보안 / 프라이버시

투표 집계기기, 공급업체를 공격하면 해킹 가능

J.M. Porup | CSO 2018.04.04
투표 집계기 업체에 근무하는 직원 수천 명의 업무용 이메일과 텍스트로 된 비밀번호가 아무나 볼 수 있는 서드파티 유출 데이터 더미 속에서 발견됐다. 과연 투표 집계기기는 믿을 수 있는 것인지, 지난 미국 대선 결과가 공정했던 것인지 의문을 갖게 만드는 대목이다.


Credit: Getty Images Bank

보통 2012년 링크드인처럼 데이터가 유출된 웹사이트는 사용자에게 비밀번호를 바꾸게 한다. 하지만 대부분 사용자는 다른 플랫폼에서 똑같은 비밀번호를 쓰기 때문에, 서드 파티 데이터 유출 사고는 각종 범죄자, 스파이들이 노리는 금광이 되고 있다.

수년이 넘게 투표 집계기 공급업체들은 집계기가 인터넷에 연결되어 있지 않으며 따라서 해킹 자체가 불가능하다고 주장해 왔다. 그러나 지난 2월 킴 제터는 뉴욕 타임스의 한 기사를 통해 이것이 사실이 아님을 보여줬다.

만일 집계기 업체 직원이 타 웹사이트에서 유출된 비밀번호를 업무용 이메일 비밀번호로도 그대로 쓰고 있었고, 이를 통해 해커가 해당 직원의 이메일을 해킹할 수 있게 된다면, 이 정보를 이용해 집계기에 접속하지 못하리라는 보장은 없다. 만일 집계 기기 공급업체가 기계에 원격 접속 소프트웨어를 설치해 뒀고 업체 직원이 기기의 유지, 보수, 설정을 위해 원격으로 기기에 접근할 때 이를 백도어로써 사용하고 있다면, 업체 직원의 개인 정보는 가장 탐나는 표적이 될 수 밖에 없다.

공급업체 해킹은 곧 집계기 해킹이다
"서드 파티 해킹의 위험은 상상이 아닌 현실이다." 미국 워싱턴에 위치한 '민주주의와 정보통신 센터(Center for Democracy and Technology)'의 수석 기술 전문가 모리스 터너는 서드 파티 데이터 유출을 통해 얻은 개인 정보는 아마도 해커에게 아주 유용할 것이라고 말했다. 터너는 "이런 서드 파티 데이터 유출 사고에 노출된 모든 사용자가 비밀번호를 변경할 확률은 제로다. 상당수가 무슨 일이 있어도 절대 비밀번호를 바꾸지 않거나, 기존 비밀번호를 약간 변경해 사용한다"고 설명했다.

기관에서도 비밀번호를 재사용하는 경우는 아주 많다. 해킹을 통해 기업의 보안 상태를 테스트하도록 고용된 침투 테스트 전문가들이 자주 지적하는 문제점 가운데 하나가 IT 관리자들이 기업 전 방면에 걸쳐 비밀번호를 재사용한다는 것이다. 가장 약한 고리를 찾아 그 곳을 공략하면, 전체 네트워크를 손 안에 넣을 수 있다.

아이오와 대학 컴퓨터 과학 교수이자 투표 집계기 보안 전문가인 더글라스 W. 존스는 "만일 내가 해커라면, 아마도 기업에서 사용하는 장비에 침투한 후 해당 기업의 파일 시스템에 기록이 남아 있는 백도어로 빠져 나가는 전략을 세울 것이다. 그리고 현재 상황을 보건대 아마도 발각되지 않고 얼마든지 기업 정보를 해킹할 수 있을 것이라 생각한다"고 말했다.

존스 교수는 "이런 위협은 이미 우리 곁에 현실로 다가와 있으며, 따라서 이를 가벼이 여겨서는 안 될 것"이라고 경고했다.

이런 방식은 단순히 백도어를 이용해 투표 집계기를 해킹하는 것 외에도 다양한 측면에서 악용될 수 있다. 이메일 계정을 해킹하면 그 사람의 연락처, 말투, 일상 등 엄청나게 많은 개인 정보를 얻을 수 있다. 이를 이용해 진짜 같은 스피어피싱을 한다면 엄청난 피해를 입힐 수도 있다.

터너는 "정상적인 공급업체 에이전트인 것처럼 행세하며 선거 관리 당국에 접촉해 예컨대 승인되지 않은 패치를 인스톨하게 만드는 등 피싱 행위를 하는 것도 가능해 질 것이다"고 말했다.

존스는 투표 집계기 공급업체들이 이런 공격으로부터 스스로를 보호할 수 없을 것이라고 주장했다. "이들은 공격이 발생해도 이를 알아차릴 수 있을 만큼의 도구나 준비가 갖춰져 있지 않다."

