 |
|
10·26 중앙선관위 누리집 접속장애 사건 관련 주요 인물 |
추적 ‘선관위 디도스 공격’
공씨는 검·경 수사과정에서 “선거 전날, 즉흥적으로 나 혼자 결정한 일”이라고 진술해왔다. 그러나 1만여쪽의 검·경 수사자료에는 ‘윗선’과 ‘배후’를 암시하는 대목이 곳곳에 있다. 수사 과정에서 온라인 카지노 업자들은 “진짜 배후를 말해야 우리가 풀려난다”고 공씨를 설득했다. 이 과정에서 그들이 공씨로부터 들은 이야기를 털어놓은 내용이 수사자료에 남아 있다.
“디도스 공격해도 문제 없는지 물었더니 공씨가 ‘너희들이 상상하지 못하는 부분이 있고, 이름 세글자만 들어도 알만한 사람이 뒤에 있다’고 말했다.” “공씨가 ‘디도스 공격이 잘돼서 한나라당과 나경원 후보가 이기면 나경원 보좌진들에게 (온라인 카지노 합법화를) 이야기해 볼만하다’고 말했다.” “공씨가 구치소에서 ‘내가 교도소 나가면 다 잘될 것이고 받을 것이 있으니 이쯤에서 지금 상태로 정리하여 끝내자’고 우리에게 말했다.”
복수의 온라인 카지노 업자들이 거듭하여 이런 내용을 진술했지만, 공씨는 대질신문 등에서 “그런 말을 전혀 한 적이 없다”며 강하게 부인했고, 검찰은 범행 배후에 대한 이렇다할 실마리를 잡지 못했다.
<한겨레>는 검·경 수사자료와 별개로 공씨가 구속 직전까지 사용했던 외장메모리장치(USB)를 입수했다. 최 의원 사무실의 각종 자료와 함께 다양한 종류의 ‘온라인 사업 기획안’ 문서가 발견됐다. “외국에서 합법화된 온라인 카지노를 국내에서도 합법화하는 목적”으로 만들어진 것인데, 국회 문화체육관광위원회, 사행산업통합감독위원회, 방송통신위원회, 문화관광부, 법제처 등을 상대로 하는 로비 구상이 적혀 있다.
특히 “사감위원들의 교체시기를 주문(한다)”, “사감위 후보위원들 접촉” “사감위에서 법제처에 유권해석자료 전달. 구체 내용은 확인 뒤 연락주기로 함” “문화관광부 승인만으로는 사업 안된다는 문광부 최종 확인” “방통위와의 교류도 다질 필요가 있음” 등의 내용이 있다. 9급 수행비서가 감당할 내용이 아닌 것은 물론 국회의장 의전비서의 힘으로도 치러낼 수 없는 수준의 일이다.
공씨가 지난해 10월13일 오전, 국회 지식경제위원회 소속 ㄱ 의원(새누리당) 비서로 일하는 ㄴ씨에게 ‘국내·해외 온라인 카지노 기획안’을 발송한 사실도 새로운 의혹이다. 국회 지식경제위는 카지노를 운영하는 ‘강원랜드’를 소관하고 있다. ㄴ씨는 <한겨레>와 통화에서 “수행비서에 불과한 나에게 왜 그런 메일을 보냈는지 알 수 없고, 내용도 제대로 살펴보지 않았다”며 “이와 관련해 (검찰 등으로부터) 연락 받은 적은 없다”고 말했다.
 |
|
서울 서대문구 경찰청 직원이 지난해 12월2일 최구식 한나라당 의원의 수행비서와 정보기술(IT)업체 직원 3명한테서 적발한 증거품을 살펴보고 있다. 뉴시스 |
수사자료 및 취재결과를 종합해 보면, 공씨와 그 친구들은 온라인 카지노 합법화를 위해 정치권 유력 인사와 긴밀하게 의논하려고 다양한 노력을 펼친 것으로 보인다. 경호·수행·의전 비서들이 주축을 이루고, 국정원 직원·사업가 등이 이름을 올린 친목모임 ‘선우회’가 의혹의 대상이 되는 이유이기도 하다.
