[1] "투표소 조회 페이지만 다운... 이런 디도스 공격 처음"
A보안연구소 간부 H씨 인터뷰
▲ 중앙선관위 디도스(DDoS) 공격 개요도 경찰이 지난 10.26 서울시장 보궐선거 당일 중앙선거관리위원회 홈페이지에 디도스 방식의 사이버 공격을 가한 혐의로 최구식 한나라당 의원의 수행비서와 IT업체 직원 3명을 적발한 가운데, 2일 오후 서울 서대문구 경찰청에서 정석화 경찰청 사이버테러대응센터 실장이 중앙선관위 홈페이지 DDos 공격개요도를 화면을 통해 보여주며 설명하고 있다.
지난 10·26 서울시장 보궐선거 때 벌어진 중앙선거관리위 홈페이지 디도스 공격과 관련, 한 보안문제 전문가는 "하룻밤에 200대의 좀비 피시(PC)를 준비한 것이나 특정 페이지만 디도스 공격을 한 것 등은 의문"이라고 지적했다.
익명을 요구한 A보안연구소의 간부 H씨는 2일 <오마이뉴스>와 한 전화 인터뷰에서 "200대의 좀비 피시로 디도스 공격을 하면 선관위 홈페이지 전체를 다운시킬 수 있다"며 "하지만 하룻밤에 200대의 좀비 피시를 준비했다는 것은 놀랍다"고 말했다.
그는 "하룻밤에 200대의 좀비 피시를 준비해서 디도스 공격을 하기는 어렵다"며 "200대의 좀비 피시를 미리 준비하고 있지 않았다면 불가능한 일"이라며 '200대 좀비 피시를 통한 디도스 공격'에 의문을 제기했다.
이어 그는 "악성코드로 피시를 감염시키는 방법을 아는 친구들이라면 하룻밤에 200대의 좀비 피시를 만드는 것도 불가능하지 않다"면서도 "하지만 IT업체에서는 그런 것을 하지 않기 때문에 IT업체 직원이 하룻밤에 200대의 좀비 피시를 만드는 것은 불가능해 보인다"고 말했다.
그는 "포털사이트에 악성코드를 배포해 그것에 감염된 좀비 피시를 이용해 공격했을 수도 있다"며 "하지만 해킹전문가가 아닌 IT업체 직원이 하룻밤에 좀비 피시 200대를 확보했다는 점은 여전히 의문스럽다"고 거듭 의혹을 제기했다.
이에 대해 경찰은 디도스 공격 가담자들이 인터넷도박 사이트 운영을 준비 중이었고 사이트를 열게 되면 다른 도박사이트를 공격하기 위해 디도스 공격시스템을 갖춰 놓았다고 밝힌 바 있다.
또한 그는 "선관위의 서버 구조를 알지 못하지만 특정 페이지만 다운된 점도 의심스럽다"며 "홈페이지 전체가 다운됐다면 이해하기 쉬운데 홈페이지는 살아있고 투표소 조회하는 페이지만 다운된 점은 의문"이라고 지적했다.
그는 "일반적인 디도스 공격은 웹서비스를 못 쓰게 하기 위한 목적을 가지고 웹서버 전체를 다운시킨다"며 "하지만 중앙선관위 홈페이지 디도스 공격처럼 특정 페이지만 다운됐다는 점에서 새로운 형태의 디도스 공격인 것 같다"고 설명했다. 그는 "이런 디도스 공격을 본 적이 없다"고 덧붙였다.
하지만 중앙선거관리위의 한 관계자는 "투표소 조회 페이지만 다운된 게 아니라 선관위 홈페이지 전체가 다운됐다"며 "특정 페이지만 디도스 공격을 받았다는 주장은 사실과 다르다"고 반박했다.
서울시장 보궐선거가 실시된 지난 10월 26일 오전 6시 15분부터 8시 30분까지 2시간여 동안 중앙선거관리위 홈페이지가 다운돼 유권자들이 투표소 위치를 확인하지 못하는 등의 사태가 벌어진 바 있다.
한편, 경찰청 사이버테러대응센터는 최구식 한나라당 의원의 수행비서인 공아무개씨와 IT업체 대표와 직원 등 4명의 구속영장을 청구했다. 이들은 서울시장 보궐선거 당일 중앙선거관리위 홈페이지에 디도스 공격을 가해 선거관리업무를 방해했다는 혐의를 받고 있다.
----------------------------------------------------------------------------------------------------------------------------------
[2] "디도스 공격 때 우리 보안장비는 잘 작동"
선관위 방어시스템 구축한 LG엔시스 관계자 인터뷰
▲ 한나라당 인사의 '선관위 디도스 공격' 장비 공개 경찰이 지난 10.26 서울시장 보궐선거 당일 중앙선거관리위원회 홈페이지에 디도스 방식의 사이버 공격을 가한 혐의로 최구식 한나라당 의원의 수행비서와 IT업체 직원 3명을 적발한 가운데, 2일 오후 서울 서대문구 경찰청에서 정석화 경찰청 사이버테러대응센터 실장이 사이버 공격에 사용한 중국산 디도스 툴 프로그램을 화면에 보여주며 설명하고 있다. (사진 아래에는 피의자들이 사용한 대포폰과 대포통장, 위조 차량번호판들이 놓여져 있다.)
지난 2009년 말 중앙선관위에 디도스 공격 방어시스템을 구축했던 LG엔시스 쪽은 아주 신중했다. 5일 오전 9시가 넘어 기자가 처음 전화했을 때만 해도 "기술진에서 파악 중"이라며 "나중에 연락드리겠다"고 했다. 답변을 안할 것 같은 분위기였지만 오전 11시께 한 관계자가 기자에게 전화를 걸어왔다.
"디도스 공격 받았지만 우리 장비가 대응을 잘 했다"
이 관계자는 "(지난 10월 26일 중앙선관위 홈페이지가 접속장애를 일으켰을 때) 우리가 (2009년) 공급했던 장비는 제대로 작동했다"며 "(중앙선관위 홈페이지 접속장애는) 장비의 문제가 아니다"라고 말했다.
이는 중앙선관위 홈페이지 접속장애가 디도스 공격에 의한 것이 아니라는 주장으로도 풀이됐다. 하지만 이 관계자는 "디도스 공격은 맞다"고 주장했다. 이어 그는 "선관위에 로그분석자료, 트래픽 분석 자료 등을 다 제출했다"며 "자세한 내용은 선관위에 문의하라"고 말했다.
이 관계자는 '로그파일을 분석해보니 디도스 공격이 맞던가?'라는 기자의 질문에 "저희가 얘기하는 것은 곤란하다"며 거듭 "관련 자료를 선관위에 다 제출했으니 그쪽에 문의하라"고 주문했다. '새로운 형식의 디도스 공격이냐?'는 질문에도 "우리가 언급할 수 있는 범위를 벗어났다"며 제대로 된 답변을 내놓지 않았다.
이어 이 관계자는 "제가 아는 선에서 (중앙선관위 홈페이지는) 디도스 공격을 받았다"며 "거기에 우리 장비의 대응이 (잘) 이루어졌다"고 거듭 강조했다. 그는 "대응이 됐다는 것이지 공격을 안 받았다는 것은 아니다"라며 "(디도스 공격 방어) 장비가 있다고 해서 공격을 전혀 안 받는다는 것은 불가능하다"고 덧붙였다.
이 관계자는 '대응이 잘 이루어졌다'는 주장과 관련해 "저희 장비 안에는 네트워크, 라우트, 방화벽 등이 있고 그 뒤에 서버가 물리는데 (서버 등) 그(방어장비) 안쪽은 문제가 전혀 없었다"고 설명했다.
끝으로 이 관계자는 "LG엔시스가 신뢰 있는 기업인데 왜 방어를 못했느냐고 하는데 최종 수사결과가 발표되면 그 부분도 소명될 것"이라고 말했다.
하지만 여전히 일각에서는 "디도스 공격이 아니다"라는 주장이 나오고 있다. <나는 꼼수다>의 일원인 정봉주 전 열린우리당 의원은 이날 MBC 라디오 <손석희의 시선집중>에 나와 "홈페이지 접속이 됐는데 특정 결과 값만 검색이 안 되는 건 디도스 공격 자체가 아니다"라고 주장했다.
'화이트 해커'인 권석철 큐브피아 대표는 <경향신문>과 한 인터뷰에서 "선관위가 실제로 보안서비스를 구축했는데 뚫렸다는 게 혼란스러운 일인 것은 사실"이라고 지적했다.
반면 경찰청은 "선거 당일날 디도스 공격 트래픽양과 서비스 이용자가 보내는 트래픽양의 총합에 따라 선관위 홈피에 아예 접속이 불가능한 사람, 홈피에 접속됐으나 디비접속이 안되는 사람, 홈피 접속도 하고 디비 검색도 한 사람이 있었을 것"이라고 해명했다.
중앙선관위 쪽은 "투표소 조회 페이지만 다운된 게 아니라 선관위 전체 홈페이지가 다운됐다"며 "특정 페이지만 디도스 공격을 받았다는 것은 사실이 아니다"라고 반박했다.
"장비가 있더라도 공격 받을 수 있어... 자세한 것은 선관위에 문의하라"
▲ 한나라당 인사의 '선관위 디도스 공격' 장비 공개 경찰이 지난 10.26 서울시장 보궐선거 당일 중앙선거관리위원회 홈페이지에 디도스 방식의 사이버 공격을 가한 혐의로 최구식 한나라당 의원의 수행비서와 IT업체 직원 3명을 적발한 가운데, 2일 오후 서울 서대문구 경찰청 사이버테러대응센터 브리핑실에 피의자들이 사용한 컴퓨터들이 놓여져 있다.
다음은 LG엔시스 관계자와 나눈 일문일답.
- 2009년 12월 중앙선관위에 디도스 공격 방어시스템을 구축했지만 2년이 안돼 디도스공격을 받았는데.
"그때 공급했던 저희 장비는 제대로 작동했다. (중앙선관위 홈페이지 접속장애는) 장비의 문제가 아니다."
- 그렇다면 중앙선관위 홈페이지 접속장애는 디도스공격이 아니라는 것인가?
"디도스 공격은 맞다."
- 디도스공격 방어시스템을 구축했는데 어떻게 디도스공격을 받을 수 있는지 의문이다.
"그것은 저희가 얘기할 수 있는 부분이 아니다. 선관위에 로그분석 자료 등을 이미 다 드렸다. 그것과 관련해 깊이있게 얘기할 수 없다."
- 로그파일을 분석해보니 디도스 공격이 맞던가?
"관련 자료를 선관위에 다 제출했다. (로그파일 분석 자료뿐만 아니라) 트래픽 분석 보고서도 제출으니 선관위쪽에 문의하라. 저희가 얘기하는 것은 곤란하다."
- 디도스 공격이라는 주장에 의문을 제기하는 사람이 많다.
"제가 아는 선에서 디도스 공격을 받았다. 거기에 우리 장비의 대응이 (잘) 이루어졌다. 그 외 다른 세세한 부분이나 <오마이뉴스>에서 궁금해하는 것은 우리가 말할 수 없다."
- 그렇다면 새로운 형식의 디도스 공격이라고 봐야 하나?
"우리가 언급할 수 있는 범위를 벗어났다. 선관위도 경찰수사를 받고 있기 때문에 그 부분을 언급할 수 없다. 우리는 사업자로서 선관위에 자료를 제공할 뿐이다."
- LG엔시스는 보안문제에서도 실력이 있다고 밝혀왔지 않나?
"최종 수사결과가 발표되면 그 부분도 해결될 것이다. 신뢰있는 기업인데 왜 방어를 못했느냐고 하는데 곧 소명될 것이다."
- 소명이 되려면 디도스 공격이 아니어야 하지 않나?
"관련자료, 팩트 등은 선관위에 다 제출했다. 선관위에 문의하라. 대응이 됐다는 것이지 공격을 안 받았다는 것은 아니다. (디도스공격 방어) 장비가 있다고 해서 공격을 전혀 안 받는다는 것은 불가능하다."
- 디도스 공격 방어 장비가 제대로 대응했다는 것은 무슨 의미인가?
"저희 장비 안에는 네트워크, 라우트, 방화벽 등이 있고 그 뒤에 서버가 물린다. (서버 등) 그(방어장비) 안쪽은 문제가 전혀 없었다."
----------------------------------------------------------------------------------------------------------------------------------
[3] "나꼼수의 '선관위 내부 개입' 주장은 근거 없다"
보안문제 전문가 L씨
"나중에 로그파일 공개되면 나꼼수도 뒤집어질 수 있다."
'나꼼수'의 열렬한 팬이라는 보안문제전문가 L씨는 6일 기자와 만나 이렇게 우려했다. '나꼼수도 뒤집어질 수 있다'는 그의 발언은 중앙선관위 홈페이지 디도스 공격 논란과 관련해 나꼼수에서 제기한 '선관위 내부 개입 의혹'을 염두에 둔 것이다. "선관위 내부 개입 의혹은 근거가 없다"는 것이 그의 일관된 주장이다.
"디도스 공격자들은 '다단계 방어체계' 구축을 몰랐던 듯"
A연구소를 운영하고 있는 L씨는 "말도 안 되는 '아마도식' 주장이나 해석은 안 된다"며 "제 의견은 경찰과 중앙선관위에서 발표한 자료를 바탕으로 그 내용의 진실 여부를 따져보는 것"이라고 전제했다.
이어 그는 "서버를 다운시키는 것만을 디도스 공격으로 생각하면 안 된다"며 "이번 중앙선관위 홈페이지 접속 장애는 디도스 공격자들이 투표소 검색만 계속했기 때문에 일어난 것"이라고 진단했다. 이어 좀 더 자세한 설명을 내놓았다.
"좀비 피시 200대가 11GB의 트래픽을 일으키며 중앙선관위 홈페이지 공격에 나섰다. 그런데 그 중에 최종적으로 263MB만 살아남았다. 이렇게 살아남은 263MB가 DB(데이터베이스) 서버에서 투표소 검색을 계속 실행했고, 2시간여 동안 투표소 검색과 관련된 접속장애가 일어났다."
그는 "263MB가 투표소 검색 DB 서버를 계속 붙잡고 있었다고 보면 된다"며 "그렇게 DB 서버를 붙잡고 있는 동안 유권자들이 투표소를 검색하면 부하가 발생해 접속장애가 일어난 것"이라고 말했다.
"투표소 검색 페이지만 공격했기 때문에 다른 곳은 이상이 전혀 없었다. 처음부터 웹서버를 다운시켰다면 바로 웹서버를 사이버대피소로 옮기면 그만이다. 하지만 웹서버가 살아 있었기 때문에 중앙선관위도 디도스 공격이라고 생각하지 못한 것 같다. 단순한 과부하 정도로 생각했다. 그래서 디도스 공격이 이루어진 지 2시간여 지나서야 웹서버를 사이버 대피소로 옮긴 것이다."
이어 그는 기자에게 "경찰이 이렇게 범인을 빨리 잡은 것이 신기하지 않냐?"고 물은 뒤 "농협 전산망 공격이나 지난 2009년 7·7 디도스 대란 때는 그렇지 못해서 결국 '북한 소행'이라고 결론내렸다"며 "하지만 이번에는 웹서버 등이 정상적으로 가동하고 있어서 로그파일에 범인들의 흔적이 남아 있었다"고 말했다.
그는 "그 전에는 좀비피시를 관리하고 공격을 명령하는 CNC(Command & Control)가 중국에 구축돼 있어서 범인을 잡을 수 없었는데 이번에는 CNC가 국내(강남 삼성동)에 구축돼 있어서 빨리 범인을 잡을 수 있었다"고 덧붙였다.
특히 그는 "정부가 지난 2009년 7·7 디도스 대란 이후 중앙선관위 등 정부기관을 대상으로 '다단계 디도스 방어체계'를 구축했다"며 "그런 방어체계가 구축돼 있었기 때문에 유해 트래픽을 모두 막고 정상적인 트래픽인 263MB만 통과시켰다"고 지적했다.
"다단계 디도스 방어체계가 구축됨에 따라 유해 트래픽 즉 디도스 트래픽은 다 잡는다. 그래서 이제는 웹서버를 다운시키는 공격은 힘들어졌다. 이번 디도스 공격의 최종 트래픽인 263MB도 정상('투표소 검색')으로 가장했기 때문에 보안장비, 방화벽 등을 통과할 수 있었다. 그렇게 통과한 263MB가 투표소 검색만 계속 실행했고, 이것이 서비스 폭주로 이어져 특정 페이지(투표소 검색)가 안열렸던 것이다."
