있겠는가? 대부분의 전자 투표기들에는 투표를 한 후 확인차 누르는 큰 “투표” 버튼이 있다. DRE의 “다이렉트”란 표현은 투표 결과가 컴퓨터 메모리에 바로 저장된다는 의미이지만 다이볼드나 ES&S 같은 회사들은 주정부 관리들에게 자사의 소프트웨어가 오류 없이 설계되어 종이 투표기 없이도 선거를 순조롭게 치룰 수 있다고 확신시켰다.
사실상 거의 모든 주에서 선거관리인들은 외부 기술 전문가를 초빙해 전자 투표기 선정 과정에 참여시키는 데 실패했다. 선거권 단체인 텍사스 안전 투표 연대는 선거관리들과 다이볼드사 대표들이 가진 한 회의석상에서 한 관리가 “이 기계가 덧셈만 제대로 해도 좋겠네요”라고 말하는 장면이 담긴 비디오 테이프를 발견했다.
기술 전문가들의 조언을 얻지 못한 선거관리들은 대부분의 소비자들이 새 제품을 사러 전자제품점에 가서 하는 대로 판매원들이 하는 말에 귀를 기울이며 그들의 말이 사실이기만을 바랬다.
당신의 투표 방법은?
[1]메릴랜드와 조지아주는 주 전체에서 다이볼드사의 투표기를 사용해 종이 투표지가 없다. 한 메릴랜드 판사가 종이 투표지 사용 의무조항을 인정하지 않았다.
[2]캘리포니아 주정부 사무국의 케빈 쉘리는 불안정한 다이볼드사의 투표기 인가를 취소하고 이 회사를 상대로 제품 과대광고 소송을 제기했다.
[3]네바다주는 주 전역에서 프린터를 장착한 DRE를 사용한다. 여러 카운티들에서 전자 투표기들 중 1~3퍼센트를 임의로 선정해 투표지 결과와 전자 투표기 결과를 대조한다.
[4]텍사스주는 비공개 회의석상에서 다이볼드사의 투표기를 선택했다. 이런 회의를 보려면 safevoting.org 참조.
[5]워싱턴주는 모든 DRE에 투표지 감사를 부가하는 법안을 통과시켰지만 카운티별 시행은 2006년부터이다.
[6]플로리다주에서는 터치스크린식 투표기가 오류가 없을 것이라는 잘못된 가정하에 주 장관 글렌다 후드가 지난 4월 수동식 개표 장치 사용금지 규정을 각 카운티에 하달했다. 8월에 한 판사가 이 규정을 번복했다.
현장배치된 전자식투표기
사실 판매업체들은 판매 제품에 대해 거짓말을 하지는 않았다. 다만 이들은 전자식 투표기가 가정용 PC처럼 고장날 수도 있다는 말을 안 했을 뿐이다. 하지만 선거관리들은 곧 이 사실을 알게 되었다. 2002년에 ES&S의 인기제품인 아이보트로닉 투표기들이 북캐롤라이나 선거에서 436표를 기록하지 못했고, 올해 플로리다 의회 선거에서는 100표가 넘는 기록 오류를 범했다.
지난 3월 아침 시간대에 실시된 한 예비선거에서는 샌디에고의 투표소들 중 55퍼센트에서 다이볼드사의 투표기가 배터리 문제를 일으켜 유권자들이 되돌아 가야만 했다. 이 투표기는 몇 시간만에 다시 정상으로 돌아왔지만 화가 난 잠재 유권자들중 과연 몇 명이나 다시 투표를 하러 왔을지는 알 수가 없다.
루빈과 월러치는 이 소프트웨어에 사람들이 여러 표를 행사해지 못하도록 막는 안전 장치가 없음을 발견했다. 깜짝 놀란 둘은 전자식 투표기가 “가장 초보적인 보안 기준에도 못 미친다”고 썼다. 그 이후 주정부 지원을 받은 메릴랜드의 한 연구에서 다이볼드사의 소프트웨어는 낮은 버전의 윈도우즈를 운영체제로 사용해 보안상의 침투에 매우 취약하다는 사실을 밝혀냈다.
이전에 이 투표기의 운영체제를 보다 높은 버전인 윈도우즈 2000으로 교체하려는 시도가 있었지만 다이볼드사의 소프트웨어와 충돌이 발생했다. 선거관리들이 루빈이나 월러치 같은 전문가들의 조언을 좀 더 일찍 구했더라면 “컴퓨터 보안”이 장비를 방에 넣고 잠그기만 하면 되는 단순한 문제가 아님을 알았을 것이다. 소프트웨어는 사용자가 예기치 못한 자료를 입력하거나 해커와 바이러스로부터 공격을 받는 상황에서도 주어진 업무를 제대로 처리해야 안전성이 입증된다. 컴퓨터 보안 전문가들은 프로그램 코드를 한 줄씩 샅샅이 뒤지면서 기계가 특정 숫자에 도달하면 표 집계를 멈추게 하는 잘못된 명령어나 컴퓨터 시스템이 뒤엉키게 하는 악성 코드들을 찾아낸다.