이번 사건으로 구속기소된 국회의장 비서 김태경씨는 디도스 공격 전날인 지난해 10월25일 저녁, ‘선우회’ 회원 몇몇과 식사했다. 이 자리에는 선우회 회장인 청와대 행정관 ㅁ씨도 참석했다. 홍준표 새누리당 의원 비서출신의 ㅁ씨는 2007년 대선 때 이명박 후보의 경호를 맡았고, 국회에서 일할 때는 인터넷 홍보 업무도 담당했다. 수사자료 검토 결과, 이날 저녁 자리에는 강원랜드 고위직으로 일하는 ㅂ씨도 참석할 예정이었던 것으로 드러났다. ㅂ씨는 ㅁ씨와 함께 대선 당시 이명박 후보의 경호를 맡았다.
 |
|
윤갑근 서울중앙지검 3차장 검사가 지난 1월 6일. 서울 서초동 서울지검 브리핑실에서 10·26 재보선 디도스 공격 관련 수사결과를 발표하고 있다. 김봉규 기자 bong9@hani.co.kr |
검찰이 캐묻지 못하고 덮어둔 증거자료 가운데는 흥미로운 내용도 있다.
구속된 온라인 카지노 업자들이 사용한 컴퓨터 하드디스크 분석 결과, 지난 2010년 5월19일 새벽 1시40분, 중앙선관위 홈페이지에 접속해 선거통계 및 정당·정책정보시스템을 검색한 흔적이 발견됐다. 2010년 6월2일 전국 동시지방선거를 10여일 앞둔 시점이었다.
불법도박사이트로 돈을 벌어온 이들은 수사과정 내내 “정치에는 전혀 관심 없었고, 선관위가 무엇인지도 이번에 처음 알았다”고 말했다. 그들은 왜 지방선거 직전 선관위에 접속해 선거통계 시스템을 살펴봤을까?
풀리지 않는 의혹은 여전히 많다.
안수찬 송경화 기자 ahn@hani.co.kr
********************************************************************************************************
 |
|
‘중앙선거관리위원회와 서울시장후보 홈페이지 사이버테러 진상규명’ 특별검사팀이 지난 26일 오전 서울 강남구 역삼동에 특검 사무실을 열었다. 왼쪽부터 이용복 특검보, 박태석 특별검사, 김형찬 특검보. 김명진 기자 littleprince@hani.co.kr |
‘선관위 디도스 공격’ 수사기록 등 분석
잠시 휴식을 취한 김씨는 투표 개시 직전인 오전 5시50분께부터 본격적으로 공격을 시작했다. 이 시각부터 오전 8시30분까지 투표소 위치를 검색하려던 많은 유권자들은 선관위 홈페이지에 접속할 수 없었다. KT 국가운용망 사이버대피소로 피신한 뒤에야 사태는 진정됐다. 공교롭게도 접속 장애의 시작과 끝은 출근 시간대와 겹쳤다.
■ KT회선 단절조처는 도대체 왜?
인터넷 사용자가 선관위 홈페이지에 닿는 길은 두 가지다. 하나는 KT가 제공하는 국가기간망인 퍼브넷(PubNet)이고, 또 하나는 LGU+가 제공하는 퍼브넷플러스2(Pub-Netplus2)다. 선관위로 향하는 KT 퍼브넷의 길은 넓다. 155Mbps 용량의 회선 2개로 연결돼 있다. 반면 LGU+ 퍼브넷플러스2는 155Mbps 용량의 회선 1개로 연결돼 있다.
더 넓은 길을 주로 사용하도록 선관위는 회선 설정을 해두었다. 사용자가 어느 통신사의 인터넷 서비스를 이용하건 외부에서 선관위 서버에 접속하는 모든 트래픽(송·수신 데이터 흐름)은 KT 퍼브넷을 거치도록 설정돼 있다. 디도스 공격 트래픽도 같은 원리에 따라 KT 회선으로 들어왔다. 수사자료 검토 결과, 선관위 정보화담당관실 관계자는 “왜 공격 트래픽이 KT 회선에 집중됐는지 모르겠다. 그건 통신사업자에게 확인해 봐야 한다”고 진술한 것으로 밝혀졌다. 그 진술이 진실이라면, 그는 선관위 회선 구성의 기본 원리를 이해하지 못했던 것이다.
