등록 : 2012.03.28 22:12
수정 : 2012.04.02 15:12
 |
|
선거관리위원회 네트워크 구조
|
추적 ‘선관위 디도스 공격’ 
▷ 고려대
김기창 교수의 ‘10·26 선관위 접속장애’ 분석 보고서
지난해 10월26일 발생한 중앙선관위 홈페이지 접속장애 사건에 대한 논란과 의혹이 끊이지 않는 이유 가운데 하나는 디도스 공격으로 발생한 트래픽 규모와 관련해 11Gbps, 1Gbps, 263Mbps 등 여러 수치가 등장하기 때문이다. 선관위와 KT·LGU+ 등 망사업자들이 각기 다른 위치에서 측정한 트래픽이 충분한 설명 없이 공개되면서 혼란을 일으킨 것으로 보인다.
이번 사건의 기술적 쟁점을 파악하기 위해서는 선관위의 네트워크 구조에 대한 이해가 필요하다. 인터넷 사용자가 선관위 홈페이지에 닿는 길은 두 가지다. 하나는 KT가 제공하는 국가기간망인 퍼브넷(PubNet)이고, 또 하나는 LGU+가 제공하는 퍼브넷플러스2(Pub-Netplus2)다. 두 개의 국가기간망은 모두 5Gbps 이상의 용량을 가지고 있다.
두 개의 국가기간망과 선관위 서버는 ATM(Asynchronous Transfer Mode·비동기 전송방식) 회선으로 연결된다. KT 퍼브넷과 선관위 서버를 잇는 회선은 155Mbps 용량 2개이고, LGU+ 퍼브넷플러스2와 선관위 서버를 잇는 회선은 155Mbps 용량 1개이다. 더 넓은 길을 주로 사용하도록 선관위는 회선 설정을 해두었다. KT 퍼브넷과 연결된 선관위 라우터의 BGP(Border Gateway Protocol·경계경로 프로토콜) 라우팅 설정은 ‘as path pretend 9768’이고, LGU+ 퍼브넷플러스2와 연결된 선관위 라우터의 설정은 ‘as path pretend 38683 38683 38683’이다. 이런 설정은 LGU+ 쪽을 통하는 경로가 더 먼 것으로 인식하게 만든다. 모든 접속 트래픽은 가장 빠른 길을 선택하게 돼있으므로, 선관위로 향하는 트래픽이 KT쪽으로 흐르게 되는 것이다.
위와 같은 네트워크 구조에 따라 지난해 10월26일 오전 5시50분부터 발생한 디도스 공격 트래픽은 KT 퍼브넷을 통해 선관위로 향했다. 선관위가 오전 6시58분 KT 퍼브넷과 연결된 회선 2개를 라우터에서 차단(라우터에 로그인해 2개 회선에 대한 ‘interface down’ 명령을 입력)할 때까지 KT 퍼브넷을 통해 선관위로 향한 트래픽은 최대 1Gbps 규모다. 이 1Gbps 트래픽은 선관위 서버로 향하는 KT 퍼브넷의 출구 쪽 라우터에서 측정된 것이다. 즉, KT 퍼브넷은 선관위 서버를 향해 1Gbps의 트래픽을 쏟아냈다는 뜻이다.
하지만 KT 퍼브넷과 선관위 서버를 잇는 회선 2개의 용량은 310Mbps다. KT 퍼브넷이 쏟아낸 1Gbps 규모 트래픽이 한꺼번에 들어갈 수 없다. 이 좁은 길을 거쳐 선관위 서버 바로 앞에 설치된 디도스 방어장비에서 측정된 트래픽이 최대 263Mbps 규모다. 310Mbps 너비의 길에 263Mbps의 트래픽이 지나가면 마치 여유공간이 있는 것으로 생각할 수도 있지만, 실제로는 그렇지 않다는 것이 네트워크 전문가들의 설명이다.
네트워크를 통해 데이터를 전달하는 과정에서 부가적으로 발생하는 부하가 있다. 이를 오버헤드라고 부르는데, 사용자의 컴퓨터와 서버 컴퓨터가 서로 연결상태를 확인하기 위해 주고받는 신호들이 이에 해당한다. 이 오버헤드 때문에 통상 100Mbps의 데이터를 전달하려면 120Mbps의 회선 용량이 필요하다. 특히 디도스 공격 등으로 네트워크에 장애가 발생할 경우 오버헤드의 크기는 평소보다 더욱 커지기 때문에, 최대 263Mbps의 트래픽은 KT퍼브넷과 선관위 서버 사이의 회선을 완전히 막아버린다는 것이다.
이처럼 회선에 과부하가 걸리면 홈페이지 접속이 불가능해진다. 좁은 길을 비집고 들어온 263Mbps 트래픽의 대부분을 차지하는 공격 트래픽을 선관위 디도스 방어장비가 걸러내고 소량의 정상트래픽이 선관위 서버에 도달해도, 이 정상 트래픽의 요청에 응하는 응답 트래픽이 다시 KT 퍼브넷 쪽으로 나가야하는데 그 길이 막혀있기 때문이다. 또 이런 과부하가 발생하면 KT 퍼브넷 쪽과 연결된 선관위 라우터에도 장애가 발생한다. 모든 라우터는 주기적으로 자신이 정상적으로 작동하고 있다는 신호를 전 세계의 다른 라우터들에게 보내는데, 회선이 막혀버리면 이 신호를 보내지 못한다. 이런 상태를 ‘BGP 다운(down)’이라고 한다.
