선관위 누리집 공격, 도대체 뭘 숨기나? - 한겨레21

출처 : http://h21.hani.co.kr/arti/politics/politics_general/31124.html

선관위 누리집 공격, 도대체 뭘 숨기나? 

[이슈추적] 서울시장 선거일 선관위 누리집에 걸린 트래픽 규모, 선관위·KT 진술 엇갈려…

전문가들 ‘KT의 정보 은폐’ 주장에 의혹 커지자 KT는 입 다물어

▣ 김기태  [2012.01.09 제893호]

                    

뒤죽박죽이다.

2011년 10월26일 서울시장 보궐선거일 중앙선거관리위원회 누리집에 대한 공격을 둘러싼 선관위와 KT의 설명이 엇갈리고 있다. KT는 논란이 불거지자 아예 입을 다물어버린 상태다. 선관위도 누리집의 로그기록을 공개하라는 야당과 시민사회의 요구에 침묵으로 일관하고 있다. 그사이 의혹은 눈덩이처럼 덩치를 키우고 있다. 경찰과 해당 업체들의 설명 중 거짓으로 판명된 내용을 제외하고 비교적 신뢰할 만한 정보만 추려모아 선거 당일 아침의 상황을 재구성하면 다음과 같다.

≫ <한겨레> 김진수 기자

≫ ‘공명선거’를 위협한 중앙선거관리위원회 누리집 디도스 공격을 둘러싸고 선관위와 KT의 증언이 엇갈리고 있다. 경기도 과천 중앙동의 선관위(위)와 서울 광화문 KT 본사(아래) 모습. <한겨레21> 정용일 기자

2기가→11기가→1기가?

지난 10월26일 새벽 5시50분부터 선관위로 정보량이 몰리기 시작했다. 통신량이 몰리자 아침 6시15분~8시32분에 선관위 누리집의 외부 접속이 차단됐다. KT가 제공하는 회선이 정보량을 감당할 수 없게 되자, 아침 6시50분께 LG유플러스에서 제공하는 인터넷 회선도 작동하기 시작했다. 선관위 누리집으로 통하는 회선은 평상시에는 KT의 인터넷망을 주로 이용하지만, 사용량이 일정한 수준을 넘어서면 LG의 망도 활용하도록 구성돼 있다. 두 회선이 동시에 작동했는데도, 선관위 누리집에는 계속 장애가 있었다. 아침 8시를 넘어 KT와 한국인터넷진흥원(KISA)의 사이버대피소가 작동하기 시작했다. 그렇지만 선관위 누리집을 노린 정보량은 더욱 늘어났다. 일과가 시작되며 전원이 켜지는 컴퓨터가 늘어난 탓이 컸다.

이 정황을 둘러싸고 경찰, KT와 선관위의 설명이 엇갈린다. 무엇보다 당일 선관위 누리집을 노린 정보량을 두고 증언이 서로 모순된다. 지난 11월16일 이상용 KT 최고보안책임자(CSO)는 민감한 자료 하나를 공개했다. 그가 방송통신위원회가 주최한 한 해킹 방지 행사장에서 공개한 그래프를 보면, 선거일 선관위를 대상으로 한 최대 정보량은 초당 2기가비트 수준이었다. 그는 이 자료를 근거로 선관위 누리집 접속에 차질이 생긴 원인으로 디도스를 지목했다. 불과 열흘 뒤 선관위가 나서서 다른 말을 꺼냈다. 선관위의 한 관계자는 지난 11월26일 <나는 꼼수다>가 공개한 인터뷰에서 “당시 트래픽 규모가 거의 (초당) 11기가 정도였다. 평상시 KT의 트래픽이 아침 시간에 1기가에 불과한 점을 생각하면 받기 힘든 규모다”라고 설명했다.

도대체 누가 맞는 것일까. 엇갈린 근거를 둘러싸고 일부 누리꾼들은 온라인 공간에서 의혹을 제기하고 있다. <한겨레21>은 지난 12월29일 선관위 쪽에 질문을 던졌다. 당혹스럽게도 ‘제3의 답’이 돌아왔다. 선관위 관계자는 “KT로부터 선거 당일 트래픽 상황을 정리한 서류를 넘겨받아 검찰 쪽에 넘겼다. 서류를 보면 KT의 인터넷망에 잡힌 트래픽은 11기가였고, 이 가운데 선관위 누리집에 영향을 미친 트래픽은 초당 1기가다”라고 밝혔다. 2기가와 11기가 외에 ‘1기가’라는 새로운 답이 나온 셈이다. KT에서 작성했다는 서류를 보여달라고 선관위에 요청했다. 선관위는 “제공할 수 없다”는 답만 내놓았다. 그렇다면 왜 <나는 꼼수다>와의 인터뷰에서는 선관위가 ‘11기가’라는 답을 제시했을까. 선관위 관계자는 “처음 KT에서 자료를 받았을 때 그 수치를 (선관위에서) 제대로 이해하지 못했던 것 같다”고 말했다. 그러면 KT가 내놓은 2기가가 잘못된 것일까? 선관위의 답은 간단했다. “우리는 모른다. 그 내용은 KT 쪽에 물어봐라.”

