 |
|
‘중앙선거관리위원회와 서울시장후보 홈페이지 사이버테러 진상규명’ 특별검사팀이 지난 26일 오전 서울 강남구 역삼동에 특검 사무실을 열었다. 왼쪽부터 이용복 특검보, 박태석 특별검사, 김형찬 특검보. 김명진 기자 littleprince@hani.co.kr
|
‘선관위 디도스 공격’ 수사기록 등 분석 
지난해 10월26일 오전 12시59분께, 디도스 공격이 시작됐다. 서울시장 보궐선거 투표 개시를 5시간여 앞둔 시각이었다. 최구식 새누리당 의원의 비서 공현민(27)씨가 온라인 카지노 업자 강아무개(25)씨에게, 강씨는 다시 서울 강남구 삼성동 사무실에 있는 동료 김아무개(27)씨에게 전화 걸었다. 전화선을 타고 이어진 공격 지시를 받고, 김씨는 자신의 방에 있는 컴퓨터를 켰다. 중앙선관위와 박원순 후보 홈페이지를 ‘시험 공격’했다.
잠시 휴식을 취한 김씨는 투표 개시 직전인 오전 5시50분께부터 본격적으로 공격을 시작했다. 이 시각부터 오전 8시30분까지 투표소 위치를 검색하려던 많은 유권자들은 선관위 홈페이지에 접속할 수 없었다. KT 국가운용망 사이버대피소로 피신한 뒤에야 사태는 진정됐다. 공교롭게도 접속 장애의 시작과 끝은 출근 시간대와 겹쳤다.
■ KT회선 단절조처는 도대체 왜? 인터넷 사용자가 선관위 홈페이지에 닿는 길은 두 가지다. 하나는 KT가 제공하는 국가기간망인 퍼브넷(PubNet)이고, 또 하나는 LGU+가 제공하는 퍼브넷플러스2(Pub-Netplus2)다. 선관위로 향하는 KT 퍼브넷의 길은 넓다. 155Mbps 용량의 회선 2개로 연결돼 있다. 반면 LGU+ 퍼브넷플러스2는 155Mbps 용량의 회선 1개로 연결돼 있다.
더 넓은 길을 주로 사용하도록 선관위는 회선 설정을 해두었다. 사용자가 어느 통신사의 인터넷 서비스를 이용하건 외부에서 선관위 서버에 접속하는 모든 트래픽(송·수신 데이터 흐름)은 KT 퍼브넷을 거치도록 설정돼 있다. 디도스 공격 트래픽도 같은 원리에 따라 KT 회선으로 들어왔다. 수사자료 검토 결과, 선관위 정보화담당관실 관계자는 “왜 공격 트래픽이 KT 회선에 집중됐는지 모르겠다. 그건 통신사업자에게 확인해 봐야 한다”고 진술한 것으로 밝혀졌다. 그 진술이 진실이라면, 그는 선관위 회선 구성의 기본 원리를 이해하지 못했던 것이다.
26일 오전 5시50분께부터 시작된 디도스 공격으로 1Gbps의 트래픽이 KT 퍼브넷을 통해 선관위로 향했다. KT 퍼브넷과 선관위 서버를 잇는 2개 회선의 용량은 310Mbps였다. 최대용량의 3배가 넘는 트래픽으로 인해 병목현상이 발생했고, 그 영향으로 선관위 홈페이지 접속이 불가능해졌다.
검찰 수사자료 및 각종 기술분석 보고서를 검토한 전문가들은 “디도스 공격에 대한 일반적 대처법은 회선의 용량과 속도를 늘리는 것”이라고 한결같이 지적했다. 당시 선관위는 정반대의 결정을 내렸다. 오전 6시58분께, 선관위는 KT 퍼브넷과 연결된 2개 회선을 막아버렸다. 선관위 홈페이지로 향하던 트래픽은 갑자기 길을 잃었다. 최대 1Gbps였던 트래픽은 KT 퍼브넷 입구 쪽에서 우왕좌왕하며 최대 11Gbps의 트래픽으로 증폭했다. 이들 트래픽은 선관위 회선 구성 원리에 따라, 남아있는 유일한 길인 LGU+ 회선으로 다시 몰려들었다. KT 회선 용량의 절반에 불과한 LGU+ 회선도 꽉 막혀버렸다.
 |
|
선거관리위원회 네트워크 구조
|
수사자료 검토 결과, KT 회선 차단을 결정하는 과정에서 선관위는 KT·LGU+ 등 네트워크 사업자와 전혀 상의하지 않았던 것으로 밝혀졌다. KT 관계자는 검찰에서 “KT 회선 차단은 선관위가 자체적으로 작업한 것이고, 선관위는 우리한테 (회선 차단에 대해) 따로 연락하지 않았다”고 진술했다.
