선관위 디도스 공격, 다른 조직도 있었나

 

 

 

선관위 디도스 공격, 다른 조직도 있었나   검경이 디도스 공격 인물들 제보로 잡았단 사실은 공격에 연루된 ‘다른 조직’ 존재 개연성 드러내 … 홈페이지 일부 기능만 마비된 이유, 로그기록 원본 못 본 한계 등 특검이 규명해야 할 진실 많아

검찰은 중앙선거관리위원회(선관위) 디도스 공격의 배후를 두고 “신의 영역”이라고 칭했다. 국민적 관심사를 40여 명의 특별수사팀이 수사하며 고작 국회의장 전 비서 1명을 추가로 기소하고, 금전 거래는 1천만원만 대가성이라는 사실을 밝혀낸 게 전부라는 비판에 맞선 일갈이다. 지난해 12월14일 <한겨레21>의 보도 일부를 보도자료로 옮겨놓은 것이나 다름없는 수사 결과를 앞에 두고 수사의 처음으로 돌아가보자. 그들이 말하는 ‘신의 영역’인지도 모른다. 하지만 의혹은 그곳에서 시작된다. » 박희태 국회의장의 전 비서 김아무개(구속)씨가 법원에 들어서는 모습. 검찰은 김씨를 구속하는 선에서 수사를 마무리했다. 그리고 “배후가 있다면 신의 영역”이라는 말을 남겼다. 최초의 의문, ‘어떻게 잡았나’ 지금까지 한 번도 의문을 제기하지 않은 지점은 ‘이들을 애초에 어떻게 붙잡았을까’다. 검찰 내부 관계자는 “경찰이 그들을 검거한 것은 제보자가 있었기 때문”이라고 말했다. 제보가 수사의 시작이었다는 것이다. 그는 “컴퓨터 로그기록 분석, IP 분석, 통화기록 분석, 계좌 분석 등은 사후적인 참고 자료였을 뿐”이라고 덧붙였다. 복수의 사정 당국 관계자는 그 사실을 인정했다. 다만 “거짓을 말한 적은 없다. 단지 말하지 않았을 뿐”이라는 게 그들의 설명이다. 돌이켜보면 거짓의 ‘작위’는 없었다. 경찰은 “지난해 10월26일 서울시장 선거일 5일 뒤인 같은 달 31일에 선관위 공격 배후 악성코드를 확보했으며 한 달 만에 디도스 공격을 실행한 강씨 등 일당 3명을 검거했다”고 밝혔다. 여기에 더해 “디도스 공격의 결과로 남은 IP 추적 등을 통해 좀비 PC를 확보했다”거나 “IP를 추적해 일당의 소재를 파악했다” 등의 수사 기법을 언급했다. 당시 대부분의 언론은 의심의 여지 없이 경찰의 사이버 수사가 이들을 잡는 데 결정적 역할을 한 것으로 보도했다. 검거 당시부터 의문을 제기해온 한 정보기술(IT) 전문가는 “지금까지 디도스 공격을 한 당사자가 경찰의 로그 분석을 통해 검거된 예는 없다”며 “과거 현대캐피탈 등의 해킹 당사자 검거는 공격한 일당이 피해자들에게 금품을 요구하는 과정에서 신원이 드러났기 때문”이라고 지적했다. 실제로 북한의 소행이라며 떠들썩했던 지난해 농협 사건의 경우 해킹한 IP가 북한 쪽의 것으로 추정된다는 것일 뿐 당사자 확정조차 되지 않았다. 몇 년 동안 벌어진 청와대 디도스 공격 등에서도 공격자가 대가를 요구하지 않아 공격지 소재조차 파악하지 못했다.   검거가 IP 추적을 통한 것이 아니라 누군가의 제보에 의한 것이라는 사실은 어떤 의미를 가질까. 사정 당국 관계자는 “제3의 인물이 존재할 수 있다는 것”이라며 “그 인물과 검거된 인물들의 관계는 드러나지 않은 조직의 가능성에서 전혀 다른 조직의 존재까지 다양한 가능성을 내포한다”고 말했다. 이 관계자는 “검거 과정의 제보자가 누구인지를 밝혀내고, 어떤 일이 벌어진 것인지를 알아내는 게 공모 과정뿐만 아니라 배후 의혹을 밝히는 데도 중요한 문제일 것”이라고 덧붙였다. 이번 선관위 디도스 공격이 당일 있었던 선관위 홈페이지 기능 마비 전부를 설명하지 못한다는 사실 또한 다른 존재나 공격이 있었다는 의혹을 키운다. 