서울시장 보궐선거가 치러지던 지난 10월 26일. 김성주 FNAS 대표와 점심을 먹던 '나꼼수'의 김어준 <딴지일보> 총수가 특유의 말투로 툭 한마디 던졌다고 한다.
"졸라 이상한데…."
이날 오전 6시 15분부터 오전 8시 30분까지 2시간여 동안 중앙선관위 홈페이지가 접속장애를 일으켜 유권자들이 바뀐 투표소 위치를 확인하지 못한 사태를 두고 한 말이었다. 김 총수는 보안문제전문가인 김 대표에게 "한번 들여다 보라"고 주문했다.
이러한 김 총수의 '의문'은 날카로운 '의혹제기'로 이어졌다. 그는 지난 10월 29일 방송된 '나꼼수 26회'에서 이렇게 말했다.
"아침 6시부터 8시반까지 선관위 홈페이지는 접속되는데 자기 투표소 찾으려고 주소 입력하는 DB 연동이 끊어졌다. 누군가 의도적으로 끊어 출근길 젊은층 투표를 방해하려 한 치밀한 작전이다."
더 나아가 김 총수는 "디도스 공격이 아니다, 로그파일(사이트 접속정보를 기록한 파일)만 조사하면 외부해킹인지 내부에서 한 건지 알 수 있다"며 사실상 '선관위 내부 개입' 의혹까지 제기했다.
"디도스 공격으로 나타날 수 없는 패턴 나타나"
 | ||||||
| ||||||
지난 9일 오후에 만난 김성주 대표는 "김어준 총수가 촉이 빠르다"라며 "서울시장 보궐선거 당일부터 선관위 홈페이지에서 투표소 검색 DB연동만 끊어졌다고 결론내린 뒤 '그럼 어떤 공격에 의한 것이냐?'면서 (원인을) 역추적해 들어갔다"고 전했다.
보안전문가들 사이에서 논란이 일었던 '디도스 공격이냐, 아니냐?'와 관련, 김 대표는 "(디도스 공격 이후) 접속이 이루어지느냐 접속이 안 이루어지느냐의 차이만 있을 뿐 디도스 공격은 늘 있다"며 "하지만 이번 선관위 홈페이지 접속장애를 두고 '디도스 공격이냐 아니냐'고 묻는 것은 질문 자체가 잘못됐다"고 지적했다.
"원순닷컴의 경우 디도스 공격이 명확하다. 하지만 선관위 홈페이지의 경우 디도스 공격만이 범죄의 전부냐?
디도스 공격이 없었다고 얘기하는 것이 아니다. 하지만 다른 공격의 가능성이 있고, 나꼼수와 저는 이(다른 공격) 확률이 더 크다고 생각한다. 디도스 공격은 페인트 모션이다."
김 대표는 "디도스 공격으로만 접속장애가 일어났다고 보기 어려운 '의심되는 패턴'이 있었다"며 "즉 디도스 공격으로 나타날 수 없는 패턴이 나타났다는 것"이라고 설명했다.
"디도스 공격이라면 (웹페이지의) 접속 자체가 안 된다. 그것이 일반적인 경우다. 일부에서는 '페이지 디도스'라고 주장하지만 네트워크 시큐리티(network security) 세계에서 그런 것은 존재하지 않는다. 이번 선관위 홈페이지의 경우에는 '투표소 검색'이라는 특정DB(페이지)만 안 보여줬다. 이것은 디도스 공격으로 나타나지 않는 패턴이다."
김 대표는 "웹서버에는 접속이 되는데 DB서버만 다운됐다는 것은 다른 공격이 있었기 때문에 가능한 일"이라며 "간헐적으로 웹서버에 접속이 안되는 사람도 있긴 했지만 그것은 정상적인 수준에서 조금 벗어난 경우일 뿐"이라고 강조했다.
김 대표는 'MRTG(Multi Router Traffic Grapher)'를 근거로 제시하며 자신의 주장을 이어 나갔다. MRTG는 트래픽을 모니터링하는 도구로 시간별 트래픽 변화 추이 등을 그래프로 확인할 수 있다.
"(선관위에 회선을 제공하는) KT와 데이콤의 MRTG를 입수해 분석해 보았다. 이것에 따르면 선관위 홈페이지 자체는 정상이었다. 디도스 공격이 이루졌다는 시각에 트래픽이 증가하지 않았다. 디도스 공격이 끝난 뒤에는 트래픽이 줄어들어야 하는데 줄어들지 않았다."
김 대표가 내놓은 또다른 근거는 중앙선관위에 '디도스 공격 대응체계'를 구축한 LG엔시스가 서울시장 보궐선거 당일 선관위에 제출한 로그분석 보고서다. 그는 "LG엔시스가 자기 (보안)장비의 로그파일을 분석한 보고서를 선관위에 전달했다"며 "LG엔시스는 이 보고서에서 '디도스 공격이 들어왔지만 잘 막아냈다'고 밝혔다"고 전했다.
