2020년 대선에 사용될 MS 오픈소스 기술

최근 IT 기업들에 가장 민감한 부분은 ‘보안’일 것입니다. 해킹을 당하거나 개인정보를 제대로 관리하지 못할 경우, 법적 책임은 물론이고 청문회까지 나가야 하죠. 그래서 그런지 올해 연례 개발자 콘퍼런스^[각주:1]를 열었던 IT 기업들은 유독 ‘보안’ 부분을 강조했습니다.

마이크로소프트(MS)도 마찬가지입니다. 지난 5월에 열린 MS의 연례 개발자 행사^[각주:2]를 보면 사티아 나델라 CEO는 기조 연설을 ‘엔지니어로서 가져 야할 사회적 책임’으로 시작합니다. 이어서 프라이버시, 사이버 보안, 책임 있는 인공지능 기술에 대해 언급했습니다. 그리고 가장 처음 소개한 기술이 있습니다.

l 사티아 나델라 MS CEO가 2019년 5월 6일 열린 연례 개발자 행사 ‘빌드(Build)’에서 발표를 하는 모습 (출처: 빌드 2019 콘퍼런스)

‘일렉션가드^[각주:3]’라는 오픈소스 소프트웨어입니다. 흥미롭게도 이 기술은 판매용 제품이거나 솔루션이 아닙니다. 순수히 외부 커뮤니티를 위해 만든 선거용 기술입니다. 오늘은 이 일렉션가드에 대한 자세한 내용을 살펴보겠습니다.

 내 표가 진짜 선거 결과에 반영됐나요?

일렉션가드(ElectionGuard)는 SDK 형태의 오픈소스입니다. MS가 갈루아(Galois)^[각주:4]라는 연구소와 공동으로 만든 기술입니다.^[각주:5] 이름에서 유추할 수 있다시피 ‘선거(Election)’를 ‘지키는(Guard)’라는 기술입니다. 정확한 의미를 알기 위해 일단 투표 과정을 살펴보겠습니다.

투표할 때 유권자가 가장 걱정하는 부분. 그리고 선거 관리자가 가장 신경 쓰는 부분이 무엇일까요? 선거 결과가 조작 없이 투명하게 반영되는 것일 겁니다. 그래서 선거에선 검표 과정이 있으며, 선거 관리자는 표를 잘못 세진 않았는지, 누가 임의로 수정하진 않았는지 확인합니다. 하지만 이 검표 과정을 불신한다면 또다시 선거 결과를 있는 그대로 받아들이지 못합니다.

궁극적으로 이런 신뢰 문제는 선거 결과를 소수 관리자만 보는 구조 때문에 발생합니다. 그렇다면 선거에 참여한 당사자가 자기 표를 검수할 수 있다면 어떨까요? 물론 타인의 표는 접근 못 하고 자기 자신의 표만 볼 수 있게 열어 둔다는 가정하에 말입니다. 바로 이 부분이 일렉션가드의 핵심 기능입니다. 표를 추적해서 내 표가 최종 결과에 제대로 반영됐는지 확인하는 것입니다.

기술적으로 좀 더 살펴보겠습니다. 일렉션가드를 이용하면 각 표에 고유 코드를 심을 수 있습니다. 이 코드로 선거가 종료된 후 유권자는 투표 내용이 바뀌지 않았는지, 선거 결과에 최종 집계되었는지 확인할 수 있습니다. 선거 관리자도 좀 더 쉽게 검표하고 선거 결과도 보다 빨리 예측할 수 있게 됩니다.

MS는 이 과정에서 ‘동형 암호(Homomorphic encryption)’라는 보안 기술을 활용했습니다. 동형 암호는 최근 연구되고 있는 차세대 암호 기술로 데이터를 암호화한 상태에서 연산 수행이나 통계 분석이 가능하도록 도와줍니다. 개인정보가 민감한 의료계나 금융 기관에서 이 기술을 도입하기 위해 여러 연구를 진행하고 있습니다. MS 산하 미래 연구기관인 ‘MS 리서치’가 동형 암호 기반으로 표를 계산할 수 있도록 기술을 지원해주었다고 하네요.