26일 오전 5시50분께부터 시작된 디도스 공격으로 1Gbps의 트래픽이 KT 퍼브넷을 통해 선관위로 향했다. KT 퍼브넷과 선관위 서버를 잇는 2개 회선의 용량은 310Mbps였다. 최대용량의 3배가 넘는 트래픽으로 인해 병목현상이 발생했고, 그 영향으로 선관위 홈페이지 접속이 불가능해졌다.
검찰 수사자료 및 각종 기술분석 보고서를 검토한 전문가들은 “디도스 공격에 대한 일반적 대처법은 회선의 용량과 속도를 늘리는 것”이라고 한결같이 지적했다. 당시 선관위는 정반대의 결정을 내렸다. 오전 6시58분께, 선관위는 KT 퍼브넷과 연결된 2개 회선을 막아버렸다. 선관위 홈페이지로 향하던 트래픽은 갑자기 길을 잃었다. 최대 1Gbps였던 트래픽은 KT 퍼브넷 입구 쪽에서 우왕좌왕하며 최대 11Gbps의 트래픽으로 증폭했다. 이들 트래픽은 선관위 회선 구성 원리에 따라, 남아있는 유일한 길인 LGU+ 회선으로 다시 몰려들었다. KT 회선 용량의 절반에 불과한 LGU+ 회선도 꽉 막혀버렸다.
 |
|
선거관리위원회 네트워크 구조 |
■ 한박자 늦은 공격 IP 차단
디도스 공격에 대응하는 또다른 방법은 공격 IP주소를 차단해 좀비피시의 접근을 막는 것이다. 선관위가 마련한 내부 규정인 ‘디도스 공격 대응지침’도 공격 IP주소 차단을 초동조처의 하나로 밝혀두고 있다. 선관위는 홈페이지 접속장애 발생 40여분이 지난 6시30분께 KT 국가망운용실에 공격 IP 차단을 요청했다. 접속장애 원인이 디도스 공격인지 아닌지 판단하는 데 40여분이 걸린 셈이다.
디도스 공격 징후를 더 일찍 파악할 기회가 없지 않았다. 이날 오전 1시께 ‘시험 공격’으로 인해 선관위 회선에 비정상적 트래픽이 발생했다. 수사자료 검토 결과, 선관위 정보화담당관실에는 시험 공격 당시 근무자가 아무도 없어 이상 징후를 감지하지 못했던 것으로 드러났다. 접속자가 뜸한 오전 1시에 갑자기 늘어난 트래픽을 누군가 감지했다면 공격 IP 차단을 비롯한 대응이 보다 원활했겠지만, 정보화담당관실 야간 당직자는 근무 규정에 따라 전날 저녁 9시에 퇴근한 상태였다. 우연의 일치였는지, 하필이면 비정상 트래픽을 감지할 야간 당직자가 없는 시간에 ‘시험 공격’이 이뤄졌다.
선관위는 지난해 12월 발표자료에서 “오전 1시께 발생한 시험공격은 회선 용량 범위 안에서 이뤄졌으므로 외부에서 (디도스) 공격을 감지할 수 없었다”고 밝혔다. 반면 시험 공격을 실행한 김아무개(27)씨는 “공격 5분여만에 선관위 및 박원순 후보 홈페이지 모두 쉽게 ‘다운(접속불능상태)’ 되는 것을 확인하고 (공아무개씨 등에게) ‘공격 가능하다’고 연락했다”고 검찰에서 진술했다. 다른 관련자들도 같은 내용을 일관되게 진술했다. 지난해 12월, 선관위가 내놓은 ‘향후 대책’ 가운데는 상시 모니터링을 위한 관제센터 운영이 포함됐다.
 |
■ 사이버 대피소 피난의 우여곡절
수사자료를 보면, 디도스 공격 시작 2시간이 지난 26일 오전 8시께 한국인터넷진흥원 및 KT가 선관위에 대용량 회선과 공격차단 시스템을 갖춘 사이버대피소 사용을 먼저 제안했고, 이를 선관위가 수용했다. 30여분이 지난 오전 8시30분께 접속 장애도 해결됐다. 사태 초기부터 사이버 대피소 피난을 적극 고려했다면 접속 장애 해결도 빨라졌겠지만, 선관위 정보화담당관실 관계자는 “당시에는 사이버 대피소 (우회 조처) 생각을 못했다”고 검찰에서 진술했다.
