매사추세츠에 본사를 둔 블록체인 선거 앱 보안 위험 기업 보아츠(Voatz)가 최근 발굴돼 사방에서 뜨거운 관심을 받고 있다.
보아츠는 보안 허점이 많은 것으로 조사되어 많은 대중의 비난을 받은 블록체인 모바일 투표 앱을 홍보해 왔으며, 특히 데이터 보안과 관련하여 보안 허점이 심각합니다.
미국의 선거 주간이 가까워짐에 따라 이러한 보안 문제를 통제하는 것이 더욱 중요해졌습니다. 미국 선거 앱의 보안에 대한 감사 에는 위협 모델링 고려 사항을 강조하는 추가 78페이지와 함께 122페이지 보안 검토가 포함되어 있습니다.
미국 선거 앱 보안 위험: Voatz에는 블록체인이 필요하지 않나요?
Voatz가 사용하는 블록체인은 모바일 클라이언트로 확장되지 않으므로 미국 선거 앱 보안 위험이 발생합니다.
매력은 trac 형 시스템이기 때문에 유권자가 누구도 신뢰하도록 요구하지 않는다는 것입니다. 그러나 Voatz는 이를 대중에게 확장하지 않습니다. Voatz는 Hyperledger 블록체인을 감사 로그로 사용합니다. 이는 감사 로그가 있는 데이터베이스를 통해 쉽게 수행할 수 있으므로 현재 사용 중인 최첨단 블록체인 기술이 아닙니다.
감사 보고서에 따르면 Voatz 시스템은 앱에서 투표한 기간을 기준으로 유권자의 익명화를 완화할 수 없다는 사실이 밝혀졌습니다. 보아츠는 익명화된 정보를 블록체인에 저장하는 "믹스넷"이 있다고 주장합니다
미국 선거 앱 보안 위험: MIT의 조사 결과가 확인되었습니다
매사추세츠 공과대학(Massachusetts Insitute of Technology) – MIT 은 2월 13일 Voatz의 블록체인에 주요 보안 문제가 있다고 주장하는 보고서를 발표했으며
알고 보니 보아츠의 답변은 비트트레일(Trail)이 미국 국토안보부(Homeland Security)로부터 문제 요약을 받은 뒤 MIT에 유비쿼터스 보안 취약점을 확인한 지 3일 만에 작성된 것이다.
이전 미국 선거 앱 보안 위험 프로젝트가 완료되지 않았나요?
이는 이러한 결과로 이어지는 화이트박스 조사를 수행한 최초의 보고서였습니다. 이전에는 많은 보고서가 수행되었지만 충분히 포괄적이지 않았습니다. Trail of Bits는 이전 보고서를 다음과 같이 요약했습니다.
2019년 NCC에서 보안 검토를 실시했지만 비공개였기 때문에 기술 보안 전문가를 채용하지 않았습니다.
2018년 10월 ShiftState는 블록체인 아키텍처, 데이터 흐름 및 위협 완화 결정에 대한 광범위한 위생 검토를 수행했습니다. 그러나 이 리뷰는 애플리케이션 자체의 버그 검색에 포함되지 않았습니다.
마지막 보안 검토는 2019년 10월에 실시되었으며, 클라우드 리소스와 앱의 해킹 가능 여부만 평가했습니다. 이전 보고서에는 서버 및 백엔드 보안 문제에 대한 평가가 포함되지 않아 이전 보고서를 이해하기 어렵게 만들었습니다.
한편, 미국의 여러 주에서는 블록체인 기반 투표를 고려하고 있습니다. 반면에 Trail of Bits 보고서에서는 이러한 보고서가 단지 기술 문서일 뿐이며 이러한 평가 허점을 간과하면 선출된 공무원이 이러한 문서를 읽을 자격이 있는지 여부에 대한 의문이 제기됩니다.