실제 LG엔시스의 한 관계자는 지난 5일 <오마이뉴스>와 한 인터뷰에서 "우리가 (2009년 말에) 공급했던 장비는 제대로 작동했다"며 "(중앙선관위 홈페이지 접속장애는) 장비의 문제가 아니다"라고 말했다.
"어떤 힘이 투표소 DB연동만 끊었다"
그렇다면 왜 서울시장 보궐선거 당일 2시간여 동안 투표소 검색 페이지만 열리지 않았을까? 김 대표는 "바로 그 문제를 집중적으로 파헤쳐야 한다"고 주문했다.
김 대표는 "기술적 부분은 이 문제의 하위문제"라고 강조한 뒤, "25%의 투표소가 바뀌었는데 야당이 강한 투표소는 평균보다 더 많이 바뀌었다"며 "9급 국회의원 비서가 어떻게 그런 정보를 알고서 투표율을 떨어뜨리기 위해 선관위 홈페이지를 공격했겠느냐?"고 의혹을 제기했다.
"나꼼수와 저는 디도스 공격이 없었다고 얘기한 적이 없다. 사건의 본질이 디도스 공격에 있지 않다고 얘기했을 뿐이다. (투표소 검색) DB연동이 끊어진 원인이 디도스 공격이 아니라는 것이다. 선관위 '내부'이거나 내부를 맘대로 할 수 있는 사람이 'DB연동을 끊는 힘'으로 작동했다는 것이다."
김 대표는 "처음에는 투표소를 많이 바꾸는 과정에서 일어난 엔지니어의 실수일 가능성도 생각해봤다"며 "하지만 다른 DB는 검색이 되는데 유독 오전 6시부터 8시까지 투표율, 투표소와 관련된 DB만 검색이 안됐다"고 지적했다.
이어 김 대표는 "로그파일을 보지 않는 상태에서 최구식 한나라당 의원의 비서 일행이 투표소 DB를 공격한 것인지 다른 힘이 공격한 것인지 모르지만 두 가지 가능성이 다 있다"며 "이것은 웹로그, 시스템로그, DB로그, 라우터로그 등 전체 로그파일를 줘야 분석이 가능하다"고 말했다.
 | ||||||
| ||||||
"공씨 일행이 잡히지 않으려고 대단히 노력했다. 대포 T로그인(무선인터넷공유기)을 사용했고, VPN(virtual private network, 가상사설망)도 다른 사람 명의로 사용했다. 그런 점에서 보면 경찰이 빠른 시간 안에 범인을 잡아낸 것은 칭찬해주고 싶다."
김 대표는 "투표소 DB가 연결되지 않아 투표율이 떨어진 것이 이번 사건의 핵심사실"이라며 "그런 점에서 경찰이 이번 사건의 '근본적인 구조'를 수사하는 데는 미흡했다"고 지적했다. 그는 "하지만 구조적인 부분을 수사하는 것은 일선 경찰관이 결정할 문제가 아니라 그 윗선에서 결정할 일"이라고 덧붙였다.
"이제 로그파일 공개해도 믿을 수 없다"
또한 김 대표는 "지난 10월 26일 오전 6시부터 8시까지와 똑같은 환경에서, 공씨 일행이 쓴 장비와 똑같은 것으로 디도스 공격을 해서 투표소 DB만 끊어지는지 시연을 해보자"고 제안했다.
김 대표는 "해킹은 속도전이라 바로 조치하지 않으면 증거를 확보하기 어렵다"며 "그런데 선관위는 한달이 넘도록 로그파일을 공개하지 않고 있어 앞으로 로그파일을 공개한다고 해도 믿을 수 없다"고 불만을 토로했다. 그는 "범죄는 범죄이고 책임은 책임"이라며 "당일 서비스를 제대로 못한 부분은 선관위에서 책임져야 한다"고 강조했다.
김 대표는 최근 자신의 페이스북에 올린 글에서 중앙선관위 홈페이지 접속장애 사건을 '선관위 사건'이라고 명명하면서 그 사건에 집중하는 이유를 이렇게 썼다.
"선관위 사건은 이 시대의 심판이 잘못된 사건입니다. 최소한 심판은 믿을 수 있어야 합니다. 독립된 헌법기관입니다. 이것이 흔들려서는 우리가 구성하고 있는 이 사회가 흔들린다고 판단했습니다."
*******************************************************************************************************
디도스 공격 전문가가 본 의문점
지난 10월 26일 재·보궐선거 당일 중앙선거관리위원회 홈페이지에서는 무슨 일이 벌어진 것일까. 전·현직 여당의원 비서들이 직·간접적으로 연루된 데다 이들과의 술자리에 청와대 행정관까지 동석한 사실이 드러나면서 사건의 파장은 급속도로 확대되고 있다.