이날 오후, 선관위가 엉뚱한 사이버 대피소로 우회한 사실도 새롭게 드러났다. 투표 마감·개표를 앞둔 26일 오후 5시13분께, 선관위는 한국인터넷진흥원(KISA) 사이버대피소로 홈페이지 주소를 다시 옮겼다. 그러나 막상 개표가 시작되자 해외 사용자들의 접속이 불가능하다는 사실을 파악하고, 오후 7시44분께 KT국가망운용실 사이버대피소로 재우회했다. 투표에 영향을 주지는 않았지만, 사이버대피소 운용 방식에 대한 선관위의 이해 부족을 드러낸 셈이다.
선관위가 수사당국에 제출한 ‘10·26 당시 정보화담당관실 업무분장’ 자료를 보면, 사고 당시 15명의 공무원이 선관위 정보화담당관실에서 일했다. 헌법상 독립기관인 선관위는 다른 정부부처 등과 달리 독자적인 정보운용·보안감시 체계를 운용해왔다.
■ 새로운 의혹들
검경 수사자료, 선관위 발표 자료, 관련자 진술 등을 비교검토하면 디도스 공격의 주체가 분명하지 않은 시간대가 있다.
디도스 공격을 직접 수행한 김아무개(27)씨는 검찰 조사에서 공격 당일 오전 11시께부터 “공격을 멈추었다”고 진술했다. 오전 9시께부터 책상에 엎드려 잠들었고 간간이 깨어나 공격 버튼을 눌렀으나, 오전 11시께 일어났을 때는 “디도스 공격 프로그램에 나와 있는 좀비피시의 개수가 ‘0’으로 나와 있었다”는 것이다. 악성 프로그램에 감염된 좀비피시를 동원하는 것이 디도스 공격이므로 적어도 오전 11시부터는 공격이 불가능한 상황이었던 셈이다. 또한 김씨에게 디도스 공격을 지시했던 공현민·강아무개씨 등이 이날 낮 12~1시 사이에 “이제 그만 공격해도 된다”고 연락했던 사실도 수사자료에서 확인된다.
그런데 선관위로 통하는 회선 가운데 하나인 엘지유플러스(LGU+)의 디도스 공격 탐지 장비는 오후 1시19분부터 15분 동안 디도스 공격을 탐지했다. 선관위도 12시57분~1시27분에 디도스 공격 트래픽이 발견됐다고 발표했다. 김씨가 사용한 디도스 공격 프로그램은 ‘공격 시간 예약’ 기능이 없는 ‘중국산’이다. 공격자가 컴퓨터 앞에 앉아 계속 명령 버튼을 눌러야 디도스 공격이 이뤄진다. 오전 11시에 컴퓨터 앞을 떠난 김씨가 명령 버튼을 누르지 않았는데도 디도스 공격은 오후 1시27분까지 이어진 형국이다.
케이티(KT) 회선 차단 직후인 오전 7시10분~7시30분 사이에 대해서도 혼란스런 대목이 있다. 선관위는 이 시간에 누리집 접속이 정상화됐다고 발표했다. 케이티 회선 차단 조처가 효과가 있었다는 주장이다. 그러나 케이티와 엘지유플러스 관계자들은 검찰 조사에서 “이 시간대에도 정상 서비스는 되지 않았다”고 진술했다. 공격자 김씨가 이 시간대에 잠시 외출하느라 공격을 멈추었다는 진술도 확인됐다. 과연 일시 정상화됐던 것인지, 여전히 접속장애가 있었다면 이유는 무엇인지 등이 해명되지 않고 있다.
트래픽이 드나드는 관문인 ‘라우터’가 죽었다가 되살아나는 현상이 오전 7시30분부터 무수히 반복된 것도 석연치 않은 대목이다. 트래픽을 주고받는 규칙 설정이 잘못된 경우에 이런 현상이 일어날 수 있다는 게 라우터 제조업체인 시스코의 설명이다. 일부에선 실수 또는 고의로 라우터 설정을 바꿨을 가능성을 제기하고 있다.