그는 "중앙선관위 홈페이지를 공격한 이들은 이러한 다단계 디도스 방어체계가 구축돼 있고, 국정원(국가사이버안전센터)에서 모니터링하고 있다는 것을 몰랐던 것 같다"며 "그래서 CNC를 국내에 구축하고 디도스 공격에 나선 걸로 보인다"고 말했다.
"선불-후불이든 대가성이 있었기 때문에 공격에 나섰을 것"
또한, L씨는 "중앙선관위 홈페이지를 공격한 이들은 도박사이트를 운영하기 위해 상대방 도박사이트를 공격할 좀비 피시 DB를 구축하고 있었다"며 "이는 어떤 사이트든 (디도스) 공격할 무기가 준비돼 있음을 뜻한다"고 말했다.
그는 "도박사이트를 운영하려던 이들이 자신들과 무관한 중앙선관위 홈페이지를 공격한 것은 최구식 한나라당 의원의 수행비서인 공아무개씨가 요청했기 때문"이라며 "선불이든 후불이든 대가성이 있었기 때문에 공격에 나섰을 것"이라고 주장했다.
하지만 그는 '선관위 내부 개입 의혹'과 관련해 "이제까지 나온 자료들을 봤을 때 로그파일에 선관위가 나올 가능성은 없어 보인다"며 "민주당이나 나꼼수에서는 계속 '내부 개입' 가능성을 제기하지만 막상 로그파일이 공개되면 뒤집어질 수 있다"고 말했다.
그는 "공아무개 수행비서가 IT업체에 중앙선관위 홈페이지 공격을 요청한 이유나 그의 배후 등을 캐는 것은 맞는 방향"이라며 "하지만 '선관위에서 열어줬다'는 주장은 현재 근거가 전혀 없다"고 주장했다.
-----------------------------------------------------------------------------------------------------
[4] "선관위 디도스 공격은 페인트 모션이다"
보안전문가 김성주 FNAS 대표
서울시장 보궐선거가 치러지던 지난 10월 26일. 김성주 FNAS 대표와 점심을 먹던 '나꼼수'의 김어준 <딴지일보> 총수가 특유의 말투로 툭 한마디 던졌다고 한다.
"졸라 이상한데…."
이날 오전 6시 15분부터 오전 8시 30분까지 2시간여 동안 중앙선관위 홈페이지가 접속장애를 일으켜 유권자들이 바뀐 투표소 위치를 확인하지 못한 사태를 두고 한 말이었다. 김 총수는 보안문제전문가인 김 대표에게 "한번 들여다 보라"고 주문했다.
이러한 김 총수의 '의문'은 날카로운 '의혹제기'로 이어졌다. 그는 지난 10월 29일 방송된 '나꼼수 26회'에서 이렇게 말했다.
"아침 6시부터 8시반까지 선관위 홈페이지는 접속되는데 자기 투표소 찾으려고 주소 입력하는 DB 연동이 끊어졌다. 누군가 의도적으로 끊어 출근길 젊은층 투표를 방해하려 한 치밀한 작전이다."
더 나아가 김 총수는 "디도스 공격이 아니다, 로그파일(사이트 접속정보를 기록한 파일)만 조사하면 외부해킹인지 내부에서 한 건지 알 수 있다"며 사실상 '선관위 내부 개입' 의혹까지 제기했다.
"디도스 공격으로 나타날 수 없는 패턴 나타나"
지난 9일 오후에 만난 김성주 대표는 "김어준 총수가 촉이 빠르다"라며 "서울시장 보궐선거 당일부터 선관위 홈페이지에서 투표소 검색 DB연동만 끊어졌다고 결론내린 뒤 '그럼 어떤 공격에 의한 것이냐?'면서 (원인을) 역추적해 들어갔다"고 전했다.
보안전문가들 사이에서 논란이 일었던 '디도스 공격이냐, 아니냐?'와 관련, 김 대표는 "(디도스 공격 이후) 접속이 이루어지느냐 접속이 안 이루어지느냐의 차이만 있을 뿐 디도스 공격은 늘 있다"며 "하지만 이번 선관위 홈페이지 접속장애를 두고 '디도스 공격이냐 아니냐'고 묻는 것은 질문 자체가 잘못됐다"고 지적했다.
"원순닷컴의 경우 디도스 공격이 명확하다. 하지만 선관위 홈페이지의 경우 디도스 공격만이 범죄의 전부냐? 디도스 공격이 없었다고 얘기하는 것이 아니다. 하지만 다른 공격의 가능성이 있고, 나꼼수와 저는 이(다른 공격) 확률이 더 크다고 생각한다. 디도스 공격은 페인트 모션이다."
김 대표는 "디도스 공격으로만 접속장애가 일어났다고 보기 어려운 '의심되는 패턴'이 있었다"며 "즉 디도스 공격으로 나타날 수 없는 패턴이 나타났다는 것"이라고 설명했다.
"디도스 공격이라면 (웹페이지의) 접속 자체가 안 된다. 그것이 일반적인 경우다. 일부에서는 '페이지 디도스'라고 주장하지만 네트워크 시큐리티(network security) 세계에서 그런 것은 존재하지 않는다. 이번 선관위 홈페이지의 경우에는 '투표소 검색'이라는 특정DB(페이지)만 안 보여줬다. 이것은 디도스 공격으로 나타나지 않는 패턴이다."
김 대표는 "웹서버에는 접속이 되는데 DB서버만 다운됐다는 것은 다른 공격이 있었기 때문에 가능한 일"이라며 "간헐적으로 웹서버에 접속이 안되는 사람도 있긴 했지만 그것은 정상적인 수준에서 조금 벗어난 경우일 뿐"이라고 강조했다.
김 대표는 'MRTG(Multi Router Traffic Grapher)'를 근거로 제시하며 자신의 주장을 이어 나갔다. MRTG는 트래픽을 모니터링하는 도구로 시간별 트래픽 변화 추이 등을 그래프로 확인할 수 있다.
"(선관위에 회선을 제공하는) KT와 데이콤의 MRTG를 입수해 분석해 보았다. 이것에 따르면 선관위 홈페이지 자체는 정상이었다. 디도스 공격이 이루졌다는 시각에 트래픽이 증가하지 않았다. 디도스 공격이 끝난 뒤에는 트래픽이 줄어들어야 하는데 줄어들지 않았다."
김 대표가 내놓은 또다른 근거는 중앙선관위에 '디도스 공격 대응체계'를 구축한 LG엔시스가 서울시장 보궐선거 당일 선관위에 제출한 로그분석 보고서다. 그는 "LG엔시스가 자기 (보안)장비의 로그파일을 분석한 보고서를 선관위에 전달했다"며 "LG엔시스는 이 보고서에서 '디도스 공격이 들어왔지만 잘 막아냈다'고 밝혔다"고 전했다.
실제 LG엔시스의 한 관계자는 지난 5일 <오마이뉴스>와 한 인터뷰에서 "우리가 (2009년 말에) 공급했던 장비는 제대로 작동했다"며 "(중앙선관위 홈페이지 접속장애는) 장비의 문제가 아니다"라고 말했다.
"어떤 힘이 투표소 DB연동만 끊었다"
그렇다면 왜 서울시장 보궐선거 당일 2시간여 동안 투표소 검색 페이지만 열리지 않았을까? 김 대표는 "바로 그 문제를 집중적으로 파헤쳐야 한다"고 주문했다.
김 대표는 "기술적 부분은 이 문제의 하위문제"라고 강조한 뒤, "25%의 투표소가 바뀌었는데 야당이 강한 투표소는 평균보다 더 많이 바뀌었다"며 "9급 국회의원 비서가 어떻게 그런 정보를 알고서 투표율을 떨어뜨리기 위해 선관위 홈페이지를 공격했겠느냐?"고 의혹을 제기했다.
"나꼼수와 저는 디도스 공격이 없었다고 얘기한 적이 없다. 사건의 본질이 디도스 공격에 있지 않다고 얘기했을 뿐이다. (투표소 검색) DB연동이 끊어진 원인이 디도스 공격이 아니라는 것이다. 선관위 '내부'이거나 내부를 맘대로 할 수 있는 사람이 'DB연동을 끊는 힘'으로 작동했다는 것이다."
김 대표는 "처음에는 투표소를 많이 바꾸는 과정에서 일어난 엔지니어의 실수일 가능성도 생각해봤다"며 "하지만 다른 DB는 검색이 되는데 유독 오전 6시부터 8시까지 투표율, 투표소와 관련된 DB만 검색이 안됐다"고 지적했다.
이어 김 대표는 "로그파일을 보지 않는 상태에서 최구식 한나라당 의원의 비서 일행이 투표소 DB를 공격한 것인지 다른 힘이 공격한 것인지 모르지만 두 가지 가능성이 다 있다"며 "이것은 웹로그, 시스템로그, DB로그, 라우터로그 등 전체 로그파일를 줘야 분석이 가능하다"고 말했다.
▲ 지난 10월 26일 중앙선관위 홈페이지 MRTG. 김성주 대표는 "이것을 보면 당시 홈페이지의 트래픽은 정상수준이었다"고 주장했다.
김 대표는 "경찰은 웹로그만 집중적으로 분석하다가 거기서 디도스 공격이 나오니까 디도스 공격으로 결론내린 것 같다"며 "하지만 디도스 공격으로 인해 투표소 DB연동이 끊어질 가능성은 매우 낮다"고 거듭 주장했다. 다만 그는 경찰이 디도스 공격자를 신속하게 잡아낸 것에는 칭찬을 아끼지 않았다.
"공씨 일행이 잡히지 않으려고 대단히 노력했다. 대포 T로그인(무선인터넷공유기)을 사용했고, VPN(virtual private network, 가상사설망)도 다른 사람 명의로 사용했다. 그런 점에서 보면 경찰이 빠른 시간 안에 범인을 잡아낸 것은 칭찬해주고 싶다."
김 대표는 "투표소 DB가 연결되지 않아 투표율이 떨어진 것이 이번 사건의 핵심사실"이라며 "그런 점에서 경찰이 이번 사건의 '근본적인 구조'를 수사하는 데는 미흡했다"고 지적했다. 그는 "하지만 구조적인 부분을 수사하는 것은 일선 경찰관이 결정할 문제가 아니라 그 윗선에서 결정할 일"이라고 덧붙였다.
"이제 로그파일 공개해도 믿을 수 없다"
또한 김 대표는 "지난 10월 26일 오전 6시부터 8시까지와 똑같은 환경에서, 공씨 일행이 쓴 장비와 똑같은 것으로 디도스 공격을 해서 투표소 DB만 끊어지는지 시연을 해보자"고 제안했다.
김 대표는 "해킹은 속도전이라 바로 조치하지 않으면 증거를 확보하기 어렵다"며 "그런데 선관위는 한달이 넘도록 로그파일을 공개하지 않고 있어 앞으로 로그파일을 공개한다고 해도 믿을 수 없다"고 불만을 토로했다. 그는 "범죄는 범죄이고 책임은 책임"이라며 "당일 서비스를 제대로 못한 부분은 선관위에서 책임져야 한다"고 강조했다.
김 대표는 최근 자신의 페이스북에 올린 글에서 중앙선관위 홈페이지 접속장애 사건을 '선관위 사건'이라고 명명하면서 그 사건에 집중하는 이유를 이렇게 썼다.
"선관위 사건은 이 시대의 심판이 잘못된 사건입니다. 최소한 심판은 믿을 수 있어야 합니다. 독립된 헌법기관입니다. 이것이 흔들려서는 우리가 구성하고 있는 이 사회가 흔들린다고 판단했습니다."
-----------------------------------------------------------------------------------------------------
제 글을 읽으면서 디도스
공격일지를 늘 염두에 두고 읽으셔야 합니다. 그 이유는 경찰이 발표한 자료와 초기 디도스 공격 배후에는 공씨의 단독 범행과 연루된 인물들이 한결같이 '디도스 공격은 전혀 몰랐다'라고 부인했다가 조금씩 사실이 밝혀지고 있기 때문입니다.즉 저런 단순했던 사실이 파고들어 갈수록 어떻게 몸통이 드러나고 있는지 유심히 보시기 바랍니다.
■ 단순범행이 아닌 사전에 치밀하게 계획된 '디도스 공격'
경찰은 '디도스 공격'에 대한 발표를 하면서 술자리에서 벌어진 단순한 범죄라고 발표했습니다. 여기에 최구식 의원은 '젊은 해커의 치기어린 장난'이었다고 했는데, 아래 정황을 보면 절대로 그렇지가 않습니다.
○ 디도스 공격 문의는 벌써 수개월 전부터
'디도스 공격'을 지시했던 공현민은 초기 수사에서 10.26 재보궐 선거 전날에 술자리에서 필리핀에 있는 강모씨에게 '디도스 공격'이 가능한가?를 전화로 문의했다고 밝혔습니다. 이런 사실로 경찰은 디도스 공격 사전 준비는 없었다고 밝혔습니다. 그러나 사실 공씨와 강씨는 수개월 전부터 디도스 공격에 대해 이야기를 나누었던 것으로 밝혀졌습니다.
이는 단순하게 10.26 재보궐 선거 전날에 이루어진 단순 문의가 범죄로 이어진 해프닝이 아니라는 증거입니다.
○ 10.26 재보궐 선거 전날의 수상한 모임들
청와대 비서관과 국회의원 전·현직 비서들이 10.26 재보궐 선거 전날에 만났습니다. 정치권 초유의 관심사가 달린 선거 전날에 이들이 유유자적 음식점과 술집에서 만났다는 사실 자체가 의심이 들 수밖에 없습니다.
여기에 이들이 만나서 절대로 '디도스 공격'이나 '선거 이야기'는 하지 않았다고 주장했는데, 이것은 서로가 입을 맞춘 결과로밖에 보이지 않았습니다. 정치권 인사들이 모여 '10.26 재보궐 선거'를 말하지 않았다는 사실과 저들이 모임을 한 자체가 '디도스 공격'에 대한 최종 점검으로 의심되는 정황입니다.
특히 박희태 의장 전 비서 김씨는 술자리 후에 공현민과 5차례나 통화하면서 끝까지 몰랐다, 단순 안부전화였다고 주장했다가 나중에 '디도스 공격' 사건을 알리고 말렸다는 주장을 번복했습니다. 결국. 이들이 주장하는 모든 이야기는 처음부터 진실이 없었고, 입에서 나오는 모든 말을 거짓 자백으로 봐도 무방할정도로 조작되어 있습니다.
○ 디도스 공격 전후에 거래된 돈의 흐름
처음 경찰은 '디도스 공격'에 관련된 돈은 없었다고 밝혔습니다. 여기에 박희태 국회의장 전 비서 김모씨는 강씨에 대한 이야기를 전혀 모르는 것처럼 행동했습니다. 그러나 이 모든 것은 거짓이었습니다.
디도스 공범들 사이에서 이루어진 돈거래 흐름도 (원본이미지출처:한계레)
공현민이 강모씨에게 보낸 돈 1천만 원에 대해서 경찰은 분명히 단순한 돈거래라고 했습니다. 그런데 사실 이 돈은 박희태 국회의장 비서 김모씨로부터 나왔고, 이 돈은 10.26 재보궐 선거 전인 10월 20일에 송금되었습니다. 또한 선관위 디도스 공격이 끝나고 11월11일 김모씨는 강모씨의 회사 계좌로 9천만 원을 송금합니다.
만약 김모씨가 단순히 '디도스 공격'을 재보궐 선거 전날에 알고 말렸다는 진술을 신뢰한다면 저런 돈거래 흐름을 전혀 맞지가 않습니다. 그냥 도박 사이트에 투자해서 돈을 벌겠다는 생각으로 돈을 송금했다고 말하지만, 국회의장 비서까지 했던 인물이 '디도스 공격'이 얼마나 큰 사건인지 몰라서 연루된 인물에게 그것도 인터넷 도박 사이트로 돈을 벌겠다고 돈을 보낼 수 있습니까?
국회의장 비서 김모씨는 공씨를 통해 강씨에게 전달된 1천만 원과 강씨에게 직접 보낸 9천만 원을 포함한 1억원과 10.26 재보궐 선거 전날의 2차 모임에서 만난 병원장 이모씨에게도 1억7천만 원을 투자(?)했다고 밝혀졌습니다. 현재 1억5천짜리 전세에 살면서 단순히 3억2천만원짜리 전셋집에서 옮기고 남은 돈으로 저렇게 돈을 투자할 수 있었을까요?