실제로 검찰 내부에서도 지난해 서울시장 보궐선거 당일인 10월26일 홈페이지 이상은 검거된 일당의 디도스 공격만으로는 설명되지 않는다는 의견이 있었던 것으로 전해졌다. 이것은 ‘무산된’ 디도스 공격 테스트베드(선관위 디도스 공격과 동일한 환경으로 시연하는 시스템) 구축에서도 그 단초를 찾을 수 있다. 이번 수사에 참여한 한 검찰 내부 관계자는 “디도스 공격만으로 설명되지 않는 현상이 존재해 테스트베드를 만들어 직접 확인하려 했다”며 “하지만 수사가 진행되면서 테스트베드의 과정과 결과가 외부로 알려지는 것이 문제가 돼 갑자기 중단됐다”고 말했다. 결국 테스트는 동일한 환경이 아니라 검찰 자체적으로 대폭 축소된 환경에서 시행됐다. 하지만 이것으로 선관위 디도스 공격 당시를 설명하기는 부족했다. 결국 시연 결과는 수사 결과 발표 내용에 포함되지 않았다.   디도스 공격만으로 설명되지 않는 증상들 이 관계자가 말하는 ‘설명되지 않는 대목’이란 무엇일까. 일부에서 제기한 “선거 당일 문제가 됐던 ‘선관위 홈페이지(www.nec.go.kr)는 접속이 되지 않는데 선관위 투표소 등 안내 페이지(info.nec.go.kr·이하 안내 페이지)는 접속이 됐다”는 사실이다. 나아가 안내 페이지에서도 유독 투표소 소개만 접속이 안 됐다는 사실도 디도스 공격으로 설명이 안 되는 것은 마찬가지다. 한 IT 전문가는 “디도스 공격 상황이 다양한 양상으로 전개된다는 점을 고려하더라도 디도스 공격만으로 설명이 안 되는 것은 분명하다”고 말했다.   물론 검찰이 이런 의혹에 대해 침묵한 것은 아니다. 보도자료를 보면, ‘중앙선관위 내부의 공모 의혹’이라는 대목에서 디도스 공격 당시 선관위 홈페이지와 데이터베이스 서버의 연동이 되지 않게 하거나, 각 서버를 다운시키거나 투표소 검색 관련 기록을 삭제해 데이터베이스 접속을 못하게 한 흔적은 없었다고 밝혔다. 이는 한국인터넷진흥원(KISA)이 지난해 12월 중순께 선관위 로그기록을 분석한 것을 바탕으로 삼고 있다. 선관위가 보유한 서버가 반응한 로그기록 일체를 보면 그렇다는 것이다. 검찰은 “일부(<나는 꼼수다>를 가리킴)에서 제기하는 의혹 해소 방법 그대로 로그기록을 본 결과”라며 억울해하는 눈치다. 하지만 검찰이 KISA를 통해 분석했다는 로그파일에도 일종의 눈가림이 존재한다.   검찰이 KISA를 통해 검증했다는 로그파일은 로그기록 원본이 아니다. 전문용어로 로그‘파일’은 원본이 아닌 제출용 자료이며 서버의 원본(원본의 복사본)은 로그‘이미지’를 가리킨다. KISA의 한 관계자는 “분석한 로그파일이 원본이 아니라는 점, 조사에 참가한 KISA 내 전문가들이 로그파일을 확인한 시점이 이미 디도스 공격이 있은 지 두 달이 다 된 시점이라는 점에서도 그 조사를 100% 신뢰하기는 어렵다고 본다”고 말했다. 이 관계자는 “다만 특검에서의 조사는 그 기간과 무관하게 원본을 들여다보는 것부터 시작해야 할 것”이라고 말했다. 전문가들의 시각은 제출용이 아닌 원본에서는 만약 인위적 조작이 있었다면 그 흔적을 찾을 가능성이 여전하다는 것이다. 다만 이 또한 조작 가능성의 측면에서 시간이 문제다.   » 검찰은 특별수사팀을 꾸려 서울 여의도 국회의사당의 최구식 전 한나라당 의원 사무실을 압수수색했다. 최 의원은 검찰 수사 결과가 나온 직후 “20대의 판단에 의한 공격이었다. 복당을 검토 중”이라고 밝혔다. <한겨레> 강창광 경찰은 보고도 몰랐나 아니면 숨겼나 허점은 또 있다. 