KT 쪽에 답변을 요청했다. KT 홍보실의 관계자는 “디도스와 관련해서는 노코멘트”라고 밝혔다. KT 쪽의 의견을 정리하면, 이상용 CSO가 자료를 내놓은 것은 사실이지만 그 내용이 KT의 공식 견해인지에 대해서는 가타부타 밝힐 수 없다는 것이다.

“11기가 트래픽은 존재하기 힘들다”

선관위로 이어지는 또 다른 회선을 맡은 LG유플러스 쪽에 선거 당일 아침 트래픽을 확인해보았다. LG유플러스 쪽에서는 비교적 상세한 답이 돌아왔다. 선거일 아침 6시50분~8시50분 이 회사의 회선을 통한 트래픽은 초당 최대 200메가비트였지만, 이 시간대를 전후한 트래픽은 전무했다는 설명이었다. LG유플러스 회선을 통한 트래픽은 상대적으로 미미했다. KT와 선관위 사이의 엇갈린 정보량을 채워줄 정도는 아니라는 의미다. 결국 질문은 KT와 선관위의 엇갈린 증언으로 돌아온다.

왜 증언이 엇갈릴까? 그리고 왜 두 곳은 국민적 관심이 쏠린 문제에 대해 시원하게 답을 제공하지 못할까? 한 보안 관련 전문가는 선관위와 KT가 내놓은 수치가 모두 맞을 수도 있다고 지적했다. 즉, 인터넷망의 어느 지점에서 측정했느냐에 따라 수치가 달리 나올 수 있다는 의미다. 예를 들어 선관위를 공격 대상으로 한 정보량이 실제로 초당 11기가였지만, KT의 방어망을 통해 걸러진 뒤 선관위에 미친 트래픽은 초당 1~2기가일 수 있다는 것이다. 그는 “선관위 누리집 공격을 둘러싸고 정부가 사실을 은폐하려고만 하다 보니 국민 사이에 불신이 깊어진 것은 맞지만, 일단 사실은 사실대로 엄밀히 파악할 필요가 있다”고 말했다.

물론 다른 해석도 있다. 김인성 정보기술(IT) 칼럼니스트는 KT가 정보를 어떤 이유에서건 은폐했을 가능성이 높다고 지적했다. 근거는 두 가지였다. 첫째, 이상용 CSO가 제시한 그래프는 데이콤-퍼브넷 사이의 트래픽이라고 명기돼 있다. 이 말은 KT 네트워크의 초입 부분, 즉 방어막을 통해 걸러내기 전 통신량임을 나타낸다. 둘째, KT가 방어망을 통해 걸러냈다면 트래픽이 1~2기가 수준으로 올라가기 힘들다. 이 정도는 KT를 통해 선관위에 이르는 회선이 감당할 수 없는 용량이기 때문이다. 그러나 그래프에서는 트래픽이 2기가 수준까지 비정상적으로 높게 나타났다. 즉, KT가 내놓은 그래프는 KT가 방어망을 통해 걸러내기 ‘이전’ 트래픽 자료로 다시 풀이된다는 뜻이다. 두 가지 근거를 종합하면, 선관위가 얘기하는 11기가의 트래픽이 실제로 존재하기 힘들다는 말이 된다.

뒤늦게 노코멘트 일관하는 이유는?

정보 공개를 둘러싼 미심쩍은 정황도 보인다. KT 쪽은 ‘서비스 사용자’인 선관위의 자료를 함부로 내놓을 수 없다. 그럼에도 KT는 사건 초기에 CSO가 나서서 국가기관의 내부 자료를 공개했다. KT가 고객과의 사전 협의도 없이 정치적으로 민감한 자료를 앞장서서 밝힌 것은 이례적이다. 게다가 당시는 선관위 누리집의 장애 원인에는 선관위 내부의 개입이 있을지 모른다는 의혹이 고개를 들던 때였다. KT의 돌발행동은 선관위와의 교감이 없이는 상상하기 힘든 일이다. KT는 문제의 발언 뒤로는 입을 꾹 다물어버렸다. 묻지도 않을 때는 선관위보다 먼저 나섰던 KT가, 막상 질문을 던졌을 때는 몸을 사린 셈이다. 의혹이 난무하는 사이 KT는 이제 침묵으로 ‘버티기’에 들어간 것으로 보인다. 그 침묵의 이면에 사건의 전말을 둘러싼 진실이 어른거리고 있다.

김기태 기자 kkt@hani.co.kr