‘나꼼수’ 폭로한 IT전문가는 ‘이길환’…“디도스 재현하라”
네티즌 “말한대로 못하면 경위밝혀라”…‘4급 보좌관’ 찾기도
최영식 기자 | newsface21@gmail.com 
12.02.02 17:31 | 최종 수정시간 12.02.02 17:43

10.26 부정선거 의혹과 관련 ‘나는 꼼수다-봉주4회’에서 언급한 IT 전문가는 이길환 정보보호연구소장인 것으로 밝혀졌다. 이에 따라 ‘제4인물’의 청탁을 받고 디도스만으로 특정 DB가 끊어질 수 있다는 인터뷰를 한 것과 관련 네티즌들은 “같은 것을 재현하라”고 요구하고 있다. 

김어준 <딴지일보> 총수는 1일 업로드된 ‘봉주4회’ 방송에서 디도스 1차 술자리에 참석했으나 검찰이 알고 있지만 수사하지 않았고 언론에도 등장하지 않은 제4의 인물이 있다며 30대 후반의 4급 보좌관급 인물이라고 폭로했다. 

김 총수는 이 4급 보좌관은 IT전문가를 만나 ‘디도스 공격만으로 특정 DB만 끊어질 수 있다’는 내용의 인터뷰를 해줄 것을 요청했다며 그 후 이 전문가는 방송에 출연해 ‘디도스만으로 이런 현상이 가능하다’는 단정적 인터뷰를 여러 차례 한다고 말했다. 

또 김 총수는 한나라당 검증위와 검찰이 디도스 공격을 시연했지만 10.26 당일날 같은 결과가 나오지 않아서 공개를 안했다고 지적했다. 

이같은 폭로에 트위터와 인터넷에는 ‘4급 보좌관’과 ‘IT 전문가’에 대한 궁금증이 쇄도했고 ‘나는 꼼수다’ 공식 블로그는 이길환 정보보호연구소장이라고 이름을 밝혔다. 

‘나꼼수’ 블로그는 “김어준 총수가 봉주 4회에서 4급 보좌관이 전문가를 만나 그런 내용의 인터뷰를 요청했고 전문가가 방송에 출연해 ‘디도스만으로 이런 현상이 가능하다’는 단정적 인터뷰를 여러차례 했다고 말했다”고 지적했다. 

‘나꼼수’ 블로그는 “이 전문가는 바로 서울 경찰청 IT전문위원 이길환이다”며 “이길환한테 물어보면 술자리에 있은 언론에는 밝혀지지 않은 의문의 인물 4급 보좌관의 정체는 밝혀진다”고 전했다. 

‘나꼼수’ 서버를 관리하는 김성주씨도 트위터에서 “봉주4회에 언급된 선관위 DB 끊어지는 DDoS 가능하다고 한 전문가(?)는 이길환”이라면서 “비대위, 검찰도 실패한 재연을 요구합니다. 2012.2.7.오후5시 시한입니다”라고 ‘재현’을 촉구했다. 

서울지방경찰청 사이버수사대 자문위원을 지내기도 했던 이 소장은 지난 12월5일 MBC라디오 ‘최명길의 세계는 그리고 우리는’과의 인터뷰에서 “투표소 페이지만 집중적으로 공격을 해서 전체 서비스에는 영향을 주지 않고 그 한 페이지만 공격하는 방식들이 새로운 디도스 공격툴로 나와 있는 상태”라면서 “그렇기 때문에 옛날에 우리가 알고 있던 디도스, 전체가 다 다운되는 그런 것은 아니지만 디도스 공격은 맞다”고 주장한 바 있다.

이 소장은 “팝업창이 뜨는 그 페이지의 주소, 그러니까 투표소검색, 자기가 사는 동네의 주소지를 검색하면 데이터베이스에서 투표소의 위치와 장소와 시간이 나오는 그 데이터베이스를 연결하는 부분, 그 부분을 집중적으로 공략하는 프로그램이 나와서 이번에 공격이 이루어진 걸로 추측이 된다”고 말했다. 

‘선관위 내부 협조자의 협조없이 기술적으로 가능하다는 거냐’는 질문에 이 소장은 “전문가들이 찾아도 한 달 정도 걸리는데 전문가를 찾지 않고 서비스 거부 공격만 한다, 이 정도면 프로그램 툴에서 기본적으로 가능하다”고 답했다.