유신재 안수찬 기자 ahn@hani.co.k
**********************************************************************************************************
‘선관위 디도스 공격’ 수사기록 등 분석
지난 3월 초, 중앙선관위 홈페이지 접속장애 사건 관련 검·경 수사기록, 선관위·한국인터넷진흥원·KT·LG엔시스 등이 검·경에 제출한 각종 데이터 및 기술분석보고서, 최구식 국회의원의 비서 공현진(27)씨가 사용했던 외장메모리장치(USB) 등을 단독 입수했다. 자료를 제공한 한국기독교교회협의회(KNCC)와 함께 3주에 걸쳐 1만여쪽의 자료를 일일이 검토했다.사건 관련자 통화내역·하드디스크 분석자료 등을 재검토했고, 검·경이 미처 추적하지 못한 증거자료에 대한 추가 취재를 벌였으며, 새로운 관련자들을 접촉해 인터뷰했다. 전문가의 자문도 구했다. 사건 초기부터 이 문제에 관심을 기울여온 김기창 고려대 법학과 교수(오픈웹 대표), 익명을 요청한 인터넷 보안 기업의 네트워크 전문가, 역시 익명을 요청한 인터넷 포털 기업의 네트워크 전문가 등이 자료를 함께 검토하여 의견을 보냈다. 전문가들의 의견이 일치하는 내용을 중심으로 기사 작성에 참조했다.
지난 23일 관련 질의서를 중앙선관위에 보내 반론 및 해명을 들으려 했으나 28일 저녁 현재까지 회신을 받지 못했다. 선관위 입장은 그동안 언론에 배포한 설명자료를 참조했다. 이번에 확보한 수사자료 가운데는 그동안 시민단체 등이 선관위에 공개를 요청한 내용도 일부 포함돼 있었지만, 파일·CD 형태로 제출된 전산 원자료, 참고인 자격으로 검찰에 출두했던 최구식 의원의 진술, 검찰이 전화로 조사한 김효재 전 청와대 정무수석의 진술 등은 등에 대한 수사자료가 빠져 있다.
 |
중앙선거관리위원회(이하 선관위)의 잘못된 대응이 지난해 10월26일 오전 서울시장 보궐선거 관련 선관위 홈페이지 접속 장애의 주요 원인 가운데 하나라는 분석이 나왔다. <한겨레>가 1만여쪽에 이르는 검·경 수사기록 및 각종 기술보고서를 단독입수하여 네트워크 보안 전문가들과 함께 검토한 결과, “디도스 공격에 대응하려면 많은 접속량을 소화할 수 있도록 인터넷 회선을 증속하는 조처가 필요한데, 오히려 용량이 큰 KT 회선(310Mbps)을 단절하고 그 절반에 불과한 LGU+ 회선(155Mbps)만 남긴 것은 명백히 잘못된 결정이었다”는 공통된 분석이 나왔다.
선관위는 홈페이지 접속장애가 시작된지 1시간여만인 26일 오전 7시, KT 회선을 차단했다. 그동안 선관위는 “디도스 공격이 KT 회선에 집중되어 있어 차단했다”고 설명해왔다. 그러나 관련 자료를 검토한 전문가들은 “의도가 개입됐는지는 알 수 없지만, 인터넷 접속을 위한 망(네트워크)을 선관위 스스로 죽인 꼴이 돼버렸다”고 지적했다. 지난 1월7일 검찰은 수사 결과를 발표하면서 “선관위 내부자의 공모 또는 고의적 장애 방치는 없었다”고 밝힌 바 있다.