■ 한박자 늦은 공격 IP 차단 디도스 공격에 대응하는 또다른 방법은 공격 IP주소를 차단해 좀비피시의 접근을 막는 것이다. 선관위가 마련한 내부 규정인 ‘디도스 공격 대응지침’도 공격 IP주소 차단을 초동조처의 하나로 밝혀두고 있다. 선관위는 홈페이지 접속장애 발생 40여분이 지난 6시30분께 KT 국가망운용실에 공격 IP 차단을 요청했다. 접속장애 원인이 디도스 공격인지 아닌지 판단하는 데 40여분이 걸린 셈이다.
디도스 공격 징후를 더 일찍 파악할 기회가 없지 않았다. 이날 오전 1시께 ‘시험 공격’으로 인해 선관위 회선에 비정상적 트래픽이 발생했다. 수사자료 검토 결과, 선관위 정보화담당관실에는 시험 공격 당시 근무자가 아무도 없어 이상 징후를 감지하지 못했던 것으로 드러났다. 접속자가 뜸한 오전 1시에 갑자기 늘어난 트래픽을 누군가 감지했다면 공격 IP 차단을 비롯한 대응이 보다 원활했겠지만, 정보화담당관실 야간 당직자는 근무 규정에 따라 전날 저녁 9시에 퇴근한 상태였다. 우연의 일치였는지, 하필이면 비정상 트래픽을 감지할 야간 당직자가 없는 시간에 ‘시험 공격’이 이뤄졌다.
선관위는 지난해 12월 발표자료에서 “오전 1시께 발생한 시험공격은 회선 용량 범위 안에서 이뤄졌으므로 외부에서 (디도스) 공격을 감지할 수 없었다”고 밝혔다. 반면 시험 공격을 실행한 김아무개(27)씨는 “공격 5분여만에 선관위 및 박원순 후보 홈페이지 모두 쉽게 ‘다운(접속불능상태)’ 되는 것을 확인하고 (공아무개씨 등에게) ‘공격 가능하다’고 연락했다”고 검찰에서 진술했다. 다른 관련자들도 같은 내용을 일관되게 진술했다. 지난해 12월, 선관위가 내놓은 ‘향후 대책’ 가운데는 상시 모니터링을 위한 관제센터 운영이 포함됐다.
허술한 공격 IP 차단 조처는 KT 회선 차단 이후에도 이어졌다. 오전 7시10분께, 한국인터넷진흥원이 선관위에 “디도스 공격을 탐지했다”고 알렸다. KT 회선 차단 이후 LGU+ 회선만 유지하고 있는 상태였으므로 공격 트래픽이 몰려들 LGU+에 공격 IP를 알리고 차단을 요청하는 작업이 필요한 순간이었다. 수사자료 확인 결과, “선관위는 26일 오전 8시7분께 처음 우리 측에 (홈페이지 접속) 장애 사실을 알려왔다”고 LGU+ 관계자는 검찰에서 진술했다. 이때문에 LGU+ 회선의 공격 IP 차단 작업은 오전 8시30분에야 시작됐다. 선관위 관계자는 “이날 오전 6시40분에 LGU+에 장애 사실을 알렸다”고 검찰에서 말했지만, 거듭된 확인 과정에서도 LGU+ 관계자는 “아니다. 오전 8시7분이 맞다. 오전 6시40분에 선관위에서 연락받은 적이 없다”고 반박했다.
■ 사이버 대피소 피난의 우여곡절 수사자료를 보면, 디도스 공격 시작 2시간이 지난 26일 오전 8시께 한국인터넷진흥원 및 KT가 선관위에 대용량 회선과 공격차단 시스템을 갖춘 사이버대피소 사용을 먼저 제안했고, 이를 선관위가 수용했다. 30여분이 지난 오전 8시30분께 접속 장애도 해결됐다. 사태 초기부터 사이버 대피소 피난을 적극 고려했다면 접속 장애 해결도 빨라졌겠지만, 선관위 정보화담당관실 관계자는 “당시에는 사이버 대피소 (우회 조처) 생각을 못했다”고 검찰에서 진술했다.