존스는 이메일을 통해 "대부분 사람은 빅데이터가 어떻게 기능하는지 이해하지 못한다. 그래서 한 쪽에서 데이터 유출 사고가 터졌을 때 거기서 유출된 정보가 전혀 무관한 다른 소스로부터 온 다른 정보와 연계될 수 있다는 점, 이로 인해 알려지지 않아야 할 전혀 새로운 정보가 도출될 수도 있다는 점을 모르고 있다. 당장 내가 피해자가 되지는 않을지 몰라도, 같은 업계에서 나와 비슷한 직무를 맡고 있는 다수의 사람이, 혹은 나와 같은 기업에서 일하고 있는 사람이 피해자가 되는 것은 충분히 가능하다"고 덧붙였다.

기기 공급업체들의 입장 
본지는 서드 파티 데이터 유출 사고들을 리뷰하면서 다섯 곳의 투표 집계기 공급업체를 찾아 냈다. 이 가운데에는 현재 도미니언 보팅(Dominion Voting)에서 소유하고 있는 다이볼드(Diebold)사 직원 2,000여 명의 개인 정보도 포함되어 있었다.

나머지 4개의 업체는 ES&S, 도미니언 보팅, 마이크로보트(MicroVote), 그리고 유니신 보팅 솔루션스(Unisyn Voting Solutions)였다. 가장 많은 개인정보가 유출된 것은 ES&S였다(100명 이상). 나머지 기업들도 아주 소수부터 수십 명에 이르는 직원들의 정보가 유출되어 있었다.

정보가 유출된 직원도 매니지먼트, 엔지니어링, 운영 팀의 핵심 멤버 등으로 다양했다. 지난 10여 년 간 단 한차례만 비밀번호를 재사용했다 해도, 그것 만으로도 해커가 집계기 공급업체 네트워크에 잠입해 집계기의 신뢰도를, 그리고 투표 결과의 신뢰도를 망쳐버리기엔 충분했다.

본지는 업무용 이메일과 비밀번호 등 이런 서드 파티 정보 유출 내용을 ES&S, 도미니언 보팅, 그리고 마이크로보트에게 암호화된 경로를 통해 공유했다. ES&S와 도미니언 보팅 사 모두 해당 데이터가 자사 시스템에서 나온 것이 아니며 서드 파티 데이터 유출 사건으로 인해 유출된 것이라고 말했다.

ES&S 사는 이메일을 통해 "이런 유출 사고의 위험을 인지하고, 자체적인 보안 프로토콜을 이행함에 있어 ES&S 사는 주기적으로 최종 사용자 비밀번호를 재설정 하도록 하고 있다. 마지막으로 본 텍스트 파일에 나와 있는 비밀번호 가운데 ES&S의 비밀번호 설정 요건에 부합하는 비밀번호는 단 하나도 없다"고 밝혔다.

도미니언 보팅 역시 이메일을 통해 입장을 밝혔으며, 내용은 ES&S사와 비슷했다. "문제의 데이터는 과거 발생한 서드 파티 데이터 유출 사고와 관련된 것으로 보이며, 이런 유출 사고는 도미니언 보팅 사가 관리하는 시스템 또는 플랫폼과는 무관한 사고였다. 또한 이런 유출 사고로 인해 도미니언 보팅의 시스템이 영향을 받은 일은 없음을 밝힌다. 그러나 만일의 사태에 대비하기 위해, 우리는 직원들에게 주기적으로 이메일 관련 비밀번호를 바꾸고, 기업 이메일 보안 관련 규정을 준수하도록 하고 있다."

마이크로보트의 소프트웨어 개발 책임자 버니 허쉬도 이메일을 통해 다음과 같이 말했다. "해당 데이터의 유효함을 확인하기 위해 살펴 본 결과, 이들 기록 가운데 2개를 제외한 나머지는 유효하지 않은 것으로 보이며, 문제의 정보는 최소 3년에서 4년 가량 된 것으로 보인다."

본지에서 '유효하다'는 의미가 "현재 직원에게 유효함"을 뜻하는 것이냐고 묻자, 허쉬는 "아니다, 문제의 비밀번호들은 목록에 열거된 그 어떤 직원들에게도 유효하지 않다"고 말했다. 허쉬는 "문제의 사용자이름과 비밀번호는 우리 회사의 서드 파티 이메일 시스템에서 사용되던 것이고 우리 회사나 개발 네트워크에 직접 연결된 것은 아니며, 우리의 선거 시스템이나 투표 집계기에도 어떤 영향도 미치지 않았다"고 덧붙였다.

본지는 유니신 보팅 솔루션에게도 연락을 취해 보았으나 안전하게 정보를 공유할 수 있는 경로를 확보하지 못했으며, 유니신 보팅 솔루션은 질의에 답변하지 않았다.

원격 접속의 위험성
이 기업들 가운데 최소 두 곳은 원격 접속 기능을 제공하고 있다. ES&S와 도미니언 보팅이 그렇다.