중요한 것은 2억7천만원의 투자금 중에서 실제 전세금 차액을 뺀 나머지 돈은, 자신이 저축한 돈 1500만원과 1억원을 대출받아 지인에게 빌려주었다가 받은 돈,그리고 마이너스 통장 2천만 원이라고 합니다. 대출금에 마이너스 통장, 그리고 자신이 저축한 돈을 몽땅 털어 도박사이트와 병원에 투자하는 사람이 과연 있을 수 있을까요?
저는 이 돈이 나중에 나오는 비밀조직의 자금에서 나왔다고 의심하고 있습니다.
■ '선후회' 인물이 연루된 '디도스 공격'
경찰이 밝힌 '디도스 공격' 범인들의 연결고리는 단순히 '진주'라는 고향 선후배라는 것이었습니다.그리고 주범으로 지목된 공현민은 나경원을 돕는 것이 진주출신 최구식 의원을 돕는 것이라는 주장을 계속 고수했었습니다.
저또한 최구식 의원 비서 공모씨와 국회의장 비서도 진주라는 연결고리로 이어졌다고 봤지만, 사실 이들의 윗선에는 '선후회'라는 조직이 있었습니다.
선관위 디도스 공격에 연루된 인물 관계도 ⓒ민중의 소리
우선 이번 '디도스 공격'에 연루된 인물들을 보시면 국회의원 비서출신이 많습니다. 실제로 돈이 오간 사람이나 10.26 재보궐 선거 전날 1차 모임때 만난 인물은 모두 청와대 행정관 박모씨 (홍준표 의원 비서 출신)를 포함해서 모두 비서출신입니다.
이들은 실제로 '선후회'라는 모임의 회원들이었습니다. 선후회는 단순하게 선배와 후배의 모임이라는 뜻으로 전현직 비서들의 모임입니다. 그 모임의 대표는 바로 청와대 행정관 박모씨였고, 이들은 10.26 재보궐 선거 전날에 광화문 인근에서 술자리를 가졌습니다.
그런데 '선후회'가 단순한 진주 출신의 비서들이 모이는 친목회가 아닌 것으로 알려지고 있습니다.'선후회'는 대부분 태권도와 씨름 등 운동을 전공했던 자들로 대부분 보디가드 겸 수행비서로 활동했던 국회의원과 밀접한 친밀도를 자랑하던 인물들입니다.
특히, '선후회'는 국회의원 비서로 재직하다가 국회의원의 향방에 따라 국회를 나올 수밖에 없는 현실을 극복하고자 국회 사무처에 '국회 경호처'를 신설해서 영구적인 정직원으로 활동할 수 있게 해달라고 요구했다는 소문도 나오고 있습니다.
지난 포스팅에도 밝혔듯이 수행비서는 보디가드를 겸해 국회의원과 가장 가까운 행동대장이나 숨겨야 하는 일들을 하는 자들입니다. 이런 자들이 연루되었다는 사실은 '디도스 공격' 배후의 행동대가 그저 어림짐작이 아닌 '선후회'라는 행동대를 통해 이루어졌다고 볼 수 있습니다.
■ 비선조직 출신 청와대 행정관이 연루된 '선관위 디도스 공격'
수사 초기에는 밝혀지지 않았던 인물이 지금 나타나고 있습니다. 그 인물은 바로 박모 청와대 의전비서관실 행정관입니다. 이 박모씨를 저는 이번 사건의 핵심적인 주범 중의 한명으로 보고 있습니다. 그 이유는 박모 행정관의 이력 때문입니다.
처음에 박모 행정관은 그저 한나라당 고위직 비서 출신으로만 알려졌지만, 사실 그는 홍준표 한나라당 전 대표 비서출신이었고, 2005년부터 2007년까지 인터넷 홍보를 맡았던 인물입니다. 또한 그는 2008년 홍준표가 서울시장 후보 경선 과정에서 다수의 아이디와 IP를 조작하여 홍준표 의원을 칭찬하는 '댓글 알바'를 했다는 의혹을 받았던 인물입니다.
이토록 인터넷을 잘 아는 그는 2008년 이명박 대통령 임기가 시작되자 국무총리실의 정보관리비서관실의 상황행정관으로 옮겼는데, 이 조직을 민주당 백원우 의원은 '민간인 사실을 했던 공직윤리지원관실과 쌍벽을 이루면서 기밀비를 마음대로 쓸수 있었던 비공개 조직'이라고 했습니다.
제가 중간에 국회의장 비서 김모씨가 1억원을 공현민을 통해 '디도스 공격'을 실행했던 강모씨에게 주었는데 그 돈이 여기에서 나왔다고 하는 근거가 바로 이런 정황 때문입니다.
저는 이번 '선관위 디도스 공격'의 핵심 라인은 어느 정도 밝혀졌다고 봅니다. 최구식 한나라당 홍보기획본부장이 가장 하부조직이고, 박희태 국회의장 비서와 홍준표 한나라 당 대표의 인터넷 홍보와 여론 담당 출신 청와대 박모 행정관이 중간 조직이라고 봅니다.
중요한 것은 청와대 박모 행정관의 움직임을 청와대가 사전에 알았느냐는 점과 청와대가 조직적으로 관여했는가에 대한 부분만 남았다고 생각합니다. 대통령이 몰랐어도 저런 엄청난 사건에 대한 책임은 확실히 져야 하는 것이 아닐까요?
어떤 분들은 저의 주장에 대해 근거가 없다고 할 수 있겠지만, 실제로 수사가 진행되면서 청와대 박모 행정관의 행적과 그가 과거에 한나라당 인터넷과 여론을 조작하는 팀의 보스였다는 이야기는 계속 나왔던 이야기입니다. 그러나 제가 함부로 쓰면 또 무슨 임시 차단이나 포털 사이트에서 불이익이나 제재를 받을까 봐 숨죽이고 있었던 부분입니다.
저는 저런 조직적인 범죄를 이명박 대통령이 사전에 몰랐다는 사실이나, 수사가 시작되면서 보여주었던 조직적인 은폐를 더 밝혀내야 한다고 생각하고 있습니다. 여기에 청와대 행정관이 연루된 '디도스 공격'과 병행하여 투표소 변경과 같은 선관위의 문제점도 함께 밝혀내야 한다고 봅니다.
정치적인 사건에서 언제나 나오는 말이 있습니다. '몰랐다, 기억이 나지 않는다, 그저 단순한 모임이다' 여러분은 무뇌아들처럼 저런 말을 되풀이하는 인간들이 대한민국 정치권에서 활동하고 대한민국을 움직이고 있다는 사실을 어떻게 생각하십니까? 바보 연기를 하던지, 아니면 철저하게 조직적으로 사건을 덮으려고 하는 모습 이외에는 없습니다.
경찰이나 검찰을 믿기에는 대한민국 경찰과 검찰은 정치권력자의 말 한마디에 모든 사건을 덮어 버립니다. 어쩌면 이미 숨겨버리고 은폐해버린 증거 때문에 팩트가 정황증거로밖에 남지 않았을 것입니다. 그러나 언젠가 이 사건은 대한민국 역사상 가장 치욕스런 '10.26 부정 선거'로 기억되기에 이런 글이나마 쓸 수밖에 없음을 안타깝게 생각합니다.
원문 보기 : http://impeter.tistory.com/1694
-----------------------------------------------------------------------------------------------------
그들은 선관위를 어떻게 털었을까? - 선관위를 공격했다는 디도스의 재구성
이 글은 10.26 선관위 사이트의 디도스 공격 가능성을 분석하는 글입니다. 애초에 기술적 해설을 시도했으나 도저히 인간이 읽을 수 없는 글이 되는 바람에 내용이 이해가 가도록 그 당시의 상황을 재구성하는 형식으로 바꾸었습니다. 형식과 상관없이 이 글은 IT 분야에서 가능한 기술만을 근거로 작성되었음을 밝힙니다.
연락책인 팀장 A가 말 잘 듣는 IT 엔지니어 둘을 불러 들였다. 이유는 밝힐 수 없지만 선관위를 공격해야 할 필요가 생겼기 때문이다. 선거 날 아침 출근 시간에 선관위의 투표소 안내 서비스를 무력화시킴으로써 젊은 유권자들의 투표율을 떨어뜨리려는 것이었다.
시스템 전문 엔지니어 B와 해킹 전문가 C는 창문도 없는 방에서 팀장 A와 마주 앉았다. IT에 관해 잘 알지 못하는 팀장이 공격의 성공 가능성을 체크하고 싶어 물었다.
"내일 아침 선관위 서버를 해킹해야 한다. 가능하겠나?"
예상치 못한 요구에 엔지니어 B가 되물었다.
"뭘 어떻게 해킹하라는 말씀이십니까?"
"출근 시간에 투표소 안내를 못 보게 하라는 거야. 거 있잖아? 좀비 피신가 뭔가로 막 공격해서 서비스 안 되게 하는 거 말이야."
해커 C가 끼어들었다.
"그건 디도스죠. 해킹하고는 조금 다릅니다. 많은 피시가 동시에 접속을 시도해서 서버를 다운시키는 겁니다."
엔지니어도 거들고 나섰다.
"팀장님은 뭘 좀 알고 일 시키세요. 임무가 정확한 것 맞습니까?"
"용어야 어떻든 선관위 서버만 죽이면 돼. 할 수 있겠지?"
엔지니어가 고개를 가로 저으며 대답했다.
"국가 기관을 공격하는 게 그리 쉬운 일이 아닙니다. 끝까지 추적 당하기 때문에 위험하기도 하구요."
"그건 내가 책임질 테니까 걱정 말고. 디도스 공격으로 서버를 죽일 수 있는지만 대답해."
"디도스 공격하면 못 죽일 곳은 없지요. 좀비 숫자만 많으면 우리나라 전체 인터넷을 마비시키는 것도 별로 어렵지 않습니다. 사실 작정하고 달려들면 디도스는 아무도 못 막습니다."
"그럼 내일 아침에 선관위 사이트 공격할 수 있게 준비해봐."
팀장이 지시를 했지만 엔지니어는 순순히 답을 하지 않았다.
"그렇다고 디도스 공격을 하루 만에 뚝딱 해치울 수는 없습니다. 먼저 디도스 명령 내려 줄 업체를 찾아야 합니다. 그런 업체들은 주로 중국에 있는데 선 입금도 해 줘야 되고요. 그쪽에서 좀비 피시를 준비시킬 시간도 필요합니다. 최소한 네트워크 경로와 타깃 서버 구성을 파악한 후에야 효과적인 공격이 가능합니다. 게다가…."
"급하면 유디피(UDP) 공격을 해도 되잖습니까?"
해커 C가 아무 생각 없이 말을 끊자 엔지니어가 그를 노려보며 말했다.
"말도 안 되는 소리하지 마. 국가 기관에 UDP 공격했다가 백본이 다운되기라도 하면 어떡하려고? 우리나라 경찰뿐만 아니라 중국공안까지 나서서 탈탈 털 텐데?"
무슨 소린지 하나도 알 수 없어 팀장이 투덜거렸다.
"UDP 공격은 어떻게 하는 건데? 백본은 또 뭐야?"
"백본은 인터넷 기간망을 말합니다. KT, LG, SK같은 대형 네트워크 전문 업체들이 깔아 놓은 대용량 네트워크입니다."
해커가 설명하자 엔지니어도 거들었다.
"UDP 공격은 초당 10기가비트 이상의 데이터를 한 서버에 날려 보내는 겁니다. 수십기가에서 백기가 이상도 쏩니다. 이 정도면 선관위 같은 사이트뿐만 아니라 백본을 유지하는 KT같은 곳까지 마비될 수 있기 때문에 업체들이 기를 쓰고 막고 있지요. 때문에 UDP 공격은 대형 네트워크 업체 선에서 처리합니다."
UDP 공격: 보내는 쪽이 받는 쪽을 고려하지 않고 일방적으로 데이터를 보낼 수 있는 UDP 통신 방식의 허점을 악용한 디도스 기법이다. 초당 100메가비트 네트워크 속도를 가진 PC 100대면 10기가비트(10,000메가비트)의 공격을 할 수 있다. 많은 좀비를 모은다면 한국 인터넷 전체를 마비시킬 수도 있지만 좀비를 만들고 유지하는데 비용이 들기 때문에 주로 게임 사이트같이 돈이 걸린 곳을 총공격하는데 쓰인다. 공격이 들어오면 KT, SK 수준에서 라우터 같은 네트워크 장비를 다수 활용하여 실시간으로 공격을 우회시킨다. UDP 공격은 네트워크 용량을 가득 채워서 서비스를 불가능하게 만드는 대역폭 공격의 일종이다.
엔지니어가 반박하자 해커가 다시 아는 체를 했다.
"그럼 신 플러딩(홍수) 공격을 하면 되겠네요."
"그 공격도 KT 선에서 막혀. 대규모가 아니라면 디도스 감시 장비가 처리할 수도 있고."
"그래도 아직도 다들 많이 사용하고 있습니다."
"그건 소규모 도박 사이트나 음란 사이트한테 돈 뜯어 낼 때 이야기지."
"원래 그쪽 공격이 더 지독한데요?"
"어쨌든 선관위 같은 국가 기관이 아직도 이런 부분에 대비를 안 했겠냐?"
두 사람이 알아듣지도 못할 말로 서로 싸우자 팀장이 끼어들었다.
"잠깐 조용히 하고 그게 서버를 다운 시킬 수 있는지만 말해 봐."
"다운은 시킬 수 있겠지만 이것도 역시 이렇게 갑자기는 어렵습니다. 2009년 7.7 디도스 대란 이후에 대비도 잘 되어 있거든요."
"안 된다는 소리만 하지 말고 이런 장비를 통과할 수 있는 방법을 말해 봐."
팀장이 짜증을 내기 시작하자 해커가 또 다른 방법을 들고 나왔다.
"방법은 많습니다. 예를 들어 패킷 늘리기 방법을 써도 됩니다."
엔지니어는 역시 반대하고 나섰다.
"초당 패킷 수(PPS) 증가시키는 것 말이야? 그거 하려면 최소한 좀비 1000대 이상은 필요할 텐데 갑자기 어떻게 준비하냐?"
"중국에 전화 있는 대로 돌리면 되지요."
가능성이 보이는 듯하자 팀장이 물었다.
"PPS인가 하는 걸로는 서버를 다운 시킬 수 있다는 건가?"
엔지니어는 여전히 회의적으로 나왔다.
"그렇긴 하지만 시간이 필요합니다."
"시간이야 어떻게든 줄일 수 있을 거고…… 어떻게 하는 건데?"
해커가 자신 있게 설명했다.
"이게 최신 기술인데 효과도 아주 좋습니다. 좀비들이 네트워크 감시 장비가 경계하지 않을 정도로 소량의 데이터를 꾸준히 보내게 하는 겁니다. 이런 좀비가 많으면 결과적으로 서버에 엄청난 부하가 걸리게 됩니다. 선관위 서버 바로 다운시킬 수 있습니다."
엔지니어는 이번에도 역시 부정적으로 나왔다.
"서버를 다운시킬 수 있긴 하지만 요즘은 이 방법도 여러 가지로 어렵습니다."
"왜?"
"PPS 증가법은 엄청난 양의 패킷을 보내는 데 이렇게 되면 결과적으로 서버뿐만 아니라 네트워크 장비에도 부하가 걸려서 인터넷 전체가 차례로 다운될 가능성이 높습니다. 그래서 요즘은 지나가는 패킷 수도 실시간으로 감시하고 있어서 금방 노출 당합니다. 공격 징후가 보이면 디도스 방어용 그린존으로 대피시키기 때문에 10분 이상 효과를 발휘하기 힘듭니다."
"그린존은 또 뭐야?"
"디도스를 방어할 목적으로 수백기가 이상의 용량을 가진 네트워크를 따로 운영합니다. 디도스가 시작되면 서버를 그린존으로 대피시킵니다. 여기서 10기가든 100기가든 일단 다 받아 준 다음에 전용 장비로 디도스 접속을 가려내서 처리하는 거죠. 돈은 들지만 효과는 확실합니다. 그린 존에 들어간 서버는 죽이기 힘듭니다."
이미지 저작권: KT
팀장이 물었다.
"그러니까 웬만한 공격은 백본에서 처리하고 신 플러딩 어쩌고 하는 것부터 PPS란 것까지 모두 디도스 장비가 감시하고 있는 데다가 그린존이란 엄청 넓은 방어 구역이 있어서 하루 만에 준비해서는 서버에 도달하지도 못할 거란 소리잖아?"
"……"
다들 말이 없자 팀장이 상식적인 질문을 다시 했다.
