플로리다에서 대통령 선거 개표과정에 문제가 발생한 탓에 전국적으로 구식 펀치카드와 레버조작 투표기를 서둘러 값비싼 최신식 전자 터치스크린 투표기로 바꾼 지 6년이 지났다. 하지만 전자투표기의 보안 문제를 두고 새로운 논란들이 끊이지 않으면서, 새로운 투표기도 교체 전의 투표기 만큼이나 문제가 많다는 점을 확인시켜주고 있다.

투표기 제조업체 측이 해결할 수는 없는 문제인가?

선거철을 맞아 와이어드 뉴스는 최고의 컴퓨터 과학자들로 꼽히는 UC버클리 대학의 데이비드 와그너 교수와 프린스턴 대학의 에드 펠튼 교수와 대담을 나누었고, 그 자리에서 투표기를 다시 제작해야 할 경우 새로이 추가될 기능들이 제시되었다.

이러한 권장사항들 자체가 깨끗한 선거결과를 보장해줄 수는 없다. 아무리 보안이 확실한 투표기라 해도 허술한 선거절차와 허점투성이인 선거법까지 구제해 줄 수는 없을 것이다. 따라서 우리의 시스템은 철저한 감사와 검증 능력을 포함해야 하고 최고의 유용성과 안전성을 갖추는 것은 물론 훌륭한 선거 기준을 신실하게 고수해야 한다.

이제부터 2008년 선거를 위한 최고의 투표기를 제시한다. 아래의 댓글 란을 이용하여 “여러분의” 완벽한 투표기에 대한 의견을 알려주길 바란다.

하드웨어

터치스크린과 광학 스캐너 등의 최고 기능들을 단일 장비로 조합하라. 터치스크린은 사용하기가 쉬우며 장애인과 외국인도 쉽게 사용할 정도로 충분히 유동적이다. 또, 광학 스캐너라면 투표용지를 확실하게 훑어줄 것이다. 우리는 이 둘의 최고의 특성들을 조합한 제3의 대안을 추천한다. 일렉션 시스템스 앤드 소프트웨어(Election Systems and Software)의 제품과 같은 투표 기표기가 그 예다.

이러한 장비들을 이용하면 유권자들은 터치스크린으로 선택을 할 수 있게 된다. 그러나 표를 전자적으로 직접 메모리 카드에 기록하는 대신, 이 기계는 실물 크기의 투표용지에 표를 인쇄한다. 그런 다음 유권자나 선거 공무원들이 기표가 끝나서 인쇄된 표를 광학 스캐너 위에 놓으면, 기표 내용이 전자적으로 기록된다.

터치스크린 방식인 이 시스템은 장애인 유권자에게도 동일한 수준의 접근성을 제공하여 신속하게 집계될 수 있는 전자 표를 만들어낸다.

실물크기의 투표용지는 기존의 프린터가 장비된 터치스크린 기계가 뽑아내는 종이 기록표보다 훨씬 우수한 투표자 확인 종이검증기록(voter-verified paper audit trail)의 역할을 한다. 기존의 종이 기록표의 경우, 대부분의 터치스크린 프린터들이 주로 금전등록기에 사용되는, 쉽게 말리거나 찢어지는 질 나쁜 감열지를 사용한다. 또, 종이가 걸리거나 바닥이 나서 선거 요원들이 선거 도중에 종이를 교체해야 하는 상황이 생기기도 하는데, 투표 기표 시스템은 이런 문제를 완전히 해소할 수 있다.

이동식 메모리 카드를 없애라. 이동식 메모리 카드는 결코 용납할 수 없는 보안상의 위험을 투표기에 부과하기 때문에 반드시 제거해야 한다고 UC버클리 대학의 와그너 교수는 조언한다.

기존 시스템에서는 선거 요원들이 투표기 홈에 표를 기록해줄 메모리 카드를 설치해야 한다. 누군가가 그 카드에 손대는 일을 막기 위해 선거요원들은 메모리 카드 칸 위에 공격시도 흔적 테이프를 설치해야 하는데, 이 테이프가 손상된 사실을 깨닫고도 적절한 조치를 취하지 않거나 아예 테이프 설치를 잊어버리는 일이 자주 일어난다.

