디도스 공격 전문가 “공격이든 해킹이든 외부 도움 받았을 것” - 경향

출처 : http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201112101145221&code=910100

디도스 공격 전문가 “공격이든 해킹이든 외부 도움 받았을 것”

정원식 주간경향 기자 bachwsik@kyunghyang.com  입력 : 2011-12-10 11:45:22ㅣ수정 : 2011-12-10 12:35:32

지난 10월 26일 재·보궐선거 당일 중앙선거관리위원회 홈페이지에서는 무슨 일이 벌어진 것일까. 전·현직 여당의원 비서들이 직·간접적으로 연루된 데다 이들과의 술자리에 청와대 행정관까지 동석한 사실이 드러나면서 사건의 파장은 급속도로 확대되고 있다. 

공격을 실제로 수행한 이들의 정체는 드러났지만 배후에 누가 있는지, 선관위 홈페이지가 어떤 경로를 거쳐 접속장애를 일으켰는지에 대해서는 명확한 결론이 나오지 않았다. 보안전문가들은 이 사건을 어떻게 보고 있는지 알아봤다.

객관적인 상황은 이렇다. 지난 선거에서 서울시내 투표소 332곳은 그 이전과 다른 장소로 바뀌었다. 투표장소가 바뀐 사실을 모른 채 출근길 투표를 하려 했던 유권자들은 바뀐 투표장을 찾기 위해 선관위 홈페이지 접속을 시도했다. 그 중 일부는 홈페이지 접속에는 성공했지만 투표소 조회 메뉴 접속에는 실패했다. 선관위는 홈페이지가 디도스 공격을 받았기 때문이라고 발표했는데, 인터넷 팟캐스트 ‘나는꼼수다’가 제기한 의혹은 바로 이 대목을 겨냥한 것이다. “(홈페이지 전체가 마비된 것이 아니라 투표소 조회만 안 됐다면) 내부적으로 협조자가 있거나 아니면 전문적인 해커가 들어가서 데이터베이스(DB) 서버를 공격해야 하는데, 현실적으로 어려운 디도스 공격이거든요? 그러니까 디도스 공격이라고 할 수 없는 거예요.”(정봉주 전 의원, 12월 5일 SBS 라디오 인터뷰)

 

▲지난 12월 6일 오후 국회 민주당 원내대표실에서 열린 ‘한나라당 부정선거 사이버테러 진상조사위원회’ 간담회에서 민주당 문용식 인터넷소통위원장(오른쪽에서 두 번째)이 10ㆍ26 서울시장 보궐선거 당일 발생한 원순닷컴에 대한 디도스 공격 로그파일을 공개하고 있다./연합뉴스

권석철 큐브피아 대표는 디도스 공격이 있었다는 점은 인정했다. 문제는 통상적인 디도스 공격만으로 선거 당일 선관위 홈페이지에서 일어난 상황이 발생할 수 있느냐는 점이다. 디도스 공격은 동시에 대량의 트래픽을 보냄으로써 홈페이지의 서버를 다운시키는 수법이다. 2차선 도로에 수만대의 차량이 동시에 진입해 도로가 마비되는 상황에 비유할 수 있다. 통상 이 같은 디도스 공격에는 디도스 툴이 사용되는데, 쉽게 말해 “이 툴을 사용해서 단추만 누르면” 공격이 실행된다. 권 대표는 “디도스로 홈페이지를 공격할 경우 홈페이지 전체를 다운시키는 게 가장 손쉬운 방법이다. 홈페이지는 놔두고 데이터베이스만 다운시키는 건 흔치 않은 일”이라고 말했다. 그가 디도스 공격 이외에 다른 공격이 있었을 것이라고 보는 이유다.

■ “데이터베이스만 공격하는 것 어려워”

데이터베이스 접속장애가 발생할 수 있는 상황은 세 가지다. 데이터베이스 서버가 아예 켜져 있지 않았거나, 데이터베이스 서버를 순간적으로 다운시켰거나, 데이터베이스의 특정 포트가 공격당한 경우다. 데이터베이스 서버 자체가 꺼져 있었다는 것은 일종의 음모론에 해당한다. 이 경우를 제외하고 공격에 의한 접속장애가 발생했다고 볼 때 문제가 되는 것은 데이터베이스만 노리는 것이 결코 쉽지 않다는 점이다. 권 대표는 “데이터베이스만 공격하려면 데이터베이스의 IP 주소를 알아야 한다. 이걸 알려면 해킹을 해서 뒤질 수밖에 없다. 전문적인 해커들이 할 수 있는 수준이고, 준비도 오랫동안 해야 한다”고 말했다. 하룻밤 사이에 실행할 수 있는 일이 아니라는 얘기다. 

