사전투표소에 설치된 본인확인기. [사진=연합뉴스] 

참정권 보장의 첫 관문이 무너졌다

사전투표 본인확인기 논란의 본질은 장비 성능 문제가 아니다. 본인확인 실패가 유권자의 참정권 침해로 이어질 수 있다는 점이 핵심이다. 

다른 사람의 신분증으로 투표가 처리되고, 실제 신분증 명의자가 뒤늦게 투표소에 왔을 때 이미 투표한 사람으로 전산 기록돼 있었다면, 이는 단순한 현장 착오가 아니다. 

국가가 보장해야 할 유권자의 실질적 투표 기회가 타인의 행위로 먼저 소진된 사건이다.

선거의 출발점은 개표가 아니라 본인확인이다. 

투표소 입구에서 신분증을 제시한 사람이 실제 선거권자인지 확인하지 못한다면, 그 뒤의 투표용지 발급과 기표, 투표함 투입 절차는 모두 흔들린다. 

한 사람이 한 표만 행사하고, 타인의 이름으로 투표하지 못하게 하며, 실제 유권자가 자신의 의사로 직접 투표하도록 보장하는 첫 관문이 바로 본인확인이다.

따라서 이번 논란은 ‘지문인식 기능이 있느냐 없느냐’의 문제가 아니다. 본인확인 절차가 다른 사람 신분증 투표를 막지 못했다면, 선관위는 그동안 무엇으로 본인을 확인해 왔는가. 이 질문이 이번 사안의 핵심이다.

대구 사례가 드러낸 본인확인 절차의 허점

대구 사전투표 사례는 이 허점을 현실로 보여줬다. 

사촌의 신분증을 제시한 유권자가 투표를 마쳤고, 실제 신분증 명의자는 뒤늦게 투표소에 도착했을 때 이미 투표한 사람으로 전산 처리돼 있었다. 

선관위는 이후 행정 조치를 통해 실제 유권자의 투표권을 보장했다고 설명했지만, 본질은 사후 조치가 아니다. 왜 처음부터 본인확인 절차가 다른 사람 신분증 투표를 걸러내지 못했느냐는 점이다.

더구나 이 사례에서는 지문 입력 절차가 있었지만, 그 지문은 본인 여부를 판별하지 못했다. 지문을 찍었는데도 본인확인이 되지 않았다. 신분증 스캔 절차도 명의자와 실제 투표자를 구분하지 못했다. 

결국 현장에서 작동한 본인확인은 기계가 아니라 사람의 육안 확인이었다.

이 사건은 사전투표 제도의 가장 약한 고리를 드러냈다. 

사전투표는 전국 어디서나 투표할 수 있는 편의성을 제공한다. 그러나 전국 어디서나 투표할 수 있다는 것은 동시에 전국 어디서나 정확한 본인확인이 이뤄져야 한다는 뜻이다. 

편의성이 커질수록 본인확인 장치는 더 엄격해야 한다. 그런데 현실은 정반대였다.

보통·평등·직접선거 원칙도 흔들린다

본인확인 실패는 참정권 침해 문제다. 

헌법상 선거는 보통·평등·직접·비밀선거의 원칙 위에 서 있다. 다른 사람의 신분증으로 투표가 처리되고, 실제 명의자가 뒤늦게 투표소에 왔을 때 이미 투표한 사람으로 전산 처리돼 있었다면, 이는 먼저 보통선거 원칙을 흔든다. 

선거권이 있는 국민 누구나 투표할 수 있어야 하는데, 본인의 투표권이 타인의 행위로 먼저 소진됐다면 국가가 보장해야 할 실질적 투표 기회가 침해된 것이다.

평등선거 원칙도 흔들린다. 

선거의 평등은 단순히 투표용지 한 장을 나눠주는 형식이 아니라, 한 사람의 투표가 한 표의 가치로만 계산된다는 실질적 평등을 포함한다. 다른 사람 명의로 투표가 가능하다면 누군가는 사실상 두 번 투표하고, 누군가는 자신의 한 표를 빼앗기는 결과가 발생할 수 있다. 이는 1인 1표 원칙과 투표가치의 평등을 훼손한다.

직접선거 원칙의 침해 가능성은 더 분명하다. 

