출처 : http://www.wikitree.co.kr/main/news_view.php?id=52141

선관위 '디도스 공격'의 석연치 않은 점
선관위 디도스 공격의 실제 
11.12.03 17:00 브로와이즈

선관위 홈페이지 공격에 대한 경찰의 해명이 석연치 않다. 적어도 10년이상 서버, SW를 다루어왔었던 입장에서는 이해가 안되는 부분이 한두가지가 아니다.

그리고 현재 언론들이 쏟아내는 모든 기사들이 경찰의 발표에만 의존하여 우왕좌왕하고 있는 점 또한 안타깝기 그지없다. 일련의 상황들은 아마도 일선 기자들이 디도스 공격에 대한 실체적  지식이 미약하기 때문에 빚어진 일일 것이다.

경찰의 발표가 왜 미심쩍은지 알아보기 위해서는 현재 블랙마켓에서 벌어지고 있는 디도스 공격의뢰,그리고 공격 실행방법에 대한 이해가 선행돼야 한다.

1) 디도스 공격은 어떤 방식으로 이루어 지는가?

(디도스 공격 매커니즘)

디도스 공격의 매커니즘은 많이 알려져있다. 간단하게 말해서 수많은 개인용컴퓨터에 악성코드를 설치한 후, 마스터 서버의 명령을 통해 특정시간에 일제히 하나의 사이트에 접속하게 함으로써 과다한 트래픽을 유발시켜 사이트를 다운시켜버리는 공격의 일종이 되겠다.

공격의 방법도 쉽고 간단하며 수사당국의 추적도 어렵지않게 따돌릴 수 있다는 장점이 있기때문에 2000년대 이후에 널리 애용(?) 되고있다.

디도스 공격의 핵심은 보통 '유효한' 좀비 PC를 몇대나 확보할수 있느냐에 

달려있다고 해도 과언이 아닌데, 그 이유는 악성코드를 무작위 컴퓨터들에 심다 보니 동원할수 있는 PC의 수가 상황에 따라서 매우 편차가 크다는 이유 때문이다.

악성코드가 설치된 컴퓨터가 꺼져있는 상황일 수도 있고, 백신에 의해 삭제 되었을수도 있으며, 또는 인터넷에 연결되지 않았을 수도 있는 등 별의별 이유에 의해 디도스공격 당시에 동원할수 있는 좀비 PC는 실질적으로 전체 PC중 20%~70% 사이 정도로 한정된다.

이제 악성코드를 왜 수십만대 이상의 컴퓨터에 감염시키려고 해커들이 노력하는지 이해가 되는가? 적어도 10만대 정도는 감염시켜야 그 중 2만대 이상의 컴퓨터를 공격에 동원할 수 있기 때문이다.

2) 디도스 공격의 수사가 어려운 이유

디도스 공격을 감행한 범죄자를 찾기 위해서는 좀비 PC에 명령을 내린 마스터 서버의 위치 파악과 분석이 필수적이다. 보통 대규모 디도스 공격이 일어나면 사이버수사대 측에서 공격에 동원된 좀비 PC를 수집해서 악성코드를 분석하게 되는데, 악성코드가 명령을 받아오는 마스터 서버의 아이피를 확인하는 과정을 거친다.

그런데, 예상들 했겠지만 마스터서버는 해외에 존재한다. 국내 검,경찰의 수사권한이 닿지않는 필리핀, 마닐라, 중국등에 위치하고 있기 때문에 마스터 서버를 확보한다는 것은 실질적으로 불가능한 일이다.

여태까지 감행된 수많은 디도스 공격중에 범인이 밝혀진것은, 아마도 이번이 첫번째 사례일것같다.

이번 수사를 통해 밝혀진 사실 중 궁금한 것을 추려보자면 다음과 같다.

1. 디도스 공격자를 이렇게 신속하게 검거할 수 있었던 이유는 무엇인가?
 : 여태까지 디도스 공격자가 이렇게 신속하게 잡힌 적은 없었다. 제보에 따른 수사로 검거한  것인가? 아니면 악성코드 분석을 통해서 검거한 것인가?

2. 디도스 공격이 무료로 이루어 졌는가?
 : 보통 간단한 쇼핑몰 디도스 공격의뢰는 1회당 500만원 정도 선에서 거래되는 것으로 알고있다.   이번 디도스 공격은 국가 핵심사이트 중에 한 곳인 선거관리위원회 사이트이다. 위험부담이 크기 때문에 어림잡아도 5000만원 이상의 비용이 소요될 것이라 예상된다.

3. 하룻밤새 200 대를 감염 시켰다고 하는데 과연?
 : 유효한 좀비 PC 200대라면 , 새벽시간에 공격이 감행된 특성상 2-3만대 이상의 좀비PC를  확보했다는 추론이 성립된다. 적어도 5일에서 10일 이상은 악성코드 유포가 광범위하게 이루어졌다는  이야기다. 하룻밤만에 200대를 확보했다는 것은 수사를 통해서 얻어진 결론인가. 자백인가.

4. 디도스공격은 서비스를 마비시키는 공격이다.
 : 특정페이지만 다운시키는 방법론은 존재하지 않는다. 디도스 공격이 이루어졌던 시간대의 로그파일 분석이 필요하다.

현재 여당에 치명적인 사건이기때문에 경찰이 신중에 신중을 거듭하여 수사하고 있다고 믿고 있다. 하지만 현재 발표된 내용만 가지고는 공격 내용을 신뢰할 수 없는것이 사실이다.

솔직히 선관위 홈페이지 접속 로그를 외부 전문가 참여 하에 분석한다면 쉽게 해결될 의혹을 너무 어렵게 끌고 나가는 것 아닌가? 로그파일을 일반 대중에게 공개하는 것이 아니라 제한된 몇몇  전문가를 통해서 검증을 진행한다면 선관위 쪽에서 제기하는 보안위협 문제도 일어나지 않을 것일 텐데 말이다.

이번건은 민주 국가의 근간을 뒤흔드는 사건이다. 철저한 검증과 조사가 필요하다. 투명한 사건의 해결과정을 지켜보고싶다.


Posted by civ2
,