지난 7월 블록체인 기술을 활용한 러시아 개헌 국민투표에 참여한 100만명 이상의 개인정보가 다크넷에서 판매되고 있다는 보도가 나왔다.
러시아 언론 코메르산트(Kommersant)는 한 다크넷 포럼에서 110만개 이상의 데이터가 개당 최대 1.5달러에 판매되고 있다고 보도했다. 익명의 판매자들은 코메르산트에 "여권번호만으로 구성된 이 데이터 자체는 별로 가치가 없다"고 인정했다. 그러나 이 데이터가 또 다른 정보와 결합되면 피싱 공격에 사용될 수 있다.
이번 온라인 투표 시스템을 설계한 모스크바 정보기술부는 코인데스크에 보낸 이메일을 통해 이 보도 내용을 부인했다. 모스크바시는 "우리는 다크넷을 포함해 인터넷을 정기적으로 모니터링하고 있다. 보도에 나온 데이터는 이번 온라인 투표 투표자 명단과는 무관하다"며, 모스크바 시청 서버의 보안은 잘 지켜지고 있으며 "2020년 초 이후 데이터가 유출된 사실이 없다"고 밝혔다.
비트퓨리의 오픈소스인 엑소넘(Exonum) 블록체인을 기반으로 구축된 이번 온라인 투표 시스템은 데이터 보호가 허술하다는 지적이 나온 바 있다. 러시아 언론 메두자(Meduza)는 기자들이 당국이 인터넷에 올린 파일에서 여권번호를 빼내는 것뿐만 아니라, 투표를 복호화할 수 있었다고 보도했다.
모스크바 정보기술부의 아르템 코스티르코(Artyom Kostyrko)는 블로그를 통해 개인정보 판매자가 올린 데이터와 실제 투표자 데이터를 비교해본 결과 합치하지 않았다고 밝혔다. 그러나 미국 사이버 보안기업 디바이스락(DeviceLock)의 창업자인 애쇼트 오가네시안(Ashot Oganesyan)은 이 데이터가 실제 투표자의 것이라고 했다. 이번 온라인 투표 시스템 구축을 도운 러시아 보안기업 카스퍼스키는 코인데스크의 질문에 답변하지 않았다.
러시아에서 14세 이상의 모든 시민은 보편적인 신분증 역할을 하는 여권을 소지하고 있다. 해커는 온라인 투표 시스템에서 여권의 고유번호를 빼내 판매한 것으로 알려졌다.
지난 7월1일 끝난 국민투표는 기존 6년 연임 제한을 수정해, 푸틴 러시아 대통령이 다시 대권에 도전할 수 있는지를 묻는 개헌 투표였다. 대부분 지역에서는 인쇄된 투표용지를 활용한 전통적 방식으로 투표하지만, 모스크바와 니즈니 노브고로드 지역 주민들은 온라인 투표를 선택할 수 있었다. 이중 모스크바 주민의 경우 투표가 블록체인에 기록됐다.
러시아는 이런 문제에도 불구하고 온라인 투표를 확대할 계획이다. 2019년 가을 이더리움 블록체인을 활용한 모스크바의 블록체인 투표 실험도 보안이 취약했던 것으로 드러났다.
번역: 김병철 코인데스크코리아
제보, 보도자료는 contact@coindeskkorea.com으로 보내주세요.