‘사이버 대피소’ 우회 조처 과정에서 선관위가 미숙하게 대응한 사실도 드러났다. 홈페이지 IP 주소를 변경해 공격을 피하는 사이버 대피소 우회는 사건 당시 접속장애를 해결하는 데 결정적 역할을 했다. 그러나 선관위 관계자는 지난해 12월 검찰에 출석해 “사이버 대피소로 곧바로 대피했다면 더 빨리 장애를 처리했겠지만, 디도스 공격 당시에는 사이버 대피소 (우회 조처) 생각을 못했다”고 진술한 것으로 밝혀졌다. 수사자료를 보면, 접속 장애 발생 2시간이 지난 오전 8시께, KT가 사이버 대피소 우회 조처를 선관위에 먼저 제의한 것으로 나온다. 그동안 선관위는 각종 발표 자료에서 “사이버대피소 우회를 협의·조처했다”고만 표현하며 누가 결정을 주도했는지 명확히 설명하지 않았다.
온라인 카지노 합법화 로비를 둘러싼 새로운 의혹도 제기됐다. 수사자료 검토 및 취재 결과, 최구식 의원 비서 공현진(27)씨가 지난해 10월13일 오전, 국회 지식경제위원회 소속 ㄱ 의원(새누리당) 비서로 일하는 ㄴ씨에게 “보안을 부탁드린다”는 내용과 함께 ‘국내·해외 온라인 카지노 기획안’을 발송한 사실이 밝혀졌다. 국회 지식경제위는 카지노를 운영하는 ‘강원랜드’를 소관하고 있다.
또한 공씨가 “(지난해 11월께 온라인 카지노 업자들에게) 한나라당 디지털위원회에 와서 일해달라고 부탁한 적이 있고, 이와 관련해 함께 밥 먹는 자리를 만들어보겠다고 최구식 의원과 온라인 카지노 업자들에게 말한 적이 있다”고 검찰에서 진술한 사실도 드러났다. 공씨가 사용하던 컴퓨터 하드 디스크 복원 결과 발견된 한글 문서에서도 관련 내용이 발견됐다. 지난해 10월20일 작성된 ‘한나라당 홍보위원회 SNS 지원단 구성안’이라는 제목의 문서에는 포털팀·검색팀·모바일팀·트위터팀 등을 “포털 노출순위 조작하는 전문가들로 구성”한다는 내용이 있다.
특히 공씨가 구속 직전까지 사용했던 외장메모리장치(USB)를 입수해 분석한 결과, 국회 문화체육관광방송통신위원회, 사행산업통합감독위원회, 방송통신위원회, 문화체육관광부 등을 상대로 온라인 카지노 합법화 로비를 펼친다는 계획이 적힌 문서가 발견됐다
이훈삼 한국기독교교회협의회(KNCC) 정의평화국장은 “도박업자와 정치권이 결탁해 헌법 기관을 공격한 전대미문의 사건이 여전히 베일에 가려져 있고, 시민들이 이해하기 어려운 전문 분야에 대한 선관위의 부실한 설명 역시 의혹의 대상이 되고 있다”며 “양심적 내부고발자 및 관련 전문가 등과 함께 사건 실체를 계속 추적하겠다”고 말했다.
선관위 디도스 공격 사건 특별검사팀은 지난 26일부터 본격 수사에 들어갔다. 최대 90일의 수사기간을 거쳐 이르면 5월, 늦어도 6월이면 수사 결과를 발표할 예정이다.
유신재 송경화 안수찬 기자ahn@hani.co.kr
********************************************************************************************************
|
|
선거관리위원회 네트워크 구조 |
추적 ‘선관위 디도스 공격’
▷ 고려대지난해 10월26일 발생한 중앙선관위 홈페이지 접속장애 사건에 대한 논란과 의혹이 끊이지 않는 이유 가운데 하나는 디도스 공격으로 발생한 트래픽 규모와 관련해 11Gbps, 1Gbps, 263Mbps 등 여러 수치가 등장하기 때문이다. 선관위와 KT·LGU+ 등 망사업자들이 각기 다른 위치에서 측정한 트래픽이 충분한 설명 없이 공개되면서 혼란을 일으킨 것으로 보인다.
이번 사건의 기술적 쟁점을 파악하기 위해서는 선관위의 네트워크 구조에 대한 이해가 필요하다. 인터넷 사용자가 선관위 홈페이지에 닿는 길은 두 가지다. 하나는 KT가 제공하는 국가기간망인 퍼브넷(PubNet)이고, 또 하나는 LGU+가 제공하는 퍼브넷플러스2(Pub-Netplus2)다. 두 개의 국가기간망은 모두 5Gbps 이상의 용량을 가지고 있다.