이날 오후, 선관위가 엉뚱한 사이버 대피소로 우회한 사실도 새롭게 드러났다. 투표 마감·개표를 앞둔 26일 오후 5시13분께, 선관위는 한국인터넷진흥원(KISA) 사이버대피소로 홈페이지 주소를 다시 옮겼다. 그러나 막상 개표가 시작되자 해외 사용자들의 접속이 불가능하다는 사실을 파악하고, 오후 7시44분께 KT국가망운용실 사이버대피소로 재우회했다. 투표에 영향을 주지는 않았지만, 사이버대피소 운용 방식에 대한 선관위의 이해 부족을 드러낸 셈이다.
선관위가 수사당국에 제출한 ‘10·26 당시 정보화담당관실 업무분장’ 자료를 보면, 사고 당시 15명의 공무원이 선관위 정보화담당관실에서 일했다. 헌법상 독립기관인 선관위는 다른 정부부처 등과 달리 독자적인 정보운용·보안감시 체계를 운용해왔다.
■ 새로운 의혹들 검경 수사자료, 선관위 발표 자료, 관련자 진술 등을 비교검토하면 디도스 공격의 주체가 분명하지 않은 시간대가 있다.
디도스 공격을 직접 수행한 김아무개(27)씨는 검찰 조사에서 공격 당일 오전 11시께부터 “공격을 멈추었다”고 진술했다. 오전 9시께부터 책상에 엎드려 잠들었고 간간이 깨어나 공격 버튼을 눌렀으나, 오전 11시께 일어났을 때는 “디도스 공격 프로그램에 나와 있는 좀비피시의 개수가 ‘0’으로 나와 있었다”는 것이다. 악성 프로그램에 감염된 좀비피시를 동원하는 것이 디도스 공격이므로 적어도 오전 11시부터는 공격이 불가능한 상황이었던 셈이다. 또한 김씨에게 디도스 공격을 지시했던 공현민·강아무개씨 등이 이날 낮 12~1시 사이에 “이제 그만 공격해도 된다”고 연락했던 사실도 수사자료에서 확인된다.
그런데 선관위로 통하는 회선 가운데 하나인 엘지유플러스(LGU+)의 디도스 공격 탐지 장비는 오후 1시19분부터 15분 동안 디도스 공격을 탐지했다. 선관위도 12시57분~1시27분에 디도스 공격 트래픽이 발견됐다고 발표했다. 김씨가 사용한 디도스 공격 프로그램은 ‘공격 시간 예약’ 기능이 없는 ‘중국산’이다. 공격자가 컴퓨터 앞에 앉아 계속 명령 버튼을 눌러야 디도스 공격이 이뤄진다. 오전 11시에 컴퓨터 앞을 떠난 김씨가 명령 버튼을 누르지 않았는데도 디도스 공격은 오후 1시27분까지 이어진 형국이다.
케이티(KT) 회선 차단 직후인 오전 7시10분~7시30분 사이에 대해서도 혼란스런 대목이 있다. 선관위는 이 시간에 누리집 접속이 정상화됐다고 발표했다. 케이티 회선 차단 조처가 효과가 있었다는 주장이다. 그러나 케이티와 엘지유플러스 관계자들은 검찰 조사에서 “이 시간대에도 정상 서비스는 되지 않았다”고 진술했다. 공격자 김씨가 이 시간대에 잠시 외출하느라 공격을 멈추었다는 진술도 확인됐다. 과연 일시 정상화됐던 것인지, 여전히 접속장애가 있었다면 이유는 무엇인지 등이 해명되지 않고 있다.
트래픽이 드나드는 관문인 ‘라우터’가 죽었다가 되살아나는 현상이 오전 7시30분부터 무수히 반복된 것도 석연치 않은 대목이다. 트래픽을 주고받는 규칙 설정이 잘못된 경우에 이런 현상이 일어날 수 있다는 게 라우터 제조업체인 시스코의 설명이다. 일부에선 실수 또는 고의로 라우터 설정을 바꿨을 가능성을 제기하고 있다. 유신재 안수찬 기자
ahn@hani.co.kr
[관련기사]
① 선관위 디도스 공격 기술쟁점② 선관위 디도스 공격 정치쟁점③ 디도스 트래픽 용량의 실체④ 김기창 오픈웹 대표 기고
※ 이번 사건과 관련해 네트워크·보안 전문가들의 의견 및 관련자의 제보를 기다립니다. 이번 보도에 대한 의견, 반론, 제보 등을 전자메일(ahn@hani.co.kr)로 보내주시면 추가 취재를 거쳐 다시 한번 기사로 쓰겠습니다. 수사당국이 “신의 영역”이라 밝힌 이번 사건의 실체를 밝히는 일에 많은 분들의 관심과 참여를 청합니다.
광고
){kind=link}
){kind=link}
){kind=link}
){kind=link}
){kind=link}
기사공유하기