네티즌들은 “이길환 소장은 같은 걸 재현해야 합니다”, “정보보호연구소 이길환 소장님. 반갑습니다. 재현하시려면 바쁘시겠어요”, “즉각 대응하고 안되면 엔지니어답게 실수를 자인하고 번개킴(김성주씨)에게 사과하고 진실을 밝혀라. 괴롭지? 제시된 시한까지 재현 못하면 그 경위를 트윗에 올려라”고 요구했다. 이길환 소장의 사진도 급확산되고 있다.

또 네티즌들은 이길환 소장을 중심으로 ‘4급 보좌관’ 찾아내기에 골몰하고 있다. 네티즌수사대의 활약으로 가능성이 있는 여러 사람들의 실명이 거론되기도 했다. 

다음은 이길환 정보보호연구소 소장의 인터뷰 전문 

☎ 최명길 / 진행 :
서울시장 보궐선거일인 지난 10월 26일에요. 중앙선거관리위원회 홈페이지 특히 투표소 위치확인 메뉴에 집중됐던 디도스 공격에 대한 경찰의 수사 결과 발표는 연일 이어지고 있는데요. 의혹은 점점 커져가고 있습니다. 국회의원의 운전기사가 무슨 이유로 그런 범행을 요구했다는 거냐 라는 단순한 질문의 답이 나오지 않고 있어서겠죠. 또 기술적인 문제이긴 한데요. 투표소 위치정보가 담긴 페이지에 디도스 공격이 집중되는 게 가능했다는 건 선관위 내부에 협조자가 있다는 뜻이다, 이런 의혹까지 나오고 있는 그런 실정입니다. 서울지방경찰청 사이버 수사대 자문위원을 지내신 IT보안전문가시죠. 정보보호연구소 이길환 소장을 연결해보겠습니다. 안녕하십니까?

☎ 이길환 / 정보보호연구소 소장 :
안녕하세요.
☎ 최명길 / 진행 :
먼저요, 지난 10월 26일에 있었던 공격수법을 놓고 이게 디도스가 맞냐 아니냐 이런 주장들이 엇갈리고 있어요. 어떻게 보십니까?

☎ 이길환 / 정보보호연구소 소장 :
디도스라고 충분히 판단할 수 있는 기본 자료들이 굉장히 많이 현재 오픈된 상태고요. 경찰발표에서 충분하게 디도스의 근거를 제시했고요. 기술적으로 디도스가 우리가 그동안 알고 있듯이 인터넷 주소창에 나와 있는 imbc.com이다, 그래서 이 주소창만 공격하는 그 imbc 홈페이지를 마비시키는 그런 공격들은 7월 7일 7.7디도스 사건 이후로 대한민국 정부가 다단계 디도스 방어체계를 구축을 올 3월 달에 완료를 했거든요. 2009년부터. 그럼으로 인해서 더 이상 웹서버를 공격해서 서비스 마비시킬 수 있는 부분들은 해커들이나 이런 쪽에서는 더 이상 불가능한 상태가 돼 버렸어요. 그러다 보니까 중국산 디도스 해킹툴들은 페이지공격이라고 하는 새로운 해킹 기법들을 내놨거든요. 그러니까 이번에 쓰인 공격도 그 방식이기 때문에요.

☎ 최명길 / 진행 :
뭐라고요? 용어가 뭡니까, 정확하게?

☎ 이길환 / 정보보호연구소 소장 :
페이지해킹공격입니다. 투표소 페이지만 집중적으로 공격을 해서 전체 서비스에는 영향을 주지 않고 그 한 페이지만 공격하는 방식들이 새로운 디도스 공격툴로 나와 있는 상태입니다. 그렇기 때문에 옛날에 우리가 알고 있던 디도스, 전체가 다 다운되는 그런 것은 아니지만 디도스 공격은 맞습니다.

☎ 최명길 / 진행 :
그 페이지공격이라는 게요. 본래 처음 들어갔던 그 홈페이지에서 그걸 눌렀을 때 URL이 바뀌면서 새롭게 들어가는 겁니까? 아니면 팝업창이 뜨는 겁니까?

☎ 이길환 / 정보보호연구소 소장 :
예, 맞습니다. 팝업창이 뜨는 그 페이지의 주소, 그러니까 투표소검색, 자기가 사는 동네의 주소지를 검색하면 데이터베이스에서 투표소의 위치와 장소와 시간이 나오는 그 데이터베이스를 연결하는 부분, 그 부분을 집중적으로 공략하는 프로그램이 나와서 이번에 공격이 이루어진 걸로 추측이 됩니다.

☎ 최명길 / 진행 :
그런 새로운 해킹툴이랄까요. 이런 해킹도구들이 언제 어디서 나왔나요?

