디도스 공격 ‘제3의 그림자’ 있다 - 한겨레

출처 : http://www.hani.co.kr/arti/society/society_general/514772.html

디도스 공격 ‘제3의 그림자’ 있다

[하니Only] 등록 : 20120114 18:06

   

일당 검거 과정에 제보자 있었던 사실 드러나

또다른 조직 연루 단서 나온셈…검찰 조사 안해

로그파일 원본 아닌 사본 분석…특검서 규명해야

≫ 윤갑근 서울중앙지검 3차장 검사가 6일 오후 서울 서초동 서울중앙지검 브리핑실에서 10·26 서울시장 보궐선거날 중앙선거관리위원회에 대한 디도스(DDoS: 분산서비스거부) 공격 사건 수사결과를 발표하고 있다. 김봉규 기자 bong9@hani.co.kr

*<한겨레21> 895호에 이와 관련한 추가 사실과 더욱 상세한 내용이 실려 있습니다. <한겨레21>은 대형 서점과 전국의 철도역사, 지하철 가판대 등에서 구하실 수 있습니다. 아이패드용 <한겨레가판대>에서도 내려받아 보실 수 있습니다.

중앙선거관리위원회 누리집에 대한 디도스 공격을 감행한 일당이 붙잡히는 과정에서 숨은 제보자가 있었던 사실이 뒤늦게 확인됐다. 디도스 공격을 실시한 이들 외에 또다른 인물이 직·간접적으로 연결됐다는 단서가 나온 셈이다. 이와 함께 검찰이 디도스 공격 여부를 검증하기 위한 테스트베드를 통한 시연을 갑자기 중단한 사실도 확인됐다. 검찰이 로그파일 원본이 아닌 사본의 분석을 앞세워 과학적 신뢰성이 상대적으로 떨어지는 분석 결과를 냈다는 사실도 새롭게 밝혀졌다.

검찰 내부 관계자는 최근 <한겨레21>에 “디도스 일당을 붙잡은 것은 제보자가 있었기 때문”이라고 밝혔다. 이는 흔히 알려진 바와는 사뭇 다르다. 지난 11월30일 일당을 검거한 경찰은 수사 과정에서 IP추적, 좀비PC분석 등을 한 내용을 브리핑했다. 언론들은 의심의 여지없이 이것이 일당을 붙잡는 근거가 됐을 것으로 보도했다. 이 관계자는 “검찰도 경찰도 거짓말을 한 적은 없다”며 “다만 말하지 않았을 뿐”이라고 말했다.

정보기술(IT) 전문가들은 디도스 공격을 한 당사자가 금품 요구 등을 이유로 자신을 드러내지 않는 한 경찰의 로그 분석을 통해 검거된 예가 없다는 점을 이유로 한달 만에 일당이 붙잡힌 것에 대해 의문을 제기해 왔다. 실제로 북한의 소행이라며 떠들썩했던 지난해 농협 사건의 경우 해킹한 IP가 북한 쪽의 것으로 추정된다는 것 외에는 경찰이 당사자를 확정하지 못했다. 지난 몇 년 동안 벌어진 청와대 디도스 공격 등에서도 공격자가 대가를 요구하지 않아 공격자의 소재조차 파악하지 못했다.

따라서 이번 사건에서 디도스 공격 피의자들이 제보 덕분에 검거됐다는 사실은 묘한 의미를 함축한다. 피의자들의 검거를 통해 득을 보거나, 피의자들의 공격 감행 과정에서 연루된 또 다른 인물이 존재했을 가능성을 시사하기 때문이다. 뒤집어 말하면, 제보가 없었다면 선관위 디도스 공격 사건은 이른바 ‘완전범죄’로 끝날 수 있었는데 제보 덕분에 백일하에 드러난 셈이기도 하다. 검찰 내부 관계자는 “제보자의 신분은 경찰의 수사 핵심들만 파악하고 있는 것으로 알고 있다”라고 설명했다.

검찰 수사결과를 두고도 의혹은 제기된다. 검찰 내부에서도 지난해 서울시장 보궐선거 당일인 10월26일 선관위 누리집 마비는 검거된 일당의 디도스 공격만으로는 설명되지 않는다는 의견이 있었던 것으로 확인됐다. 하지만 당시와 동일한 조건을 만들어 시행하는 테스트 베드 구축과 시연은 이뤄지지 않았다. 검찰 내부 관계자는 “디도스 공격만으로 설명되지 않는 시스템의 문제가 발견돼서, 실제로 전산에서 테스트베드를 만들어 직접 확인하려 했다”며 “하지만 수사가 진행되면서 테스트베드의 과정과 결과가 외부로 알려지는 것이 문제가 돼 갑자기 중단했다”고 말했다.

