U.S. Election got Black 지난 11월, 전 세계의 관심이 집중된 가운데 역사상 최초 흑인(Afro-American) 대통령이 탄생된 이번 미(美) 대선으로 지난 날 ‘빈곤, 비주류’ 등을 떠올리게 했던 Black의 이미지는 이제 ‘희망, 변화, 새로운 시작’ 등을 투영하기 시작했다. 그러나 이번 미 대선에 희망적인 Black만 있었던 것은 아니다. 대선 전부터의 전자투표 기기 문제 제기에 이어 최초의 흑인 대통령 후보자이자 당선자인 ‘오바마(Barack Obama)’의 이름이 사이버 세계의 어두운 세력에게 엄청난 탄력을 불어넣었기 때문이다.

역사상 최초의 흑인 대통령을 배출해 낸 이번 미 대선은 역대 최고 투표율을 기록하는 등 새로운 변화의 가능성을 제시했다. 그러나 이전보다 혼란스러운 투표 체계와 더불어 일부 투표소에서 발생된 전자투표 기기의 말썽은 변함없는 ‘흠’으로 남았다.
우선, 뉴저지 주 일부지역에서 전자투표기에 문제가 생겨 유권자들이 종이 투표로 긴급 대체해야하는 사용하는 상황이 벌어졌다. 또한 예전에도 투표기 고장으로 문제를 겪었던 오하이오 주에서 또 다시 투표기의 백업 용지 테이프가 막히는 사태도 벌어졌다.
그러나 이러한 ‘말썽’은 진작부터 예상된 일이었다. 이번 선거는 특히 유권자 50% 이상이 새로운 투표 시스템을 통해 한 표를 행사할 것으로 예상돼 일찍부터 전자투표 기기와 관련된 취약성 등의 문제가 제기됐기 때문이다.

대선 전부터 전자투표 취약성 제기
대부분의 미국 유권자들은 터치스크린 방식의 DRE(Direct Recording Electronic : 직접기록전자장치), 투표자 인증 용지 추적 DRE(DRE with Voter-Verified Paper Trail), 선거구 계수 프로그램 시각 스캔(Precinct Counter Optical Scan) 등의 기계 중 하나를 사용하게 된다. 그러나 뉴욕 법대 브렌넌 센터(Brennan Center) 투표 시스템 보안관련 팀에 따르면 이들 기계들은 모두 취약성을 갖고 있다.
■ 소프트웨어 공격
소프트웨어 삽입 공격은 어렵지 않게 투표 시스템에 오류를 일으키는 방법으로, 모든 유형의 전자 투표 기계들은 이 공격에 취약하다. 투표용지가 없는 DRE의 경우 병렬 테스트(parallel testing)가 소프트웨어 기반 공격뿐만 아니라 정밀 검사나 기타 테스트 동안 발견되지 않은 교묘한 소프트웨어 버그를 탐지하는데 도움이 될 수 있다. 그러나 브렌넌 센터는 자동 루틴 감사로 투표자 인증 용지 기록 사용 대체물로 병행 테스트를 권장하지는 않는다고 밝혔다.
■ 무선 공격
브렌넌 센터는 투표 기기의 무선 구성부분이 폭넓은 분야의 공격에 상당히 취약하다는 것을 밝혀냈다. 그러나 이번 대선에서는 현재 뉴욕과 미네소타 주 단 두 곳만 모든 투표 기기의 무선 구성부분을 금지했다.
■ 비용지 DRE
VVPT(지면 검증 기록)가 없는 DRE은 소프트웨어 공격에 대한 대응책을 갖고 있지 않다. 용지 기록과 전자 기록을 대조하는 선거 후 자동 루틴 감사가 불가능하기 때문이다.
■ 용지 추적
지면 검증 기록 자체가 보안과 관련해 상당히 의문스러운 부분이라는 것이 브렌넌 센터의 설명이다. 용지 기록은 오직 자동 루틴 감사가 수행될 때만 가치를 갖게 된다. 또한 잘 고안된 일련의 보관과 물리적인 보안 절차도 수반되어야 한다는 것이다. 이번 미국 대선의 경우 26개 주에서 지면 검증 기록을 의무화하고 있지만 규칙적인 감사는 오직 12개 주에서만 의무사항일 뿐이다.