☎ 이길환 / 정보보호연구소 소장 :
중국에서 지난해부터 나왔고요. 그것들이 이번에 아랍의 자스민 혁명 발생했을 때 해커들이 그런 식으로 공격해서 정보를 갈취했던 사례가 꽤 있습니다.

☎ 최명길 / 진행 :
이게 이제 단순한 외부 공격이 아닐 수 있다, 이렇게 얘기하시는 분들요. 이 중앙선관위 같은 경우는 홈페이지 서버가 따로 있고 데이터베이스 서버가 분리가 돼 있는데요. 공격이 집중됐던 투표소 위치정보랄까, 이런 것들은 별도의 데이터베이스 서버 속에 있는 거잖아요. 그리고 특정한 주소를 가진 정보인데 이게 어떻게 찾아들어가서 공격을 할 수가 있죠?

☎ 이길환 / 정보보호연구소 소장 :
보안전문가 서너 명이 일주일에서 한달정도를 이쪽 서버에 대해서 조사를 하면 그쪽 웹페이지 URL 창에 /, ? 이상한 글씨 쭉쭉쭉 나오는 것 있지 않습니까? 그 URL주소를 해석을 해서 이쪽의 절대주소, 데이터베이스의 IP주소를 알아내는데 보안전문가들이 일주일에서 한 달 정도 걸리거든요. 웬만한 특별하게 아무리 막아놔도요. 그런데 새로운 공격도구 디도스 공격 같은 경우는 그 페이지 주소를 직접 입력하면 그 페이지를 가져와서 그 페이지에 대한 트래픽을 발생시키기 때문에요. 우리가 그 주소지 창을 띄운 것과 똑같은,

☎ 최명길 / 진행 :
별도의 분석이 필요 없군요.

☎ 이길환 / 정보보호연구소 소장 :
예, 예. 그런 식으로 하기 때문에 그 서버 데이터베이스의 IP주소를 알려주지 않아도 실질적으로 해커들 좋은 툴을 사용하고 좀비PC가 보안시스템이 구축된 부분을 웹방어벽이라고 하는 것들이 있거든요. 웹상에서의 보안 취약점을 뚫고 들어오는 것을 막는 프로그램들이 있는데 그런 프로그램들을 우회해서 들어왔을 때는 정상적인 트래픽인 걸로 간주하고 서비스가 이루어지기 때문에 그런 쪽에 대해서는 서비스가 가능합니다.

☎ 최명길 / 진행 :
다시 한번 정리하면요. 중앙선관위 내부에 협조자가 없으면 불가능한 것이었다 라고 하는 건 꼭 맞지 않는다고 보시는 거네요?

☎ 이길환 / 정보보호연구소 소장 :
그렇게 도와주면 좀 더 쉽겠지만

☎ 최명길 / 진행 :
그렇지만 지금 기술적으로는 가능하다는 거죠?

☎ 이길환 / 정보보호연구소 소장 :
예, 전문가들이 찾아도 한 달 정도 걸리는데 전문가를 찾지 않고 서비스 거부 공격만 한다, 이 정도면 프로그램툴에서 기본적으로 가능합니다.

☎ 최명길 / 진행 :
그런데 이번 경찰 발표를 보면서 많은 IT 전문가들이 좀 의아하다, 이렇게 얘기하는 부분들이 지적하는 부분들이 많아요. 이 소장님이 보시기엔 좀 이상하다 생각하는 부분은 없으신지요?

☎ 이길환 / 정보보호연구소 소장 :
가장 걱정스럽거나 고민스러운 부분들은 지금 지적하신 부분처럼 절대 접속하는 데이터베이스의 위치정보 있지 않습니까? 위치정보 중에서도 투표소 검색 부분만 그 부분만 딱 공격을 한다 라는 것은 조금 전에 말씀드린 대로 전문가들이 투입돼서 할 수 있는 방법인데 그것을 밤12시에 전화를 해서 바로 실행할 수 있다, 굉장히 많은 준비가 필요하거든요. 그런 준비를 할 수 있는 실력과 자금을 갖추지 않았다라고 하면 그게 조금 저는 전문가로서 좀 의심스러운 부분입니다.

☎ 최명길 / 진행 :
지금 경찰이 공식적으로 발표를 했던 과정이든 아니면 MBC 보도국에서 취재가 된 정보를 종합을 해보면 말이죠. 이 일을 수행한 사람들이요. 인터넷 도박사이트를 사실상 운영하면서 다른 도박사이트를 공격하기 위해서 좀비PC망을 구축해놓고 있었고 이 분야에 기술을 어느 정도 상당히 확보한 사람들일 것이다 라고 이런 추정이 가능해요.

