민주통합당은 대선 후보 경선을 현장 투표와 모바일 투표 두 가지를 병행해 합산하는 방식으로 치르고 있다. 현장 투표가 섞여있지만 사실상 모바일 투표에 가깝다. 전체 투표자 중 모바일 투표자 비중이 무려 92.0%에 달한다. 모바일 투표 비중이 높아지면서 일부에서는 모바일 투표의 부정 가능성을 의심한다.
일반인들은 모바일 투표를 스마트폰으로 모바일 페이지에 접속해 투표하는 방식으로 알고 있는 경우가 많다. 스마트폰을 이용해 접속하는 방식은 PC를 이용해 투표하는 인터넷 투표방식과 비슷해 대리 투표 가능성이 아주 높다. IP를 제대로 확인하지 않는다면 통합진보당의 인터넷 투표처럼 한 IP에서 대량으로 투표할 수 있다.
결국 단말기 측면에서 모바일의 특수성을 따지는 것은 그다지 의미가 없으며, 스마트폰과 PC는 해킹될 수 있는 가능성이 동일하다는 전문가 의견도 있다.
그래서 민주통합당은 ARS방식을 도입했다. 전화를 받고 안내 메시지에 따라 투표하는 방식이다. 스마트폰뿐 아니라 일반 휴대폰으로도 할 수 있으며 ARS방식이라 한대의 휴대폰으로 여러 투표권을 행사하는 것은 불가능한 구조다. 투표과정에서 해킹을 할 수도 없다.
민주통합당의 모바일 투표는 두 과정을 거쳐 이뤄진다. 먼저 국민참여 선거인단을 접수받고 확정된 선거인단을 상대로 ARS 모바일 투표를 진행한다. 선거인단 접수는 콜센터 접수와 인터넷 접수로 나눠진다. 콜센터 접수는 자신의 휴대폰으로 콜센터에 전화를 걸어 인증번호를 받은 뒤 선거인단에 등록하는 방식이고, 인터넷 접수는 민주당 홈페이지나 선거인단 신청 사이트로 접속한 후 공인인증 절차를 거쳐 등록한다. 접수한 선거인단은 서버에 저장, 관리된다.
민주당 선거관리위원회 한 관계자는 “접수된 선거인단은 하나의 시스템에서 통합관리된다”며 “이는 중복 접수를 막기 위한 것”이라고 설명했다.
부정을 막기 위해 시스템도 분리했다. 선거인단 모집 시스템 운영회사, 콜센터 운영회사, 모바일투표 운영회사 등 3개 회사가 나눠 시스템을 운영 중이다.
최근 대표가 문재인 후보 캠프 특보의 동생이라 문제가 된 회사는 선거인단 모집 시스템 운영회사다. 이 회사는 인터넷 접수 및 선거인단 관리 프로그램 개발·운영과 서버를 관리하는 회사여서 투표 과정과 결과에 영향을 미칠 수 없다는 게 민주당 설명이다.
아무리 철저하게 관리하더라도 프로그램 오류나 데이터 조작 가능성은 배제할 수 없다. ARS를 사용하지만 결과를 특정 한 곳에 저장하기 때문에 아무리 망 분리를 하더라도 해킹 위험성에서 완전히 자유로울 수 없다. 관리자를 타깃으로 하는 지능적 지속위협(APT) 공격처럼 이메일 등을 이용한 공격으로 망으로 침투해 `스턱스넷`과 같이 다양한 취약점을 이용해 서버에 접근, 데이터를 조작할 수 있다.
홍동철 쉬프트웍스 팀장은 “만약 투표가 외부에서 접근 가능한 DMZ 구간에 존재한다면 서비스거부공격(DDoS)과 같은 공격기법을 이용해 서버를 정지시키거나 다양한 해킹 시도가 이뤄질 수 있다”고 말했다.
권상희·장윤정기자 shkwon@etnews.com