출처 : http://barryspost.net/post/2519

선관위 디도스 부정선거에 대한 IT분야 종사자의 입장
Barry Lee 2011.12.03 

디도스 부정선거 관련 몇가지 사안을 정리해 보겠습니다.



우선 공격을 받은 서버는 선관위 서버와 박원순 시장측 서버 두 곳입니다. 박원순 후보측 서버는 디도스(DDoS) 공격을 받은게 맞습니다. 문제는 선관위 서버입니다. 선관위 서버는 두 개로 보이는데, 하나는 www.nec.go.kr 이고 다른 하나는 info.nec.go.kr 입니다. 전자는 메인 웹사이트 페이지고 후자는 투개표 및 투표소 정보 웹서버입니다. 두 서버의 IP 주소가 다른걸로 보아 적어도 서로 다른 두 서버, 혹은 두 개의 서버군(대규모 웹사이트는 여러개의 서버를 하나로 묶어 내부 로드밸런싱을 함)인 것으로 보입니다.

선거일 당시 info 서버는 확실하게 접속이 안됐고 www서버는 일부 접속이 되기도 한것 같지만 결국 마찬가지로 접속이 안되기도 했습니다. 트위터에 올라온 에러화면을 보면 대표주소(nec.go.kr)가 접속 후 비정상 종료됐습니다. 이건 디도스의 특징일 수도 있고,내부 타임아웃(데이터 내부 조회 실패)일 수도 있기는 합니다.

20111203-145803.jpg
선거일 아침 선관위 메인 홈페이지가 접속되지 않는 화면

또한 일부 제보에 따르면 당시 서버와 상관없이 웹서버 자체는 동작했고 데이터를 가져다 뿌려주는 부분만 죽어서 작동을 안했다는 이야기도 있습니다. 하지만 디도스 공격만으로는 데이터베이스 서버만 죽이기는 불가능에 가깝습니다. 유일한 가능성은 웹 페이지 프로그램을 잘못 개발해서 너무 비정상적으로 데이터 처리속도가 오래 걸릴 경우인데, 현실적으로는 일어나기 힘든 케이스 입니다.

보도에 따르면 200대의 좀비PC를 이용해 263MBps 의 용량(bandwidth) 으로 공격이 이루어졌다고 합니다. (보안뉴스 관련 기사 링크 ) 그런데 이 정도 bandwidth는 웬만한 접속만으로도 나온다고 합니다. 200대 좀비피씨의 공격도 3-4년전 사용되던 급의 서버만으로도 감당하고도 남는다고 합니다.

아래 이미지는 트위터에서 @yemharc 님께서 보내주신 멘션입니다. @yemharc 님은 네트웍 관련 분야에 종사하고 계시다고 합니다. 저도 서버와 프로그래밍 분야에 종사했지만 네트웍 분야에서는 저보다 더 잘 아시는 것으로 보입니다.


더 결정적인 것은 몇년전 디도스 대란 이후 정부 기관은 디도스 방어장비를 구매했다는 보도가 있으며 이 기사에 선관위가 명시되어 있다는 점입니다. 200대 좀비PC의 263MBps 수준의 공격도 못 막는 디도스 방어 장비라면 애초에 장비에 하자가 있지 않으면 불가능한 일이며, 그렇다면 한국 정부 전체 웹서버가 누구나 조금만 비용을 들이면 손쉽게 다운시킬 수 있는 수준이라는 이야기가 됩니다.

상식적으로 볼 때 박원순 당시 후보 웹사이트 정도라면 그 정도의 공격으로 다운될 수도 있기는 할걸로 보입니다. 그러나 선관위 서버가 저정도 수준의 디도스에 뻗는다는 건 전문가라면 아무도 안 믿을 소리입니다. 간단하게만 따져봐도 선거일에 선관위 웹서버를 통해 투개표 결과 조회나 투표소 조회를 해볼 사람은 몇천에서 몇만명 동시 접속 가능성이 고려되어야 합니다. 그런데 200대의 공격에 뻗다니요. 공격 작업의 특성상 정상 접속과는 다른 비정상 접속 방법이라고 해도 그건 말이 안됩니다.

결국 이 모든 의혹을 푸는 방법은 로그 파일 공개 하나 뿐입니다. 로그 파일 공개하면 디렉토리 구조가 드러나서 보안에 문제가 생긴다고 하지만, 그 정도 가지고 문제 안됩니다. 로그파일 안에 절대경로가 표시되지 않는 경우도 많고, 설령 절대경로가 표시되도 대부분의 절대 경로는 서버마다 비슷한데다 절대경로에 직접 접속 못하게 막혀 있습니다. 상대 경로로 구조를 파악한다 해도 그 정도 구조는 웹서버를 외부에서 프로그램으로 긁으면 다 나옵니다. 정 불안하면 야5당에서 지정한 전문가에게만 공개해도 될 일입니다.

경찰과 선관위는 그냥 로그만 공개하면 됩니다. 그러면 전문가들이 보면 다 나옵니다. 안그러겠지만 혹시 조작이라도 한다면 그 패턴만 살펴봐도 조작한거 보입니다. 그러니 빨리 공개하시기 바랍니다.

Barry Lee




Posted by civ2
,