지난 2013년 10월 10일에 중앙선거관리위원회(이하 “선관위”)가 주최한 “FAIR VOTE 1030 선(選)한 사람과 함께하는 공감&소통” 행사가 있었다. 지난 4월에 열린 동일한 행사에 참가했던 인연으로 이번에도 참가하게 되었다.
말도 많고 탈도 많은 선관위
사실 선관위만큼 말도 많고 탈도 많은 조직도 드물다. 아직도 국정원의 뻘짓과 더불어 지난 대선과 관련된 논란의 중심에서 부정선거와 관련된 의혹을 받고 있다. 나로서는 지난 대선에서 ‘총체적인 투개표 부정이 있었다’고는 생각하진 않지만, 많은 사람들이 그렇게 생각하고 있는 것도 사실이고.
지난 행사는 선관위 측의 주제 발표 형식으로 진행되었는데, 이번에는 참가자와 선관위 직원들이 주제별 테이블에 참여하여 질의응답과 토론을 벌이는 방식으로 진행되었다. 주제는 이랬다.
- 공정한 게임룰: 우리가 바꾸는 공직선거법을 상상한다
- 투표지분류기 그리고 개표: 과연 믿을 수 있는가?
- 통합선거인명부와 투표소 선정: 투표를 못하게 투표소를 바꿨다고?
- 국민이 바라는 선거관리위원회: 그 길을 찾아보자!
나는 두번째 주제 테이블에 참여했다.
전자개표기? 투표지 분류기!
사실 이 주제에 참여한 이유는 직업상 얘기하기 편할 것 같아서였는데, 이게 또 간단한 문제가 아니었다. 투표지 분류기는 거의 처음 사용되었을 때부터 “법적인 근거가 있느냐”는 논란에 휩싸였었다. 그러니까 투표지 분류기 운영에 문제가 없다는 얘기를 하기 전에 법적 근거에 대한 얘기가 필요했다.
헌법재판소는 “2005헌마982 입법부작위에 의한 전산개표기 사용속행 위헌확인”에서 심판청구를 각하하면서 “심사집계부의 육안에 의한 확인ㆍ심사를 보조하기 위하여 기표된 투표지를 이미지로 인식하여 후보자별로 분류하거나 미분류투표지로 분류하고 미분류투표지를 제외한 후보자별 투표지를 집계하는 기계장치에 해당한다”고 했다.
실제로 개표절차에서도 투표지 분류기를 이용하여 분류된 표를 육안심사하고 집계하는 과정이 이어지기 때문에 이는 타당하다고 보여진다. 함께 배석한 선관위 관계자도 “그럼에도 불구하고 투표지 분류기를 사용해서 ‘사람의 손을 거치지 않고’ 개표가 이루어진다는 식으로 알려져 있는 것이 안타깝고, 이는 최초 사용 시 대중에게 어필하기 좋다는 이유로 ‘전자개표기’로 홍보했던 선관위의 실수도 있다”고 토로했다.
투표지 분류기는 어떻게 구성되나
법적인 문제를 뒤로하면, 과연 투표지 분류기는 문제가 없는가 하는 생각을 하게 된다. 프로그램을 조작해서 실제와 다르게 집계가 이루어진다면? 해킹이 된다면? 이런 생각들이다. 물론 나는 조작이나 해킹이 불가능하다는 식의 장담은 믿지 않는다. 보안에 있어서 완벽이라는 것은 없기 때문이다.
그럼에도 불구하고 투표지 분류기를 조작하고 해킹하는 것이 쉽지 않으며, 가능하다고 해도 후속 절차에 의해 금방 밝혀지게 된다는 설명에는 일정 정도 동의한다.
투표지 분류기는 분류기, 제어용 컴퓨터, 프린터가 한 세트로 구성된다. 분류기와 제어용 컴퓨터, 제어용 컴퓨터와 프린터는 USB로 연결된다. 분류기와 제어용 컴퓨터는 2004년까지는 SCSI 인터페이스로 연결되었으나 이후에 변경되었다고 한다. 그 외에 제어용 컴퓨터에는 보안카드 리더가 USB로 연결된다. 투표지 분류기 세트는 네트워크와 연결되지 않는다. 기본적으로 온라인을 통한 해킹은 불가능한 구조다.