높은 신뢰도 외에도 소프트웨어는 악의를 품은 해커들의 조작으로부터 보호받을 수 있도록 설계되어야 한다. 만약 누군가가 다른 장치를 전자 투표기에 연결해 선거 결과를 바꾸어 놓을 수 있는 조작을 한다면 어떻게 되겠는가? 정말 안전한 시스템은 누군가가 발각되지 않은 채 프로그램을 변경하기가 극히 어렵다.
전자 투표기 주요 판매상들 중 보안 테스트용 코드를 공개하는 곳이 없기 때문에 주정부와 카운티들은 어쩔 수 없이 판매상들의 자체 신뢰도 측정치를 믿을 수 밖에 없다. 하지만 DRE 회사들은 고객들과 똑같은 문제점을 안고 있다. 주요 고객들은 정부 지원금으로 기계를 구매하는데, HAVA가 있어도 자금 지원이 부족하다. 독자적인 보안 검사는 비용이 엄청나 기계 한 대당 수십만 달러가 소요될 수도 있기 때문에 고객이 없거나 연방정부의 의무규정이 없으면 이런 투자를 할 만한 가치가 없다.
비용 절감을 위해 일부에서는 투표기 코드를 “공개 소스”로 만들어 확인을 원하는 사람은 누구나 볼 수 있도록 해야 한다는 주장이 제기되었다.
이 주장의 근거는 코드를 테스트하는 사람이 많아질수록 코드가 더 정확해진다는 것이다. 오픈 소스형 컴퓨터 운용체제인 오픈BSD는 비교적 안전한 운용체제로 전세계에서 인정받고 있어 미 항공우주국을 비롯한 여러 정부 기관들에서 사용되고 있다. 현재까지 주요 투표기 판매업체들 중에서 코드를 공개한 곳은 없었다. 경쟁사에 거래 정보가 누출될 위험이 있기 때문이었다. 투표권 옹호자이자 초기 DRE 비판가였던 베브 해리스는 소프트웨어의 보안이 취약한 현 상황 때문에 “블랙박스” 시나리오가 나오게 됐다고 말한다. “기계에 투표를 하고도 기계에 어떤 일이 일어났는지 모르는 셈입니다.”
2012년 투표
컴퓨터 과학자 데이빗 차움은 향후 기호학이 발전해 전자투표의 보안 문제가
해결되리라고 전망하는데, 많은 전문가들이 이에 동의한다. 차움의 장치가 어떻게 작동하는지 살펴본다.
1투표소에 들어서 현금자동인출기 같은 화면에 후보자 명단이 뜨면 선택할 후보자의 이름을 가볍게 치면 된다. 화면 상단에 여러분이 선택한 후보자를 확인하는 메시지가 나타난다.
2이 확인 메시지는 사실 두 장의 종이 영수증을 밀착해 뒤쪽에서 조명을 투사한 것으로, 두 종이를 따로 떼어 놓으면 각 종이는 판독이 불가능하지만 제대로 겹치면 유권자가 선택한 이름이 나타난다.
3 이 영수증들은 얼핏 보면 무질서한 네모들만 가득해 보이지만 좀 더 자세히 보면 흰 무늬 종이와 검정 무늬 종이가 겹쳐지면서 회색 글자가 나타나고 배경에는 무질서한 무늬가 남아 있다.
4투표 후 이 영수증들 중 한 장을 가져갈 수 있지만 인출구를 여는 순간 한 장만 빠져나오고 나머지 한 장은 재개표를 할 경우에 대비에 기계에 남겨진다.
5집에 도착해 본인의 표가 바르게 처리되었는지 확인할 수 있다. 영수증의 고유 일련번호를 웹사이트에 입력하면 해당하는 표들이 열거되면서 갖고 있는 것과 똑같은 투표지 사본이 나타난다.
6뿐만 아니라 유권자는 가정의 컴퓨터로 전체 선거 결과를 확인할 수 있다. 선거관리자들은 암호화된 표들을 특정 표들의 암호를 해제하는 “키”와 함께 웹사이트에 게재해야 한다. 이를 통해 각 유권자는 영수증이 누구 것인지, 어떤 후보 지지표인지 모르고서도 각 표를 암호화된 영수증과일일이 대조해 볼 수 있다.
전자투표집계
블랙 박스 문제의 해결책으로 널리 인정받는 방법이 이미 ATM과 신용카드 리더기처럼 높은 보안이 필요한 컴퓨터들에서 사용되고 있다. 다름 아닌 종이 영수증인데, 이를 통해 투표 결과가 물리적으로 정확하게 기록되는 게 보장된다. 전자 투표 용어로 이것은 유권자 확인 종이 감사 추적(VVPAT) 또는 머큐리 기법이라고 한다.
하바드 대학 리서치 연구원이자 컴퓨터 과학자인 레베카 머큐리의 이름을 따 대중화된 VVPAT 시스템은 유리 밑으로 종이 영수증을 발급하는 프린터가 딸린 DRE가 필요하다. 유권자가 후보를 선택한 후 “OK”를 치면 종이 영수증이 잠긴 통으로 떨어진다. 선거가 끝난 후 선거관리들은 구체적 증빙을 확보하게 된다.
