출처 : http://www.ohmynews.com/NWS_Web/view/at_pg.aspx?CNTN_CD=A0001668884&PAGE_CD=N0120
"선관위 디도스 공격은 페인트 모션이다"
[전문가 진단④-선관위 사이버테러] 보안전문가 김성주 FNAS 대표
11.12.13 10:58 ㅣ최종 업데이트 11.12.13 10:58 구영식 (ysku)
서울시장 보궐선거가 치러지던 지난 10월 26일. 김성주 FNAS 대표와 점심을 먹던 '나꼼수'의 김어준 <딴지일보> 총수가 특유의 말투로 툭 한마디 던졌다고 한다.
"졸라 이상한데…."
이날 오전 6시 15분부터 오전 8시 30분까지 2시간여 동안 중앙선관위 홈페이지가 접속장애를 일으켜 유권자들이 바뀐 투표소 위치를 확인하지 못한 사태를 두고 한 말이었다. 김 총수는 보안문제전문가인 김 대표에게 "한번 들여다 보라"고 주문했다.
이러한 김 총수의 '의문'은 날카로운 '의혹제기'로 이어졌다. 그는 지난 10월 29일 방송된 '나꼼수 26회'에서 이렇게 말했다.
"아침 6시부터 8시반까지 선관위 홈페이지는 접속되는데 자기 투표소 찾으려고 주소 입력하는 DB 연동이 끊어졌다. 누군가 의도적으로 끊어 출근길 젊은층 투표를 방해하려 한 치밀한 작전이다."
더 나아가 김 총수는 "디도스 공격이 아니다, 로그파일(사이트 접속정보를 기록한 파일)만 조사하면 외부해킹인지 내부에서 한 건지 알 수 있다"며 사실상 '선관위 내부 개입' 의혹까지 제기했다.
"디도스 공격으로 나타날 수 없는 패턴 나타나"
▲ 보안전문가 김성주 FNAS 대표 ⓒ 구영식
지난 9일 오후에 만난 김성주 대표는 "김어준 총수가 촉이 빠르다"라며 "서울시장 보궐선거 당일부터 선관위 홈페이지에서 투표소 검색 DB연동만 끊어졌다고 결론내린 뒤 '그럼 어떤 공격에 의한 것이냐?'면서 (원인을) 역추적해 들어갔다"고 전했다.
보안전문가들 사이에서 논란이 일었던 '디도스 공격이냐, 아니냐?'와 관련, 김 대표는 "(디도스 공격 이후) 접속이 이루어지느냐 접속이 안 이루어지느냐의 차이만 있을 뿐 디도스 공격은 늘 있다"며 "하지만 이번 선관위 홈페이지 접속장애를 두고 '디도스 공격이냐 아니냐'고 묻는 것은 질문 자체가 잘못됐다"고 지적했다.
"원순닷컴의 경우 디도스 공격이 명확하다. 하지만 선관위 홈페이지의 경우 디도스 공격만이 범죄의 전부냐? 디도스 공격이 없었다고 얘기하는 것이 아니다. 하지만 다른 공격의 가능성이 있고, 나꼼수와 저는 이(다른 공격) 확률이 더 크다고 생각한다. 디도스 공격은 페인트 모션이다."
김 대표는 "디도스 공격으로만 접속장애가 일어났다고 보기 어려운 '의심되는 패턴'이 있었다"며 "즉 디도스 공격으로 나타날 수 없는 패턴이 나타났다는 것"이라고 설명했다.
"디도스 공격이라면 (웹페이지의) 접속 자체가 안 된다. 그것이 일반적인 경우다. 일부에서는 '페이지 디도스'라고 주장하지만 네트워크 시큐리티(network security) 세계에서 그런 것은 존재하지 않는다. 이번 선관위 홈페이지의 경우에는 '투표소 검색'이라는 특정DB(페이지)만 안 보여줬다. 이것은 디도스 공격으로 나타나지 않는 패턴이다."
김 대표는 "웹서버에는 접속이 되는데 DB서버만 다운됐다는 것은 다른 공격이 있었기 때문에 가능한 일"이라며 "간헐적으로 웹서버에 접속이 안되는 사람도 있긴 했지만 그것은 정상적인 수준에서 조금 벗어난 경우일 뿐"이라고 강조했다.
김 대표는 'MRTG(Multi Router Traffic Grapher)'를 근거로 제시하며 자신의 주장을 이어 나갔다. MRTG는 트래픽을 모니터링하는 도구로 시간별 트래픽 변화 추이 등을 그래프로 확인할 수 있다.
"(선관위에 회선을 제공하는) KT와 데이콤의 MRTG를 입수해 분석해 보았다. 이것에 따르면 선관위 홈페이지 자체는 정상이었다. 디도스 공격이 이루졌다는 시각에 트래픽이 증가하지 않았다. 디도스 공격이 끝난 뒤에는 트래픽이 줄어들어야 하는데 줄어들지 않았다."
김 대표가 내놓은 또다른 근거는 중앙선관위에 '디도스 공격 대응체계'를 구축한 LG엔시스가 서울시장 보궐선거 당일 선관위에 제출한 로그분석 보고서다. 그는 "LG엔시스가 자기 (보안)장비의 로그파일을 분석한 보고서를 선관위에 전달했다"며 "LG엔시스는 이 보고서에서 '디도스 공격이 들어왔지만 잘 막아냈다'고 밝혔다"고 전했다.