직접선거란 유권자가 자신의 의사로 직접 투표해야 한다는 뜻이다. 타인의 신분증으로 투표가 처리되는 순간, 그 표는 명의자의 직접 의사 표시가 아니다. 본인확인 절차가 이를 걸러내지 못했다면 선거관리 시스템은 직접선거의 첫 관문에서 실패한 것이다.

비밀선거 원칙과의 관계도 가볍게 볼 수 없다. 

비밀선거의 핵심은 누구에게 투표했는지를 외부에서 알 수 없도록 보장하는 데 있다. 물론 다른 사람 신분증 투표가 곧바로 기표 내용의 공개를 의미하는 것은 아니다. 

그러나 본인확인과 투표 여부 기록이 흔들리면, 누가 투표했는지, 누가 투표하지 못했는지, 누구 명의로 투표가 처리됐는지에 대한 신뢰가 무너진다. 비밀선거가 전제하는 안전한 투표 환경과 선거 절차의 신뢰도 함께 손상될 수밖에 없다.

이처럼 본인확인 실패는 헌법상 선거 원칙의 문제로 이어진다. 

그렇다면 이제 따져봐야 할 것은 간단하다. 선관위가 본인확인기라고 부른 장비가 실제로 무엇을 확인했느냐는 점이다.

지문 찍지만, 지문으로 본인확인하지 않는다

사전투표소에서 유권자는 신분증을 제시한 뒤 이른바 ‘본인확인기’ 앞에서 손도장 또는 지문을 입력한다. 이 장면만 보면 대부분의 국민은 기계가 신분증 정보와 지문을 대조해 본인 여부를 확인한다고 생각한다. 

그러나 실제 구조는 다르다. 사전투표 본인확인기의 지문 입력은 주민등록 지문정보와 대조하는 생체인증 절차가 아니다. 투표용지를 받았다는 사실을 남기는 기록 절차에 가깝다.

공직선거법상 사전투표자는 신분증명서를 제시해 본인임을 확인받은 다음 전자적 방식으로 손도장을 찍거나 서명하고 투표용지를 받아야 한다. 

법 문장만 보더라도 손도장이나 서명은 본인확인 이후의 절차다. 본인확인 자체가 아니라 투표용지 수령을 확인하는 절차인 것이다. 

선관위도 과거 사전투표소 지문 날인은 생체정보를 이용해 본인 여부를 확인하기 위한 것이 아니라, 선거인이 투표용지를 받았다는 사실을 기록하기 위한 것이라고 설명한 바 있다.

그렇다면 유권자가 지문을 찍는 장면은 본인확인을 상징하는 절차처럼 보이지만, 실제로는 본인확인 기능을 하지 않는다. 

국민이 본인확인으로 이해한 절차와 선관위가 실제로 운용한 절차가 서로 달랐던 셈이다. 이 간극이 바로 불신의 출발점이다.

‘본인확인기’인가, ‘신분증 정보 인식기’인가

‘본인확인기’라는 명칭부터 문제가 된다. 

운용 중인 본인확인기는 이름과 달리 지문인식 본인확인 장비가 아니다. 그렇다고 신분증 사진을 촬영해 현장 유권자의 얼굴과 전산적으로 대조하는 장비로 보기도 어렵다. 

현재 알려진 기능은 신분증의 문자 정보를 읽어 통합선거인명부 조회와 투표용지 발급 절차에 연결하는 수준이다. 결국 이 장비는 본인확인기라기보다 신분증 정보 인식기 또는 신분증 스캐너에 가깝다.

신분증의 이름·생년월일·주민등록번호 등 기재정보를 읽는 것과, 신분증 사진의 인물과 현장 유권자의 얼굴을 전산적으로 비교하는 것은 전혀 다른 기능이다. 

전자는 명부 조회를 위한 정보 입력이고, 후자는 실제 본인 여부를 검증하는 절차다. 본인확인기가 후자의 기능을 수행하지 못한다면, 실제 본인확인은 여전히 투표사무원의 육안 판단에 맡겨져 있는 셈이다.

선관위가 신분증 정보를 스캔한다고 해서 그것이 곧 본인확인을 의미하지는 않는다. 

신분증에 적힌 정보가 선거인명부에 존재하는지 확인하는 것과, 그 신분증을 들고 온 사람이 실제 명의자인지 확인하는 것은 별개의 문제다. 

대구 사례는 바로 이 차이를 보여줬다. 명부에는 사람이 있었지만, 현장에 온 사람이 그 명의자인지는 걸러지지 않았다.