"뭐가 이리 복잡해? 그럼 이 난관을 뚫고 꼭 선관위 서버를 다운시키려면 어떻게 해야 하는 거야? 그냥 선관위 홈페이지에 좀비들이 정상 사용자처럼 엄청 달라 붙으면 되는 거 아냐? 첫 페이지 보여 달라는 좀비 접속이 한 10만개쯤 달라 붙으면 다른 사람들이 들어 올 수 없을 텐데 말이야."
"요즘은 네트워크 용량도 넉넉한데다가 웹 서버를 여러 대 준비하기 때문에 웬만하면 그 정도는 버팁니다. 선관위라면 실제 웹 페이지도 몇 페이지 안 될 텐데 그마저도 미리 데이터를 준비해 두는 캐시란 것이 있어서 단순한 웹 페이지 요청은 별로 부담되지도 않고요."
엔지니어의 답변을 들은 해커가 또 새로운 방법을 제시했다.
"그렇다면 최신 기법을 쓰도록 하죠. 캐시 무력화는 어떻습니까?"
"2009년 디도스가 그거였잖아. 그 때 이후로 디도스 장비가 다 막아 준다니까. 잘 나가는 중국 디도스 감시 장비업체들은 자기들이 직접 디도스 해킹법을 개발해서 팔고 다시 그걸 막는 하드웨어도 만들어 돈을 벌고 있다고 의심 받고 있지. 어쨌든 돈만 들이면 막을 수 있어."
논쟁은 이제 엔지니어와 해커가 서로 실력을 겨루는 것처럼 바뀌고 있었다.
"혹시 압니까? 선관위가 이런 부분에 대비가 안 되어 있을지."
"국가 기관이 그럴 리가 있냐? 설사 그렇다고 하더라도 관리업체가 바로 처리할 거야."
"선관위 정도면 LG CNS나 KT가 직접 관여할 거니까 쉽게 죽이기 힘들 거야."
엔지니어의 말에도 불구하고 해커는 굴하지 않았다.
"아닙니다. 규모가 크다고 잘하는 건 아닙니다. 어차피 다 하청업체들이 작업하는 거니까 의외로 허접할 수도 있습니다. 한 번 해보시죠."
팀장이 다시 체크를 했다.
"그러니까 캐시 무력화로 서버를 다운 시키려면 어떤 조건이 필요한 거야?"
해커가 팀장에게 대답했다.
"일단 좀비가 많아야 합니다. 한 1000대 정도면 될 겁니다. 캐시 무력화를 시도하는 좀비들이 아주 적은 요청을 조금씩 보내야 합니다. 조금이라도 의심되면 디도스 장비가 막아 버리니까요."
엔지니어가 반론을 제기했다.
"그래 봤자 같은 요청이 반복해서 들어오면 디도스 장비들이 바로 대응하니까 빠르면 일이십 분 안에 들키고 길어도 몇 시간 안에 막혀. 요즘은 서버도 캐시 무력화 요청을 무시하도록 설정하기 때문에 별 효과도 없어. 게다가 그린존에 들어가면 이것도 끝이야."
"이래도 안 된다. 저래도 안 된다. 도대체 뭐 하자는 거야? 뾰족한 방법을 강구해야지 안 된다는 이야기만 하고 있을 때야? 그럼 박원순 홈페이지도 디도스 공격 못하겠네?"
팀장이 신경질을 냈지만 엔지니어는 아랑곳하지 않았다.
"그건 다르지요. 박원순 홈페이지는 아마 싸구려 호스팅 서비스를 받고 있을 겁니다. 어쩌면 한 달에 십만 원도 안될지도 모릅니다"
해커가 거들었다.
"요즘은 한 달에 오백 원짜리도 많습니다."
"그런 사이트는 디도스가 아니라 그냥 사용자만 조금 많아도 접속이 안 됩니다. 디도스 공격까지 할 필요가 있을지 모르지만 굳이 해야 한다면 좀비 한 두 대만 있어도 바로 죽일 수 있지요. 하지만 국가 기관은 다릅니다. 방어가 철저하기 때문에 쉽게 죽이기 어려운 데다가 끝까지 추적 당할 게 틀림없고 걸리면 피해가 장난이 아니니까 웬만하면 안 했으면 하는 거지요."
팀장은 그런 문제는 전혀 신경 쓰지 않는 눈치였다.
"어쨌든 디도스 공격은 매일 발생하잖아? 죽이겠다고 달라 붙으면 선관위 서버라고 별 수 있겠어? 책임은 내가 질 테니까 무조건 죽일 수 있는 방법을 강구하란 말이야."
팀장의 강경한 요청에 엔지니어는 어쩔 수 없이 디도스 공격을 하기로 했다.
"알겠습니다. 무조건 선관위 홈페이지를 다운시키라는 거지요? 얼마 동안이나 죽일 수 있을지 모르지만 한 번 시도는 해 보겠습니다."
"어떻게 할 건데?"
"일단 디도스가 성공하려면 지금 말한 방법을 다 동원해야 합니다. UDP 공격에 신 플러딩 그리고 캐시 무력화까지 골고루 섞어야 효과가 있습니다. 사실 정상적인 피시가 하는 일을 흉내 내는 것이 디도스니까요. 최종적으로는 말씀하신 대로 사용자가 몰려서 서비스가 안 되는 것처럼 보일 겁니다."
"이 복잡한 것을 어떻게 동시에 하나?"
"우리가 하는 건 아니죠. 돈만 주면 좀비 피시에 어떤 공격을 어떻게 할지는 그들이 알아서 합니다. 그럼 의뢰를 할까요?"
엔지니어가 팀장에게 물었다. 팀장은 속으로 겁이 나긴 했지만 겉으로는 의연하게 대답했다.
"그럼 당연하지. 시간이 없으니까 빨리 시작해."
엔지니어는 중국에 있는 디도스 공격 업자에게 전화를 걸었다.
"어이, 선관위 서버에 디도스 공격을 좀 해줘야겠는데 말이야. 선거 날인 내일 아침 6시부터 두 시간 정도 접속이 안 되게 하면 돼. 가능하겠지?"
중국 업자가 전화에 대고 신경질을 부렸다.
"이렇게 급하게 일 시키는 법이 어디 있어? 그쪽 서버들 설정도 잘 모른 채 공격하면 성공하기 어려울 거야. 부하 분산 설정이 잘 되어 있으면 죽이기도 힘들 거고."
"우리도 사정이 있어서 그런 거니까 어떻게 해봐."
"두 시간 이상을 버티려면 최소한 좀비 1000대 이상은 있어야 하는데 아침에 살아있는 좀비를 그만큼 어떻게 모으냐? 나 혼자는 안 되고 여러 군데 알아 봐야 하니까 비용이 좀 들 거야. 그래도 좋아?"
옆에서 듣고 있던 팀장이 비용은 걱정 말라는 듯 고개를 끄덕였다. 엔지니어가 전화에 대고 말했다.
"알았어. 일이나 확실히 해. 들키지 않게 조심하고."
하지만 업자는 오히려 이 쪽을 의심했다.
"우린 기본적으로 IP 세탁을 하니까 절대 걸릴 일이 없어. 너희 쪽이나 조심해. 언제나 함부로 입 놀리는 친구들 이 문제니깐."
아이템베이 디도스 사건: 게임 아이템 거래 사이트인 아이템베이는 2년 동안이나 디도스 공격을 당함으로써 아이템 거래 분야 1위 자리를 잃고 말았다. 공격자들은 공공연하게 아이템베이에 연락해 수 억 원대의 금품을 요구했으며 실제로 돈을 건네 받았다. 경찰은 경쟁 업체가 관련된 것으로 보고 수사를 진행해 경쟁 업체의 전 임원을 검거하기도 했다. 하지만 사건이 일어난 지 3년이 지난 현재까지도 전모를 파악하지 못하고 있다. 반면에 선관위 디도스 사건은 공격자들의 정확한 이해 관계가 드러나지 않았고 중국 디도스 공격자들이 금품을 요구하기 위해 피해자에게 접촉하는 등의 신분 노출 행위조차 하지 않았음에도 신속하게 범인이 잡히고 범행 전모가 드러난 것은 대단히 이례적인 일이다. 따라서 경찰의 수사 진행 과정 자체에 대한 조사도 반드시 필요할 것으로 보인다.
그리하여 선거 방해 공작이 시작되었다. 그 때 팀장이 생각난 듯 말했다.
"근데 딴 서비스는 그대로 두고 투표소 안내 페이지만 죽여야 하는데 그것도 가능하겠지?"
엔지니어가 놀라서 물었다.
"어떻게 디도스로 특정 페이지만 골라서 죽입니까? 그건 디도스가 아닙니다. 디도스는 사이트 전체를 다운 시키는 겁니다."
이번에도 해커가 나섰다.
"그게 디도스든 아니든 어쨌든 가능합니다. 투표소 안내는 데이터베이스(디비)를 쓸 테니까 디비 서버 아이피를 알아내 그 서버만 집중 공격하면 됩니다."
"지금 여기서 디비 서버 아이피 이야기가 왜 나와? 너 해커 맞아? 디비 서버는 외부에서 접근할 수 없게 숨겨 놓고 쓰는데 어떻게 공격한단 말이야?"
"혹시 압니까? 선관위는 디비 서버를 외부에 노출 시켜 놓았을지."
"절대 그럴 리가 없어. 아무리 무식한 시스템 엔지니어라도 그런 짓은 안 해."
엔지니어가 강경하게 나오자 해커가 물러서서 다른 방안을 강구하기 시작했다.
"혹시 선관위 사이트에 로그인 기능이 있나요?"
팀장이 다시 물었다.
"그건 왜?"
"만약 그렇다면 사용자 정보가 디비에 있을 테니까 로그인 요청을 다량으로 보내서 사용자 정보 디비를 다운시킬 수 있거든요."
선관위 사이트를 뒤져보며 엔지니어가 대답했다.
"선관위 홈페이지는 www.nec.go.kr이고 투표소 안내는 info.nec.go.kr인데 둘이 IP가 완전히 달라. 서로 다른 서버에 있을 가능성이 아주 높아. 근데 로그인은 www 서버에만 있고 info 서버에는 없어."
"로그인 요청을 보내면 오히려 www 서버만 죽겠네요. 그럼 혹시 info 서버에 검색 기능은 없나요? 검색 질의를 왕창 보내면 죽일 수도 있는데."
"있기는 있지만 웹 페이지를 검색해 주는 단순 기능뿐이야. 얼마 되지도 않는 웹 페이지 데이터를 찾아 주는 거라 디비와 연결되어 있지도 않겠지. 그리고 그렇게 해 봤자 info 서버 전체가 죽지 투표소 안내 기능만 죽일 순 없어."
해커가 다시 아이디어를 짜냈다.
"그럼 투표소 디비 접속 요청을 다량으로 보내면 되지 않을까요?"
"……"
엔지니어가 잠시 생각해보느라 반응이 없자 팀장이 대신 물었다.
"그건 어떻게 하는 거야?"
"예를 들어 <강남구 1선거구 투표소 위치를 알려 주시오> 이런 요청을 마구 보내면 투표소 안내 디비에 부하가 걸릴 것 아닙니까?"
엔지니어가 곧바로 반론을 제기했다.
"그래 봤자 WAS(와스)가 다 걸러 버리지. 같은 검색을 계속하면 WAS가 캐시에 저장하기 때문에 디비에 접속하지도 않고 바로 답을 줄 수 있으니까 부하도 안 걸려."
"그럼 모든 선거구 투표소 위치를 각각 질의하는 요청을 만들어 보내면 되지 않을까요?"
"어떻게 하자는 거야?"
"강남구1선거구투표소위치, 강남구2선거구투표소위치… 공릉동1선거구투표소위치, 월계동2선거구투표소위치 이렇게 투표소를 물어 보는 질문을 다 다르게 만들어 좀비들이 동시에 요청하도록 하는 겁니다."
"전국 투표소가 한 3000개 되나? 그 질문 전부 다 만들어도 3000종류가 안 되는데 이 정도는 WAS 서버 캐시에 담기고 끝이야. 디비는 그냥 놀고 있겠네, 죽을 수가 없어."
해커도 엔지니어의 말에 동의했다.
"디비도 캐시를 하니까 3000종류의 단순 질문이라면 WAS서버가 없더라도 그냥 디비가 직접 다 처리할 수도 있겠네요."
둘 다 포기하자 이번엔 팀장이 아이디어를 냈다.
"그럼 아무 질문이나 막 만들어 던지면 어때?"
"WAS가 올바른 질문인지 먼저 체크를 하니까 바로 거부되고 끝납니다."
"선관위 서버를 해킹해서 투표소 안내 기능만 죽이면 어떨까?"
"그건 해킹인데요. 시간이 너무 촉박합니다. 보안 허점을 찾으려고 해도 며칠은 걸립니다. 서버 접근권까지 얻으려면 더 걸리고요. 해킹한 거 안 들키게 우회까지 하려면 한 달은 더 필요하겠네요. 그렇게 해 봤자 금방 들킵니다. 해킹한 후에 아예 디비를 날려 버리지 않는 한 바로 복구되고 말 겁니다."
아무리 머리를 짜내도 투표소 안내 기능만 죽일 방법을 찾을 수 없었다. 결국 엔지니어가 팀장에게 마지막으로 선언했다.
"저의 모든 IT 경험을 걸고 말씀 드립니다. 현 상황에서 디도스로 선관위 투표소 안내 기능만 죽이는 것은 불가능합니다. 디도스가 아닌 변형 공격으로도 불가능합니다. 해킹을 해도 금방 들켜 복구되기 때문에 효과가 없습니다."
선관위 사이트: 선관위 서버의 투표소 안내 서비스가 다운된 것은 디도스 때문이 아니다. 변형된 형태든 아니든 외부에서 할 수 있는 디도스 공격 방법으로 발생한 일이 아니다. 이 사실을 위배하는 그 어떤 주장도 모두 거짓이다. 선관위 사건의 진상을 파악하기 위해서는 이 명약관화한 사실에서 출발해야 한다.
팀장이 암담해하고 있자 해커가 나섰다.
"사실 가장 확실하면서도 간단한 방법이 있긴 합니다."
팀장은 해커의 태도가 의심스러웠지만 실낱 같은 기대를 버리진 못했다.
"그게 뭔가?"
해커가 분위기 파악을 못하고 웃으며 말했다.
"선관위 서버 관리자한테 전화 걸어서 디비 서버 잠시 세워달라고 부탁하면 됩니다."
"선관위가 어떤 곳인데 그런 소리를 해? 그런 부탁을 누가 들어 주겠어?"
팀장은 해커의 헛소리에 황당하다는 듯이 대꾸했지만 속으로는 꼭 그렇지만은 않을지도 모른다고 생각했다.
김인성 (http://minix.tistory.com/317?utm_medium=twitter&utm_source=twitterfeed)
-------------------------------------------------------------------------------------------------------------------------------------------------------
“청와대 지시로 디도스 금전거래 덮었다”
사정 당국 고위 관계자 진술 특종 보도 청와대 비서실, 경찰 수뇌부에 핫라인 통해 은폐압력 행사
10·26 서울시장 보궐선거 당일 중앙선거관리위원회 누리집 디도스 공격에 대한 경찰의 수사 과정에서 청와대가 외압을 행사해 사건의 중요 사실을 은폐한 것으로 드러났다. 청와대는 특히 청와대 행정관 박아무개 (38)씨가 선거 전날 저녁 디도스 공격 관련자들과 술자리를 함께 한 사실, 그리고 한나라당 관계자들과 해커들 사이에 대가성 돈거래가 있었던 사실을 공개하지 않도록 압력을 행사한 정황이 드러났다. 선관위 누리집 공격 사건을 경찰이 수사하는 과정에서 청와대가 나서 조직적으로 개입한 정황이 드러나 앞으로 파장이 예상된다.
사정 당국의 고위 관계자는 “12월 초 최구식 한나라당 의원의 비서인 공아무개(27·구속)씨 검거 직후부터 경찰 최고 수뇌부와 청와대가 교감을 한 뒤 경찰 발표 문안을 확정했다”며 “그 과정에서 청와대 행정관이 범행이 비롯된 술자리에 참석했다는 사실, 그리고 디도스 공격을 둘러싼 돈거래 내역 두 가지를 공개하지 않기로 미리 협의했다”고 말했다.