디도스 공격만으로 데이터베이스를 다운시키는 것이 가능하다고 말하는 보안전문가도 있다. 문제는 현실성이다. 익명을 요구한 한 보안전문가는 “디도스만으로 데이터베이스를 다운시키는 게 이론적으로는 가능하지만 현실적으로는 쉽지 않다. 공격자가 얼마나 많은 정보를 갖고 있었느냐가 관건”이라고 말했다. 디도스 공격 이외의 해킹 수법을 사용했든 디도스 공격만으로 데이터베이스를 다운시켰든, 디도스 공격을 감행한 공모씨(최구식 한나라당 의원 전 수행비서) 일당이 누군가의 도움을 받았을 것이라는 의혹이 제기되는 이유다.

그렇다면 공모씨의 지시로 디도스 공격을 감행했다고 자백한 강모씨 등의 기술 수준은 어느 정도였을까. 공씨와 같은 고향 출신인 강씨와 강씨의 동료 두 사람은 인터넷 도박사이트 업계 쪽에서 활동해온 것으로 알려졌다. 

보안전문가들은 이들이 불법 인터넷 도박사이트에 디도스 공격을 감행한 다음 불법 사이트여서 경찰에 신고하지 못하는 점을 악용해 공격을 중단하는 대가로 돈을 받거나, 서로 경쟁관계에 있는 불법 도박사이트 운영자로부터 돈을 받고 다른 불법 도박사이트에 디도스 공격을 해주는 방식으로 사업을 해왔을 것이라고 본다. 강씨 등이 대구에 사업장을 두고 운영해온 웹사이트 설계 업체가 별다른 수주실적이 없었음에도 강씨 등이 고급승용차를 타는 등 여유로운 생활을 할 수 있었던 배경으로 보인다. 권석철 대표는 이런 정황으로 미루어 “디도스 공격 과정에서 국내 IP를 사용한 점 등을 보면 고급해커라고 할 수는 없지만 이 분야 초보자들은 아니다. 일반적인 기준으로 보면 준전문가급”이라고 말했다.

한 해킹 관련 전문가는 좀 더 단정적인 견해를 제시했다. “이 친구들이 사용했다는 디도스 공격 툴은 ‘카스툴’이라는 건데, 이건 일반적인 디도스 공격에만 사용되는 것이다. 그걸로 데이터베이스만 끊는다는 건 불가능하다고 생각한다.” 이 전문가는 “이미 도박사이트를 운영하면서 공격을 해본 경험이 있는 사람들이라 좀비PC를 준비하거나 하는 데는 별 문제가 없었을 것이라고 본다”며 “그러나 10만대라면 몰라도 (경찰 추산으로) 200대나 1500대의 좀비PC로 국가기관인 선관위 사이트를 마비시킨다는 건 기술을 아는 사람이라면 웃을 얘기”라고 말했다. 이 전문가는 “선관위에 방어시스템을 공급한 LG엔시스는 공격 시점 당시 방어시스템이 정상적으로 작동했다고 발표했는데, 이 발표대로라면 디도스 공격은 실패한 걸로 봐야 한다”며 “현재로서는 로그파일이 공개돼 있지 않기 때문에 추정만 할 수 있는 상황”이라고 덧붙였다.

■ “2기가 트래픽은 대학 수강신청 수준” 

최영남 파도콘 대표는 “11월 28일 지식정보보안산업대전 행사에서 KT 측이 당시 트래픽 관련 차트를 보여줬는데, 트래픽이 2기가 수준이었다. 그래서 당시 보안업계 종사자들 사이에서 논란이 됐다. 대학생들이 수강신청을 할 때도 그 정도 트래픽은 나오는데 LG엔시스 방어시스템을 구축한 선관위가 그 정도를 못 막았다는 건 이상하지 않느냐는 얘기였다. 선관위는 11기가라고 하는데 그 수치는 어디서 나온 것인지 모르겠다”고 말했다.

이 같은 의혹을 해소하려면 결국 로그기록을 분석해야 한다는 것이 보안전문가들의 공통된 견해다. 선관위는 법적으로 로그기록 공개가 금지돼 있다는 점을 들어 공개할 수 없다는 입장을 밝혔다. 지금이라도 로그기록이 공개된다면 어떨까. 한 해킹 관련 전문가는 “지금 공개하는 건 신뢰성이 떨어진다. 로그기록을 조작하는 게 불가능한 게 아닌데 이미 한 달 넘게 끌었기 때문에 의심이 나오게 돼 있다”고 말했다. 

수사는 경찰을 떠나 이제 검찰의 손으로 넘어갔다. 중요한 건 누군가는 책임을 져야 한다는 사실이다. ‘정치권의 배후’가 드러나지 않더라도 그렇다. 최영남 대표는 “정치적인 문제가 없더라도 실무자들과 책임자들은 책임을 져야 한다. 조사 결과 해킹으로 나오더라도 문제이고, 내부 공모로 나오더라도 문제이고, 트래픽이 한 번에 몰려서 그렇게 된 것으로 나오더라도 문제다. 정치적 배후 문제를 떠나 데이터베이스 접속장애가 생겼다는 것 자체만으로도 처벌받아야 한다”고 말했다.