미국 매사추세츠에 본사를 둔 블록체인 기반 선거 앱 '보츠(Voatz)'가 보안 위험성을 드러내면서 최근 논란이 일고 있으며, 각계각층에서 거센 비난을 받고 있습니다.
Voatz는 보안 취약점이 많다는 조사 결과가 나오면서 많은 비판을 받고 있는 블록체인 기반 모바일 투표 앱을 홍보해 왔으며, 특히 데이터 보안 측면에서 심각한 문제가 제기되고 있습니다.
미국 대선이 다가옴에 따라 이러한 보안 문제를 통제하는 것이 더욱 중요해졌습니다. 미국 대선 앱의 보안 감사 122페이지 분량의 보안 검토 내용과 추가로 78페이지에 걸쳐 위협 모델링 고려 사항을 강조하는 내용이 포함되어 있습니다.
미국 선거 앱 보안 위험: Voatz는 블록체인이 필요 없을까?
Voatz가 사용하는 블록체인은 모바일 클라이언트에 적용되지 않아 미국 선거 앱에 보안 위험을 초래합니다.
매력은 trac 중앙화 시스템 덕분에 투표자가 누구도 신뢰할 필요가 없다는 점입니다. 하지만 Voatz는 이러한 장점을 일반 사용자에게 제공하지는 않습니다. Voatz는 감사 로그로 Hyperledger 블록체인을 사용하는데, 이는 데이터베이스와 감사 로그를 사용해도 충분히 구현할 수 있는 최첨단 블록체인 기술이라고 할 수는 없습니다.
감사 보고서에 따르면 Voatz 시스템은 앱에서 투표한 시점을 기준으로 유권자의 익명성을 해제하는 기능을 제공하지 않는 것으로 나타났습니다. Voatz 측은 이 있다고 주장합니다 .
미국 선거 앱 보안 위험: MIT 연구 결과 확인
매사추세츠 공과대학(MIT) 연구진은 2월 13일 Voatz의 블록체인에 심각한 보안 문제가 있다는 보고서를 발표했고, Voatz는 같은 날 MIT의 주장을 반박하는 답변을 내놓았습니다.
알고 보니 Voatz의 답변은 미국 국토안보부로부터 문제 요약 보고서를 받은 후, Bits 추적을 통해 MIT가 보편적인 보안 취약점을 확인한 지 3일 후에 작성되었습니다.
이전 미국 대선 앱 보안 위험 분석 프로젝트가 완료되지 않았습니까?
이번 보고서는 화이트박스 조사를 실시하여 이러한 결과를 도출한 최초의 보고서입니다. 이전에도 많은 보고서가 있었지만, 충분히 포괄적이지는 않았습니다. 트레일 오브 비츠는 이전 보고서들을 다음과 같이 요약했습니다.
2019년에 보안 검토를 실시했지만 , 비공개로 진행되었기 때문에 기술 보안 전문가를 고용하지는 않았습니다.
2018년 10월, ShiftState는 블록체인 아키텍처, 데이터 흐름 및 위협 완화 조치에 대한 광범위한 점검을 실시했습니다 . 그러나 이 점검에는 애플리케이션 자체의 버그를 찾는 작업은 포함되지 않았습니다.
마지막 보안 검토는 2019년 10월에 실시되었으며, 클라우드 리소스와 앱의 해킹 가능성 여부만을 평가했습니다. 이전 보고서에는 서버 및 백엔드 보안 문제에 대한 평가가 포함되지 않아 포괄적인 내용을 다루지 못했습니다.
한편으로, 미국의 여러 주에서는 블록체인 기반 투표 시스템 도입을 검토하고 있습니다. 그러나 트레일 오브 비츠(Trail of Bits) 보고서는 이러한 보고서들이 단순한 기술 문서에 불과했으며, 이러한 평가상의 허점을 간과하는 것은 선출직 공무원들이 이러한 문서를 제대로 이해할 자격이 있는지에 대한 의문을 제기한다고 지적합니다.