비용이 덜 드는 또다른 해결법은 자원자들을 통해 광범위한 사후 테스트를 실시해 투표기 코드상의 문제들을 찾아내는 것이다. “논리 및 정확성” 테스트는 선거 며칠 전이나 몇 주 전에 실시된다. 보통 전국에서 무작위로 대여섯 대의 투표기를 선택한 다음 두 명의 테스트 자원자들이 서로 짝을 이루는데, 대개 공화당원 1명과 민주당원 1명으로 구성된다. 한 명은 투표를 하고 다른 한 명은 상대가 어떻게 투표했는지, 투표기가 어떻게 기록했는지 적는다. 이 기록들을 확인해 이상 여부를 판단한다.
선거 당일 하루종일 여러 투표소에서 무작위로 투표기들을 추출해 이런 테스트를 보다 철저하게 시행한다. 이 “병렬 테스트”를 통해 최근 테스트 이후 해당 투표기가 조작되지 않았고, 해커들이 선거일에 다른 방식으로 작동되도록 재프로그래밍하지 않았음을 확인한다.
이런 류의 보안 대책은 현재 자율에 맡기고 있지만, 향후에 발표될 연장 지침에서는 의무화될 것으로 예상된다. 전기 공학 및 컴퓨터 과학 분야 표준 제정 단체인 전기전자 엔지니어 협회(IEEE)는 이런 지침을 만들어내기 위해 태스크포스 팀을 구성했는데, 작성된 지침을 EAC 회원들이 채택해주기를 기대하고 있다. 하지만 IEEE의 노력이 투표권 활동가와 미국내 최대규모 투표기 제조업체 대표자들로 이루어진 태스크 포스팀 내의 의견 충돌 때문에 더뎌지고 있다. 쟁점 사항은 종이 추적 방식이 의무 조항이 되어야 하는가 여부이다. 만약 그렇게 되면 투표기 제조업체들이 이미 보급된 투표기들을 수거해 프린터를 달아야 하는데, 그러려면 회사나 주 정부측에서 막대한 비용이 든다.
2004년 대선
선거관리들이 규정에 관해 입씨름하는 동안 컴퓨터 과학자들과 의원들, 우려에 찬 시민들이 2004년 대선에서 디지털 대란이 발생하지 않도록 하기 위해 최선을 다하고 있다. 캘리포니아 주 장관 켈빈 쉘리는 전문가들과의 논의석상에서 직접 보안 지침을 제시하면서 4월에 캘리포니아주의 모든 투표기에서 종이 감사 추적지를 발급하거나 대통령 선거 전에 23개의 특정 조건을 충족시키도록 하겠다고 발표했다. 이 중에는 주 정부가 투표기의 소스 코드에 접근하는 것은 물론 병렬 테스트도 할 수 있도록 허용하는 안도 포함된다.
이 외에도 법률적 공방이 치열하다. 메릴랜드 시민 8명은 주정부의 다이볼드사 투표기 사용 중단을 요구하며 소송을 걸었고, 딜이 설립한 투표 검증 요구 재단과 안전 선거 시민 연맹을 비롯한 여러 단체들은 선거 보안을 요구하는 오하이오 소송건의 해결 방안은 주정부 관리들이 종이 감사 추적지 사용을 의무화하는 것이라고 주장했다. 텍사스주 안전 투표 연합은 미국 시민 자유 노조와 함께 텍사스 투표 감시 위원회가 회의 과정을 공개해 일반인들이 투표기 선정 과정을 모니터 할 수 있도록 했다. 전자 투표기에 종이 감사 추적지 부착을 의무화하는 두 개의 법안이 국회에 상정 중이다.
대선날 컴퓨터 과학자와 자원자들로 이루어진 테크워치라는 단체가 전국에서 전자 투표기를 모니터할 것이다. 기계 고장이나 투표율이 낮은 지역에서 한 후보에게 표가 쏠리는 등의 문제가 발생하면 이 단체의 웹사이트에 즉시 문제가 게시되고 테크워치 요원들이 현장에 급파되어 문제를 기록하고 해결하려 시도할 것이다.
투표가 끝난 후 이 단체에서는 어떤 기계들이 고장났고, 어느 곳에서 보안상에 문제가 생겼을 가능성이 있는지 자세히 조사할 것이다. 재개표가 실시될 경우 테크워치는 이 증거를 이용해 특정 지역에서의 투표기 정확성에 관한 이의 제기가 정당한지 판단할 것이다.
이런 오류 방지 노력은 감동적이지만 다이볼드사 홍보담당 루빈은 현존하는 DRE 장치들의 근원적인 불안정성 때문에 순조로운 선거 진행을 보장하기가 불가능하다고 말한다. “현 시점에서는 기계가 제대로 작동하거나 안 할 확률이 반반입니다.”
신디케이트 신문컬럼 “테크스플로이테이션” 필자인 애널리 뉴위츠는 일렉트릭 프론티어 재단의 미디어 코디네이터 겸 정책 분석가이다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