보도자료에는 “일반 웹페이지(홈페이지)를 통한 투표소 검색 18090건의 요청 가운데 576건만이 오류 처리가 됐으며, 모바일 접속 페이지를 통한 투표소 검색의 경우 30555건의 요청이 모두 정상적으로 처리됐다”고 돼 있다. 이 결과 발표를 두고 트위터 등 소셜네트워크서비스(SNS)를 중심으로 공개된 선관위의 로그 정보와 실제 상황이 많은 차이가 있음이 지적된다. 실제로 지난해 10월26일 오전 스마트폰을 이용한 사람들이 선관위 홈페이지 자체를 접속하지 못한 경우가 적지 않은데, 모바일 접속 에러가 전혀 없었다는 것은 쉽게 납득하기 어렵다는 논리다. 이를 두고 김인성 IT 칼럼니스트는 “검찰 발표 자료는 내부 공모자가 없었음을 주장하려다 디도스 발생 자체를 부정하는 데까지 잘못 나간 게 아닌가 한다”며 “디도스를 전후한 선관위 투표소 이전, 한나라당이 공격했다는 사실 등으로 미뤄볼 때 단순한 디도스 공격만으로 장애가 발생했다고 말하기는 어렵다”고 말했다. 이어 “선관위 홈페이지는 들어가지 못했지만 안내 페이지는 들어갈 수 있었다면 대역폭을 다 채워 사이트 자체를 마비시키는 공격이 아니었다는 것인데, 안내 페이지가 작동하면서도 이 서버의 한 기능인 투표소 안내 기능만 유독 정상 작동하지 않았다는 것은 디도스와 별도로 다른 방법이 동원됐을 가능성을 부인할 수 없다”고 말한다.   김씨의 의견에 다른 한 IT 전문가는 “검찰 편을 들자면, 로그기록이 정상 처리를 기록하고 있다고 해서 접속자의 컴퓨터나 모바일 기기 화면에 정상적으로 구현됐다는 것을 의미하지는 않는다”며 “그렇다고 하더라도 이 정도의 오류는 디도스 공격 자체가 있었는지를 의심할 정도의 수준”이라고 말했다.   이번 검찰 수사 결과 발표는 다시 한번 경찰의 수사가 어느 정도였는지를 여실히 드러냈다. 검찰의 보도자료를 보면, 금전 거래 1천만원에 대해 검찰은 그 대가성의 근거로 송금 당시 김씨와 공씨의 ‘문자메시지’ 내용을 언급하고 있다. 문자메시지는 공씨가 범행 전 1천만원을 받아 보관하고 있던 정황을 추정할 수 있는 내용이라고 알려져 있다. 경찰이 문자메시지를 보지 못한 것인지, 아니면 보고도 판단을 하지 못한 것인지는 경찰만이 답을 알 것이다. 다만 경찰은 지난해 12월 수사 결과 브리핑 당시 계좌 거래만이 아니라 휴대전화 수신 기록과 문자메시지 일체를 들여다봤다고 발표했다. 이뿐만이 아니다. 공씨가 붙잡힌 지 나흘 만인 지난해 12월4일, 김씨가 공씨의 친구 정아무개씨를 통해 공씨의 진술을 조작하려 한 점 등이 바로 경찰의 수사 과정에서 있었던 일이다. 하지만 금전 거래 은폐 의혹과 청와대 외압 의혹 등을 포함해 새롭게 드러난 경찰의 부실 수사 정황에도 경찰은 여전히 검찰 송치까지의 시간 부족 때문이라는 변명만이 전부다.   허무하게 끝난 수사, 특검은 다를까 특검에서는 의혹 해소를 넘어 검찰이 말하는 ‘신의 영역’까지 도달하는 게 가능할까. 지난해 12월 <한겨레21>이 접촉한 사정 당국 관계자는 당시 경찰의 부실 수사를 지적하며 “검찰의 수사 ‘시작점’이 바로 금전 거래와 공씨 등의 단독 범행을 부인할 만한 다른 존재”라고 말했다. 검찰은 100m 달리기로 비유컨대, 출발점에 서서 기대만 잔뜩 부풀린 채로 허무하게 경기를 끝내버린 것이나 다름없다. 한 IT 전문가는 “검찰이 신의 영역이라고 말할 때의 그 ‘신’이 누구의 신인지 잘 모르겠다”고 말했다.   하어영 기자 haha@hani.co.kr