■■[4·15총선 개표조작 의혹] 美 동아시아연구센터의 충격 보고서… "QR 코드 활용한 부정선거, 가능하다"■■

美 동아시아연구센터의 충격 보고서… "QR 코드 활용한 부정선거, 가능하다"

뉴데일리 2020.05.11 송원근 기자

http://www.newdaily.co.kr/site/data/html/2020/05/11/2020051100141.html

"QR코드 정보에 따라 개표기가 투표용지 분류… "볼리비아 대선서 부정행위 발생"

'한국 선거조작 의혹' 보고서… "가능성 확실하다" 충격 결론

 

▲ 4.15 총선이 끝난 뒤 미국 등 외국에서 한국의 선거부정을 의심하는 목소리가 연이어 나오고 있다. 사진은 지난달 15일 서울 여의도에 설치된 한 투표소 앞에서 유권자들이 차례를 기다리는 모습ⓒ박성원 기자

 

미국 동아시아연구센터(East Asia Research Center)가 우리나라의 지난 4·15총선 부정 의혹과 관련한 보고서를 발표하고 다른 국가들에 주의를 당부하고 나섰다. 보고서는 "기술을 활용한 선거부정이 가능한 건 확실하다(certainly possible)"며 "다른 민주주의 국가들은 새로운 기술의 출현으로 부정 가능성이 커진 것을 주목해야 한다"고 경고했다.

 

EARC 설립자인 타라 오(Tara O) 박사는 지난 6일 '한국에서 사전투표와 전자개표기 등 전자적 선거조작 의혹(Early Votes, Digital Vote Counting Machine, and Digital Election Fraud Suspicions in South Korea)'이라는 제목의 보고서를 발표했다.

 

타라 오 "QR 코드·LG유플러스 통신망 등 외부와 연결 가능성"

 

보고서는 먼저 ‘투표함 바꿔치기’ 같은 아날로그 차원의 부정행위에는 수백 명의 인력이 필요하다고 지적하며, 전자적 조작 가능성에 무게를 뒀다. 보고서는 "디지털 조작에는 기획자·프로그래머·중간자만 있으면 된다"며 "소수의 인원만 있으면 되므로 부정을 은폐하기가 훨씬 쉽다"고 주장했다.

 

보고서는 먼저 "개표기는 표 분류와 표 계산을 위한 지시(instructions)를 받아 작동하는데, 그 지시는 QR코드에서 나올 수도 있고(can), LG유플러스 네트워크를 사용한 중앙 서버를 통해 전송될 수도 있다(can)"고 지적했다. 이어 "어느 쪽이든 실제 투표 결과와 다른 결과를 만들어낼 수 있다(can produce)"고 주장했다.

 

보고서는 '잠재적 시나리오'라는 단서를 달아 "선거현장에서 사용하는 서버는 중국 등 외부의 서버와 연결되고, 중국은 이를 통해 한국의 중앙 서버에 지시를 내릴 수 있으며, 중앙 서버는 개표기에 메시지를 보낼 수 있다"고 설명했다.

 

앞서 3일 중앙선거관리위원회는 보도자료를 통해 "사전투표 통신망은 선거인명부 확인용으로 중앙선관위 전산센터와 각 사전투표소를 연결하는 전용 폐쇄망이기 때문에 데이터가 유출·조작될 가능성은 없다"며 "일반 인터넷망이나 무선통신을 사용했다는 주장은 사실이 아니다"라고 해명했다.

 

"QR코드로 조작하면 외부 지시 필요 없어"

 

보고서는 "개표기는 광학적으로 인식되는 문자, 즉 QR코드와 바코드 등을 통해 투표용지를 읽는다"고 지적한 뒤, 이번 총선에서 사전투표 용지에는 QR코드를, 당일투표 용지에는 바코드를 사용한 것에 의문(why)을 제기했다. 그러면서 "한 가지 가설(theory)"이라며 "중앙 서버에 있는 소프트웨어가 개표기에 두 가지 투표지를 서로 다르게 취급하라는 지시를 내리기 위한 것"이라고 주장했다. 이어 "QR코드는 투표자와 관련한 더 많은 정보를 저장할 수 있다"며 "개표기는 실제 투표 결과가 아니라 QR코드가 인식한 정보에 따라 투표용지를 분류할 수 있다"고 밝혔다. 또 "이때는 외부 서버가 지시하지 않아도 개표기가 표를 분류할 수 있다"고 지적했다.