실제 LG엔시스의 한 관계자는 지난 5일 <오마이뉴스>와 한 인터뷰에서 "우리가 (2009년 말에) 공급했던 장비는 제대로 작동했다"며 "(중앙선관위 홈페이지 접속장애는) 장비의 문제가 아니다"라고 말했다.
"어떤 힘이 투표소 DB연동만 끊었다"
그렇다면 왜 서울시장 보궐선거 당일 2시간여 동안 투표소 검색 페이지만 열리지 않았을까? 김 대표는 "바로 그 문제를 집중적으로 파헤쳐야 한다"고 주문했다.
김 대표는 "기술적 부분은 이 문제의 하위문제"라고 강조한 뒤, "25%의 투표소가 바뀌었는데 야당이 강한 투표소는 평균보다 더 많이 바뀌었다"며 "9급 국회의원 비서가 어떻게 그런 정보를 알고서 투표율을 떨어뜨리기 위해 선관위 홈페이지를 공격했겠느냐?"고 의혹을 제기했다.
"나꼼수와 저는 디도스 공격이 없었다고 얘기한 적이 없다. 사건의 본질이 디도스 공격에 있지 않다고 얘기했을 뿐이다. (투표소 검색) DB연동이 끊어진 원인이 디도스 공격이 아니라는 것이다. 선관위 '내부'이거나 내부를 맘대로 할 수 있는 사람이 'DB연동을 끊는 힘'으로 작동했다는 것이다."
김 대표는 "처음에는 투표소를 많이 바꾸는 과정에서 일어난 엔지니어의 실수일 가능성도 생각해봤다"며 "하지만 다른 DB는 검색이 되는데 유독 오전 6시부터 8시까지 투표율, 투표소와 관련된 DB만 검색이 안됐다"고 지적했다.
이어 김 대표는 "로그파일을 보지 않는 상태에서 최구식 한나라당 의원의 비서 일행이 투표소 DB를 공격한 것인지 다른 힘이 공격한 것인지 모르지만 두 가지 가능성이 다 있다"며 "이것은 웹로그, 시스템로그, DB로그, 라우터로그 등 전체 로그파일를 줘야 분석이 가능하다"고 말했다.
▲ 지난 10월 26일 중앙선관위 홈페이지 MRTG. 김성주 대표는 "이것을 보면 당시 홈페이지의 트래픽은 정상수준이었다"고 주장했다. ⓒ 김성주 대표 제공
김 대표는 "경찰은 웹로그만 집중적으로 분석하다가 거기서 디도스 공격이 나오니까 디도스 공격으로 결론내린 것 같다"며 "하지만 디도스 공격으로 인해 투표소 DB연동이 끊어질 가능성은 매우 낮다"고 거듭 주장했다. 다만 그는 경찰이 디도스 공격자를 신속하게 잡아낸 것에는 칭찬을 아끼지 않았다.
"공씨 일행이 잡히지 않으려고 대단히 노력했다. 대포 T로그인(무선인터넷공유기)을 사용했고, VPN(virtual private network, 가상사설망)도 다른 사람 명의로 사용했다. 그런 점에서 보면 경찰이 빠른 시간 안에 범인을 잡아낸 것은 칭찬해주고 싶다."
김 대표는 "투표소 DB가 연결되지 않아 투표율이 떨어진 것이 이번 사건의 핵심사실"이라며 "그런 점에서 경찰이 이번 사건의 '근본적인 구조'를 수사하는 데는 미흡했다"고 지적했다. 그는 "하지만 구조적인 부분을 수사하는 것은 일선 경찰관이 결정할 문제가 아니라 그 윗선에서 결정할 일"이라고 덧붙였다.
"이제 로그파일 공개해도 믿을 수 없다"
또한 김 대표는 "지난 10월 26일 오전 6시부터 8시까지와 똑같은 환경에서, 공씨 일행이 쓴 장비와 똑같은 것으로 디도스 공격을 해서 투표소 DB만 끊어지는지 시연을 해보자"고 제안했다.
김 대표는 "해킹은 속도전이라 바로 조치하지 않으면 증거를 확보하기 어렵다"며 "그런데 선관위는 한달이 넘도록 로그파일을 공개하지 않고 있어 앞으로 로그파일을 공개한다고 해도 믿을 수 없다"고 불만을 토로했다. 그는 "범죄는 범죄이고 책임은 책임"이라며 "당일 서비스를 제대로 못한 부분은 선관위에서 책임져야 한다"고 강조했다.
김 대표는 최근 자신의 페이스북에 올린 글에서 중앙선관위 홈페이지 접속장애 사건을 '선관위 사건'이라고 명명하면서 그 사건에 집중하는 이유를 이렇게 썼다.
"선관위 사건은 이 시대의 심판이 잘못된 사건입니다. 최소한 심판은 믿을 수 있어야 합니다. 독립된 헌법기관입니다. 이것이 흔들려서는 우리가 구성하고 있는 이 사회가 흔들린다고 판단했습니다."
'시사' 카테고리의 다른 글
이대통령 영문 이니셜 MB는 ‘멀티비리’ - 한겨레 (0) | 2011.12.13 |
---|---|
명진스님 “한나라, 재창당 소리 말고 MB 탄핵해라” - 뉴스페이스 (0) | 2011.12.13 |
‘엠비 낙하산 부대 8종세트 332명’ 무차별 투입 (2011-10-06) - 한겨레 (0) | 2011.12.13 |
‘축구를 예로 든 한-미 FTA 독소조항 설명’ - 한겨레 (0) | 2011.12.13 |
MB의 꼼꼼함, 아마존에도 댓글 알바 동원? - 뉴스페이스 (0) | 2011.12.13 |