분류기에는 스캐너가 달려 있어서 스캐너를 통과한 투표용지의 이미지를 제어용 컴퓨터로 전송한다. 제어용 컴퓨터의 운영 프로그램은 이 이미지를 읽어서 누구에게 투표된 것인지 확인하여 어느 분류함으로 넘길지를 분류기에 알려주고, 분류기는 이에 따라 투표용지를 해당하는 투표함에 넣는 구조다.
제어용 프로그램의 보안
그렇다면 생각할 수 있는 문제는, 분류기가 제어용 프로그램과는 별도로 자기 맘대로 표를 분류하게 조작하거나(이건 좀 비현실적), 운영 프로그램을 조작하여 스캔된 내용과 상관없이 특정 분류함에 표를 넣게 만드는 것 정도일 것이다.
운영 프로그램은 선관위 내부 전용망을 통해 배포하고, 구/시/군 위원회에는 검증용 보안카드를 배부한다. 보안카드에는 운영 프로그램의 해시값이 저장되고, 선거일 전 검증 및 실제 개표 전 프로그램 실행시 이 해시값을 비교하여 운영 프로그램의 조작 여부를 검사한다.
또한, 운영 프로그램 보안시스템의 암호(마스터키)의 생성 권한을 제1, 2당에 할당하여 변경 시에는 양 당의 합의가 필요하게 했다고 한다. 사실 이 부분은 설명이 좀 더 필요한 부분인데, 생성 권한을 양당에 줬다는 건 알겠는데 이 마스터키의 누출 보안은 어떻게 되는지를 질문하지 못했다. ㅡ,.ㅡ;; 나중에 확인하게 되면 보충할 예정.
(2013-11-12 추가. 마스터키는 32자리 이상으로 구성되고 제1, 2당 및 선관위가 각각 생성한다. 즉 세 개의 키가 모두 모여야 동작하게 되는 방식이다. 그 외에 몇 가지 보안을 위한 대책이 세워져 있음을 설명을 들었지만 상세한 내용은 생략한다. 앞서도 말했듯이 보안에 완벽이란 없기 때문에 현재의 보안 대책을 굳이 이 글에 자세하게 써서 드러낼 필요는 없다는 생각이다.)
미분류 표는 무효표가 아니야
널리 알려진(?) 내용 중에 분류기가 미분류로 판정한 표가 무효처리된다는 것이 있다. 선관위의 설명으로는 이는 사실이 아니며, 미분류 표에 대해서는 개표 종사자들의 육안 확인을 거쳐 재분류하거나 무효로 처리한다고 한다.
분류기가 미분류로 판정하는 이유는 여러 가지가 있는데, 기본적으로는 명확하게 유효(날인칸에 정확하게 하나가 기표된 것)인 것이 아니면 미분류로 판정한다고 한다. 하지만 유효 투표 기준에 따르면, 유효한 기표 용구를 써서 한 후보자에게 여러 개 기표하거나, 접선에 기표했어도 누구에게 투표한 것인지 식별 가능한 경우 등은 유효 투표이기 때문에 육안 확인을 거쳐 재분류가 되는 것이다.
이래나 저래나 말도 많고 탈도 많고
행사장에서 실제 분류기 시연도 보고 설명을 들은 바로는, 투표지 분류기를 가지고 장난(?)을 치기에는, 개표 종사자와 참관인을 비롯해서 수많은 사람들을 공범으로 만들어야 하기 때문에 현실적으로는 어려워 보였다.
물론 이렇다고 해도 믿지 않는 사람은 믿지 않을 것이다. 그렇다고 해서 할 수 있는 설명도 안 할 수 없는 선관위의 고충도 이해되지 않는 바는 아니다. 투표지 분류기 하나만 해도 이렇게 할 얘기가 많은데, 그 외에도 의혹이 한둘이 아니니까.
다른 테이블에 이루어진 지난 서울시장 선거에서의 디도스 공격 의혹으로 불거진 투표소 선정 문제라던가, 통합선거인명부를 통한 사전투표에 대한 의심이라거나 등등…
어차피 선관위는 계속 노력할 수밖에 없으니 앞으로도 꾸준히 지켜봐야겠다. 그리고 이런 행사를 여는 것은 참 좋은데, 좀 더 많은 사람들이 참여할 수 있게 행사의 형태나 규모에 대해서는 좀 더 고민해 줬으면 한다.
2013-11-12 추가. 물뚝심송 님의 글을 보고 덧붙임. 이 글은 맨 앞에서 말한 중앙선거관리위원회 주최 행사에 참가하여 밥을 얻어먹은 댓가로 쓰는 글임을 밝힌다. ^^