인터넷 투표는 안전하지 않으며 공공 선거에 사용되어서는 안 된다

• 인터넷 투표는 기술적으로 안전하게 구현할 수 없는 시스템으로, 수십 년간의 연구에서도 해결책이 발견되지 않았음
• 스마트폰·컴퓨터 악성코드, 서버 해킹, 선거관리 서버 침입 등으로 인해 투표 조작이 가능하며, 한 명의 공격자가 대규모 조작을 할 수 있음
• E2E-VIV(종단 간 검증형 인터넷 투표) 역시 검증 앱의 신뢰성, 영수증 방지, 분쟁 해결 부재 등으로 인해 근본적 취약점을 가짐
• Mobile Voting Foundation의 VoteSecure는 이러한 문제를 모두 안고 있으며, 개발자들조차 완전한 보안이나 분쟁 해결 프로토콜이 없음을 인정함
• 과학자들은 언론 보도나 홍보자료가 아닌, 동료평가된 연구를 통해서만 인터넷 투표의 신뢰성을 검증해야 한다고 강조함

인터넷 투표의 근본적 불안정성

• 인터넷 투표는 기존 종이 투표보다 훨씬 높은 조작 위험을 가짐
  • 악성코드가 유권자의 기기에서 선택한 투표 내용을 바꿀 수 있음
  • 서버나 선거관리 시스템 내부자에 의한 조작도 가능
  • 인터넷을 통한 공격은 전 세계 어디서든 대규모로 실행될 수 있음
• 종이 투표는 완벽하지 않지만, 대규모 부정이 탐지·처벌될 가능성이 높음
  • 반면 인터넷 투표는 단일 공격으로 수많은 표를 바꿀 수 있음

E2E-VIV(종단 간 검증형 인터넷 투표)의 한계

• E2E-VIV는 유권자가 자신의 표가 올바르게 집계되었는지 확인할 수 있도록 설계되었으나, 다음과 같은 구조적 문제를 가짐
  • 검증 앱이 악성코드에 감염되면 거짓 정보를 보여줄 수 있음
  • 영수증 방지(receipt-free) 기능이 없으면 대규모 매표 행위가 가능
  • 신뢰성과 영수증 방지를 동시에 만족시키는 앱 설계가 매우 어려움
  • 검증 앱을 별도로 실행해야 하지만, 실제로 그렇게 하는 유권자는 극소수
  • 일부 유권자가 조작을 발견하더라도 증명할 방법이 없어 선거를 무효화할 수 없음
• 따라서 E2E-VIV의 ‘검증’ 기능은 실질적 보안 강화 효과가 없음
  • 과학계에서는 이러한 한계를 이미 수년 전부터 공통된 견해로 인정

VoteSecure 사례 분석

• Bradley Tusk의 Mobile Voting Foundation은 Free and Fair와 함께 VoteSecure라는 인터넷 투표 SDK를 개발했다고 발표
  • 보도자료에서는 “안전하고 검증 가능한 모바일 투표가 가능해졌다”고 주장
• 그러나 여러 보안 전문가들이 VoteSecure의 심각한 취약점을 지적
  • 개발사 Free and Fair의 연구진도 “지적된 문제는 사실이며, 더 나은 방법을 모르겠다”고 인정
  • VoteSecure는 영수증 방지 기능이 없고, 분쟁 해결 프로토콜이 미비하며, 악성코드 감염 시 검증이 무의미함
  • 또한 대규모 자동화된 매표 공격과 투표 탈취(clash attack) 가능성이 존재
• Free and Fair은 “VoteSecure는 완전한 투표 시스템이 아니라 암호화 코어 수준”이라고 설명

과학적 합의와 권고

• 수십 년간의 연구 결과, 인터넷 투표를 안전하게 만들 수 있는 기술은 존재하지 않음
  • E2E-VIV 연구도 근본 문제를 해결하지 못함
• 선거 관계자와 언론은 ‘보도자료 기반 과학’에 주의해야 함
  • 신뢰성 검증은 동료평가된 학술 연구를 통해서만 가능
  • 보도자료나 기업 홍보는 선거 시스템의 신뢰성을 판단하는 근거가 될 수 없음

서명한 전문가 그룹

• 이 성명은 선거 보안 분야의 21명 컴퓨터 과학자가 공동 서명
  • 서명자에는 Andrew Appel(프린스턴대) , Ronald Rivest(MIT) , Bruce Schneier(하버드대) 등 주요 연구자가 포함
  • 서명은 개인 자격으로 이루어졌으며, 소속 기관의 공식 입장은 아님