추가로 일렉션가드 기술 명세와 개발 과정은 모두 누구나 볼 수 있습니다. 다양한 운영체제와 하드웨어를 지원하기도 합니다. 원래 목적은 선거 기기 업체를 위한 거지만, 실제론 누구든 일렉션가드를 활용할 수 있습니다. 덕분에 미디어, 학계, 민간 단체 등 외부 업체는 투표 결과를 더 쉽게 감시할 수 있습니다. MS는 일렉션가드 기능으로 설령 외부 세력이 투표 결과를 조작하더라도 그 해킹 여부를 쉽게 확인할 수 있을 거라고 설명합니다.

MS는 또한 일렉션가드가 국가 선거 행사를 위해 만든 것이지만 고등학교 학생회장 선거 등 규모에 상관없이 누구나 사용할 수 있다고 설명합니다. 아쉽게도 아직은 전체 기술이 다 공개 안 됐으며, 올해 여름말부터 깃허브에서 코드를 전부 다운로드할 수 있다고 합니다.

MS는 현재 주요 선거 기기 제작 업체와 파트너십을 맺기도 했으며, 2020년부터 일렉션가드를 일부 파일럿 형태로 제공할 계획이라고 합니다. 현실적으로 2024년이 지나야 더 널리 확산될 것이라고 전망하기도 했습니다. ^[각주:6]

● 일렉션가드 깃허브 페이지: https://github.com/microsoft/ElectionGuard-SDK

한 가지 주의할 점은 일렉션가드는 전자 투표 프로그램이 아닙니다. 투표 검증 도구입니다. 또 일렉션가드는 전자 투표 외에도 기존 미국에서 많이 쓰이는 종이 투표와 함께 사용할 수 있다고 하는데요. 이는 최근 미국 대선에서 투표 관련 쟁점과도 관련 있습니다.

 미국에서 부는 ‘종이’ 투표 바람

미국의 투표 제도는 한국과 조금 다릅니다. 한국에선 어느 지역이나 모두 같은 방식으로 투표를 합니다. 선관위에서 투표 용지를 인쇄하고, 유권자는 종이에 투표 도장을 찍습니다. 투표가 끝나면 투표함에서 종이를 꺼내고 이를 분류하고 집계합니다. 각 지역에선 집계 결과를 모아 선관위에 보냅니다. 이 전체 과정에서 기술이 활용될 때는 투표를 분류할 때 정도입니다. 또 사용하는 투표 분류기 종류도 몇 개 안 됩니다.

미국은 이보다 좀 더 다양한 기술을 활용합니다. 기본적으로 미국은 주마다 다른 투표 방식을 채택합니다. 크게 종이 투표를 이용하는 곳과(키오스크 주문처럼) 터치스크린 장비에 바로 투표를 하는 지역이 있습니다. 종이 투표를 할 때는 마치 OMR 시험지 답안지를 작성하듯 합니다. 투표지에 동그라미가 있고, 원하는 요소에 검은색으로 채우는 식입니다.

유권자는 투표지를 스캔 기기에 직접 넣고, 결과 내용을 송출하기도 합니다. 이외에도 터치스크린에 투표를 하나 그 내용을 다시 종이로 한 번 더 출력해서 보관하는 방식, 우편을 통해 투표하는 방식, 혼합형까지 다양합니다. 이 중 가장 많이 이용되는 건 종이 투표를 스캔하는 방식입니다.

l 미국 내 투표 방식을 시각화한 자료. Optical scan은 OMR 답안을 적듯이 투표하고 스캔하는 방식이며, Direct recording electronic이 터치스크린에 직접 투표하는 방식이다. 