☎ 이길환 / 정보보호연구소 소장 :
추정이 아니라 실제 있었던 일이고요.

☎ 최명길 / 진행 :
그런 정도 실력 가지고는 좀 어려운 일입니까?

☎ 이길환 / 정보보호연구소 소장 :
아닙니다. 그 정도 실력을 갖췄기 때문에 그 사람들이 회사를 차려놓고 인터넷 도박사이트, 상대방 사이트를 공격하던 그런 실력을 갖고 있었기 때문에 그런 좀비와 경험을 가지고 있었기 때문에 이번에도 그 데이터베이스를 공격하는 일이 충분히 가능했다고 보는 겁니다. 예를 들어드리면 인터넷 도박사이트에서 그런 친구들이 하는 일들이 뭐냐 하면 상대방의 게임머니를 조작하는 일들을 하거든요. 상대방의 게임머니를 다운시키거나 그래야 도박이 조작이 이루어질 수 있지 않습니까? 상대방의 시스템에 들어가서 상대방의 데이터베이스를 마비시키거나 사이버머니를 가져오게끔 하는 일들이 그 친구들이 했던 일들이거든요. 그렇기 때문에 저희가 이번에 당한 그 투표지의 위치정보라든가 이걸 안 뜨게 한다든가 그걸 변경할 수 있는 것들을 기본적으로 하던 일이라고 보시면 되죠.

☎ 최명길 / 진행 :
여쭤볼 게 몇 가지 더 있어서요. 경찰이 말이죠. 당초 처음 발표할 때 좀비PC 200여 대가 동원이 됐다,이런 설명을 했다가 여러 가지 의문이 제기되니까 갑자기 1500대 정도일 수도 있다 라고 하는 가능성을 열었어요. 경찰의 설명이 왜 이렇게 왔다 갔다 하는 걸까요?

☎ 이길환 / 정보보호연구소 소장 :
경찰의 설명은 왔다 갔다 한 거라고 볼 수 없고요. 200대가 263메가 트래픽을 발생을 해서 2시간 동안 다운시킨 것은 최종 결과인 거구요. 그 최종결과가 발생하기 전에 보안장비도 있고 네트워크 장비도 있기 때문에요. 보안장비가 막은 숫자가 1500개의 좀비가 들어왔을 거구요. 1500개의 좀비가 들어와서2기가 정도의 트래픽을 발생시켰고요. 그 중에서 정상적인 트래픽이라고 해서 방화벽을 우회해서 들어가는 것들이 좀비 200대가 263메가 트래픽을 발생시켰기 때문에 기술적으로는 가능한 얘깁니다.

☎ 최명길 / 진행 :
그러니까 다시 너무 기술적인데요. 200대가 1500대 분량의 트래픽을 발생시켰다는 겁니까, 아니면?

☎ 이길환 / 정보보호연구소 소장 :
아닙니다. 1500대가 처음에 필리핀에서 시작할 때는 2만 대에서 20만 대가 시작했고요. 그중에서KT를 공격이 들어와서 KT를 지나간 것이 2만 대에서 5천대 정도가 지나가게 돼 있고요. KT를 다시 뚫고 들어와서 방화벽이라고 하는 보안장비를 뚫고 들어가는 것이 다시 5000대에서 1000대 정도 되고요. 그 1000대가 살아서 실제 데이터베이스까지 들어가는 게 200대까지 들어갔다는 겁니다.

☎ 최명길 / 진행 :
최종적으로 주소 투표소 위치정보를 뚫고 들어가서 공격한 마지막까지 공격이 성공을 한 것이

☎ 이길환 / 정보보호연구소 소장 :
200대 정도이고요.

☎ 최명길 / 진행 :
이걸 성공이라고 표현하긴 좀 이상한데요. 하여튼 성공한 것이 200대 좀비PC다.

☎ 이길환 / 정보보호연구소 소장 :
예, 예. 200대가 처음부터 살아서 공격 들어가서 돌격조 뭐 그런 개념이 아니고요. 20만 대에서 2만 대 정도가 중국 애들이 라이센스를 하면 좀비PC들을 20만대 정도를 5천만 원 정도에 팔아요.

☎ 최명길 / 진행 :
이 프로그램 해킹툴을 사면 좀비PC까지 같이 묶어서 주는군요.

