선관위는 세개의 회선으로 트래픽을 받도록 설정되어 있습니다(KT 2회선, LG 1회선).
디도스 공격으로 트래픽이 많이 들어오는 상황에서 선관위는, 회선 두개를 스스로 다운시켜 남은 회선 하나로 유입트래픽이 집중되도록 하는 이상한 행동을 하였습니다.
이런 조치는 디도스 공격이 없는 상황이었더라도 납득하기 어려운 행동입니다.
선관위는 이것이 자신의 “분산서비스거부(DDoS) 공격 대응지침”(메뉴얼)에 따른 행위였다고 주장하며, 대응지침의 일부를 발췌 인용한 “설명자료“를 최근에 배포하였습니다.
과연 선관위의 디도스 대응지침이 그런지 살펴보겠습니다.
선관위가 2011년3월23일 제정하여 운영 중인 “분산서비스거부(DDoS) 공격 대응지침”은 여기에 있습니다.
대응지침은 무엇보다도 평소에 디도스 대응 모의 훈련을 정기적으로 실시하도록 정하고 있습니다.
“유관기관 또는 유지·보수업체와의 협력을 통하여 모의 공격 대응훈련을 정기적으로 실시하고 훈련결과를 분석하여 문제점 및 보완사항을 … 적용하기 위한 방안을 수립한다” (제4면)
막상 공격이 들어왔을 때의 대응절차는 5단계로 되어 있는데, 그 중 3단계(“초동조치”)에서는 국가사이버안전센터(국정원)와 망사업자(ISP)들에게 선관위가 파악한 공격 내역을 알리고 다음과 같이 대응해야 합니다(제6면):
통신사업자에 공격 주소 중 해외 주소에 대한 차단요청 및 일시적 네트워크 대역폭 확대조치
5단계(“차단조치”)에서는 우선 다음과 같이 대응 하도록 정하고 있습니다(제7면):
정보보호담당실무자는 수립된 차단조치 방안 및 기술대응절차서를 이용하여 장비별 담당실무자와 각 장비의 설정을 변경하고 URL Redirection 등 사전 준비된 별도 대응조치와 함께 차단조치를 수행하여야 한다.
여기서 말하는 “차단조치”는 공격 IP를 “차단(block)”하라는 뜻이지, 자신의 네트워크 장비를 스스로 다운시키라는 말이 아닙니다.
선관위는 2월23일에 배포한 “설명자료” 제5면에서 “차단”, “접속차단”이라는 용어를 “회선차단”과 혼동되도록 온갖 수법을 사용함으로써, 일반인들이 선관위의 설명자료를 읽으면 여기서 말하는 “차단”이 “선을 끊으란 말이구나” 하고 생각하게 만들고 있습니다.
구린데가 없는 자가 이런 비열한 거짓말을 하지는 않습니다. 기술에 무지한 일반인을 속여넘기려 드는 것이지요. 실제로 속은 사람도 있고요:
또한, 여기서 “장비의 설정을 변경”하라는 말은 라우터의 BGP설정을 건드리라는 말이 아닙니다. 네트워크 장비와 관련해서는 다음과 같은 조치를 하라고만 되어 있습니다(제16면).
- 해외 IP주소 및 스푸핑된 IP주소 Null 라우팅 처리
- 공격 의심 IP주소 및 네트워크 주소 접근차단 조치(ACL 이용)
어려운 용어가 잔뜩 있지만, 쉽게 말하면, 좀비 PC의 접속 요청을 차단하라는 뜻입니다. 자신의 회선을 스스로 다운시키는 자해 소동을 벌이라는 말이 아닙니다.
위에 인용한 5단계 조치에는 “URL Redirection 등 사전 준비된 별도 대응조치”가 언급되고 있는데, 이것이 바로 사이버 대피소를 이용하라는 뜻입니다. 선관위의 DNS등록 정보를 바꾸어(선관위의 IP를 변경하여) 트래픽을 우회(redirection)시키라는 것입니다.
물론 5단계에 와서야 뒤늦게 이런 조치를 하라는 뜻이 아니라, 3단계에서 이미 수행한 이런 조치와 병행하여 차단조치(공격 IP 차단조치)를 5단계에서도 계속하라는 뜻입니다.