최근 프린스턴 대학의 펠튼 교수는 일반 호텔 미니바 키를 사용하여 몇몇 투표기를 열 수 있음을 입증한 바 있다. 이동식 메모리 카드와 칸을 없애면 물리적인 침입의 위험을 최소화할 수 있다.

이외에도 와그너 교수는 선거 데이터를 투표기 메모리 카드에 저장시키되 일단 카드에 기록된 다음에는 지우거나 변경될 수 없도록 하는 실용적인 방법들을 고려하고 있다.

소프트웨어

투표기 소프트웨어를 단순화하여 코드를 최소화하라. UC버클리의 와그너 교수는 기존 전자투표 시스템은 필요 이상으로 복잡하며 필요 이상으로 많은 코드를 담고 있다고 말한다. 이 때문에 인증 연구소에서 코드의 하자나 보안상의 취약점을 철저한 검토하기가 힘들다. “코드가 5만 줄이면 거의 미국 세금 코드만큼 복잡한 셈이다.” 와그너의 설명이다.

문제는 대다수 투표기가 만들어진 목적에 기인한다. 투표기들은 처음부터 투표라는 특수한 목적에 맞춰 만들어진 게 아니라, 일반적인 용도의 컴퓨팅 시스템과 소프트웨어 라이브러리로 만들어진 것을 선거용으로 변경한 것이다. 그렇다보니, 일반 기계에는 필요하지만 투표용으로는 활용되지 않는 기능들도 많다. 이렇게 소프트웨어에 존재하는 쓸데없는 코드들은 악성 코드를 숨기는 위장 수단이 될 수 있다.

와그너 교수와 그가 지도하는 대학원생들은 시스템에서 꼭 필요한 요소들만 남기는 방법을 모색하고 있다. “우리가 지금 시도하는 것은 절대적으로 필요한 최소한의 기능만 남겨서 투표기 검토 및 확인 작업을 보다 쉽게 만드는 일이다.” 와그너 교수의 말이다.

자기감시(self policng) 소프트웨어를 만들라.프린스턴 대학의 펠튼 교수는, 이상적인 투표기는 캘리포니아 주의 디볼드 일렉션 시스템(Diebold Election System)처럼, 확인된 투표 소프트웨어 버전과 구별되는 다른 소프트웨어를 투표기에 로딩하는 것을 막을 수 있는 투표기라고 말한다.

최근 펠튼 교수는 그의 학생들과 함께 몇 분 만에 디볼드 투표 시스템에 침입하여 악성코드를 심어놓으면서 각 언론 매체의 헤드라인을 장식했다. 투표기가 어떤 소프트웨어 프로그램의 불필요한 데이터를 인식할 수 있다면, 그런 데이터가 인증된 데이터와 일치하지 않을 경우에 프로그램의 실행을 막을 수 있다고 그는 말한다. “그것은 투표기를 설계할 때 유념해야 할 기능이다. 투표기의 아키텍처에 포함돼야 할 기능이라는 얘기다.” 펠튼 교수의 설명이다. 아니면 선거 관리들에게 시스템에서 어떤 프로그램이 실행되었는지를 확실하게 알려줌으로써 인증 받지 않은 소프트웨어 패치들이나 다른 소프트웨어 프로그램이 들어왔었는지 여부를 알 수 있게 해주는 기계를 설계할 수도 있다.

투명한 코드를 만들라. 일단 투표기 코드가 만들어지면 호주의 사례를 좇아 그 코드를 투명하게 그리고 대중이 이용할 수 있게 만들어서 해독하고자 하는 사람은 누구나 해당 시스템에 있는 것을 알 수 있도록 허용할 것이다.

뿐만 아니라, 특수 기계에 사용되는 코드는 법적으로 사후 선거의 무결성이 문제시될 경우 조사가 가능하도록 만들어져야 한다. 지금까지 법원들은, 투표기 제조업체 측에 선거 분쟁 당사자들이 그들의 소프트웨어 코드를 검사할 수 있도록 강요하는 방안을 거부해왔다.