투표 집계기 공급업체인 ES&S는 2006년과 2011년 원격 접속 기능을 제공했다고 뉴욕 타임스는 밝히고 있다. 타임지의 보도에 동조한 상원의원 론 와이든은 ES&S를 맹렬히 비난했다. 와이든은 기자 회견 자리에서 "투표 집계기에 원격 접속을 허용하는 것은 기기의 보안을 심각하게 약화시키는 결정이며, 해커는 이를 이용해 집계 기기에 손을 쓰고, 선거 결과에 영향을 미칠 수도 있었을 것이다"라고 말했다.

뉴욕 타임스에 보내는 성명서에서 ES&S는 "이 답변서를 재검토한 우리 직원 가운데 그 누구도 우리의 투표 시스템에 원격 접속 소프트웨어가 포함되어 있다고 알고 있는 사람은 없다"고 밝혔다.

ES&S 사와 미시건 주 간에 맺어진 10년짜리 계약에 의하면, ES&S는 불과 지난해 까지만 해도 투표 집계 장비에 원격 접속 기능을 포함시켰다. 계약 발효일은 2017년 3월 1일이었다. 이 계약서는 선거 관계자에게 하루 1,575달러에 현장 기술자를 파견하거나, 혹은 선거 준비 건당 250달러를 받고 전문가의 '원격 접속'을 허용하는 옵션 가운데 선택할 수 있게 했다.

본지에 보내 온 이메일에서 ES&S는 "미시건 주와의 계약서에 언급된 '원격 접속'은…투표 집계 분석 제품이 아닌 청구 프린터의 투표 용지 관리에 이용됐으며…이 경우 BOD 프린터의 사용은 선거 당국이 인쇄소에 투표 용지를 직접 보내 투표 용지를 인쇄하는 작업에 상응하는 조치였다. BOD 프린터를 사용하면, 인쇄소에서 투표 용지를 인쇄해 배송해 주기까지 기다릴 필요 없이 사용자의 요청이 있을 때 바로 투표 용지를 인쇄할 수 있다. BOD 프린터는 엔드 투 엔드 투표 시스템 설정의 일부가 아니며 인증된 투표 시스템과 연결 될 일도, 통신할 일도 전혀 없다"고 설명했다.

따라서 BOD 프린터를 공격한다면 투표 진행에 차질이 생길 수는 있어도 공격자가 투표 결과 자체를 조작하는 일은 불가능하다는 것이 ES&S의 입장이다. 물론 이는 BOD 프린팅 시스템이 ES&S의 주장처럼 투표 집계 시스템의 다른 부분들에 전혀 연결되어 있지 않다는 전제 하에 그렇다는 것이다.

존스는 이메일을 통해 "정말 선거 결과를 조작하려 했다면 선택적으로 투표 용지 인쇄에 오류 및 실패가 발생하게 했을 것이다. 당연히 이런 시도는 눈에 띌 수 밖에 없으며, 심지어 종이 투표 용지가 남기 때문에 증거도 분명하다. 따라서 설령 해커가 프린팅 시스템을 해킹하고, 이로 인해 혼란이 초래된다 해도, 이런 공격은 한 번 밖에 할 수 없을 것이다"고 설명했다.

[업데이트] 이 기사가 나간 이후, 미시건 주에서는 본지의 문의에 대해 다음과 같은 답변을 보내 왔다. 주 정부 대변인은 이메일을 통해 "투표 용지 집계기는 지역 정부에서 소유하고 있으며 인터넷에는 연결되어 있지 않다. 미시건 주는 현재 그 어디에서도 청구형 투표 용지 프린팅 시스템을 사용하고 있지 않으며 앞으로도 사용할 계획이 없다. 다음의 '선택 장비' 리스트에 청구형 투표 용지 프린팅 시스템에 올라가 있는 것을 보면 알 수 있을 것이다"라고 밝혔다.

투표 기기의 '백 도어', 그게 최선일까
암호화 백도어와 관련되어 제기되는 문제들이 여기저기 제기되고 있다. FBI가 범죄자들을 잡으려 하는 건 당연한 일이지만, 언젠가, 누군가는 반드시 이런 백도어의 존재를 알게 될 것이고, 훨씬 시간과 노력이 적게 드는 이 경로를 악의적 목적으로 사용하려는 이들도 나타나게 될 것이다. 이는 사이버보안의 가장 근본적인 원리다.

국가 기관을 대상으로 해킹을 계획하는 단체들은 투표 기기 공급업체들을 노릴 만큼 충분한 시간과 자원을 보유하고 있으며, 이를 통해 투표 집계 기기에 접속해 투표 결과를 조작하거나, 선거의 원활한 진행을 충분히 방해할 수 있다. 만약 투표 기기 공급업체가 원격 접속 소프트웨어를 제공한다면 아예 이들 공급업체가 해커의 표적이 될 수 있다. 서드 파티에서 유출된 데이터는 공급업체들을 대상으로 한 이런 공격을 더욱 쉽게 만들어 줄 뿐이다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.