선관위 디도스 공격 대응지침에 별첨 문서로 포함된 “DDoS공격 징후발생 시 긴급대응요령”을 보면, 제3단계에서 다음과 같은 조치를 하도록 정하고 있습니다(제17면).
❍ 피해 완화대책 가동
- URL Redirection 등 사전 준비된 피해 완화대책 가동
- ISP와 협조하여 IP주소 차단, 대역폭 증설 등 수행
URL Redirection (사이버 대피소 이동)에 필요한 설정을 평소에 미리 준비(“사전 준비”)해두면, 공격이 들어올 경우 수분 내로 사이버 대피소 이동이 완료될 수 있으므로 공격IP 차단을 요구함과 동시에 사이버 대피소로 이동부터 하라는 것입니다.
대응조치 제5단계 마지막 항목을 보면, “지속적 차단조치에도 불구하고 피해범위가 계속 확산”될 경우에 “네트워크 케이블의 일시 단절”을 할 수 있다고 되어 있습니다.
이 조치는 앞 단계의 모든 조치를 취했음에도 불구하고(공격IP 차단, 대역폭 증설, 사이버 대피소 이동 등) 사태가 개선되지 않을 때 취할 수 있습니다.
(1) 대역폭 “증설”은 커녕 자신의 회선을 다운시켜 대역폭을 1/3로 축소하고,
(2) 사이버 대피소도 이용하지 않고,
(3) 피해범위가 “확산”되기는 커녕, 유입트래픽이 6:40경부터 KT회선(2회선)과 LG회선(1회선)으로 분산되기 시작하여 KT회선 혼잡상태가 빠르게 “개선”되는 상황에서 KT회선을 모두 다운시킨다?
말이 안돼요, 말이.
메뉴얼에서 “케이블의 일시 단절”을 언급한 이유는 디도스 공격이 “침입공격”(intrusion attack)과 병행하여 이루어지는 정황이 의심될 경우, 자신의 시스템 자체가 침입공격에 노출될 위험에 대비하여 케이블을 뽑고 시스템을 재부팅할 수 있다는 뜻입니다.
선관위가 당일 아침6:58에 한 행동은 “케이블의 일시 단절”이 아닙니다. 케이블은 그대로 연결해 두고, 라우터의 link 상태 설정을 변경하여 네트워크에 알린(announce) 것입니다.
“일시 단절”도 아닙니다.
유입트래픽이 고작 10Mbps 미만에 머물거나 0으로 떨어져 있는 것을 확인하면서 자신의 라우터 상태를 link up이라고 네트워크에 알리다가 link down이라고 알리는 짓을 1시간 반 동안 차분하게 반복했습니다.
케이블은 잠시도 뽑은 적이 없습니다.
일반인들은 link down이 뭔지, IP차단이 뭔지, ACL이 뭔지, 라우터가 뭔지 전혀 이해도 못하고 구분도 못할 거라는 교활한 계산에서 선관위는 엄청난 거짓말을 해대고 있고, 검찰은 그 거짓말을 전 국민에게 “수사발표”라는 미명하에 유포하는 사기극을 벌인 것입니다.
검찰의 컴퓨터범죄 수사인력이 기술을 모르는 등신이라서 그런 수사발표를 했다? 이게 말이 됩니까?
중앙선거관리위원회 위원장은 김능환 대법관입니다.
자신이 수장으로 있는 선관위가 입만 열면 거짓말을 해대는 이런 사태에 대하여 김능환 대법관은 더이상 자유로울 수 없습니다.
김능환 중앙선거관리위원회 위원장은 10.26 재보궐 선거방해에 대한 책임을 지고 사퇴하기 바랍니다.
김기창
작년 10월26일 재보궐 선거날 아침에 발생한 선관위 홈페이지 접속장애 사건에 대하여 진교수께서 적으신 트윗을 일별하였습니다. 선관위 접속장애는 디도스 공격으로 인한 것이고, 일부에서 제기하는 의혹은 근거가 없다는 입장이신 것 같습니다. 이것이 선관위의 입장이고, 경찰, 검찰의 견해일 뿐 아니라, 검경의 수사발표를 믿는 대다수 국민의 생각이라는 점은 길게 말할 필요가 없습니다.
