현재 로또시스템은 번호 조작이 불가능하며, 다수 당첨이 확률적으로 충분히 가능하다는 연구 결과가 나왔다.
기획재정부 복권위원회는 13일 이같은 내용을 담은 한국정보통신기술협회(TTA)와 서울대 통계연구소의 용역 결과를 13일 발표했다.
서울대 통계연구소는 지난 2002~2023년 총 1061개의 당첨번호를 활용해 추첨의 동등성 검증을 진행했다.
연구소는 ‘몬테카를로 방법론’(무작위 추출 표본으로 확률분포를 근사하는 방법) 등을 활용해 통계적 검정을 실시한 결과, 추첨의 동등성이 위배된다고 볼 수 없다고 밝혔다.
연구소는 또 631회차(2015년 1월 3일)~1059회차(2023년 3월 18일) 총 429회차에서 회차별로 20회 이상 구매된 번호조합 및 구매방식(자동·수동)을 분석했다.
그 결과 1019회차(지난해 6월 11일, 1등 50게임 당첨), 1057회차(올해 3월 4일, 2등 664게임 당첨) 등 다수 당첨이 확률적으로 충분히 발생 가능한 범위라고 결론지었다.
해외사례로는 영국에서 2016년 4082명이, 필리핀에선 지난해 433명이 한꺼번에 1등에 당첨된 바 있다.
연구소는 전체 구매량 증가에 따라 총 구매량의 3분의 1가량을 차지하는 수동 구매량도 증가하고 있어 다수 당첨 출현 가능성도 늘어날 것으로 봤다.
기재부는 서울대와 별개로 TTA에 로또 추첨 시스템 및 추첨과정 검증 용역도 의뢰했다.
검증 결과 TTA는 추첨기와 추첨볼 조작이 불가능하다고 결론 내렸다.
TTA는 “추첨기와 추첨볼은 이중 잠금장치가 설치된 창고에 보관하고, 개방 시 방송국 관계자와 수탁사업자가 봉인번호 및 훼손 여부를 상호 확인한다”며 “추첨볼이 바람에 의해 빠르게 혼합되다가 추첨기 상단의 추출구를 통해 7개의 추첨볼이 무작위로 추출되는 방식이므로 원하는 번호로 추첨하는 것은 불가능하다”고 밝혔다.
내부관계자가 낙첨 티켓을 당첨 티켓으로 변경할 가능성도 없다고 봤다.
TTA는 “서버 접근 제어, 네트워크 접근 제어, 데이터베이스(DB) 접근 제어 등을 통해 인가된 사용자 외에 접근하지 못하며 접근 이력 및 작업 사항은 모두 기록된다”며 “복권 발행·당첨 데이터는 총 5개 DB에 저장되는데 기술적, 물리적으로 모든 DB의 정보를 변경하는 것은 불가능하다”고 설명했다.
이어 “부정한 방법으로 접근해 낙첨 티켓을 당첨 티켓으로 변경한다 하더라도 CBC-MAC(블록체인 형태 메시지 인증코드 구성 기술) 확인 단계에서 변조된 티켓은 원본과 불일치해 지급이 거절된다”고 분석했다.
이외에 TTA는 실물 티켓을 위·변조하거나, 외부에서 비인가자가 복권시스템에 침입할 수 없다고 결론 내렸다.
TTA는 “티켓에 인쇄된 티켓인증 코드는 중복되지 않은 난수로 생성되고, 시스템에는 해시값으로 변경해 저장되므로 위·변조를 해도 지급과정에서 탐지 가능하다”며 “바코드를 위조해도 위조한 바코드 정보가 시스템에서 조회되지 않아 당첨금 지급이 안 된다”고 밝혔다.
이어 “사설 IP로 구축된 독립적인 망이고 각 망을 방화벽으로 통제하고 있으며, 서버 접근제어 솔루션을 사용하기 때문에 외부에서 비인가자가 침입할 수 없다”고 강조했다.