경찰은 이런 합의 내용에 따라 지난 12월9일 수사 결과를 발표하려고 했으나, 하루 앞선 8일 한 언론에서 청와대 행정관이 디도스 공격 관련자들과 술자리에 함께 한 내용을 폭로해 발표 내용을 일부 수정했다. 이에 따라 9일 경찰의 발표에서는 청와대 행정관의 술자리 참석 내용을 시인했지만, 한나라당 관계자들과 해커들 사이의 돈거래 사실은 공개하지 않았다. 디도스 공격 관련자들 사이의 돈거래 사실은 <한겨레21>이 지난 14일 아침 인터넷을 통해 단독 보도해 세상에 알려졌고, 경찰은 그날 오전 기자회견을 열어 이런 사실을 인정했다. 청와대와 경찰이 감추려고 했던 두 가지 주요 사실이 결국은 언론을 통해 모두 누설된 셈이다.
사정 당국 관계자는 경찰과 청와대 쪽의 사전 교감 사실과 관련해 “지난 12월1일 경찰 최고위급 간부에게 ‘손발이 맞지 않아 못 해먹겠다’라는 전화가 청와대 정무수석실의 치안비서관으로부터 걸려오면서부터 본격적인 조율이 시작됐다”며 “청와대와 논의되지 않은 상황에서 공씨의 신원이 한나라당 의원 비서로 언론에 공개돼 당시 청와대는 패닉에 빠졌으며 이어질 경찰의 돌발행동을 우려해 비서관급에서 수석급으로 핫라인을 격상했다”고 말했다. 이런 발언은 민주당 쪽의 주장과도 정황이 맞아떨어진다. 민주당 정책위의장인 박영선 의원은 “(12월9일에 발표된) 디도스 수사 발표문이 조현오 경찰청장실에서 고쳐졌다”고 주장했다. 민주당의 또 다른 의원은 “조현오 경찰청장이 계좌 관련 정보의 공개를 반대했다”라고 말했다.
청와대 쪽이 경찰의 수사에 본격적으로 개입하기 시작한 시점은, 청와대 행정관 박씨가 박희태 국회의장 비서이던 김씨와 식사를 함께했다는 내용을 경찰이 포착하고 이를 수사선상에 올린 뒤로 알려졌다. 또 12월4일 이후 경찰이 계좌 추적을 시작해 한나라당 관계자들의 돈거래와 관련한 단서를 잡은 것도 청와대가 직접 개입한 이유로 보인다. 경찰의 수사망이 청와대와 한나라당까지 좁혀온 데 대한 청와대의 반응으로 풀이된다.
물론 경찰 내부에서도 돈거래를 비롯한 모든 사실을 공개하자는 수사 실무진의 의견도 만만치 않았던 것으로 전해졌다. 그러나 실무진도 상부의 의지를 거스를 수 없었다. 사정 당국의 한 관계자는 “청와대와 조율을 거친 결정을 번복할 수 있는 경찰 간부는 아무도 없었다”고 말했다.
2011.12.17 <한겨레 21> 특별취재팀 han21@hani.co.kr
-------------------------------------------------------------------------------------------------------------------------------------------------------
‘선관위 디도스 공격’ 수사기록 등 분석
선관위, 디도스 공격받을 때 KT선 끊어 접속장애 자초했다
지난 3월 초, 중앙선관위 홈페이지 접속장애 사건 관련 검·경 수사기록, 선관위·한국인터넷진흥원·KT·LG엔시스 등이 검·경에 제출한 각종 데이터 및 기술분석보고서, 최구식 국회의원의 비서 공현진(27)씨가 사용했던 외장메모리장치(USB) 등을 단독 입수했다. 자료를 제공한 한국기독교교회협의회(KNCC)와 함께 3주에 걸쳐 1만여쪽의 자료를 일일이 검토했다.
사건 관련자 통화내역·하드디스크 분석자료 등을 재검토했고, 검·경이 미처 추적하지 못한 증거자료에 대한 추가 취재를 벌였으며, 새로운 관련자들을 접촉해 인터뷰했다. 전문가의 자문도 구했다. 사건 초기부터 이 문제에 관심을 기울여온 김기창 고려대 법학과 교수(오픈웹 대표), 익명을 요청한 인터넷 보안 기업의 네트워크 전문가, 역시 익명을 요청한 인터넷 포털 기업의 네트워크 전문가 등이 자료를 함께 검토하여 의견을 보냈다. 전문가들의 의견이 일치하는 내용을 중심으로 기사 작성에 참조했다.
지난 23일 관련 질의서를 중앙선관위에 보내 반론 및 해명을 들으려 했으나 28일 저녁 현재까지 회신을 받지 못했다. 선관위 입장은 그동안 언론에 배포한 설명자료를 참조했다. 이번에 확보한 수사자료 가운데는 그동안 시민단체 등이 선관위에 공개를 요청한 내용도 일부 포함돼 있었지만, 파일·CD 형태로 제출된 전산 원자료, 참고인 자격으로 검찰에 출두했던 최구식 의원의 진술, 검찰이 전화로 조사한 김효재 전 청와대 정무수석의 진술 등은 등에 대한 수사자료가 빠져 있다.
중앙선거관리위원회(이하 선관위)의 잘못된 대응이 지난해 10월26일 오전 서울시장 보궐선거 관련 선관위 홈페이지 접속 장애의 주요 원인 가운데 하나라는 분석이 나왔다. <한겨레>가 1만여쪽에 이르는 검·경 수사기록 및 각종 기술보고서를 단독입수하여 네트워크 보안 전문가들과 함께 검토한 결과, “디도스 공격에 대응하려면 많은 접속량을 소화할 수 있도록 인터넷 회선을 증속하는 조처가 필요한데, 오히려 용량이 큰 KT 회선(310Mbps)을 단절하고 그 절반에 불과한 LGU+ 회선(155Mbps)만 남긴 것은 명백히 잘못된 결정이었다”는 공통된 분석이 나왔다.
선관위는 홈페이지 접속장애가 시작된지 1시간여만인 26일 오전 7시, KT 회선을 차단했다. 그동안 선관위는 “디도스 공격이 KT 회선에 집중되어 있어 차단했다”고 설명해왔다. 그러나 관련 자료를 검토한 전문가들은 “의도가 개입됐는지는 알 수 없지만, 인터넷 접속을 위한 망(네트워크)을 선관위 스스로 죽인 꼴이 돼버렸다”고 지적했다. 지난 1월7일 검찰은 수사 결과를 발표하면서 “선관위 내부자의 공모 또는 고의적 장애 방치는 없었다”고 밝힌 바 있다.
‘사이버 대피소’ 우회 조처 과정에서 선관위가 미숙하게 대응한 사실도 드러났다. 홈페이지 IP 주소를 변경해 공격을 피하는 사이버 대피소 우회는 사건 당시 접속장애를 해결하는 데 결정적 역할을 했다. 그러나 선관위 관계자는 지난해 12월 검찰에 출석해 “사이버 대피소로 곧바로 대피했다면 더 빨리 장애를 처리했겠지만, 디도스 공격 당시에는 사이버 대피소 (우회 조처) 생각을 못했다”고 진술한 것으로 밝혀졌다. 수사자료를 보면, 접속 장애 발생 2시간이 지난 오전 8시께, KT가 사이버 대피소 우회 조처를 선관위에 먼저 제의한 것으로 나온다. 그동안 선관위는 각종 발표 자료에서 “사이버대피소 우회를 협의·조처했다”고만 표현하며 누가 결정을 주도했는지 명확히 설명하지 않았다.
온라인 카지노 합법화 로비를 둘러싼 새로운 의혹도 제기됐다. 수사자료 검토 및 취재 결과, 최구식 의원 비서 공현진(27)씨가 지난해 10월13일 오전, 국회 지식경제위원회 소속 ㄱ 의원(새누리당) 비서로 일하는 ㄴ씨에게 “보안을 부탁드린다”는 내용과 함께 ‘국내·해외 온라인 카지노 기획안’을 발송한 사실이 밝혀졌다. 국회 지식경제위는 카지노를 운영하는 ‘강원랜드’를 소관하고 있다.
또한 공씨가 “(지난해 11월께 온라인 카지노 업자들에게) 한나라당 디지털위원회에 와서 일해달라고 부탁한 적이 있고, 이와 관련해 함께 밥 먹는 자리를 만들어보겠다고 최구식 의원과 온라인 카지노 업자들에게 말한 적이 있다”고 검찰에서 진술한 사실도 드러났다. 공씨가 사용하던 컴퓨터 하드 디스크 복원 결과 발견된 한글 문서에서도 관련 내용이 발견됐다. 지난해 10월20일 작성된 ‘한나라당 홍보위원회 SNS 지원단 구성안’이라는 제목의 문서에는 포털팀·검색팀·모바일팀·트위터팀 등을 “포털 노출순위 조작하는 전문가들로 구성”한다는 내용이 있다.
특히 공씨가 구속 직전까지 사용했던 외장메모리장치(USB)를 입수해 분석한 결과, 국회 문화체육관광방송통신위원회, 사행산업통합감독위원회, 방송통신위원회, 문화체육관광부 등을 상대로 온라인 카지노 합법화 로비를 펼친다는 계획이 적힌 문서가 발견됐다
이훈삼 한국기독교교회협의회(KNCC) 정의평화국장은 “도박업자와 정치권이 결탁해 헌법 기관을 공격한 전대미문의 사건이 여전히 베일에 가려져 있고, 시민들이 이해하기 어려운 전문 분야에 대한 선관위의 부실한 설명 역시 의혹의 대상이 되고 있다”며 “양심적 내부고발자 및 관련 전문가 등과 함께 사건 실체를 계속 추적하겠다”고 말했다.
선관위 디도스 공격 사건 특별검사팀은 지난 26일부터 본격 수사에 들어갔다. 최대 90일의 수사기간을 거쳐 이르면 5월, 늦어도 6월이면 수사 결과를 발표할 예정이다. 유신재 송경화 안수찬 기자 ahn@hani.co.kr
공격받은 선관위 2시간반 ‘이상한 대응’
지난해 10월26일 오전 12시59분께, 디도스 공격이 시작됐다. 서울시장 보궐선거 투표 개시를 5시간여 앞둔 시각이었다. 최구식 새누리당 의원의 비서 공현민(27)씨가 온라인 카지노 업자 강아무개(25)씨에게, 강씨는 다시 서울 강남구 삼성동 사무실에 있는 동료 김아무개(27)씨에게 전화 걸었다. 전화선을 타고 이어진 공격 지시를 받고, 김씨는 자신의 방에 있는 컴퓨터를 켰다. 중앙선관위와 박원순 후보 홈페이지를 ‘시험 공격’했다.
잠시 휴식을 취한 김씨는 투표 개시 직전인 오전 5시50분께부터 본격적으로 공격을 시작했다. 이 시각부터 오전 8시30분까지 투표소 위치를 검색하려던 많은 유권자들은 선관위 홈페이지에 접속할 수 없었다. KT 국가운용망 사이버대피소로 피신한 뒤에야 사태는 진정됐다. 공교롭게도 접속 장애의 시작과 끝은 출근 시간대와 겹쳤다.
■ KT회선 단절조처는 도대체 왜? 인터넷 사용자가 선관위 홈페이지에 닿는 길은 두 가지다. 하나는 KT가 제공하는 국가기간망인 퍼브넷(PubNet)이고, 또 하나는 LGU+가 제공하는 퍼브넷플러스2(Pub-Netplus2)다. 선관위로 향하는 KT 퍼브넷의 길은 넓다. 155Mbps 용량의 회선 2개로 연결돼 있다. 반면 LGU+ 퍼브넷플러스2는 155Mbps 용량의 회선 1개로 연결돼 있다.
더 넓은 길을 주로 사용하도록 선관위는 회선 설정을 해두었다. 사용자가 어느 통신사의 인터넷 서비스를 이용하건 외부에서 선관위 서버에 접속하는 모든 트래픽(송·수신 데이터 흐름)은 KT 퍼브넷을 거치도록 설정돼 있다. 디도스 공격 트래픽도 같은 원리에 따라 KT 회선으로 들어왔다. 수사자료 검토 결과, 선관위 정보화담당관실 관계자는 “왜 공격 트래픽이 KT 회선에 집중됐는지 모르겠다. 그건 통신사업자에게 확인해 봐야 한다”고 진술한 것으로 밝혀졌다. 그 진술이 진실이라면, 그는 선관위 회선 구성의 기본 원리를 이해하지 못했던 것이다.
26일 오전 5시50분께부터 시작된 디도스 공격으로 1Gbps의 트래픽이 KT 퍼브넷을 통해 선관위로 향했다. KT 퍼브넷과 선관위 서버를 잇는 2개 회선의 용량은 310Mbps였다. 최대용량의 3배가 넘는 트래픽으로 인해 병목현상이 발생했고, 그 영향으로 선관위 홈페이지 접속이 불가능해졌다.
검찰 수사자료 및 각종 기술분석 보고서를 검토한 전문가들은 “디도스 공격에 대한 일반적 대처법은 회선의 용량과 속도를 늘리는 것”이라고 한결같이 지적했다. 당시 선관위는 정반대의 결정을 내렸다. 오전 6시58분께, 선관위는 KT 퍼브넷과 연결된 2개 회선을 막아버렸다. 선관위 홈페이지로 향하던 트래픽은 갑자기 길을 잃었다. 최대 1Gbps였던 트래픽은 KT 퍼브넷 입구 쪽에서 우왕좌왕하며 최대 11Gbps의 트래픽으로 증폭했다. 이들 트래픽은 선관위 회선 구성 원리에 따라, 남아있는 유일한 길인 LGU+ 회선으로 다시 몰려들었다. KT 회선 용량의 절반에 불과한 LGU+ 회선도 꽉 막혀버렸다.
수사자료 검토 결과, KT 회선 차단을 결정하는 과정에서 선관위는 KT·LGU+ 등 네트워크 사업자와 전혀 상의하지 않았던 것으로 밝혀졌다. KT 관계자는 검찰에서 “KT 회선 차단은 선관위가 자체적으로 작업한 것이고, 선관위는 우리한테 (회선 차단에 대해) 따로 연락하지 않았다”고 진술했다.
■ 한박자 늦은 공격 IP 차단 디도스 공격에 대응하는 또다른 방법은 공격 IP주소를 차단해 좀비피시의 접근을 막는 것이다. 선관위가 마련한 내부 규정인 ‘디도스 공격 대응지침’도 공격 IP주소 차단을 초동조처의 하나로 밝혀두고 있다. 선관위는 홈페이지 접속장애 발생 40여분이 지난 6시30분께 KT 국가망운용실에 공격 IP 차단을 요청했다. 접속장애 원인이 디도스 공격인지 아닌지 판단하는 데 40여분이 걸린 셈이다.
디도스 공격 징후를 더 일찍 파악할 기회가 없지 않았다. 이날 오전 1시께 ‘시험 공격’으로 인해 선관위 회선에 비정상적 트래픽이 발생했다. 수사자료 검토 결과, 선관위 정보화담당관실에는 시험 공격 당시 근무자가 아무도 없어 이상 징후를 감지하지 못했던 것으로 드러났다. 접속자가 뜸한 오전 1시에 갑자기 늘어난 트래픽을 누군가 감지했다면 공격 IP 차단을 비롯한 대응이 보다 원활했겠지만, 정보화담당관실 야간 당직자는 근무 규정에 따라 전날 저녁 9시에 퇴근한 상태였다. 우연의 일치였는지, 하필이면 비정상 트래픽을 감지할 야간 당직자가 없는 시간에 ‘시험 공격’이 이뤄졌다.
선관위는 지난해 12월 발표자료에서 “오전 1시께 발생한 시험공격은 회선 용량 범위 안에서 이뤄졌으므로 외부에서 (디도스) 공격을 감지할 수 없었다”고 밝혔다. 반면 시험 공격을 실행한 김아무개(27)씨는 “공격 5분여만에 선관위 및 박원순 후보 홈페이지 모두 쉽게 ‘다운(접속불능상태)’ 되는 것을 확인하고 (공아무개씨 등에게) ‘공격 가능하다’고 연락했다”고 검찰에서 진술했다. 다른 관련자들도 같은 내용을 일관되게 진술했다. 지난해 12월, 선관위가 내놓은 ‘향후 대책’ 가운데는 상시 모니터링을 위한 관제센터 운영이 포함됐다.