디도스가 구체적으로 어떻게 이루어지는지, 디도스 방어기제가 무엇인지에 대한 세세한 지식이 없는 사람들에게 “디도스로 선관위 접속장애가 생겼고, 디도스 공격을 감행한 범인도 잡혔다”는 간단명료한 스토리는 더 이상 그 내막을 파고들 이유나 흥미조차 잃게 만들 정도로 큰 설득력이 있습니다.
그러나, 최근에 공개된 기술보고서는 완전히 새로운 사실을 드러내고 있습니다. 세개의 회선(KT 2회선, LG 1회선)으로 트래픽을 받던 선관위가 회선 두개를 스스로 다운시켜 선관위로 오는 트래픽을 남은 회선 하나로 몰아넣는 일을 했다는 사실은 검경의 수사 발표에는 전혀 언급되지도 않았습니다. 선관위로 오는 트래픽을 다른 곳으로 “우회”시키는 조치를 6:58에 취한 것처럼 들리도록 검찰은 수사발표를 했지만, 그것도 사실이 아니었음이 이제 드러났습니다.
기술보고서가 공개된 후, 선관위의 추가해명은 의혹을 더욱 증폭하는 불행한 것이었습니다. “LG 가입자는 LG회선으로 선관위에 접속하고, KT나 SK 등 여타의 망사업자를 이용하는 가입자들은 KT회선으로 선관위에 접속한다”는 선관위의 설명은 일반인이 듣기에는 당연한 것같지만(그래서 KT망을 다운시킨 선관위의 행위가 LG망 이용자들 만이라도 서비스를 받게 하려는 조치처럼 들리겠지만), 실은 기술적 근거가 없는 이야기입니다. 가입자가 무슨 ISP를 사용하건, 선관위로 오는 마지막 단계에서는 거의 대부분 KT망으로 트래픽이 들어오고, KT회선을 선관위가 다운시키면 그 트래픽이 모두 LG회선으로 몰려들게 되어 있습니다.
KT회선 두개를 다운시킨 선관위의 행위가 선관위 디도스 대응메뉴얼에 의거한 행위였다는 선관위의 주장 역시 근거가 없음이 드러났습니다. 선관위는 “차단”, “접속 차단”, “공격IP 차단” 등의 개념을 “회선 차단”과 혼동되도록 구사하여 일반인을 속이는 해명 자료를 만들어 배포하였고, 진교수님도 선관위의 해명자료에 쉽게 넘어간 사람 중 하나입니다.
실은, 선관위의 대응 메뉴얼은 디도스 공격이 들어오면, (1)회선 대역폭을 증설하라, (2) 평소 준비해둔 사이버 대피소로 신속히 이동하라, (3) 공격IP에서 오는 트래픽을 차단하도록 망사업자들에게 요청하라는 내용입니다. 그러나 선관위는 공격이 들어오자
■(1)회선 대역폭을 1/3로 축소하고,
■(2)공격이 끝날때까지 사이버 대피소로 이동하지 않고 있다가, 공격이 끝난 후에 이동하고,
■(3)KT에게만 공격IP를 알려주고 공격트래픽을 차단해 달라는 쇼를 한뒤(6:25), 실제로 유입트래픽이 줄어들기 시작하자(6:50) KT회선을 모두 다운시키고 LG회선으로만 트래픽이 들어오도록 하는(6:58) 괴상한 행동을 하였습니다.