☎ 이길환 / 정보보호연구소 소장 :
예, 예. 해킹툴은 굉장히 적은 가격, 100달러나 50달러 정도에 살 수 있는데요. 실제 CNC서버라고 해서 좀비PC를 조작하고 좀비 PC에게 트래픽을 발생시키는 것들은 중국에서 이런 사업하시는 사람들이 대당, CNC서버 대당 5천만 원에서 1억까지 팔고 있기 때문에 요. 그중에서 살아남은 것이 최종적으로 공격 들어가는 겁니다.

☎ 최명길 / 진행 :
실제 해킹툴이라는 것은 아주 간단하고 값싼 거고 정작 값이 나가고 많은 대가를 치러야 되는 것들이 좀비PC의 망이군요.

☎ 이길환 / 정보보호연구소 소장 :
네, 쉽게 생각해서 좀비라는 것은 그중에서 살아 있는 것도 죽어 있는 것도 있고 끝까지 강하게 쫓아가는 것도 있지 않습니까? 영화 같은 것 보면. 그것과 같은 거라고 연상하시면 됩니다.

☎ 최명길 / 진행 :
시간 제약상 또 한 가지만 여쭤볼게요. 이 보통 업계에서 볼 때 말이죠. 이 정도 해킹이나 이런 정도의 디도스 공격을 부탁하려면 어느 정도 비용을 줍니까?

☎ 이길환 / 정보보호연구소 소장 :
제가 조금 전에 말씀드린 대로 인터넷 도박사이트 같은 경우는 인터넷 도박사이트 같은 경우 손님이 부족하니까 자기들 손님 유치하려고 이런 사업으로 하시는 분들이 건당 5천만 원, 많게는 1억 이렇게 하고 있는데요. 이번 사건과 같이 국가에 관련된 선거에 관련된 부분이기 때문에요. 돈으로 측정할 수 있는 가격은 아니라고 생각합니다.

☎ 최명길 / 진행 :
마지막 한 가지 시간이 많지 않아서요. 로그파일 관련해서 이걸 공개하라고 그러니까 선관위는 법상 공개를 못한다고 얘기하고 있어요. 실제 그런 규정이 있을 텐데 이걸 공개하지 않으면 안 되는 부분이 있을 것 같긴 한데.

☎ 이길환 / 정보보호연구소 소장 :
공개를 하든 안 하든 경찰이 공개를 하든 안 하든 선관위가 공개 하든 안 하든지간에 로그를 조작할 순 없어요. 서버에서 로그를 조작한다 해도 보안장비라든가 네트워크장비에 IP가 다 남아있기 때문에요.실질적으로는 조작은 불가능한 거예요. 조작은 불가능한데 왜 오픈을 못하느냐, 그건 법에서 못하게 돼 있으니까 법에서

☎ 최명길 / 진행 :
수색영장을 받으면 되는 거죠.

☎ 이길환 / 정보보호연구소 소장 :
예, 법에서 요청하면 외부전문가나 내부에서 공개를 해서 선관위 서버의 구조는 알려주지 않고 외부에서 들어온 IP들에 대한 주소를 알려주면 되는데요. 그 IP주소 자체가 제가 조금 전에 말씀드린 대로 좀비가 몇 백 명이 들어왔느냐, 몇 천 명이 들어왔느냐, 이게 무슨 의미가 있겠습니까? 외부의 IP주소들이 좀비들의 주소인데 좀비가 국내에 있으면 어떻고 해외에 있으면 어떻습니까? 아무런 의미가 없죠. 어떻게 뚫렸느냐, 왜 뚫었느냐, 이게 중요한 것 아니겠습니까?

☎ 최명길 / 진행 :
그러면 로그파일을 공개해도 특별히 새로운 걸 찾아낼 수 있는 가능성은 별로 없는 거네요?

☎ 이길환 / 정보보호연구소 소장 :
왜냐하면 로그파일 자체가 내부망에 대해서 주지 않을 테니까요. 선관위 내부자의 연루가 있다고 하면 선관위 내부 IP주소를 공개해야 되는데 법적으로 선관위의 내부 IP주소라든가 선관위의 서버구조는 정보통신망법에 의해서 공개 못하게 돼 있거든요. 그러면 외부주소만 공개하는 건데 외부주소는 제가 좀 전에 말씀드린 대로 좀비PC들의 주소니까 아무 의미가 없지 않습니까?

☎ 최명길 / 진행 :
네, 오늘 말씀 감사합니다.

☎ 이길환 / 정보보호연구소 소장 :
네, 감사합니다.

☎ 최명길 / 진행 :
IT보안전문가이신 정보보호연구소의 이길환 소장이었습니다.  


Posted by civ2
,