허술한 공격 IP 차단 조처는 KT 회선 차단 이후에도 이어졌다. 오전 7시10분께, 한국인터넷진흥원이 선관위에 “디도스 공격을 탐지했다”고 알렸다. KT 회선 차단 이후 LGU+ 회선만 유지하고 있는 상태였으므로 공격 트래픽이 몰려들 LGU+에 공격 IP를 알리고 차단을 요청하는 작업이 필요한 순간이었다. 수사자료 확인 결과, “선관위는 26일 오전 8시7분께 처음 우리 측에 (홈페이지 접속) 장애 사실을 알려왔다”고 LGU+ 관계자는 검찰에서 진술했다. 이때문에 LGU+ 회선의 공격 IP 차단 작업은 오전 8시30분에야 시작됐다. 선관위 관계자는 “이날 오전 6시40분에 LGU+에 장애 사실을 알렸다”고 검찰에서 말했지만, 거듭된 확인 과정에서도 LGU+ 관계자는 “아니다. 오전 8시7분이 맞다. 오전 6시40분에 선관위에서 연락받은 적이 없다”고 반박했다.
■ 사이버 대피소 피난의 우여곡절 수사자료를 보면, 디도스 공격 시작 2시간이 지난 26일 오전 8시께 한국인터넷진흥원 및 KT가 선관위에 대용량 회선과 공격차단 시스템을 갖춘 사이버대피소 사용을 먼저 제안했고, 이를 선관위가 수용했다. 30여분이 지난 오전 8시30분께 접속 장애도 해결됐다. 사태 초기부터 사이버 대피소 피난을 적극 고려했다면 접속 장애 해결도 빨라졌겠지만, 선관위 정보화담당관실 관계자는 “당시에는 사이버 대피소 (우회 조처) 생각을 못했다”고 검찰에서 진술했다.
이날 오후, 선관위가 엉뚱한 사이버 대피소로 우회한 사실도 새롭게 드러났다. 투표 마감·개표를 앞둔 26일 오후 5시13분께, 선관위는 한국인터넷진흥원(KISA) 사이버대피소로 홈페이지 주소를 다시 옮겼다. 그러나 막상 개표가 시작되자 해외 사용자들의 접속이 불가능하다는 사실을 파악하고, 오후 7시44분께 KT국가망운용실 사이버대피소로 재우회했다. 투표에 영향을 주지는 않았지만, 사이버대피소 운용 방식에 대한 선관위의 이해 부족을 드러낸 셈이다.
선관위가 수사당국에 제출한 ‘10·26 당시 정보화담당관실 업무분장’ 자료를 보면, 사고 당시 15명의 공무원이 선관위 정보화담당관실에서 일했다. 헌법상 독립기관인 선관위는 다른 정부부처 등과 달리 독자적인 정보운용·보안감시 체계를 운용해왔다.
■ 새로운 의혹들 검경 수사자료, 선관위 발표 자료, 관련자 진술 등을 비교검토하면 디도스 공격의 주체가 분명하지 않은 시간대가 있다.
디도스 공격을 직접 수행한 김아무개(27)씨는 검찰 조사에서 공격 당일 오전 11시께부터 “공격을 멈추었다”고 진술했다. 오전 9시께부터 책상에 엎드려 잠들었고 간간이 깨어나 공격 버튼을 눌렀으나, 오전 11시께 일어났을 때는 “디도스 공격 프로그램에 나와 있는 좀비피시의 개수가 ‘0’으로 나와 있었다”는 것이다. 악성 프로그램에 감염된 좀비피시를 동원하는 것이 디도스 공격이므로 적어도 오전 11시부터는 공격이 불가능한 상황이었던 셈이다. 또한 김씨에게 디도스 공격을 지시했던 공현민·강아무개씨 등이 이날 낮 12~1시 사이에 “이제 그만 공격해도 된다”고 연락했던 사실도 수사자료에서 확인된다.
그런데 선관위로 통하는 회선 가운데 하나인 엘지유플러스(LGU+)의 디도스 공격 탐지 장비는 오후 1시19분부터 15분 동안 디도스 공격을 탐지했다. 선관위도 12시57분~1시27분에 디도스 공격 트래픽이 발견됐다고 발표했다. 김씨가 사용한 디도스 공격 프로그램은 ‘공격 시간 예약’ 기능이 없는 ‘중국산’이다. 공격자가 컴퓨터 앞에 앉아 계속 명령 버튼을 눌러야 디도스 공격이 이뤄진다. 오전 11시에 컴퓨터 앞을 떠난 김씨가 명령 버튼을 누르지 않았는데도 디도스 공격은 오후 1시27분까지 이어진 형국이다.
케이티(KT) 회선 차단 직후인 오전 7시10분~7시30분 사이에 대해서도 혼란스런 대목이 있다. 선관위는 이 시간에 누리집 접속이 정상화됐다고 발표했다. 케이티 회선 차단 조처가 효과가 있었다는 주장이다. 그러나 케이티와 엘지유플러스 관계자들은 검찰 조사에서 “이 시간대에도 정상 서비스는 되지 않았다”고 진술했다. 공격자 김씨가 이 시간대에 잠시 외출하느라 공격을 멈추었다는 진술도 확인됐다. 과연 일시 정상화됐던 것인지, 여전히 접속장애가 있었다면 이유는 무엇인지 등이 해명되지 않고 있다.
트래픽이 드나드는 관문인 ‘라우터’가 죽었다가 되살아나는 현상이 오전 7시30분부터 무수히 반복된 것도 석연치 않은 대목이다. 트래픽을 주고받는 규칙 설정이 잘못된 경우에 이런 현상이 일어날 수 있다는 게 라우터 제조업체인 시스코의 설명이다. 일부에선 실수 또는 고의로 라우터 설정을 바꿨을 가능성을 제기하고 있다. 유신재 안수찬 기자 ahn@hani.co.kr
인터넷 카지노업자의 ‘디도스 베팅’…‘신의 영역’ 믿었나
지난 1월, 서울중앙지검 특별수사팀은 중앙선관위 홈페이지 접속장애 사건 수사결과를 발표했다. 최구식 국회의원의 수행비서 공현민(27)씨, 그의 고향친구인 강아무개(25)씨 등이 온라인 카지노 합법화를 기대하며 선관위 홈페이지를 디도스 공격했고, 국회의장 의전비서 김태경(31)씨가 그 대가로 1천만원을 건넸다는 내용이었다.
공씨는 검·경 수사과정에서 “선거 전날, 즉흥적으로 나 혼자 결정한 일”이라고 진술해왔다. 그러나 1만여쪽의 검·경 수사자료에는 ‘윗선’과 ‘배후’를 암시하는 대목이 곳곳에 있다. 수사 과정에서 온라인 카지노 업자들은 “진짜 배후를 말해야 우리가 풀려난다”고 공씨를 설득했다. 이 과정에서 그들이 공씨로부터 들은 이야기를 털어놓은 내용이 수사자료에 남아 있다.
“디도스 공격해도 문제 없는지 물었더니 공씨가 ‘너희들이 상상하지 못하는 부분이 있고, 이름 세글자만 들어도 알만한 사람이 뒤에 있다’고 말했다.” “공씨가 ‘디도스 공격이 잘돼서 한나라당과 나경원 후보가 이기면 나경원 보좌진들에게 (온라인 카지노 합법화를) 이야기해 볼만하다’고 말했다.” “공씨가 구치소에서 ‘내가 교도소 나가면 다 잘될 것이고 받을 것이 있으니 이쯤에서 지금 상태로 정리하여 끝내자’고 우리에게 말했다.”
복수의 온라인 카지노 업자들이 거듭하여 이런 내용을 진술했지만, 공씨는 대질신문 등에서 “그런 말을 전혀 한 적이 없다”며 강하게 부인했고, 검찰은 범행 배후에 대한 이렇다할 실마리를 잡지 못했다.
<한겨레>는 검·경 수사자료와 별개로 공씨가 구속 직전까지 사용했던 외장메모리장치(USB)를 입수했다. 최 의원 사무실의 각종 자료와 함께 다양한 종류의 ‘온라인 사업 기획안’ 문서가 발견됐다. “외국에서 합법화된 온라인 카지노를 국내에서도 합법화하는 목적”으로 만들어진 것인데, 국회 문화체육관광위원회, 사행산업통합감독위원회, 방송통신위원회, 문화관광부, 법제처 등을 상대로 하는 로비 구상이 적혀 있다.
특히 “사감위원들의 교체시기를 주문(한다)”, “사감위 후보위원들 접촉” “사감위에서 법제처에 유권해석자료 전달. 구체 내용은 확인 뒤 연락주기로 함” “문화관광부 승인만으로는 사업 안된다는 문광부 최종 확인” “방통위와의 교류도 다질 필요가 있음” 등의 내용이 있다. 9급 수행비서가 감당할 내용이 아닌 것은 물론 국회의장 의전비서의 힘으로도 치러낼 수 없는 수준의 일이다.
공씨가 지난해 10월13일 오전, 국회 지식경제위원회 소속 ㄱ 의원(새누리당) 비서로 일하는 ㄴ씨에게 ‘국내·해외 온라인 카지노 기획안’을 발송한 사실도 새로운 의혹이다. 국회 지식경제위는 카지노를 운영하는 ‘강원랜드’를 소관하고 있다. ㄴ씨는 <한겨레>와 통화에서 “수행비서에 불과한 나에게 왜 그런 메일을 보냈는지 알 수 없고, 내용도 제대로 살펴보지 않았다”며 “이와 관련해 (검찰 등으로부터) 연락 받은 적은 없다”고 말했다.
이들이 벌인 합법화 로비의 규모를 짐작케 하는 증언도 새로 나왔다. 구속기소된 온라인 카지노 업자들과 지난해 가을까지 함께 일한 ㄷ씨는 최근 <한겨레>와 만나 “국회의원 출마를 준비한다는 진주 지역 유력자 ㄹ씨에게 온라인 카지노 합법화를 위해 힘써줄 것을 기대하며, 지난해 여름 여러 차례에 걸쳐 3억원을 전달했다”고 증언했다. 지역 유력자인 ㄹ씨는 나중에 국회의원 출마 의사를 접었지만, ㄷ씨는 “당시만 해도 (우리에게) 돈이 넘쳐나 그 정도 액수는 대수롭지 않았기 때문에 (불출마에 대해) 구태여 문제삼지 않았다”며 “어떤 방식으로건 온라인 카지노를 합법화할 수 있다는 기대가 컸던 것은 사실”이라고 말했다.
수사자료 및 취재결과를 종합해 보면, 공씨와 그 친구들은 온라인 카지노 합법화를 위해 정치권 유력 인사와 긴밀하게 의논하려고 다양한 노력을 펼친 것으로 보인다. 경호·수행·의전 비서들이 주축을 이루고, 국정원 직원·사업가 등이 이름을 올린 친목모임 ‘선우회’가 의혹의 대상이 되는 이유이기도 하다.
이번 사건으로 구속기소된 국회의장 비서 김태경)씨는 디도스 공격 전날인 지난해 10월25일 저녁, ‘선우회’ 회원 몇몇과 식사했다. 이 자리에는 선우회 회장인 청와대 행정관 ㅁ씨도 참석했다. 홍준표 새누리당 의원 비서출신의 ㅁ씨는 2007년 대선 때 이명박 후보의 경호를 맡았고, 국회에서 일할 때는 인터넷 홍보 업무도 담당했다. 수사자료 검토 결과, 이날 저녁 자리에는 강원랜드 고위직으로 일하는 ㅂ씨도 참석할 예정이었던 것으로 드러났다. ㅂ씨는 ㅁ씨와 함께 대선 당시 이명박 후보의 경호를 맡았다.
선우회 회원이자 공씨와 함께 구속기소된 국회의장 비서 김씨가 구속 직전, 자신의 휴대폰에 저장된 나경원 의원 보좌진의 전화번호를 비롯해 주요 통화기록을 삭제하는 한편, 청와대 행정관 ㅁ씨와 ‘대포폰’을 통해 수시로 통화했던 사실을 검찰은 파악했다. 그러나 김씨와 공씨의 연결고리를 찾아낸 검찰은 다른 선우회 회원들이 연루된 증거는 추적하지 못했다.
검찰이 캐묻지 못하고 덮어둔 증거자료 가운데는 흥미로운 내용도 있다. 구속된 온라인 카지노 업자들이 사용한 컴퓨터 하드디스크 분석 결과, 지난 2010년 5월19일 새벽 1시40분, 중앙선관위 홈페이지에 접속해 선거통계 및 정당·정책정보시스템을 검색한 흔적이 발견됐다. 2010년 6월2일 전국 동시지방선거를 10여일 앞둔 시점이었다. 불법도박사이트로 돈을 벌어온 이들은 수사과정 내내 “정치에는 전혀 관심 없었고, 선관위가 무엇인지도 이번에 처음 알았다”고 말했다. 그들은 왜 지방선거 직전 선관위에 접속해 선거통계 시스템을 살펴봤을까? 풀리지 않는 의혹은 여전히 많다.
안수찬 송경화 기자 ahn@hani.co.kr
공격자 “오전 11시부터 작업 중단” 오후에도 15분간 디도스 공격 탐지
지난해 10월26일 발생한 중앙선관위 홈페이지 접속장애 사건에 대한 논란과 의혹이 끊이지 않는 이유 가운데 하나는 디도스 공격으로 발생한 트래픽 규모와 관련해 11Gbps, 1Gbps, 263Mbps 등 여러 수치가 등장하기 때문이다. 선관위와 KT·LGU+ 등 망사업자들이 각기 다른 위치에서 측정한 트래픽이 충분한 설명 없이 공개되면서 혼란을 일으킨 것으로 보인다.
이번 사건의 기술적 쟁점을 파악하기 위해서는 선관위의 네트워크 구조에 대한 이해가 필요하다. 인터넷 사용자가 선관위 홈페이지에 닿는 길은 두 가지다. 하나는 KT가 제공하는 국가기간망인 퍼브넷(PubNet)이고, 또 하나는 LGU+가 제공하는 퍼브넷플러스2(Pub-Netplus2)다. 두 개의 국가기간망은 모두 5Gbps 이상의 용량을 가지고 있다.
두 개의 국가기간망과 선관위 서버는 ATM(Asynchronous Transfer Mode·비동기 전송방식) 회선으로 연결된다. KT 퍼브넷과 선관위 서버를 잇는 회선은 155Mbps 용량 2개이고, LGU+ 퍼브넷플러스2와 선관위 서버를 잇는 회선은 155Mbps 용량 1개이다. 더 넓은 길을 주로 사용하도록 선관위는 회선 설정을 해두었다. KT 퍼브넷과 연결된 선관위 라우터의 BGP(Border Gateway Protocol·경계경로 프로토콜) 라우팅 설정은 ‘as path pretend 9768’이고, LGU+ 퍼브넷플러스2와 연결된 선관위 라우터의 설정은 ‘as path pretend 38683 38683 38683’이다. 이런 설정은 LGU+ 쪽을 통하는 경로가 더 먼 것으로 인식하게 만든다. 모든 접속 트래픽은 가장 빠른 길을 선택하게 돼있으므로, 선관위로 향하는 트래픽이 KT쪽으로 흐르게 되는 것이다.
위와 같은 네트워크 구조에 따라 지난해 10월26일 오전 5시50분부터 발생한 디도스 공격 트래픽은 KT 퍼브넷을 통해 선관위로 향했다. 선관위가 오전 6시58분 KT 퍼브넷과 연결된 회선 2개를 라우터에서 차단(라우터에 로그인해 2개 회선에 대한 ‘interface down’ 명령을 입력)할 때까지 KT 퍼브넷을 통해 선관위로 향한 트래픽은 최대 1Gbps 규모다. 이 1Gbps 트래픽은 선관위 서버로 향하는 KT 퍼브넷의 출구 쪽 라우터에서 측정된 것이다. 즉, KT 퍼브넷은 선관위 서버를 향해 1Gbps의 트래픽을 쏟아냈다는 뜻이다.
하지만 KT 퍼브넷과 선관위 서버를 잇는 회선 2개의 용량은 310Mbps다. KT 퍼브넷이 쏟아낸 1Gbps 규모 트래픽이 한꺼번에 들어갈 수 없다. 이 좁은 길을 거쳐 선관위 서버 바로 앞에 설치된 디도스 방어장비에서 측정된 트래픽이 최대 263Mbps 규모다. 310Mbps 너비의 길에 263Mbps의 트래픽이 지나가면 마치 여유공간이 있는 것으로 생각할 수도 있지만, 실제로는 그렇지 않다는 것이 네트워크 전문가들의 설명이다.