언론·국회도 몰랐던 지문 입력의 실체

대구 사례를 보도한 기사 자체도 이 문제가 얼마나 널리 알려져 있지 않았는지를 보여준다. 

“지문 찍어도 본인 확인 안됐다”는 제목은 단순한 사건 제목이 아니다. 사전투표소의 지문 입력 절차가 본인확인 기능을 하는 것처럼 국민과 언론이 인식해 왔음을 보여주는 문장이다. 

만약 지문 입력이 애초부터 본인확인이 아니라는 사실이 사회적으로 충분히 공유돼 있었다면, 이런 제목은 성립하기 어려웠을 것이다.

국회 질의와 예산 심사 과정에서조차 이 장비의 실제 기능이 충분히 공유되지 않았다면 문제는 더 심각하다. 

선거제도를 감시하고 예산을 심사해야 할 국회가 본인확인기의 실체를 오해하고 있었다면, 수백억 원대 장비 도입과 사전투표 제도 운영이 ‘본인확인기’라는 명칭 하나로 포장돼 온 셈이다.

국민은 지문을 찍으니 본인확인이 된다고 믿었다. 

국회는 본인확인기라는 이름을 그대로 받아들였다. 언론은 실제 사건이 터진 뒤에야 지문 입력이 생체인증이 아니라는 점을 쟁점으로 다뤘다. 

문제는 기자의 착오가 아니다. 문제는 착오가 가능하도록 만들어진 제도와 명칭이다.

주민등록 기반 선거인 명부, 육안에 맡긴 본인확인

선관위는 행정안전부 주민등록망과 직접 연동하는 것이 기술적으로 어렵다는 취지로 설명해 왔다. 그러나 이 해명도 정확히 따져봐야 한다. 

행안부 주민등록 지문망을 전국 사전투표소 단말기와 직접 연결해 모든 유권자의 지문을 실시간 대조하는 방식은 법적·보안상 검토가 필요한 사안이다. 지문은 유출되면 비밀번호처럼 바꿀 수 없는 생체정보이기 때문이다.

하지만 그것이 곧 본인확인을 강화할 방법이 없다는 뜻은 아니다. 

더구나 선거인명부 자체가 이미 주민등록 자료를 기초로 작성된다. 구·시·군의 장은 관할 구역에 주민등록이 된 선거권자를 조사해 선거인명부를 작성하고, 그 전산자료 복사본은 관할 선관위에 송부된다. 

행정안전부장관도 선거인명부 작성을 지원하기 위해 주민등록번호 등 필요한 정보를 처리하고 제공할 수 있다. 선관위는 선거권자 명부를 만들고 운용하는 단계에서 이미 주민등록 기반 정보를 활용하고 있는 것이다.

그렇다면 질문은 단순해진다. 

선거인명부는 주민등록 정보를 기초로 넘겨받으면서, 왜 정작 투표소에서 신분증을 들고 온 사람이 그 명의자인지를 확인하는 단계에서는 주민등록 기반 검증 체계를 마련하지 않았는가. 

이것은 기술 불능의 문제가 아니라 제도 설계의 문제다. 선관위가 말해야 할 것은 “연동이 어렵다”가 아니라 “연동이 어렵기 때문에 어떤 대체 검증 체계를 마련했다”여야 했다.

‘해킹 불가’와 ‘연동 곤란’ 사이의 모순

더구나 선관위는 그동안 선거관리 전산망의 해킹 가능성에 대해 강하게 반박해 왔다. 선거 결과 조작은 불가능하다는 취지의 설명도 반복돼 왔다. 

그렇다면 보안 위험을 이유로 1회용 검증 토큰 방식조차 검토하기 어렵다는 논리는 앞뒤가 맞지 않는다. 

선관위망이 해킹 불가능할 정도로 안전하다면, 행안부가 원자료를 보유한 상태에서 선거 당일 해당 유권자의 일치 여부만 제한적으로 확인하는 방식도 검토할 수 있어야 한다.

반대로 그런 방식조차 위험하다면, 선관위 전산망이 해킹 불가능하다는 기존 주장부터 재검토돼야 한다. 선관위가 “전산망은 안전하다”고 말할 때와 “본인확인 연동은 위험하다”고 말할 때의 기준이 달라서는 안 된다. 