공격을 실제로 수행한 이들의 정체는 드러났지만 배후에 누가 있는지, 선관위 홈페이지가 어떤 경로를 거쳐 접속장애를 일으켰는지에 대해서는 명확한 결론이 나오지 않았다. 보안전문가들은 이 사건을 어떻게 보고 있는지 알아봤다.
객관적인 상황은 이렇다. 지난 선거에서 서울시내 투표소 332곳은 그 이전과 다른 장소로 바뀌었다. 투표장소가 바뀐 사실을 모른 채 출근길 투표를 하려 했던 유권자들은 바뀐 투표장을 찾기 위해 선관위 홈페이지 접속을 시도했다. 그 중 일부는 홈페이지 접속에는 성공했지만 투표소 조회 메뉴 접속에는 실패했다.
선관위는 홈페이지가 디도스 공격을 받았기 때문이라고 발표했는데, 인터넷 팟캐스트 '나는꼼수다'가 제기한 의혹은 바로 이 대목을 겨냥한 것이다.
"(홈페이지 전체가 마비된 것이 아니라 투표소 조회만 안 됐다면) 내부적으로 협조자가 있거나 아니면 전문적인 해커가 들어가서 데이터베이스(DB) 서버를 공격해야 하는데, 현실적으로 어려운 디도스 공격이거든요? 그러니까 디도스 공격이라고 할 수 없는 거예요."(정봉주 전 의원, 12월 5일 SBS 라디오 인터뷰)
권석철 큐브피아 대표는 디도스 공격이 있었다는 점은 인정했다. 문제는 통상적인 디도스 공격만으로 선거 당일 선관위 홈페이지에서 일어난 상황이 발생할 수 있느냐는 점이다. 디도스 공격은 동시에 대량의 트래픽을 보냄으로써 홈페이지의 서버를 다운시키는 수법이다. 2차선 도로에 수만대의 차량이 동시에 진입해 도로가 마비되는 상황에 비유할 수 있다.
통상 이 같은 디도스 공격에는 디도스 툴이 사용되는데, 쉽게 말해 "이 툴을 사용해서 단추만 누르면" 공격이 실행된다. 권 대표는 "디도스로 홈페이지를 공격할 경우 홈페이지 전체를 다운시키는 게 가장 손쉬운 방법이다. 홈페이지는 놔두고 데이터베이스만 다운시키는 건 흔치 않은 일"이라고 말했다. 그가 디도스 공격 이외에 다른 공격이 있었을 것이라고 보는 이유다.
데이터베이스 접속장애가 발생할 수 있는 상황은 세 가지다. 데이터베이스 서버가 아예 켜져 있지 않았거나, 데이터베이스 서버를 순간적으로 다운시켰거나, 데이터베이스의 특정 포트가 공격당한 경우다.
데이터베이스 서버 자체가 꺼져 있었다는 것은 일종의 음모론에 해당한다. 이 경우를 제외하고 공격에 의한 접속장애가 발생했다고 볼 때 문제가 되는 것은 데이터베이스만 노리는 것이 결코 쉽지 않다는 점이다.
권 대표는 "데이터베이스만 공격하려면 데이터베이스의 IP 주소를 알아야 한다. 이걸 알려면 해킹을 해서 뒤질 수밖에 없다. 전문적인 해커들이 할 수 있는 수준이고, 준비도 오랫동안 해야 한다"고 말했다. 하룻밤 사이에 실행할 수 있는 일이 아니라는 얘기다.
디도스 공격만으로 데이터베이스를 다운시키는 것이 가능하다고 말하는 보안전문가도 있다. 문제는 현실성이다.
익명을 요구한 한 보안전문가는 "디도스만으로 데이터베이스를 다운시키는 게 이론적으로는 가능하지만 현실적으로는 쉽지 않다. 공격자가 얼마나 많은 정보를 갖고 있었느냐가 관건"이라고 말했다.
디도스 공격 이외의 해킹 수법을 사용했든, 디도스 공격만으로 데이터베이스를 다운시켰든, 디도스 공격을 감행한 공모씨(최구식 한나라당 의원 전 수행비서) 일당이 누군가의 도움을 받았을 것이라는 의혹이 제기되는 이유다.
그렇다면 공모씨의 지시로 디도스 공격을 감행했다고 자백한 강모씨 등의 기술 수준은 어느 정도였을까. 공씨와 같은 고향 출신인 강씨와 강씨의 동료 두 사람은 인터넷 도박사이트 업계 쪽에서 활동해온 것으로 알려졌다.