검찰은 대신 한국인터넷진흥원(KISA)를 통한 로그기록 분석을 수사의 바탕으로 삼았다. 하지만 이 안에도 일종의 눈가림이 있다. 검찰이 KISA를 통해 검증했다는 로그파일은 엄밀하게 말하면 로그기록 원본이 아니다. 전문용어로 서버의 원본(원본의 복사본)은 로그 ‘이미지’이며 로그 ‘파일’은 원본이 아닌 제출용 자료일 뿐이다. 분석에 참여한 KISA도 이 분석의 신뢰성을 100% 장담하지는 못하는 것으로 전해졌다. KISA 쪽의 한 관계자는 “분석한 로그파일이 원본이 아니라는 점, 조사에 참가한 KISA 내 전문가들이 로그파일을 확인한 시점이 이미 디도스 공격이 있은 지 두 달이 다 된 시점이라는 점에서도 그 조사를 전적으로 신뢰하기는 어렵다고 본다”고 말했다. 이 관계자는 “특검의 수사는 그 기간과 무관하게 원본을 들여다보는 것부터 시작해야 할 것”이라고 말했다. 전문가들은 원본에서 만약 인위적 조작이 있었다면 그 흔적을 찾을 수 있는 가능성이 여전히 남아있다고 지적하고 있다.

검찰의 발표에 허점은 또 있다. 검찰 보도자료에는 “일반 웹페이지(홈페이지)를 통한 투표소 검색 18만1090건의 요청 가운데 576건만이 오류 처리가 됐으며, 모바일 접속 페이지를 통한 투표소 검색의 경우 3만555건의 요청이 모두 정상적으로 처리됐다”고 돼 있다. 지난해 10월26일 오전 다수의 시민들이 스마트폰을 통해 선관위 누리집에 자체를 접속하지 못했다. 이는 모바일 접속 에러가 전혀 없었다는 검찰의 설명과 모순된다. 이를 두고 김인성 IT 칼럼니스트는 “검찰 발표 자료는 내부 공모자가 없었음을 주장하려다 디도스 발생 자체를 부정하는 데까지 잘못 나간 게 아닌가 생각한다”고 말했다.

≫ 전국대학총학생회모임 소속 학생들이 지난 1월5일 서울 청계광장에서 디도스 사태의 진상 규명을 요구하고 있다. 다음날 검찰이 발표한 수사 결과가 이들을 만족시켰을 것 같지는 않다. <한겨레> 류우종

이번 검찰 수사 결과 발표는 다시 한번 경찰의 수사가 어느 정도였는지를 여실히 드러냈다. 검찰의 보도자료를 보면, 금전 거래 1천만원에 대해 검찰은 그 대가성의 근거로 송금 당시 김씨와 공씨의 ’문자메시지‘ 내용을 언급하고 있다. 문자메시지는 공씨가 범행 전 1천만원을 받아 보관하고 있던 정황을 추정할 수 있는 내용이라고 알려져 있다. 경찰은 지난 12월초 수사 과정에서 사건 혐의자들의 문자메시지와 통화 내역을 확인했다고 밝혔다. 요컨대 경찰의 수사가 심하게 부실했거나 거짓말을 했다는 뜻이다.

여·야는 지난해 12월말 특검을 통해 이 사건을 재수사하기로 합의해다. 검찰은 중앙선거관리위원회(선관위) 디도스 공격의 배후를 두고 “신의 영역”이라고 칭했다. 국민적 관심사를 40여 명의 특별수사팀이 수사하며 고작 국회의장 전 비서 1명을 추가로 기소하고, 금전 거래는 1천만원만 대가성이라는 사실을 밝혀낸 게 전부라는 비판에 맞선 일갈이다. 특검에서는 의혹 해소를 넘어 검찰이 말하는 ‘신의 영역’까지 도달하는 게 가능할까. 한 IT 전문가는 “검찰이 신의 영역이라고 말할 때의 그 ‘신’이 누구의 신인지 잘 모르겠다”고 말했다.

하어영 <한겨레21> 기자haha@hani.co.kr