카오스컴퓨터클럽 "소프트웨어 獨 연방선거 부정선거 악용 소지 심각한 결함 발견"

[글로벌이코노믹 김길수 기자] 독일 연방선거 '분데스탁스발(Bundestagswahl) 2017'이 2주 앞으로 다가온 가운데 사이버 해킹‧보안 커뮤니티 카오스컴퓨터클럽(CCC)이 투표에 등록하기 위해 지정된 소프트웨어가 치명적인 취약점에 노출되어 있다고 경고했다.

카오스컴퓨터클럽은 오는 24일 독일 연방선거에서 사용될 소프트웨어가 "투표 집계 시스템을 철저히 분석하고 투표수를 조작하는 데 악용될 수 있는 심각한 결함을 발견했다"고 CCC 웹 사이트를 통해 7일(현지 시간) 공개했다.
CCC 사이버 보안팀에 의해 발견된 결함은, 선거에서 사용될 소프트웨어의 자동 업데이트가 서명이 없어도 HTTP를 통해 안전하지 않게 다운로드 된다는 사실과 함께, 소프트웨어의 대칭키가 하드코딩 되었기 때문에 등록된 투표에 사용된 암호화 코드를 완전히 되돌릴 수 있다는 것이다.

CCC는 "이들 시나리오 중 일부는 선거구와 주 경계를 넘나들며 투표 총 수의 변경도 가능하다"고 지적했다.

이어 "문제의 소프트웨어는 'PC-월(Wahl)'이라는 이름으로 지난 수십 년간 전국 주 및 지방 선거에서 선거 데이터를 기록, 분석 및 제시하는 데 사용되어 왔다"고 밝혔다.

CCC 대변인 리누스 노이만(Linus Neumann)은 "취약점의 양과 심각도가 우리가 생각하는 최악의 기대치를 초과했다"며 "CCC 평가 결과 악의적인 에이전트는 이미 이러한 단점을 알고 있을 것이며, 데이터가 호스팅되는 서버뿐만 아니라 투표 메커니즘에 침투하는 것도 테스트에서 아주 쉽다는 것을 입증했다"고 전했다.

노이만은 또 "업데이트 서버에서부터 소프트웨어 자체를 거쳐 추출될 선거 결과에 이르기까지 심각한 결함이 발견됐으며, 전체적인 하나의 시나리오로 엮어져 세 가지 실제 공격 시나리오를 시연할 수 있게 해준다"고 덧붙였다.

CCC는 이번 보고서의 결론에서, 실제로 밝혀진 취약점이 너무 많기 때문에 제대로 대책을 강구하지 않아 공격이 문서화됐을 경우 "민주적 과정인 선거에 대한 대중의 신뢰에 영구적으로 영향을 줄 가능성이 있을 것"이라고 경고했다.
한편 카오스컴퓨터클럽은 애플 아이폰5S의 지문센서를 뚫었던 팀으로 삼성 갤럭시S8 출시 당시 홍채인식의 보안 취약성을 입증하고 하드웨어의 결함을 경고한 해킹‧보안 전문가 집단이다.


김길수 기자 gskim@g-enews.com