in

선거 보안이 여전히 압박감을 주고 있다.

미국은 사이버 보안을 강화하기 위해 수억 달러를 썼지만 선거 기반 시설은 같은 엄격함의 대상이 되지 않았다.

산업 및 의료 분야와 마찬가지로 정부 기반 시설에는 보안 위험을 높이는 레거시 기술이 풍부하다. 실제로 국토안보부는 선거제도를 중요한 제조업, 의료, 교통 시스템 및 기타 사회 복지에 필수적인 분야와 함께 중요한 인프라로 분류하고 있다. 중요 인프라에 대한 사이버 공격은 “인구 공황”을 야기할 수 있으며, 중요한 인프라 노트에 대한 McKinsey 보고서처럼 “재해 영화의 소재”처럼 보일 수 있다.

그러나 그들은 허구의 위험 그 이상을 내포하고 있다. 포네몬 연구소의 2019년 연구에 따르면 주요 인프라 분야에서 일하는 보안 전문가 10명 중 9명이 지난 2년간 사이버 공격을 받았다고 보고했다. 그리고 2020년 초 DHS는 미국과 이란간의 긴장이 산업통제시스템(ICS) 안보문제를 야기할 가능성을 경고했다.

지난 몇 년 동안 선거 안보에 대한 위험성에 대한 인식이 향상되었다고 Virtru의 수석 사회과학자인 Andrea Limbago가 말했다. 그러나 지식이 반드시 결과를 이끌어내는 것은 아니다. 림바고는 “내 가장 큰 관심사는 리스크 프레임워크가 2016년에 기초하여 구성될 것이며 지난 4년간 공격자들이 진화해 온 방식을 다루지 못할 것”이라고 말했다. “예를 들어, 러시아는 2016년 선거 개입의 핵심 위협이었지만, 지금은 어떤 형태로든 간섭을 모색할 수 있는 다양한 국제 및 국내 행위자들이 있다.”

[IoT 월드]는 전략가, 기술자, 구현자가 연계해 IoT, AI, 5G, 엣지를 업계 전반에 걸쳐 실천하는 북미 최대 IoT 이벤트다. 지금 표를 예매하십시오.]

선거 기반 시설의 한 부분, 즉 투표 기계는 보안 연구자들이 가장 선호하는 대상이 되었다. 투표기가 사물 인터넷 장치인지에 대한 논의는 기존의 수동 데이터 수집 작업을 자동화하기 위해 내장된 컴퓨팅과 네트워킹을 사용하는 것과 유사하다. 그들 역시 조작의 잠재력이 비슷하다. 예를 들어, 적어도 1년 동안 DEFCON 사이버 보안 이벤트는 해커들이 그 행사에서 수십 개의 투표기계에 침입하는 데 거의 문제가 없었다.

그러나 림바고는 “선거 간섭은 소셜 미디어 조작과 투표 사이트나 데이터베이스 같은 투표 시스템에 대한 디지털 공격 등 무수한 수단을 통해 발생할 수 있다”고 경고했다.

이 글은 노후화된 소프트웨어와 장비, 공격 표면 증가 등과 같은 ICS 보안에 대한 우려가 있는 다른 부문에 적용되는 조언을 제공하면서 선거 인프라를 검토한다.

선거 보안을 강화할 수 있는 아날로그 전략

종이 없는 투표 시스템의 보안을 개선하기 위해 국토안보부 내의 사이버 보안 리더인 크리스 크렙스는 종이 기반 시스템의 사용을 권장한다. 크렙스는 DEFCON에서 “디지털 투표 시스템을 갖춘 도시들은 투표용지 지원을 받아야 한다”고 말했다.

쿠델스키 보안의 앤드류 하워드 최고책임자에 따르면, 종이 기반 시스템을 도입하는 것은 구식으로 들릴 수도 있지만, “디지털 시스템을 보호하기 위한 아날로그 제어의 사용은 종종 간과되는 기술”이라고 한다. 하워드 총리는 “전기 그리드에서 자율주행 차량까지, 투표까지, 하드웨어 내 제어 메시지 유효성 확인과 검증된 종이 감사 추적과 같은 아날로그 보호의 역할이 있다”고 말했다.

선거 기계에 대한 디지털 수정은 감지하기 어려울 수 있고 선거 결과에 영향을 미칠 수 있기 때문에 종이 감사 추적은 필수적이다. 하워드 총리는 “적절하게 시행될 경우 문서 감사 추적은 소프트웨어 내 투표 교환 기법에 대한 계층적 방어를 제공할 수 있다”고 말했다.