네트워크를 통해 데이터를 전달하는 과정에서 부가적으로 발생하는 부하가 있다. 이를 오버헤드라고 부르는데, 사용자의 컴퓨터와 서버 컴퓨터가 서로 연결상태를 확인하기 위해 주고받는 신호들이 이에 해당한다. 이 오버헤드 때문에 통상 100Mbps의 데이터를 전달하려면 120Mbps의 회선 용량이 필요하다. 특히 디도스 공격 등으로 네트워크에 장애가 발생할 경우 오버헤드의 크기는 평소보다 더욱 커지기 때문에, 최대 263Mbps의 트래픽은 KT퍼브넷과 선관위 서버 사이의 회선을 완전히 막아버린다는 것이다.
이처럼 회선에 과부하가 걸리면 홈페이지 접속이 불가능해진다. 좁은 길을 비집고 들어온 263Mbps 트래픽의 대부분을 차지하는 공격 트래픽을 선관위 디도스 방어장비가 걸러내고 소량의 정상트래픽이 선관위 서버에 도달해도, 이 정상 트래픽의 요청에 응하는 응답 트래픽이 다시 KT 퍼브넷 쪽으로 나가야하는데 그 길이 막혀있기 때문이다. 또 이런 과부하가 발생하면 KT 퍼브넷 쪽과 연결된 선관위 라우터에도 장애가 발생한다. 모든 라우터는 주기적으로 자신이 정상적으로 작동하고 있다는 신호를 전 세계의 다른 라우터들에게 보내는데, 회선이 막혀버리면 이 신호를 보내지 못한다. 이런 상태를 ‘BGP 다운(down)’이라고 한다.
그렇다면 11Gbps라는 수치는 어디에서 비롯한 걸까. 선관위가 KT 퍼브넷과 연결된 회선을 차단 직후인 오전 7시께 KT 퍼브넷의 입구 쪽에서 측정된 트래픽 규모가 최대 11Gbps다. 이는 이번 공격에 동원된 275개 좀비피시가 동시에 공격을 실행해도 만들어질 수 없는 규모다. 11Gbps 트래픽은 KT 국내망과 LGU+망을 거쳐 KT 퍼브넷을 통해 선관위 서버로 가려던 공격 트래픽이 선관위의 회선 단절조치로 길을 잃어 우왕좌왕한 탓에 만들어진 것이다. 이처럼 목적지 정보를 상실한 트래픽이 일정 구간에서 무한반복하는 현상을 루핑(looping)이라고 한다. 11Gbps는 이러한 루핑에 의해 발생한 트래픽 규모다. 루핑이 발생한 이유는 KT 쪽 회선 차단 때문이다. 선관위의 책임론이 불거지는 대목이다.
그럼에도 명확하게 설명되지 않는 부분은 남는다. 이날 오전 6시58분 선관위가 KT 퍼브넷과 연결된 회선을 막은 뒤 LG 퍼브넷플러스2를 통해 선관위로 들어오는 회선에서 일어난 사태는 전문가들마다 분석 결과가 다를 정도로 미궁에 빠져 있다. LGU+ 퍼브넷플러스2의 출구 쪽에서는 오전 7시께 약 160Mbps의 트래픽이 송출된 것으로 관측됐고, 같은 시간대 LGU+ 퍼브넷플러스2와 연결된 선관위 라우터에서는 40Mbps의 트래픽이 유입된 것으로 관측됐다. 앞서 KT 퍼브넷쪽 상황과 마찬가지로 회선 용량(155Mbps)을 초과하는 트래픽 때문에 길이 막혀 홈페이지 접속이 안됐다는 것이 선관위 등의 설명이다.
하지만 이때 선관위 서버와 연결된 라우터에서 일어난 이상 증상은 트래픽 과다만으로 설명이 어렵다는 지적이 제기된다. 이날 오전 7시부터 7시10분까지 선관위 라우터의 경계 경로 프로토콜(BGP, Border Gateway Protocol)은 약 45초 간격으로 업/다운 증상을 반복한다. 경계경로 프로토콜이란 인터넷의 수많은 라우터들끼리 서로의 상태를 확인하기 위해 주고받는 신호를 뜻하는데, 이때 선관위 라우터는 10여초 동안 정상(업)이었다가 30여초 동안 장애가 발생했다는 신호(다운)를 계속 반복해서 보냈다. 이런 증상은 7시10분부터 잠시 멈췄다가 7시30분부터 다시 일어난다. 업/다운 현상이 일정 시간의 간격을 두고 ‘규칙적이면서도 지속적으로’ 발생한 것이 의혹의 핵심이다.
이는 7시 이전 KT 퍼브넷 쪽과 연결된 선관위 라우터에서 발생한 경계 경로 프로토콜 업/다운 증상이 훨씬 낮은 빈도로 불규칙하게 일어난 것과 대비된다. 트래픽 유입은 순간마다 변화하므로 과도한 트래픽 유입으로 인한 업/다운 현상도 불규칙하게 일어나기 마련인데, 오전 7시 이후 발생한 업/다운 현상은 마치 누군가 작위한 것처럼 규칙성을 띤다는 것이다.
이런 현상은 KT 퍼브넷과 연결된 선관위 라우터와 LGU+ 퍼브넷플러스2와 연결된 선관위 라우터 사이에 트래픽을 서로 주고받는 규칙 설정이 잘못된 경우에 일어날 수 있다는 것이 선관위가 사용하는 라우터 제조업체인 시스코의 설명이다. 오픈웹 대표 김기창 고려대 교수 등은 이를 근거로 선관위의 누군가가 실수로 또는 의도적으로 라우터 설정을 잘못 건드렸을 가능성을 제기하고 있다.
유신재 기자 ohora@hani.co.kr
=======================================================================================================================================================
[기고] 10.26 선관위 접속장애에 대한 기술적 설명 / 김기창
<한겨레>와 함께 선관위 홈페이지 접속장애 사건 수사기록을 검토한 오픈웹 대표 김기창 고려대 교수가 이번 사건에 대한 자신의 분석을 담은 글을 보내왔다. 지난해부터 이 사건과 관련된 기술적 분야에 깊은 관심을 기울여온 김 교수는 다음달 7일 저녁 7시 서울 마포구 동교동 문지문화원에서 ‘10·26 선관위 사건의 이해’라는 제목의 공개강연을 열 계획이다. 김 교수의 더 많은 글들은 오픈웹(openweb.or.kr)에서 확인할 수 있다.
10.26 선관위 접속장애 사건 설명
1. 망사업자 KT의 대응
KT퍼브넷 망의 대략적 얼개는 다음과 같다.
보궐선거일 아침 5:50경에 KT는 공격징후를 즉각 파악하였다. 과천 KT망 관제 센터와 KT혜화지사 IP플랫폼 운용센터에는 침입경보가 그때 표시되었고, 5:55경부터 KT의 네트워크 보안 관제 요원은 트래픽 추이를 모니터하기 시작했으며, 6:00경에는 선관위 회선의 포화상태를 확인하였다.
KT퍼브넷에서 선관위로 송출되는 트래픽 규모는 6:00경에는 1기가(Gbps)에 가까운 수준이었으나, 선관위는 6:25에 KT에게 공격IP를 알려주고 그런 IP에서 오는 트래픽을 차단해 줄 것을 요청하였고, 6:30경에 KT는 14개의 공격 IP로부터 오는 악성트래픽을 차단하였고, 6:50경부터는 KT가 선관위로 송출하는 트래픽이 선관위 KT회선 실질 용량(260Mbps) 이하로 감소하였다(150Mbps - 110Mbps).
(나중에 설명하겠지만) 선관위가 7시에 KT회선을 닫았다는 사실을 KT는 모르고 있었으며 6:30 - 7:00 사이에 선관위가 KT에게 트래픽 추이에 대하여 문의하거나, 회선 장애 여부에 대하여 선관위와 KT측이 의견 교환을 한 적이 있었음을 보여주는 자료는 없다.
2. 망사업자 LG U+의 대응
선거일 새벽에 공격트래픽이 두차례 자동 탐지되고 차단된 바 있으나(0:00:12부터 20분간 1.4Gbps, 00:59:19부터 12분간 4.8Mbps 수준의 공격), 7시 전까지 LG망을 통하여 선관위로 가는 트래픽은 미미했으므로 LG U+가 특별한 관심을 가질 이유가 없었다.
선관위가 KT회선을 닫은 후, LG U+ 망에는 7:04:11에 두 종류의 공격(UDP공격 1.12Gbps, ICMP공격 36.48Mbps)이 14분1초간 지속된 바 있고, LG U+측은 이것이 디도스 공격트래픽이라는 것을 즉시 파악하여 차단하였다. 7:31:10에도 두 종류의 공격(UDP공격 556.61Mbps, ICMP공격 20.88Mbps)이 53분2초 간 지속된 바 있지만, 이것 역시 자동으로 탐지되어 차단되었다.
7:00-8:30 기간 동안 LG U+가 선관위로 송출한 트래픽은 대체로 평균 7메가(Mbps) 수준에 지나지 않았고, 두차례의 디도스 공격은 모두 탐지되고, 차단되었으므로 LG U+입장에서는 특이 사항이 없는 아침시간이었다. 사실은 LG회선과 연결된 선관위 라우터가 매우 빈번하게 BGP up/down을 거듭하는 상황이었지만, 그런 사정을 "그 당시에" LG U+의 보안 관제 요원이 예상하거나 짐작할 여지는 없었다. 아래 추가설명.
| LG U+망이 선관위로 송출한 트래픽 규모
사건 발생 후에 작성된 아래 그래프를 보면 7:43경부터 마치 200Mbps 수준의 트래픽이 LG망으로부터 선관위로 송출된 것처럼 보인다.
실제로 그런 규모의 트래픽이 "지속적"으로 선관위로 송출되었다면 선관위의 LG회선(명목 용량 155Mbps, 실질 용량 130Mbps)이 받아들인 트래픽 규모도 130Mbps 가까운 수준이 되었어야 한다. (물론, 트래픽 과부하로 인한 연결 끊김이 빈번했을 것이므로 유입트래픽이 불안정한 모습을 보이긴 했겠지만.) 하지만, 당시 LG회선과 연결된 선관위 라우터가 받아들인 트래픽의 규모는 10Mbps를 넘지 못할 뿐 아니라, 7:30-8:05 사이에는 응답 트래픽도 전혀 존재하지 않는다. 사실은, 7:43이후 LG회선과 연결된 선관위 라우터는 44초 또는 45초 마다 BGP Down이 반복되고 있었으며(12초간 up상태로 있다가, 32초 또는 33초간 down 상태로 되는 상황이 반복), 트래픽이 선관위 바깥으로 전혀 나가지 못하는 오동작 상태를 지속하고 있었다. 이것은 트래픽 과부화와는 무관한 이유로 발생한 것이다(7:00-7:10 사이에도 트래픽 과부화와는 무관한 이유로 라우터가 오동작하고 있었고, 이 상태가 7:30-7:37 및 7:43-8:08에도 반복된 것이다).
요컨대, 선관위 라우터가 BGP up/down을 비정상적으로 반복하고 있었으므로 LG측이 트래픽을 제대로 보내지 못하는 상황이었고(너무 많은 트래픽이 송출되어 선관위 라우터에 BGP up/down 이 발생한 것이 아니라), 연결이 이렇게 자주 끊어질 경우 LG측 라우터가 트래픽 양을 제대로 측정하지 못하게 되어 실제보다 훨씬 많은 트래픽이 전송된 것 같은 착시현상이 나타날 수 있다.
LG U+측 관계자도 위 첫째 그래프는 5분 간격으로 나뉘어진 각 구간별 "최대" 송출량 기준으로 사후에 작성된 것이고, 5분 간격으로 나뉘어진 각 구간별 "평균"트래픽 규모를 기준으로 판단할 경우 7시 이후 LG회선을 통하여 선관위로 송출되고 유입된 트래픽은 둘째 그림과 같이 미미한 수준에 불과했다는 점을 확인하고 있다. |
8:07에 선관위는 LG U+측에 장애 신고를 했지만 트래픽 추이나, 선관위 라우터의 비정상적인 BGP up/down이 거론되었다는 점을 보여주는 자료는 없다.
3. 선관위의 대응
(가) 7:00 이전
선거날 새벽 5시 좀 지나서부터 선관위 직원들이 출근하기 시작하였다.
[DB서버 접근(로그인) 기록] 디도스 공격이 시작되기 10여분 전인 5:37에 누군가가 선관위 어느 직원 id (y****e)로 DB서버에 로그인하였으나, 무슨 작업을 하였는지에 대한 이력은 남아있지 않다.*
5:50에 디도스 공격이 시작되자 선관위는 즉시 인지하였고, 6:20경에서는 국정원, 6:22경에는 KISA측에서도 선관위의 접속장애를 알리는 연락이 왔다. 6:20경에는 협력업체(디도스 방어) 직원들에게도 연락이 되어 이들도 선관위 현장으로 왔다. 그러나, 선관위 K사무관 등이 '대응' 조치를 직접 수행하고 의사결정을 하고 있었으며, 협력업체 직원들은 주로 디도스 방어장비에 대한 모니터링만을 수행하였다.
6:25경 선관위는 KT에게 공격IP를 알려주었고, KT는 6:30부터 이를 적용하여 공격트래픽을 차단하였다. 6:40경 유입 트래픽이 220Mbps수준으로 잠시 감소되었다. 그 직후(6:42), 선관위는 KT회선과 연결된 선관위 라우터의 네트워크 연결점(인터페이스) 중 하나(172.xx.xx.2)를 30초 가량 닫았다가 다시 열었고, 6:46에도 선관위는 KT회선과 연결된 선관위 라우터의 또 다른 연결점 하나(172.xx.xx.6)를 30초 가량 닫았다가 다시 열었다.
6:46후에도 선관위는 KT회선 "두개"를 모두 사용하여 트래픽을 받고 있었다. 예를 들어, 6:50-6:55 사이에 KT회선을 통하여 선관위로 유입된 트래픽은 148Mbps 이며, 이 규모의 트래픽은 KT 회선 "하나"(실질 용량 130Mbps)로 들어올 수는 없는 규모이다.
5:50부터 선관위 KT 두 회선으로 유입된 트래픽의 대부분은 공격트래픽이었고, 선관위의 디도스 방어장비는 이들을 제대로 걸러내고 평균 10Mbps규모의 정상트래픽 만을 통과시키고 있었다. 6:50경부터는 KT회선 두개로 유입되는 트래픽이 빠른 속도로 감소하여(6:50에는 148Mbps, 6:55에는 120Mbps), 7:00경에는 약 110Mbps 수준까지 내려갔으므로 KT회선의 포화상태는 대체로 해소되었다. 이때 선관위는 KT회선을 모두 닫았다. 당시 K사무관이 직접 선관위 라우터 콘솔(console; 화면)에서 관리자 암호를 이용하여 로그인한 상태로 해당 명령어를 실행하였고, 이때 KT측 네트워크 보안 관제 요원과 이 결정에 대하여 협의하거나 KT가 선관위로 송출하는 트래픽의 당시 규모 또는 변동 추이에 대하여 선관위가 KT측에 문의한 적은 없다. KT측은 선관위가 7:00에 KT회선을 닫은 사실을 알지 못했다.
(나) 7:00-7:10
선관위가 KT회선을 닫기 전까지 전세계의 라우터들은 선관위로 가는 트래픽을 모두 KT망(AS path 4766 9768 38683)으로 보내고 있었다. 그러나 선관위가 KT회선을 닫자, 전세계 라우터들은 선관위로 가는 트래픽을 모두 LG망(AS path 3786 9950 38683)으로 보내기 시작했다. 이 사실은 7:01:00에 미국 콜로라도의 어느 통신사(Level3 Comm) 망의 라우터(208.51.134.246)가 최초로 알리기 시작했으며, 이 정보는 순식간에 퍼져나갔다. 참조.
그러나, 선관위가 KT회선을 닫음과 거의 동시에 LG망과 연결된 선관위 라우터는 7:00:56부터 약30초에 한번꼴로 연결(peering)이 끊기는 이상 징후(BGP up/down 비정상 빈발)가 나타났다. LG망으로는 평균 7Mbps 규모의 정상트래픽이 들어왔지만, 트래픽이 선관위 바깥으로 나가지 못하는 상황이 생겨났다. 이런 상태는 7:10까지 유지되었다.
이 기간(7:00-7:10) 동안 선관위가 KT회선을 다시 열거나 LG U+에 연락을 취하여 트래픽 송출 현황을 문의하지는 않았다. LG U+ 기업품질관리팀의 장애접수 담당자가 선관위로부터 통상적인 접속장애 신고를 접수한 시점은 한시간 뒤인 8:07이었다.