(출처: https://www.pewresearch.org/fact-tank/2016/11/08/on-election-day-most-voters-use-electronic-or-optical-scan-ballots/)

다양한 투표 방식 때문에 미국 투표소에선 여러 기기를 사용합니다. 동시에 기기들의 결함도 여러 모습입니다. 터치스크린 장비에서 2번을 눌렀는데 실제 화면에선 1번으로 인식되기도 했고요.^[각주:7] 기기가 고장 나서 유권자가 너무 오래 기다려야 하는 경우도 있었습니다.^[각주:8] 터치스크린이든 종이 투표 스캐너든 기기가 너무 노후화되거나 윈도우XP 같은 오래된 운영체제가 설치돼 보안 취약점이 많이 발견되는 문제도 있었습니다.^[각주:9]

이 사항은 2016년 미국 대통령 선거철이 다가오자 더욱 부각됩니다. 해커 집단이 미 대선에 영향을 주고 있다는 소식이 나온 것입니다. 러시아 해커 집단으로 추정되는 곳에서 미국 선거 관리자 컴퓨터에 침입했고 최대 20만 명의 선거인단 정보를 가져갔다는 내용이었습니다.^[각주:10]

미 정부는 선거 결과 자체를 바꾸는 행위는 없었다고 발표했지만 많은 시민이 선거의 신뢰성을 걱정했습니다. 실제 보안 업계 최대 콘퍼런스인 ‘데프콘(Defcon)’에선 미 선거 기기를 해킹하는 실험을 진행했고, 그 결과 다양한 해킹 공격이 가능하다는 것을 확인합니다.

미국 내 한 유명 선거 기술 공급 업체는 “종이 형태의 기록지가 남지 않는다면 정확한 검수는 힘들다.”라며 “선거 기기 업체들이 강력한 보안 기능 테스트를 수행하고 종이 기록지를 남기도록 의회가 나서 달라.”^[각주:11] 라고 설명합니다.

결국 디지털 기기만 쓰던 몇몇 미국 지역구는 터치스크린 투표기를 이용하는 동시에, 종이 형태의 기록지를 함께 인쇄하고 이를 보관하는 방향으로 제도를 변경하기도 했습니다. ^[각주:12]

● 미 대선 종이 투표방식 예시: https://youtu.be/_5IgYATtsl0

● 미 대선 스크린 투표방식 예시: https://youtu.be/MJ31vpWSWAw

 선거 방해하는 해커 쫓는 MS

MS는 이런 논란 속에서 2018년 새로운 캠페인을 기획합니다. ‘민주주의 보호 프로그램(Defending Democracy Program)’입니다. 이 프로그램의 목표는 선거 방해 공작을 없애고 정치 집단에 가해지는 사이버 테러를 막는 것입니다. 일렉션가드도 이 캠페인에서 나왔습니다.

l 민주주의 보호 프로그램 (출처: https://www.microsoftaccountguard.com/en-us/)

‘민주주의 보호 프로그램’이라는 프로그램으로 MS는 직접 2016년 미국 대선에 개입했다는 해커 집단을 추적하고 있습니다. ‘팬시배어’ 혹은 ‘APT28’라고 불리는 이 해커 집단^[각주:13]은 미국뿐만 아니라 프랑스, 독일을 비롯한 유럽 국가의 정치인이나 싱크탱크 기관들의 정보를 빼내는 상황입니다. 주로 이메일 계정에 접근해 데이터^[각주:14]를 가져가는 방식으로 해킹을 하고 있습니다.

MS는 ‘디지털 크라임 유닛(Microsoft’s Digital Crimes Unit)이라는 산하 연구 기관^[각주:15]을 통해 해커들이 만든 가짜 도메인을 색출해내거나 공격 징후를 미리 발견해 피해자를 보호하는 일을 하고 있습니다.