안전하다고 주장하려면 그 안전성을 본인확인 강화에도 적용해야 하고, 위험하다고 주장하려면 그 위험성을 선거관리 전산망 전반에 대해 솔직히 설명해야 한다.

주민등록 지문자료를 선관위가 상시 복제해 보유하자는 주장이 아니다. 오히려 그런 방식은 생체정보 보호 측면에서 신중해야 한다. 

가능한 방식은 여러 가지다. 

> 행안부가 원자료를 보유하고 선관위에는 일치·불일치 결과만 회신하는 방식, 

> 암호화된 1회성 검증 토큰을 사용한 뒤 즉시 폐기하는 방식, 

> 모바일 신분증 QR 검증과 주민등록증 진위확인을 결합하는 방식, 

> 수기 입력 사례를 자동으로 감사 대상으로 남기는 방식, 

> 외모·주소가 유사한 가족 동행 사례에 2인 확인 절차를 두는 방식 등이 있다.

쟁점은 지문 도입이 아니라 대체 검증 부재

문제는 지문을 반드시 도입하자는 것이 아니다. 

문제는 지문으로 본인을 확인하지 않는 장비를 본인확인기라고 부르면서, 실제 본인확인은 현장 사무원의 육안 대조에 맡겨 왔다는 점이다. 

지문 입력 장치를 두고, 장비 이름을 본인확인기라고 부르고, 실제 기능은 신분증 문자 정보 인식과 선거인명부 조회에 머물렀다면 오해는 필연적이다.

선관위가 국민과 국회에 설명했어야 할 내용은 명확했다. 지문 입력은 본인확인이 아니다. 본인확인은 신분증 사진과 얼굴의 육안 대조다. 장비는 신분증 정보 인식과 선거인명부 조회, 투표용지 발급 절차를 지원할 뿐이다. 

그런데 이 설명이 충분히 이뤄지지 않았다면, 본인확인기라는 명칭은 국민에게 잘못된 신뢰를 준 표현이 된다.

사전투표는 편의성을 높이기 위해 도입된 제도다. 

그러나 편의가 신뢰를 대체할 수는 없다. 

전국 어디서나 투표할 수 있는 제도라면, 전국 어디서나 다른 사람 이름으로 투표할 수 없도록 막는 장치도 함께 있어야 한다. 

선거인명부는 주민등록 기반으로 만들면서, 본인확인 단계에서는 주민등록 기반 검증이 어렵다고 말하는 것은 설득력이 약하다.

선관위가 답해야 할 질문

기술적 어려움은 변명이 아니라 개선 의무의 출발점이다. 

> 행안부망 직접 연동이 어렵다면 1회용 토큰 방식은 검토했는가. 

> 지문 원자료를 쓰지 않고 일치 여부만 확인하는 방식은 검토했는가. 

> 모바일 신분증 QR 검증, 주민등록증 진위확인, 

> 수기 입력 감사 로그, 

> 2인 확인 절차는 마련했는가. 

이 질문에 답하지 못한다면 선관위의 해명은 기술 설명이 아니라 본인확인 부실을 덮는 변명에 그칠 수밖에 없다.

선거의 신뢰는 개표장에서만 무너지는 것이 아니다. 투표소 입구에서, 신분증을 제시하고 본인확인을 받는 첫 단계에서 이미 흔들릴 수 있다. 

지문을 찍었는데도 본인확인이 되지 않는다면 그것은 본인확인기가 아니다. 이름과 실제 기능이 다른 장비로 국민에게 신뢰를 요구할 수는 없다.

다른 사람 신분증 투표를 막지 못한 본인확인기는 단순히 부실한 장비가 아니다. 그것은 참정권 보장의 첫 관문을 무너뜨린 장비다. 

선관위가 이 구조를 알고도 방치했다면, 이는 보통·평등·직접선거 원칙을 훼손하고 비밀선거가 전제하는 절차적 신뢰까지 흔든 중대한 선거관리 실패다.

선관위는 사전투표 본인확인기의 실제 기능과 한계를 국민 앞에 공개해야 한다. 지문 입력이 본인확인이 아니라면 그렇게 고지해야 한다. 

본인확인기가 신분증 정보 인식기에 불과하다면 명칭부터 바로잡아야 한다. 그리고 무엇보다 다른 사람 신분증 투표를 막기 위한 대체 검증체계를 즉각 마련해야 한다. 

본인확인 실패는 장비 문제가 아니라 참정권 침해 문제다.