두 개의 국가기간망과 선관위 서버는 ATM(Asynchronous Transfer Mode·비동기 전송방식) 회선으로 연결된다. KT 퍼브넷과 선관위 서버를 잇는 회선은 155Mbps 용량 2개이고, LGU+ 퍼브넷플러스2와 선관위 서버를 잇는 회선은 155Mbps 용량 1개이다. 더 넓은 길을 주로 사용하도록 선관위는 회선 설정을 해두었다. KT 퍼브넷과 연결된 선관위 라우터의 BGP(Border Gateway Protocol·경계경로 프로토콜) 라우팅 설정은 ‘as path pretend 9768’이고, LGU+ 퍼브넷플러스2와 연결된 선관위 라우터의 설정은 ‘as path pretend 38683 38683 38683’이다. 이런 설정은 LGU+ 쪽을 통하는 경로가 더 먼 것으로 인식하게 만든다. 모든 접속 트래픽은 가장 빠른 길을 선택하게 돼있으므로, 선관위로 향하는 트래픽이 KT쪽으로 흐르게 되는 것이다.
위와 같은 네트워크 구조에 따라 지난해 10월26일 오전 5시50분부터 발생한 디도스 공격 트래픽은 KT 퍼브넷을 통해 선관위로 향했다. 선관위가 오전 6시58분 KT 퍼브넷과 연결된 회선 2개를 라우터에서 차단(라우터에 로그인해 2개 회선에 대한 ‘interface down’ 명령을 입력)할 때까지 KT 퍼브넷을 통해 선관위로 향한 트래픽은 최대 1Gbps 규모다. 이 1Gbps 트래픽은 선관위 서버로 향하는 KT 퍼브넷의 출구 쪽 라우터에서 측정된 것이다. 즉, KT 퍼브넷은 선관위 서버를 향해 1Gbps의 트래픽을 쏟아냈다는 뜻이다.
하지만 KT 퍼브넷과 선관위 서버를 잇는 회선 2개의 용량은 310Mbps다. KT 퍼브넷이 쏟아낸 1Gbps 규모 트래픽이 한꺼번에 들어갈 수 없다. 이 좁은 길을 거쳐 선관위 서버 바로 앞에 설치된 디도스 방어장비에서 측정된 트래픽이 최대 263Mbps 규모다. 310Mbps 너비의 길에 263Mbps의 트래픽이 지나가면 마치 여유공간이 있는 것으로 생각할 수도 있지만, 실제로는 그렇지 않다는 것이 네트워크 전문가들의 설명이다.
네트워크를 통해 데이터를 전달하는 과정에서 부가적으로 발생하는 부하가 있다. 이를 오버헤드라고 부르는데, 사용자의 컴퓨터와 서버 컴퓨터가 서로 연결상태를 확인하기 위해 주고받는 신호들이 이에 해당한다. 이 오버헤드 때문에 통상 100Mbps의 데이터를 전달하려면 120Mbps의 회선 용량이 필요하다. 특히 디도스 공격 등으로 네트워크에 장애가 발생할 경우 오버헤드의 크기는 평소보다 더욱 커지기 때문에, 최대 263Mbps의 트래픽은 KT퍼브넷과 선관위 서버 사이의 회선을 완전히 막아버린다는 것이다.
이처럼 회선에 과부하가 걸리면 홈페이지 접속이 불가능해진다. 좁은 길을 비집고 들어온 263Mbps 트래픽의 대부분을 차지하는 공격 트래픽을 선관위 디도스 방어장비가 걸러내고 소량의 정상트래픽이 선관위 서버에 도달해도, 이 정상 트래픽의 요청에 응하는 응답 트래픽이 다시 KT 퍼브넷 쪽으로 나가야하는데 그 길이 막혀있기 때문이다. 또 이런 과부하가 발생하면 KT 퍼브넷 쪽과 연결된 선관위 라우터에도 장애가 발생한다. 모든 라우터는 주기적으로 자신이 정상적으로 작동하고 있다는 신호를 전 세계의 다른 라우터들에게 보내는데, 회선이 막혀버리면 이 신호를 보내지 못한다. 이런 상태를 ‘BGP 다운(down)’이라고 한다.