이 외에도 어카운드가드(AccountGuard)^[각주:16]와 뉴스가드(NewsGuard)^[각주:17]라는 캠페인도 함께 운영하고 있습니다. 어카운트가드는 해커 집단이 정치인이나 관련 기관을 공격할 때 미리 알람을 주고, 이를 방지할 수 있는 교육을 제공하는 프로그램입니다.

정치인 혹은 정치 관련 단체가 이 서비스를 무료로 이용할 수 있으나 MS 아웃룩 서비스 이용자여야만 설치 가능합니다. 올해부터는 어카운트가드와 기존 제품을 섞은 ‘마이크로프트 365 포 캠페인(Microsoft 365 for Campaigns)^[각주:18]’를 내놓고, 유로로 판매해 홍보하고 있기도 합니다. 구글이 해커 공격 사건 이후 ‘고급 보호 프로그램^[각주:19]’이라는 이메일 보안 서비스를 제공한 것과 비슷한 행보입니다.

l 뉴스가드 서비스 실행 예. 가짜 뉴스, 허위 정보를 분류해주는 역할을 한다. 영어 사이트 위주로 작동된다.

뉴스가드는 좋은 정보의 기준을 9개로 소개하고 특정 콘텐츠가 이에 얼마나 부합한지 확인해주는 기술입니다. 많이 부합할수록 초록색, 그렇지 않으면 빨간색 마크가 붙는 식이죠. 뉴스가드는 무료로 이용할 수 있으나 엣지 웹 브라우저에서 확장 프로그램 형태로 설치해야 합니다.

정치 집단도 아닌 민간 기업인 MS는 왜 이러한 프로그램을 강조하고 있는 것일까요? 공식 설명을 보면 “2018년 테크 업계 주요 화두는 선거 과정을 보호하는 것”이었고, 그 결과 위 캠페인을 시작했다고 말합니다.^[각주:20] 실제로 MS뿐만 아니라 구글^[각주:21]과 페이스북^[각주:22]도 대형 IT 기업들도 선거 기간 동안 여러 외부 개입 정황을 밝히는 보고서를 적극적으로 내기도 했죠.

물론 이러한 사회 공헌으로 브랜드 이미지 개선 및 제품 홍보 효과를 얻을 수 있을 겁니다. 하지만 MS 같은 전 세계 시가총액 1등 기업이 민주주의 가치와 사회적 책임을 이야기하는 행보는 분명 긍정적인 요소가 많다고 봅니다. 내년 미 대선에서 과연 일렉션가드가 어떻게 활용될지 IT 업계가 함께 지켜보면 좋을 것 같습니다.

글 l 이지현 l 테크저널리스트 (j.lee.reporter@gmail.com)

* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

● 참고 자료

 

Louisiana starts process to replace 10,000 voting machines, but it may come with hefty price tag:  https://www.theadvocate.com/baton_rouge/news/politics/elections/article_70500bb0-345b-11e8-a151-9fe2f4f5bd30.html

Voting methods and equipment by state: https://ballotpedia.org/Voting_methods_and_equipment_by_state

 

Voter Verified Paper Record Legislation: https://www.verifiedvoting.org/resources/vvpr-legislation/\

 

Electronic voting was going to be the future. Now paper's making a comeback:  https://www.cnet.com/news/electronic-voting-machines-were-going-to-be-the-future-now-paper-ballots-make-a-comeback/

TOP-SECRET NSA REPORT DETAILS RUSSIAN HACKING EFFORT DAYS BEFORE 2016 ELECTION: https://theintercept.com/2017/06/05/top-secret-nsa-report-details-russian-hacking-effort-days-before-2016-election/

 

Paper ballots are back in vogue thanks to Russian hacking fears: https://www.usatoday.com/story/tech/news/2017/09/19/russia-hacking-election-fears-prompts-states-to-switch-to-paper-ballots/666020001/