“선거가 실시되고 표가 집계되는 과정은 유권자들에게도 투명해야 한다. 나는 이것이 기본 원칙이라고 생각한다.” 펠튼 교수의 말이다.

과정과 절차

의무 감사를 실시하라. 과정과 절차에 문제가 있으면 아무리 안정적인 투표 시스템이라도 제대로 효과를 발휘하지 못할 수 있다. 따라서 믿을 수 있는 선거가 되려면 선거 장비와 투표 데이터의 관리망을 추적할 수 있는 훌륭한 시스템이 필요하다. 선거 과정과 절차는 사람의 실수와 부주의에 의해 영향을 받는다는 사실을 감안할 때, 모든 사법권의 법에 따라 투표기 감사는 반드시 필요하다. 감사에는 다음과 같은 사항들이 포함되어야 한다.

무작위 확인:전문가들은 선거일에 투표기들에 대한 일괄적인 모니터를 실시해서 기계들의 작동이 원활한지, 소프트웨어가 손상되지 않았는지 등을 확인해야 한다는 데 뜻을 같이 한다. 여기에는 선거일 아침 투표소가 문을 열기 직전에 선거위원회로부터 무작위로 투표기 몇 개를 반출해 표본 선거를 실시함으로써 투표기가 표를 정확하게 기록하고 집계하는지를 확인하는 작업이 포함된다.

선거 후 수작업 감사: 일괄적인 모니터 외에, 선거가 끝난 후 수작업으로 감사를 하면 전자 표들이 정확하게 기록되고 집계되었는지를 확인할 수 있다. 여기에는 무작위 선거구 표본추출에서 얻은 기표용지들을 수작업으로 집계하고, 여기서 얻은 득표수를 그 선거구에서 나온 전자표 득표수와 비교하는 작업이 포함된다. 선거공무원들은 투표기가 놓친 표가 있는지, 혹은 유권자들이 한 표 이상을 던진 경우는 없는지 등 확인할 수 있도록 해당 선거구의 총 득표수와 선거인 명부에 서명된 유권자들의 숫자도 비교해야 한다.

선거 후 유권자 확인: 선거의 마지막 단계로 정말 중요한 것은 모든 유권자의 선택이 최종 득표에 포함되었느냐, 그리고 정확하게 집계되었느냐이다. 선거 공무원들이 투표용지와 안전하고 투명한 투표기를 함께 사용하고 심지어 일괄적인 모니터링에 수작업 감사까지 한다고 해도 투표기에서 표를 모아 최종 결과가 나오는 사이에 없어지는 표들이 있을 수 있다. 그렇다면 유권자들은 자신의 표가 선거 결과에 포함되었음을 어떻게 확인할 수 있을까? 펠튼 교수와 와그너 교수에 따르면, 이것은 여전히 쉬운 해법은 찾을 수 없는 문제이다.

암호전문가인 데이비드 촘은 유권자들이 암호화된 확인증을 받고 그것을 선거 후 웹사이트에 게시되는 최종 결과와 비교해보는 해결책을 제시한 바 있다. 그러나 그것은 선거공무원들이 이해하고 따르기에는 너무 전문적일 뿐 아니라 유권자들이 실행에 옮기기에도 너무 번거롭다고 펠튼 교수와 와그너 교수는 말한다. “이제 막 ‘내 표가 집계됐을까?’라는 문제를 천천히 이해하기 시작한 단계이다.” 펠튼 교수의 말이다. “언젠가는 그것을 분명히 확인할 수 있는 날이 오겠지만 시간이 걸릴 것이다.”

한편 우리가 할 수 있는 일은 “(선거의) 취약성이 드러날 가능성을 줄이는 방법을 취하는 것뿐이다. 목표는 가능성을 없애는 게 아니라 지금보다 크게 낮추는 것이다”라고 그는 덧붙였다.

(wired.daum.net) = By Kim Zetter