그렇다면 11Gbps라는 수치는 어디에서 비롯한 걸까. 선관위가 KT 퍼브넷과 연결된 회선을 차단 직후인 오전 7시께 KT 퍼브넷의 입구 쪽에서 측정된 트래픽 규모가 최대 11Gbps다. 이는 이번 공격에 동원된 275개 좀비피시가 동시에 공격을 실행해도 만들어질 수 없는 규모다. 11Gbps 트래픽은 KT 국내망과 LGU+망을 거쳐 KT 퍼브넷을 통해 선관위 서버로 가려던 공격 트래픽이 선관위의 회선 단절조치로 길을 잃어 우왕좌왕한 탓에 만들어진 것이다. 이처럼 목적지 정보를 상실한 트래픽이 일정 구간에서 무한반복하는 현상을 루핑(looping)이라고 한다. 11Gbps는 이러한 루핑에 의해 발생한 트래픽 규모다. 루핑이 발생한 이유는 KT 쪽 회선 차단 때문이다. 선관위의 책임론이 불거지는 대목이다.
그럼에도 명확하게 설명되지 않는 부분은 남는다. 이날 오전 6시58분 선관위가 KT 퍼브넷과 연결된 회선을 막은 뒤 LG 퍼브넷플러스2를 통해 선관위로 들어오는 회선에서 일어난 사태는 전문가들마다 분석 결과가 다를 정도로 미궁에 빠져 있다. LGU+ 퍼브넷플러스2의 출구 쪽에서는 오전 7시께 약 160Mbps의 트래픽이 송출된 것으로 관측됐고, 같은 시간대 LGU+ 퍼브넷플러스2와 연결된 선관위 라우터에서는 40Mbps의 트래픽이 유입된 것으로 관측됐다. 앞서 KT 퍼브넷쪽 상황과 마찬가지로 회선 용량(155Mbps)을 초과하는 트래픽 때문에 길이 막혀 홈페이지 접속이 안됐다는 것이 선관위 등의 설명이다.
하지만 이때 선관위 서버와 연결된 라우터에서 일어난 이상 증상은 트래픽 과다만으로 설명이 어렵다는 지적이 제기된다. 이날 오전 7시부터 7시10분까지 선관위 라우터의 경계 경로 프로토콜(BGP, Border Gateway Protocol)은 약 45초 간격으로 업/다운 증상을 반복한다. 경계경로 프로토콜이란 인터넷의 수많은 라우터들끼리 서로의 상태를 확인하기 위해 주고받는 신호를 뜻하는데, 이때 선관위 라우터는 10여초 동안 정상(업)이었다가 30여초 동안 장애가 발생했다는 신호(다운)를 계속 반복해서 보냈다. 이런 증상은 7시10분부터 잠시 멈췄다가 7시30분부터 다시 일어난다. 업/다운 현상이 일정 시간의 간격을 두고 ‘규칙적이면서도 지속적으로’ 발생한 것이 의혹의 핵심이다.
이는 7시 이전 KT 퍼브넷 쪽과 연결된 선관위 라우터에서 발생한 경계 경로 프로토콜 업/다운 증상이 훨씬 낮은 빈도로 불규칙하게 일어난 것과 대비된다. 트래픽 유입은 순간마다 변화하므로 과도한 트래픽 유입으로 인한 업/다운 현상도 불규칙하게 일어나기 마련인데, 오전 7시 이후 발생한 업/다운 현상은 마치 누군가 작위한 것처럼 규칙성을 띤다는 것이다.
이런 현상은 KT 퍼브넷과 연결된 선관위 라우터와 LGU+ 퍼브넷플러스2와 연결된 선관위 라우터 사이에 트래픽을 서로 주고받는 규칙 설정이 잘못된 경우에 일어날 수 있다는 것이 선관위가 사용하는 라우터 제조업체인 시스코의 설명이다. 오픈웹 대표 김기창 고려대 교수 등은 이를 근거로 선관위의 누군가가 실수로 또는 의도적으로 라우터 설정을 잘못 건드렸을 가능성을 제기하고 있다.
유신재 기자ohora@hani.co.kr