이처럼 전자투표에 관한 취약성이 사전에 제기되었음에도 불구, 이번 미 대선에서는 상당수의 유권자들이 전자투표를 통해 권한을 행사한 것으로 알려졌으며 앞서 언급한 바와 같이 예전에도 투표 기기의 이상으로 문제가 있었던 일부 지역에서도 여전히 특별한 대응책 없이 전자투표를 진행, 또다시 말썽을 일으켜 유권자들의 불만을 사기도 했다.
한편, 이번 대선을 앞두고 펜실베이니아주 지방법원은 모든 투표기가 고장 났을 때에만 종이 투표를 실시할 수 있도록 했던 규정을 고쳐 투표기의 50% 이상에서 문제가 발생했을 시 종이 투표를 대체할 수 있도록 준비할 것을 주 정부에 명령하기도 했다.

대선 캠프 컴퓨터 시스템, 해킹
미 대선 직후 뉴스위크지 등 미국 언론들은 해커들이 오바마와 맥케인의 대선 캠프를 노렸던 것으로 밝혀졌다고 보도했다. 특히 뉴스위크지는 스패머들이 인터넷에서의 오바마 당선에 대한 관심을 이용, 사용자들이 맬웨어를 다운로드 하도록 시도했다고 덧붙였다.
알려진 바에 의하면 오바마 본부의 기술 담당자들이 지난 여름 피싱으로 생각되는 공격을 탐지한 이후 FBI와 미(美) 정보국은 선거 캠프 담당자들의 컴퓨터 시스템이 손상되었으며 상당수의 파일들이 도난당했다고 경고했다. 또한 맥케인 선거 진영의 책임자도 뉴스위크지와의 인터뷰를 통해 선거 캠프의 컴퓨터 시스템이 손상되었으며 FBI가 조사 중이라고 밝혔다.
FBI 당국과 백악관은 외국의 단체가 향후 협상에 유리하게 이용할 수 있는 정보를 확보할 목적으로 양측 선거 진영의 정치적 입장과 관련한 정보를 수집하기 위해 이와 같은 일을 자행한 것으로 추정하고 있는 것으로 알려졌다. 또한 상대 후보 진영이 해킹한 것은 아니라고 오바마 진영에 확고하게 전달한 것으로 알려졌다.
이와 관련해 오바마 진영의 기술 전문가들도 러시아나 중국 해커들에 의한 일로 추측하고 있다고 밝혔다.
한편, 이번 미 대선과 관련해 오바마의 당선은 윈도우 사용자를 노리는 맬웨어에 불씨를 당겼다. 일례로 MX 로직스는 미 표준 시간으로 오전 8시에서 오전 10시 사이에 거의 백만개의 메시지를 탐지한 것으로 알려졌다.
“오바마 당선 우세”라는 제목의 이메일, 또는 ‘news@president.
com’에서 온 이메일들은 선거 결과 소식을 전하는 사이트의 링크를 포함하고 있는 것처럼 위장하고 있는데, 사이트를 방문하면 어도비 플래시 플레이어 9를 다운로드 받게 된다. 그러나 실제로 이 파일은 맬웨어인 것이다.
외신 보도에 따르면 스패머들은 대부분 오바마의 이름을 이용하는 것을 선호한 것으로 나타났다. 한편, 메시지랩(MessageLabs)은 지난 11월 4일 선거 관련 스팸의 82%가 Srizbi 봇넷을 기반으로 한 것이라고 언급했다.

전 세계 IT 시장, 검은 돌풍 기대
그러나 이와 같은 다소의 어두운 그림자와는 무관하게 ‘오바마’의 이름은 희망적인 메시지를 주고 있는 것이 사실이다. 금융 위기로 경제적 불안에 휩싸인 미 국민들에게 새로운 희망과 가능성으로 등장한 오바마는 미국뿐만 아니라 전 세계에도 경제위기 탈출의 기회로 인식되고 있다. 업계에 따라 다소 차이는 있지만 특히 대체 에너지 분야와 더불어 IT 분야는 이번 오바마 당선으로 수혜를 기대하고 있다.
특히 2008년 그린 IT 등을 표방하며 새로운 변화를 모색했던 IT 분야는 미국 경제 붕괴로 가장 위축된 중 하나다. 따라서 고효율 경제와 신(新) 에너지 정책을 모토로 내세운 오바마와 민주당의 대선 승리로 IT 분야는 비로소 그린 IT의 꽃을 피울 기름진 검은 토양을 얻었다는 것이 중론이다.
물론, 이른바 ‘오바마 효과’로 인한 주가 상승 등의 경제 효과는 고작 하루에 그치고 말았지만, 전 세계의 많은 이들은 그 어느 때보다 심각한 경제적 과제를 떠안고 있는 오바마가  세계 경제, 특히 IT 분야에 검은 돌풍을 불러일으키기를 기대하고 있다.  
<글 : 김동빈 기자 (foreign@boannews.com)>

[월간 정보보호21c 통권 제100호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>