이것은 대응메뉴얼을 처음부터 끝까지 어긴 행위입니다. [상세 설명]
선관위가 긴급상황에서 ‘실수’를 저지르고, 그 실수를 덮기 위해 거짓 해명 자료를 뿌리고 있다? 그럼 선관위와는 상관도 없는 KT의 보안총책임자(Chief Information Security Officer) 이상용 상무가 작년 11월16일에 한 행동은 어떻게 이해할 수 있나요? 10월26일 아침에 발생한 선관위 접속장애 원인에 대하여 모두들 궁금해 할때, 선관위의 회선 용량과는 전혀 상관도 없는 KT퍼브넷 “유입”트래픽 그래프를 언론에 슬쩍 흘림으로써 기술을 모르는 기자들이 디도스 공격트래픽 규모가 “2기가”라는 스토리를 쏟아내도록 한 행위는 ‘실수’로 설명하기는 어려운 것입니다. 사건발생 후 20일이 지난 11월16일은 긴급한 상황도 아니었고, 망사업자인 KT의 보안총책임자가 디도스와 관련된 트래픽의 “유입”과 “송출”도 분간하지 못해서 그런 “실수”를 저질렀다고 이해할 수는 없습니다. [여기]
더욱 중요한 사실은 또 있습니다. 디도스 방어기제는 웹사이트(선관위)에게만 있는 것이 아닙니다. KT, LG, SK 등 망사업자들은 개별 웹사이트보다 훨씬 고도화된 디도스방어 솔루션을 구축, 운영하고 있습니다. 자신의 회선으로 지나다니는 패킷을 검사하고 이상 징후가 발견되면 자동으로 차단하는 “네트워크 보안 솔루션“을 국내 모든 망사업자들이 2009년부터 도입하여 가동하고 있습니다. KT 이상용 상무가 보궐선거날 하루 종일 KT퍼브넷으로 “유입”되는 트래픽 추이만 슬쩍 흘린 다음(이 트래픽은 KT퍼브넷에 연결된 여러 공공 기관들에게로 오고가는 트래픽을 모두 합한 분량이 표시됩니다), 정작 그날 아침 시간에 KT퍼브넷이 선관위로 “송출”한 트래픽의 규모에 대하여는 지금껏 함구하고 있는 이유도 바로 이것 때문입니다. 자신이 운영하는 디도스 방어 기제가 KT퍼브넷으로 유입된 트래픽 중 얼마 만큼의 공격트래픽을 걸러내고 나머지를 선관위로 송출했는지 밝히기 거북하기 때문입니다.
다행히, LG가 선관위로 송출한 트래픽의 규모는 이제 공개되었습니다. 그 덕분에 드러나는 사실은, 선관위가 KT 2회선(수용 용량 310메가)을 모두 다운시킨 시점(6:58)에 KT퍼브넷이 선관위로 “송출”하던 트래픽은 1기가도, 2기가도, 11기가도 아니라 고작 110메가(Mbps)에 불과했다는 점입니다.
경찰과 검찰의 수사발표는 선관위에 디도스방어 장비가 있었다는 사실도 숨겼을 뿐 아니라, 망사업자인 KT와 LG 또한 네트워크 디도스 보안 솔루션을 운영하고 있었다는 사실까지 모두 숨겼습니다.
오픈웹은 음모론을 제기하는 것이 아닙니다. 선관위, 경찰, 검찰과 KT가 이런식으로 국민을 속이는 것은 옳지 않다는 점을 지적하는 것입니다. 오픈웹은 무슨 고차원적인 심리 분석이나 정치적 판세 읽기에 골몰하는 곳이 아닙니다. 싸구려 디도스 공격프로그램으로 좀비 200대 남짓 동원해서 국가기관 웹사이트를, 그것도 디도스 방어장비가 구축된 웹사이트를 2시간 반 넘게 다운시킨다는 “판타지 소설”을 국민에게 팔아대고 있는 검찰의 뻔뻔스러움을 지적할 뿐입니다.
하찮은 소매치기 잡범들도 범행을 저지를 때는 자신이 잡힐 것이라고 생각하지는 않습니다. 잡히지 않을 것이라고 생각하기 때문에 그짓을 하는 것입니다. 선관위 사건은 우발적인 치정 살인 사건이 아닙니다. 냉정하게 계획된 범행이고, 설사 그 복잡한 기술적 내막이 나중에 드러나더라도 간단 명료한 “디도스 스토리”를 몇 달간 국민들에게 주입시키고 나면, 그 스토리를 뒤집기는 엄청나게 어려울 것이라는 교활한 계산이 깔려 있는 것입니다.
온 국민에게 BGP Multihoming technique을 상세히 설명하고 이해하도록 만들 수는 없지 않겠습니까?
진교수님께서는 선관위 사건과 관련하여 “나는 꼼수다”가 제기한 의혹에 대한 기술적 자문을 제공한 자들의 신상을 밝히도록 요구하셨습니다.
제 이름은 김기창이고, 고려대에 근무하고 있으며 2006년부터 오픈웹을 운영해 오고 있습니다.
김기창