표준화된 일회용 비밀번호 표 시퀀스 인증을 활용한 BUUFFAI 전자투표 시스템

초록

본 논문은 BUUFFAI 전자투표에 XY 좌표 기반 일회용 비밀번호(OTP) 표 시퀀스 인증을 도입하여 투표 편의성, 비용 절감 및 보안성을 동시에 강화한 방안을 제시한다.

상세 분석

본 연구는 전통적인 전자투표 시스템이 직면한 접근성·비용·보안 문제를 해결하기 위해 ‘표 시퀀스 패턴 OTP’라는 새로운 인증 메커니즘을 설계하였다. 핵심 아이디어는 사전에 정의된 2차원 표(행‑열)에서 무작위 XY 좌표를 추출하고, 해당 좌표에 대응하는 토큰을 OTP로 생성하여 투표자에게 이메일로 전송하는 것이다. 좌표는 투표자 고유 식별자와 타임스탬프를 해시한 뒤, 난수 생성기(PRNG)와 결합해 결정되므로 재사용이 불가능하고, 좌표 자체가 일회용 키 역할을 한다.

보안 측면에서 본 논문은 기밀성·무결성·가용성( CIA) 원칙을 적용하였다. 기밀성은 OTP가 전송되는 이메일 채널에 TLS/SSL을 적용하고, OTP 자체를 SHA‑256 기반 HMAC으로 보호함으로써 중간자 공격을 방지한다. 무결성은 투표 데이터베이스에 저장되는 모든 레코드에 디지털 서명을 부여하고, 투표 종료 후 해시 체인을 이용해 결과 변조 여부를 검증한다. 가용성은 서버‑클라이언트 구조를 분산형 로드밸런싱으로 설계하고, OTP 생성 로직을 별도 마이크로서비스로 분리해 장애 발생 시 빠른 복구가 가능하도록 했다.

알고리즘적 복잡도는 표의 크기를 N×M(예: 10×10)으로 설정하면 OTP 생성은 O(1) 시간에 수행된다. 좌표 충돌 방지를 위해 표의 각 셀에 고유 시드 값을 할당하고, 동일 투표자에 대해 동일 시간대에 재생성되지 않도록 타임 윈도우를 5분으로 제한한다. 이는 재사용 공격과 브루트포스 시도를 실질적으로 차단한다.

시스템 구현에서는 PHP와 MySQL 기반 웹 프레임워크에 JavaScript 프론트엔드를 결합했으며, OTP 전송은 SMTP 인증을 거친 Gmail API를 활용했다. 투표자는 이메일에 포함된 XY 좌표를 로그인 화면에 입력하고, 서버는 해당 좌표와 사전 저장된 표를 매칭해 인증을 수행한다. 인증 성공 시 세션 토큰이 발급되고, 투표 페이지에 접근할 수 있다.

한계점으로는 이메일 전송 지연에 따른 OTP 유효성 문제, 사용자가 XY 좌표를 수동 입력해야 하는 UI 불편성, 그리고 표 자체가 노출될 경우 전체 OTP 체계가 무력화될 위험이 있다. 이를 보완하기 위해 향후 모바일 푸시 알림 기반 자동 입력, QR 코드 변환, 그리고 표를 암호화된 형태로 서버에 저장하는 방안을 제안한다. 또한, 난수 생성기의 품질을 강화하기 위해 하드웨어 보안 모듈(HSM) 연동을 검토한다.

전반적으로 본 논문은 저비용·고보안 OTP 인증을 전자투표에 적용함으로써 BUUFFAI와 유사한 중소 규모 조직에서 실용적인 e‑Voting 솔루션을 구현할 수 있음을 입증한다.