1. 페이스북, 구글, 마이크로소프트, 애플은 5-6월에 연례 개발자 행사를 연다. 이곳에서 새 제품 출시 소식이나 회사 비전을 밝히기도 한다. 대표적으로 애플의 WWDC 행사가 있다. [본문으로]
2. 행사 명은 ‘빌드 2019’이다. https://www.microsoft.com/en-us/build [본문으로]
3. https://blogs.microsoft.com/on-the-issues/2019/05/06/protecting-democratic-elections-through-secure-verifiable-voting/ [본문으로]
4. https://galois.com/ [본문으로]
5. 갈루아는 미국 국방성 산하 연구소(DARPA)에게 1천만달러(약116억원) 지원금을 받고, 오픈소스 선거 기술을 개발 중이다. 일렉션가드도 향후 개발 기술에 함께 쓰일 예정이다. https://www.vice.com/en_us/article/yw84q7/darpa-is-building-a-dollar10-million-open-source-secure-voting-system [본문으로]
6. https://www.npr.org/2019/05/06/720071488/ahead-of-2020-microsoft-unveils-tool-to-allow-voters-to-track-their-ballot [본문으로]
7. VOTE INCORRECTLY REGISTERED - 2012 PRESIDENTIAL ELECTION https://www.youtube.com/watch?v=QdpGd74DrBM [본문으로]
8. Machine breakdowns, long lines mar vote on Election Day https://www.apnews.com/6fb6de6fdb034b889d301efd12602e21 [본문으로]
9. America’s Electronic Voting Machines Are Sitting Ducks https://www.wired.com/2016/08/americas-voting-machines-arent-ready-election/ [본문으로]
10. America's Electronic Voting Machines Are Sitting Ducks https://www.yahoo.com/news/fbi-says-foreign-hackers-penetrated-000000175.html [본문으로]
11. 선거 기기 제작 업체 일렉션 시스템 앤 소프트웨어(Election Systems & Software)의 대표인 탐 버트(Tom Burt)가 언론에 컬럼을 낸 내용이다. https://www.rollcall.com/news/opinion/paper-record-every-voter-time-congress-act [본문으로]
12. Louisiana starts process to replace 10,000 voting machines, but it may come with hefty price tag https://www.theadvocate.com/baton_rouge/news/politics/elections/article_70500bb0-345b-11e8-a151-9fe2f4f5bd30.html [본문으로]
13. 미국은 이 집단이 러시아 정부 산하 정보 조직이라고 발표했지만, 러시아 정부는 이에 대해 부인했다 [본문으로]
14. ‘스피어피싱(spear phishing]’ 방식으로 주로 이용해서 정보를 빼간다 [본문으로]
15. 변호사, 데이터과학자, 포렌식 전문가, 엔지니어, 수사관 등 100명이 합동하여 디지털 범죄 및 사이버 테러를 막는 기술을 개발하고 있다. https://news.microsoft.com/on-the-issues/2018/12/18/how-microsofts-digital-crimes-unit-fights-cybercrime/ [본문으로]
16. Protecting democracy with Microsoft AccountGuard https://blogs.microsoft.com/on-the-issues/2018/08/20/protecting-democracy-with-microsoft-accountguard/ [본문으로]
17. Defending against disinformation in partnership with NewsGuard https://blogs.microsoft.com/on-the-issues/2018/08/23/defending-against-disinformation-in-partnership-with-newsguard/ [본문으로]
18. Protecting political campaigns from hacking https://blogs.microsoft.com/on-the-issues/2019/05/06/protecting-political-campaigns-from-hacking/ [본문으로]
19. https://landing.google.com/advancedprotection/ [본문으로]
20. https://blogs.microsoft.com/on-the-issues/2018/04/13/announcing-the-defending-democracy-program/ [본문으로]
21. Security and disinformation in the U.S. 2016 election https://www.blog.google/outreach-initiatives/public-policy/security-and-disinformation-us-2016-election/ [본문으로]
22. An Update On Information Operations On Facebook https://newsroom.fb.com/news/2017/09/information-operations-update/ [본문으로]