느린 새로 고침 사이클과 짝수 맞춤법 사이버 문제

브레넌 센터에 따르면 2016년 종이 없는 투표기를 가진 주의 절반 가까이가 2020년 선거에 맞춰 교체되지 않을 것이라고 한다. 림바고는 “아직 종이 없는 투표기를 통합하지 않은 주(州)가 6개 정도 있으며, 투표기기를 현대화하고 확보하는 데 할당된 실제 자원은 주(州)마다 상당히 다르다”고 말했다.

대부분 Windows 7(윈도우 7)에 의존하는 투표 기계는 더 이상 버그 수정이나 보안 수정으로 지원되지 않는다. AP통신은 2019년 7월 윈도7 지원 종료로 피해를 입은 복수의 전장 상태를 발견했다고 보도했다.

현대 투표기의 유효기간은 아마도 10년에서 15년 정도지만, 많은 투표기계는 상당히 더 오래 사용되고 있다.

사이버 취약성을 내포하는 노후장비는 산업계와 ICS 보안 분야가 대체로 비슷하다. Jas Global의 Jason Haward-Grau 정보보안 책임자는 “IT의 리프레시 주기는 3년에서 5년”이라고 말했다. 운영 기술의 갱신 주기는 몇 배 느리다. 2017년 로이터 분석 결과 산업장비의 평균 연령이 10년인 것으로 나타났다. 종종 OT 장비는 15년이나 25년 동안 사용된다고 Haward-Grau는 말했다.

인간의 실수는 선거 보안에 위험하다.

선거 보안은 문제가 발생하기 위해 위반을 수반할 필요가 없다.

투표 시스템도 잘못 구성될 수 있으며, 때로는 유권자나 선거 관계자의 의식 없이 할 수 있다. 예를 들어, 잘못 구성된 투표용지 표시 시스템에 대해서는, “공무원들이 BMS의 오작동이 있었는지, 유권자가 실수를 했는지, 혹은 유권자들이 선거에 의심을 던지려 하는지 알 길이 없다”라고 필립 B는 썼다. 버클리 캘리포니아 대학교의 스타크 교수.

스타크는 투표용지 표시 시스템과 같은 장치에 대한 병렬 테스트를 실시하면 문제를 감지하는 데 도움이 되지만, 유일한 해결책은 새로운 선거를 실시하는 것이라고 썼다. 이어 “신뢰할 수 없는 서류상 행적에서 정확한 선거 결과를 재구성할 방법이 없다”고 덧붙였다.

최근 그루지야에서 실시된 선거는 일련의 문제에 부딪혔는데, 거의 모든 것이 인간의 실수와 관련이 있다고 한 NPR 계열사는 말했다.

자금 부족은 흔한 변명

조직이 사이버 보안 관련 업그레이드를 미루는 가장 일반적인 이유 중 하나는 자금 부족이다. 브레넌 센터에 따르면 많은 선거 관리들이 장비를 업그레이드하기를 원하지만 그럴 자금이 부족하다고 한다.

최종 사용자들만이 현금에 묶여 있는 것은 아니다. “이 산업은 상당히 자금이 부족합니다,”라고 선거 시스템 & 소프트웨어의 CEO인 톰 버트는 NBC 뉴스에 말했다. “마진스는 매우 말랐다. 아주 솔직히 말해서, 그것은 좋은 사업이 아니다.”

자금 부족이 도전이 되고 있지만 시스템을 오프라인으로 전환해 업그레이드하는 것도 또 다른 난관이다. 이것은 투표 시스템에 관한 한 걱정거리지만, 몇 시간 또는 며칠 동안 시스템을 중단시키는 것이 거의 선택사항인 의료 및 제조업에 사용되는 시스템에 관한 한 도전은 더 크다.

취약한 소프트웨어와 하드웨어를 업그레이드하기 위해서는 시간이 걸리든 돈이든 자원을 찾는 것이 어려울 수 있지만, 중요한 인프라 확보를 위해 자원을 전용할 수 있는 사이버 공격에 대한 충분한 이야기가 있다. 하워드 총리는 “투자 수익률 분석과 업그레이드하지 않을 경우 발생할 수 있는 단점 리스크가 논의에 도움이 된다”고 말했다.

Written by adminmhe

Leave a Reply

Your email address will not be published. Required fields are marked *

NSA는 위험한 마이크로소프트 소프트웨어 결함을 발견하고 회사에게 무기화 대신 경고를 했다.

Toll Group이 시스템을 종료하고 사이버 공격 후 수동으로 전환