보안전문가들은 이들이 불법 인터넷 도박사이트에 디도스 공격을 감행한 다음, 불법 사이트여서 경찰에 신고하지 못하는 점을 악용해 공격을 중단하는 대가로 돈을 받거나, 서로 경쟁관계에 있는 불법 도박사이트 운영자로부터 돈을 받고 다른 불법 도박사이트에 디도스 공격을 해주는 방식으로 사업을 해왔을 것이라고 본다.
강씨 등이 대구에 사업장을 두고 운영해온 웹사이트 설계 업체가 별다른 수주실적이 없었음에도 강씨 등이 고급승용차를 타는 등 여유로운 생활을 할 수 있었던 배경으로 보인다.
권석철 대표는 이런 정황으로 미루어 "디도스 공격 과정에서 국내 IP를 사용한 점 등을 보면 고급해커라고 할 수는 없지만 이 분야 초보자들은 아니다. 일반적인 기준으로 보면 준전문가급"이라고 말했다.
한 해킹 관련 전문가는 좀 더 단정적인 견해를 제시했다. "이 친구들이 사용했다는 디도스 공격 툴은 '카스툴'이라는 건데, 이건 일반적인 디도스 공격에만 사용되는 것이다. 그걸로 데이터베이스만 끊는다는 건 불가능하다고 생각한다."
이 전문가는 "이미 도박사이트를 운영하면서 공격을 해본 경험이 있는 사람들이라 좀비PC를 준비하거나 하는 데는 별 문제가 없었을 것이라고 본다"며 "그러나 10만대라면 몰라도 (경찰 추산으로) 200대나 1500대의 좀비PC로 국가기관인 선관위 사이트를 마비시킨다는 건 기술을 아는 사람이라면 웃을 얘기"라고 말했다.
이 전문가는 "선관위에 방어시스템을 공급한 LG엔시스는 공격 시점 당시 방어시스템이 정상적으로 작동했다고 발표했는데, 이 발표대로라면 디도스 공격은 실패한 걸로 봐야 한다"며 "현재로서는 로그파일이 공개돼 있지 않기 때문에 추정만 할 수 있는 상황"이라고 덧붙였다.
"2기가 트래픽은 대학 수강신청 수준"
최영남 파도콘 대표는 "11월 28일 지식정보보안산업대전 행사에서 KT 측이 당시 트래픽 관련 차트를 보여줬는데, 트래픽이 2기가 수준이었다. 그래서 당시 보안업계 종사자들 사이에서 논란이 됐다. 대학생들이 수강신청을 할 때도 그 정도 트래픽은 나오는데 LG엔시스 방어시스템을 구축한 선관위가 그 정도를 못 막았다는 건 이상하지 않느냐는 얘기였다. 선관위는 11기가라고 하는데 그 수치는 어디서 나온 것인지 모르겠다"고 말했다.
이 같은 의혹을 해소하려면 결국 로그기록을 분석해야 한다는 것이 보안전문가들의 공통된 견해다. 선관위는 법적으로 로그기록 공개가 금지돼 있다는 점을 들어 공개할 수 없다는 입장을 밝혔다.
지금이라도 로그기록이 공개된다면 어떨까.
한 해킹 관련 전문가는 "지금 공개하는 건 신뢰성이 떨어진다. 로그기록을 조작하는 게 불가능한 게 아닌데 이미 한 달 넘게 끌었기 때문에 의심이 나오게 돼 있다"고 말했다.
수사는 경찰을 떠나 이제 검찰의 손으로 넘어갔다.
중요한 건 누군가는 책임을 져야 한다는 사실이다. '정치권의 배후'가 드러나지 않더라도 그렇다.
최영남 대표는 "정치적인 문제가 없더라도 실무자들과 책임자들은 책임을 져야 한다. 조사 결과 해킹으로 나오더라도 문제이고, 내부 공모로 나오더라도 문제이고, 트래픽이 한 번에 몰려서 그렇게 된 것으로 나오더라도 문제다. 정치적 배후 문제를 떠나 데이터베이스 접속장애가 생겼다는 것 자체만으로도 처벌받아야 한다"고 말했다.
<정원식 기자 bachwsik@kyunghyang.com>
'부정선거, 불법선거 관련' 카테고리의 다른 글
| ‘선관위 공격’ 돈거래, 원점에서 재수사하라 (0) | 2011.12.15 |
|---|---|
| 선관위 디도스 공격 ‘금전거래’ 있었다 (0) | 2011.12.14 |
| 선관위 사건 실체 못 밝히고, 축소은폐 의혹은 손도 못대 (0) | 2011.12.09 |
| 청와대까지 번진 ‘선관위 테러’ 의혹 (0) | 2011.12.09 |
| 선관위 홈피 공격 직전 회식자리, 靑 행정관 참석 사실 은폐, 뒤늦게 공개 (0) | 2011.12.09 |