 

보고서는 2018년 콩고민주공화국 대통령선거 부정에 대한 카터센터(Carter Center)의 분석 보고서(Democratic Republic of the Congo 2018 Harmonized Presidential, Parliamentary and Provincial Elections-Expert Mission Report)를 인용해 QR코드의 위험성을 강조했다.

 

카터센터 "투표지 콘텐츠, QR코드 통해 타인에게 연결 가능"

 

카터센터의 보고서에 따르면, 전자 투·개표 시스템은 본질적으로(by its nature) 사전적인 절차(procedural steps)가 필요한데, 이 절차는 관련 당사자들이 전통적인 방법으로는 관찰(observe)할 수 없다. 카터센터 보고서는 이처럼 '전통적 방법으로 관찰할 수 없는 사전 절차' 중 하나로 'QR코드'를 들었다. 이 보고서는 "QR코드 등 투표 관련, 전자적 기록은 위·변조 방지 기능이 탑재되더라도 투표용지의 내용(content)을 특정 투표자(given voter)에게 연결할 수 있다"고 지적한 뒤 "고의든 실수든 화면이나 인쇄물에 어떤 결과가 표시되든 상관 없이 특정 후보에게 유리한 방향으로 소프트웨어가 설계될(design) 수 있다"고 분석했다.

 

타라 오 박사는 카터센터의 이 같은 분석을 환기하며 "선거 과정 전반에서 전자 방식과 QR코드를 사용하는 것은 부정선거 가능성을 크게 열어주는 수많은 취약점을 노출한다"고 주장했다.

 

앞서 선관위는 3일 보도자료에서 "2차원 바코드(QR코드)에는 선거명·선거구명·관할위원회명·일련번호 등 총 31자리 숫자로 구성되어 있으며, 개인정보는 전혀 포함되어 있지 않다"고 해명한 바 있다. 또 "선관위에서 사용하는 투·개표보고시스템은 자바(JAVA) 기반의 전자정부 표준 프레임워크를 사용하며, 개표 보고(집계) 시 다른 통신망과 분리된 폐쇄망(선거 전용 통신망)을 사용하므로 해킹이 불가하다"며 "사전 승인된 보고용 PC 외에는 투‧개표보고시스템 접속을 차단한다"고 설명했다.

 

▲ EARC가 한국 4.15 총선 부정의혹에 관한 보고서를 발표했다. 사진은 보고서가 게시된 홈페이지 화면.ⓒEARC 홈페이지 캡처

 

타라 오 박사의 보고서는 볼리비아 대선 부정을 감사(audit)한 연구진의 분석 결과도 재차 강조했다. 당시 볼리비아 정부는 연구진이 요구한 모든 자료를 제공했다고 보고서는 밝혔다. 해당 감사 결과는 당시 볼리비아와 마찬가지로 현재 우리나라 선관위가 의식하지 못한 부정행위가 발생할 수 있다는 지적을 담아 주목된다.

 

볼리비아 대선 감사 보고서 "비관측 데이터 전송 경로 확인"

 

2019년 10월 볼리비아 대선을 대상으로 한 미주국가기구(Organization of American States) 감사 결과에 따르면, 선거 결과 전송 시스템(서버·네트워크)에서 모니터링되지 못한(unmonitored) 전송 경로와 외부 서버로 향하는(redirected to servers outside the official system) 데이터 트래픽, 그리고 투표가 진행되는 동안 350개 서버의 IP가 바뀌는 현상 등 수많은 결함이 확인됐다.

 

보고서는 마지막으로 이 볼리비아 대선 부정과 같이 "기술을 활용한 선거부정은 확실히 가능하다(certainly possible)"고 결론내렸다. 또 "민주주의 국가들은 기술 발전에 따라 부정선거 가능성이 커진 것에 주목해야 한다"며 "개표 시스템과 사전투표 과정에 주의해야 한다"고 당부했다.