(다) 7:10-7:30
7:10부터 선관위 라우터의 이상 징후(빈번한 BGP up/down)는 멈추었다. 7:01경부터 LG회선으로 평균 7Mbps가량의 트래픽이 선관위로 들어오긴 했으나 선관위 바깥으로 트래픽이 나가지 못하고 있다가, 7:10부터는 약 40Mbps 규모의 응답 트래픽이 KT회선쪽과 연결된 디도스 방어장비를 거쳐서, KT회선과 연결된 선관위 라우터까지 도달한 다음, (선관위 KT회선이 여전히 닫혀있으므로) 그 트래픽이 LG회선과 연결된 선관위 라우터로 "포워드"되어 LG망을 통하여 원활하게 바깥 세상으로 송출되어 나가기 시작한다. 이 상황이 7:30까지 지속된다. 아래 트래픽 흐름 개요도 참조.
이 기간(7:10-7:30) 동안 선관위로 유입된 트래픽은 공격트래픽이 없는 정상트래픽이었다. 그러나, 그 당시에 공격 자체가 멎었던 것은 아니다. 7:04:11-7:18:12 사이에 1.12Gbps규모의 UDP공격, 36.48Mbps규모의 ICMP공격이 LG U+망으로 들어왔으나, 망사업자 LG U+가 자체적으로 모두 탐지하여 차단하고 정상트래픽만을 선관위에 송출하였다.
선관위가 LG U+에게 좀비PC들의 IP(공격 IP)를 알려준 바는 없다.
[DB서버 접근(로그인) 기록] 선관위로 들어오고 나가는 합계 50Mbps가량의 정상 트래픽이 이처럼 원활하게 처리되어 유저입장에서건, 서버입장에서건 아무런 접속장애가 없었을 7:10-7:30분 사이, 두 차례에서 걸쳐 누군가가 선관위 직원 id를 사용하여 선관위의 DB서버에 로그인한 기록이 존재한다. 한번은 7:13에 c***j 라는 id로 로그인한 기록이 남아있고, 또 한번은 7:22분에 y****e 라는 id로 로그인한 기록이 남아있다.
이들 유저가 그 시점에 DB서버에 로그인하여 구체적으로 어떤 작업을 수행하였는지에 관한 기록은 남아있지 않다. 끝으로, 9:37에는 누군가가 Admin 권한으로 DB서버에 로그인한 기록이 존재한다. 그자가 어떤 작업을 했는지에 관한 기록은 남아있지 않다. 9:37에 있은 Admin 로그인 이후에는 그날 중 DB서버 접근 기록이 나타나지 않는다.
(라) 7:30-7:37
LG회선을 통하여 트래픽이 제대로 들어오고 나가던 상태는 7:10부터 20분 동안 유지되다가 7:30부터는 또다시 트래픽이 선관위 라우터들 간에 포워드되지 못하는 현상이 생겨났다. LG회선으로 7Mbps 규모의 트래픽이 들어오기는 하지만, 트래픽이 선관위 바깥으로 나가지 못하는 현상(7:00-7:10 사이의 증상)이 또다시 나타났고, LG회선과 연결된 선관위 라우터의 BGP up/down 빈발 현상도 7:29:38부터 되풀이 되었다. 이 상태는 7:37까지 지속된다.
LG회선과 연결된 선관위 라우터가 BGP up/down 증세를 보이기 시작한지 1분32초뒤인 7:31:10에 LG U+망으로 556.61Mbps규모의 UDP공격, 20.88Mbps규모의 ICMP공격이 들어오기 시작해서 53분2초 간 지속되었다. 그러나 LG회선과 연결된 선관위 라우터의 BGP up/down 빈발현상은 이 공격이 개시되기 전에 이미 시작했고, LG U+가 이 공격을 즉각 탐지하여 차단하고 나서도 선관위 라우터의 비정상적 BGP up/down 빈발현상은 이와는 무관하게 계속되었다.
이 기간 동안 LG U+가 탐지해 내지 못하고 선관위로 그대로 송출한 공격트래픽이 많았다고 판단할 근거는 없다. 그날 아침에 선관위가 LG U+측 네트워크 보안 관제 요원과 직접 접촉을 시도하거나, LG U+가 선관위로 송출하는 트래픽 추이를 문의해 본 적은 없다.
(마) 7:37-7:43
7:37:08부터 전세계의 라우터들은 선관위로 가는 트래픽을 KT망으로 보내기 시작한다. 참조. 선관위가 KT회선을 이때 다시 열었기 때문이다. 그러자 KT회선으로 다량의 트래픽(대부분 공격트래픽으로 보이는)이 유입되었고, 이로 인해서 KT회선과 연결된 선관위 라우터의 BGP 연결은 7:39:07에 한차례 끊긴 것으로 추정된다. 그러나 KT회선을 다시 연 이 기간동안 극심한 BGP up/down 증상은 관찰되지 않았다.
7:43:41부터 전세계 라우터들은 선관위로 가는 트래픽을 다시 LG망으로 보내기 시작한다. 선관위가 KT회선을 다시 닫았기 때문이다. LG회선과 연결된 선관위 라우터는 또다시 극심한 BGP up/down 증상을 나타내 보이고, 7Mbps 규모의 트래픽이 LG회선으로 들어오기는 하지만, 트래픽이 선관위 바깥으로 나가지는 못하는 상황이 다시 생겨났다.
선관위는 "KT망 공격여부 확인을 위하여" KT회선 하나를 잠시 활성화했다고 설명한다(선관위 기술보고서 슬라이드11면). 그러나 선관위가 7:37에 KT회선을 열거나 7:43에 KT회선을 다시 닫을 때 KT측에게 선관위로 송출되는 트래픽 규모를 문의하거나 KT망으로 공격트래픽이 유입되는지 여부를 문의한 적은 없다.
(바) 7:43-8:09
7:43에 선관위가 KT회선을 다시 닫음과 동시에 LG회선과 연결된 선관위 라우터에는 빈번한 BGP up/down현상이 또다시 발생하고, 트래픽이 포워드되지 못하여 바깥으로 나가지 못하는 현상도 다시 생겨났다.
8:07에 선관위는 LG U+의 기업 품질 관리팀의 장애접수 담당자에게 전화를 걸어 장애 신고를 접수하였다. 8:09부터는 KT회선과 연결된 선관위 라우터에는 트래픽이 완전히 사라졌는데, 그 기술적 원인은 알 수 없다. 그 전까지는 비록 KT회선이 닫혀있어도 극히 미미한(평균 약10-20Kbps) 트래픽은 KT측 라우터로 들어오거나 나가고 있었다. 8:09부터는 이것조차 멈추었다(혹시 전원스위치가 내려졌는지?).
(사) 8:09-8:39
이 기간 동안에는 선관위가 사이버 대피소 이동에 필요한 여러 설정 작업을 진행하던 관계로 서비스는 역시 이루어지지 못했다.
선관위의 DNS정보는 8:26에 변경되고, 선관위가 사이버 대피소의 프록시 서버를 이용하여 서비스하는데 필요한 설정작업도 그 무렵 진행되긴 하였다. 그러나, 실제로 사이버 대피소를 이용한 서비스가 원활하게 개시된 시점은 선관위가 KT회선을 다시 연 8:39:32 부터 였다.
8:39 전까지는 선관위 라우터들 간의 트래픽 포워딩이 여전히 안되고 있었으므로 사이버 대피소로 이동하긴 했지만 여전히 트래픽이 선관위 바깥으로 나가지 못하고 있었고, 유저 입장에는 접속 장애가 계속되고 있었다.
4. BGP up/down(라우터 간의 연결 끊김 또는 연결 재개)
(가) 7:00 이전
라우터는 보통 30초(이 주기는 조절할 수 있음)마다 상대방 라우터에게 KeepAlive 메세지를 계속 교환한다. 상대방이 보내오는 이 메세지에 대답을 못하는 라우터는 “죽은 것”으로 간주하여(BGP Down이 바로 이 뜻) 다른 라우터들이 경로 계산에서 이 라우터를 삭제(WITHDRAW)하게 된다. 그러나, 회선 자체가 다운(link down)된 것이 아니므로 KeepAlive 메세지는 여전히 주기적으로 보내지고, 여기에 다시 응답하게 되면 이 라우터가 경로 계산에 다시 포함(ANNOUNCE)되어 트래픽을 주고 받을 수 있게 된다(BGP Up이 그런 뜻).
라우터가 KeepAlive 메세지에 응답을 못하는 이유는 여러가지가 있을 수 있는데, 트래픽이 많아서 회선이 혼잡한 경우에도 KeepAlive 메세지 전달 및 응답에 시간이 많이 소요되어 주어진 시간 내에 응답을 못하는 결과가 생긴다. 이렇게 BGP Down 이 발생하면, 트래픽이 더 이상 그리로 보내지지 않으므로 회선에 다시 여유가 생기고 KeepAlive 메세지를 신속히 주고받을 수 있게 되어 BGP연결이 회복되고 트래픽 전송이 재개된다.
선관위가 KT회선과 LG회선을 모두 열어두고 있었던 기간(7시 이전)에는 선관위 망(210.204.204.0/24)으로 오는 트래픽은 모두 KT망으로 들어오고 있었다. 그 기간 중, KT회선에 연결된 선관위 라우터는 다음 그림에서 보는 바와 같이 이따금씩 BGP down이 발생하였는데, 이러한 현상은 트래픽 과부하로 인하여 생겨나는 현상으로 판단된다.
이 기간 동안 KT회선을 통하여 선관위로 유입된 트래픽 양은 다음과 같다.
KT회선과 연결된 선관위 라우터의 BGP연결이 끊긴 순간에는 유입트래픽이 급격히 줄어들다가 몇분 내로 BGP연결이 다시 재개되고 트래픽 전송이 다시 계속되고 있음을 알 수 있다.
(나) 7:00이후
선관위가 KT회선을 닫은 7:00경 이후에는 LG회선과 연결된 선관위 라우터에 "비정상적"인 빈도로 BGP up/down 이 발생한다. 워낙 자주 BGP Down 이 발생하여 아래 그래프의 점들이 마치 이어진 선과 같이 보일 정도이다. 참고.
이런 현상은 선관위 내부 라우터들 간의 트래픽 포워드 규칙 설정이 잘못되어 있을 경우 생겨날 수 있다. CEF (Cisco Express Forwarding)기술을 채용하는 라우터들로 BGP 멀티홈(둘 이상의 ISP를 이용하여 인터넷에 연결되는 것을 말함; 선관위가 이런 경우임) 구성을 할 때, 웹서버가 자신의 라우터들 간의 트래픽 포워드 규칙 설정을 제대로 해두지 않을 경우(또는 그 설정이 선거날 이전 어느 시점에 잘못 변경된 경우), 한쪽 회선(예를 들어, KT회선)과 연결된 인터페이스가 다운(Interface flap) 되면, 나머지 회선(예를 들어, LG회선)과 연결된 라우터는 BGP up/down을 무한 반복하고, 트래픽이 바깥세상으로 전혀 송출되지 못하는 오류가 생긴다는 것은 Cisco 기술문서에 자세히 설명되어 있는 내용이다. 선관위는 KT회선 쪽 라우터에는 Cisco 7606을 쓰고, LG쪽에는 Cisco 7507 을 사용하는데, 이들은 모두 CEF 기술을 기본으로 채택하고 있다.
7:00 이후 두 차례에 걸쳐 BGP up/down 이 멎고 정상적으로 트래픽이 들어오고 나가던 기간이 있었는데, 첫번째는 7:10-7:30 사이이고, 두번째는 7:37-7:43 사이이다. 두번째 경우에는 선관위가 KT회선을 열었기 때문에 위에서 설명한 오류가 사라진 것으로 판단된다.
그러나 첫번째 기간(7:10-7:30) 동안에 BGP up/down 이 멎은 이유는 KT회선을 열었기 때문이 아니다(그 기간 동안 KT회선은 닫혀 있었다). 가능한 하나의 기술적 설명은 선관위가 자신의 내부 라우터들 간의 트래픽 포워드 규칙 설정을 7:10경에 변경하였기 때문이라고 할 수 있다. LG회선과 연결된 선관위 라우터의 설정 파일 중, ip route 와 관련된 행을 한 줄 (올바르게) 변경할 경우, 라우터들 간의 트래픽 포워딩 오류(loop)는 사라지고 LG회선으로 트래픽이 들어온 다음, 선관위 서버에서 정상적으로 처리되고, 응답 트래픽이 KT회선과 연결된 라우터로 가서, 거기서 LG회선쪽 라우터로 포워드된 다음, 바깥 세상으로 나가는 과정이 원활하게 이루어지게 된다(7:10-7:30 사이 트래픽 흐름이 이러했다).
이런 원활한 트래픽 흐름이 7:30부터 다시 중단되고 BGP up/down이 또다시 발생하는데, 앞서 이야기한 설정 파일 중 해당 부분이 그 시점에 다시 (틀리게) 변경될 경우 그런 현상이 나타날 수 있다.
7:00-8:39 사이 기간에 관찰되는 특이한 빈도의 BGP up/down이 이상 제시한 것과는 다른 기술적 이유로 인한 것이라는 것이 선관위의 입장이라면, 선관위는 그 정확한 기술적 원인을 설명해야 할 것이다. 아울러 06:46:33, 06:47:39, 06:49:00, 06:49:40, 06:56:24에 KT회선과 연결된 선관위 라우터(172.xx.xx.6) 콘솔에서 선관위가 어떤 설정 변경 작업을 했는지도 해명되어야 할 것이다.
5. Failover 기능(회선 중 하나가 작동하지 않게 될 경우, 다른 회선으로 서비스하는 기능)
선관위는 KT회선과 LG회선을 동시에 사용하여 트래픽을 주고받도록 구성되어 있다(BGP 멀티홈 구성). 210.204.204.0/24를 도착지로 하는 '유입'트래픽은 모두 KT회선을 사용하도록 되어있지만, 선관위가 바깥으로 내보내는 응답트래픽은 회선 상황에 따라 KT회선 또는 LG회선을 이용하여 바깥으로 나가도록 되어 있다.
KT회선이나 LG회선 중 어느 한 회선이 어떤 이유에서건 작동하지 않을 경우(스스로 닫은 경우도 포함), 나머지 회선을 통하여 트래픽이 들어오고 나갈 수 있도록 되어 있어야 하고(failover 기능), 이 기능은 애초에 선관위 네트워킹 작업을 했던 업체의 입장에서는 가장 기본적으로 테스트하고 정상 작동 여부를 확인하였을 것이 분명한 사항이다. 이 기능(하나의 회선이 다운될 경우, 다른 회선으로 트래픽을 주고받는 기능)이 제대로 작동하지 않는다면 애당초 멀티홈 구성을 할 이유가 없기 때문이다.
10월26일 아침에 나타난 현상은 이러한 failover기능이 7:00-7:10 사이에는 작동하지 않다가, 7:10-7:30 사이에는 제대로 작동하다가, 7:30-8:39 사이에는 다시 작동하지 않은 것이다(KT회선을 선관위가 다시 열었던 7:37-7:43 사이 기간은 failover 상황이 아님).
======================================================================================================================================================='10.26 선거' 선관위 네트워크 담당자 "내가 KT회선 차단"
"라우터 장애 일어난 이유는 잘 몰라...접속 원활은 개인 컴퓨터로 확인한 것"
(2012.5월) 7일 공개된 팟캐스트 라디오 '나는 꼼수다(이하 나꼼수)'에서 언급한 미국 오레곤 대학의 '라우터 경로 관측 프로젝트(Route views project)'에 대해 알아봤다. 또 그동안 김기창 고려대 법학전문대학원 교수가 자신의 블로그 '오픈웹'을 통해 밝혔던, 중앙선관위 'K사무관'과 통화했다. 그는 2월 23일 참여연대와 중앙선관위 토론 시에 선관위 측 유훈옥 정보화담당 사무관이 언급했던 '진짜 네트워크 담당자'이자, 김 교수가 "라우터 설정을 건드렸다"고 의혹을 제기한 인물이다. 그는 현재 중앙선관위 정보화담당관실이 아닌 다른 부서에서 근무하고 있는 것도 확인했다.
오레곤 대학의 '라우트뷰 프로젝트'의 메인화면
-------------------------------------------------------------------------------------------------------------------------------------------------------
'Art & Culture > 과학, 기술, 환경' 카테고리의 다른 글
| Watt Balance (0) | 2013.06.29 |
|---|---|
| 첨성대의 과학 (0) | 2012.11.26 |
| 까막딱따구리의 숲 - 김성호 (0) | 2011.07.17 |
| Princess of whales (0) | 2011.06.18 |
| 일제 강점기 의료 풍경 - 프레시안 (0) | 2011.05.02 |