그렇다면 11Gbps라는 수치는 어디에서 비롯한 걸까. 선관위가 KT 퍼브넷과 연결된 회선을 차단 직후인 오전 7시께 KT 퍼브넷의 입구 쪽에서 측정된 트래픽 규모가 최대 11Gbps다. 이는 이번 공격에 동원된 275개 좀비피시가 동시에 공격을 실행해도 만들어질 수 없는 규모다. 11Gbps 트래픽은 KT 국내망과 LGU+망을 거쳐 KT 퍼브넷을 통해 선관위 서버로 가려던 공격 트래픽이 선관위의 회선 단절조치로 길을 잃어 우왕좌왕한 탓에 만들어진 것이다. 이처럼 목적지 정보를 상실한 트래픽이 일정 구간에서 무한반복하는 현상을 루핑(looping)이라고 한다. 11Gbps는 이러한 루핑에 의해 발생한 트래픽 규모다. 루핑이 발생한 이유는 KT 쪽 회선 차단 때문이다. 선관위의 책임론이 불거지는 대목이다.
그럼에도 명확하게 설명되지 않는 부분은 남는다. 이날 오전 6시58분 선관위가 KT 퍼브넷과 연결된 회선을 막은 뒤 LG 퍼브넷플러스2를 통해 선관위로 들어오는 회선에서 일어난 사태는 전문가들마다 분석 결과가 다를 정도로 미궁에 빠져 있다. LGU+ 퍼브넷플러스2의 출구 쪽에서는 오전 7시께 약 160Mbps의 트래픽이 송출된 것으로 관측됐고, 같은 시간대 LGU+ 퍼브넷플러스2와 연결된 선관위 라우터에서는 40Mbps의 트래픽이 유입된 것으로 관측됐다. 앞서 KT 퍼브넷쪽 상황과 마찬가지로 회선 용량(155Mbps)을 초과하는 트래픽 때문에 길이 막혀 홈페이지 접속이 안됐다는 것이 선관위 등의 설명이다.
하지만 이때 선관위 서버와 연결된 라우터에서 일어난 이상 증상은 트래픽 과다만으로 설명이 어렵다는 지적이 제기된다. 이날 오전 7시부터 7시10분까지 선관위 라우터의 경계 경로 프로토콜(BGP, Border Gateway Protocol)은 약 45초 간격으로 업/다운 증상을 반복한다. 경계경로 프로토콜이란 인터넷의 수많은 라우터들끼리 서로의 상태를 확인하기 위해 주고받는 신호를 뜻하는데, 이때 선관위 라우터는 10여초 동안 정상(업)이었다가 30여초 동안 장애가 발생했다는 신호(다운)를 계속 반복해서 보냈다. 이런 증상은 7시10분부터 잠시 멈췄다가 7시30분부터 다시 일어난다. 업/다운 현상이 일정 시간의 간격을 두고 ‘규칙적이면서도 지속적으로’ 발생한 것이 의혹의 핵심이다.
이는 7시 이전 KT 퍼브넷 쪽과 연결된 선관위 라우터에서 발생한 경계 경로 프로토콜 업/다운 증상이 훨씬 낮은 빈도로 불규칙하게 일어난 것과 대비된다. 트래픽 유입은 순간마다 변화하므로 과도한 트래픽 유입으로 인한 업/다운 현상도 불규칙하게 일어나기 마련인데, 오전 7시 이후 발생한 업/다운 현상은 마치 누군가 작위한 것처럼 규칙성을 띤다는 것이다.
이런 현상은 KT 퍼브넷과 연결된 선관위 라우터와 LGU+ 퍼브넷플러스2와 연결된 선관위 라우터 사이에 트래픽을 서로 주고받는 규칙 설정이 잘못된 경우에 일어날 수 있다는 것이 선관위가 사용하는 라우터 제조업체인 시스코의 설명이다. 오픈웹 대표 김기창 고려대 교수 등은 이를 근거로 선관위의 누군가가 실수로 또는 의도적으로 라우터 설정을 잘못 건드렸을 가능성을 제기하고 있다.
유신재 기자
ohora@hani.co.kr
[관련기사]
① 선관위 디도스 공격 기술쟁점② 선관위 디도스 공격 정치쟁점③ 디도스 트래픽 용량의 실체④ 김기창 오픈웹 대표 기고
※ 이번 사건과 관련해 네트워크·보안 전문가들의 의견 및 관련자의 제보를 기다립니다. 이번 보도에 대한 의견, 반론, 제보 등을 전자메일(ahn@hani.co.kr)로 보내주시면 추가 취재를 거쳐 다시 한번 기사로 쓰겠습니다. 수사당국이 “신의 영역”이라 밝힌 이번 사건의 실체를 밝히는 일에 많은 분들의 관심과 참여를 청합니다.
광고
){kind=link}
){kind=link}
){kind=link}
){kind=link}
){kind=link}
기사공유하기