선관위의 오락가락 갈팡질팡

 

 

 

               선관위의 오락가락 갈팡질팡

 

참여연대가 지난 2월23일에 마련한 “10.26 재보궐 선거시 중앙선관위 인터넷서비스 장애 어떻게 볼 것인가?”라는 토론회에서 선관위는 13페이지 짜리 “설명자료“를 배포했습니다. 선관위 송봉섭 의정지원과장, 박혁진 정보화담당관, 유훈옥 사무관께서도 참석하셨습니다. 그런데, 그 자리에서 선관위는 지금까지의 입장을 돌연 뒤집는 놀라운 주장을 내놓았습니다. 올해 1월 27일부터 선관위는 KT망 2회선을 6:58분에 끊었다고 주장해왔지만, 그것은 거짓말이었고, 실은 “06:46경 KT회선 #1을 차단(Sub interface down)함으로써 KT회선 #2를 통해”서 트래픽이 유입되도록 했고, 이 사실은 지금껏 숨기고 있었다는 것입니다. 토론회장에서 선관위가 배포한 “설명자료” 제7면 참조.

 

 

하나의 문장에서 “KT회선 #1″과 “KT회선 #2″를 모두 언급하고 있으므로, 여기서 말하는 “KT회선 #1″은 LG엔시스 보고서3.1에서 말하는 “KT ATM#0″이겠지요(물론, 이 글이 게시되고 나면, 선관위는 또다시 입장을 바꿀수 있겠지만 ㅎㅎ). 하여간, 선관위가 새롭게 제기한 주장이 맞다면 LG엔시스도 허위 보고서를 작성했다는 말이 되는데…

 

 

선관위와 엔시스는 어째서 “6:46경 KT회선 #1을 차단”했다는 사실을 여태껏 숨겨왔는지 해명해야겠지요.

그런데, KT망 두 회선을 “동시에” 자르지는 않았고, 1회선을 6:46경에 자르고, 나머지 KT 회선을 6:58에 잘랐다는 선관위의 “새로운” 주장은 더더욱 납득이 안 갑니다. 그림을 보시기 바랍니다.

 

 

 

 

 

 

 

 

6:46경에 KT1번망을 잘랐다는 선관위의 새로운 주장

 

선관위 말대로 6:46경에 KT 1회선을 자르니, 유입트래픽이 빠르게 감소하여 약 10여 분 뒤에는 거의 100M 수준으로 떨어졌다고 합시다. 이것은 KT 한 회선 용량의 2/3 수준이고, 그 시점의 선관위 회선 총용량(KT 1회선+LG 1회선=310M)의 1/3 수준입니다. 여기서 회선 하나를 또 다시 잘라야 할 이유가 있었나요?

오픈웹이 애당초 제기한 의문점은 “유입트래픽이 줄어들고 있는데 왜 회선을 자르느냐?” 였습니다. 회선 하나를 잘라서 줄어들었건, 좀비PC(고작 200여 대) ip에서 오는 트래픽을 KT가 차단해주기 시작해서 줄어들었건, 공격 자체가 줄어들어서 선관위 유입 트래픽이 줄어들었건, 6:46-6:58사이에 유입트래픽이 절반 이하로 줄어든 것은 같습니다. 그렇다면, 사태가 일단 진정되는 모습이 확연한데, 어째서 회선을 또 하나 더 자르는 결정을 했는지, 이제야 말로 정말 이해가 안 되는군요. 유입트래픽을 아예 0으로 줄이기로 작정하지 않고서야 어떻게 이런 결정을 할 수 있었나요?

 

---

 

- 선관위의 갈팡질팡

 

참여연대가 마련한 이 토론회에서, 선관위가 기술지식이 없는 일반인들을 상대로 어떤 이야기를 하고 있는지, 몇 가지 사례를 들어 소개하겠습니다.

 

1. LG가입자는 LG회선으로 선관위에 접속한다?

 

2월23일자 선관위 "설명자료" 제6면

 

그런데, 제가 바로 “LG U+에 가입된 가입자” 입니다. 제 집에서 선관위에 접속할때 저의 접속요청(패킷)이 어떤 경로를 거쳐 선관위에 도착하는지 알수 있는 방법이 있습니다. “traceroute”라는 명령어를 사용하면 됩니다. 저의 접속 요청은 처음에는 LG망을 통과합니다. 그 망들이 저에게 가깝기 때문입니다. LG망 두 개 정도를 거쳐가기 시작하다가, 선관위에 가까이 가면 KT망으로 갈아탑니다. 그리고 마지막에는 KT망으로 선관위에 접속합니다.

 

LG가입자도 마지막 단계에서는 KT망을 거쳐 선관위에 접속함(KT망이 정상일 경우)

 

물론, KT, LG, SK 가입자들만 선관위에 접속하는 것은 아닙니다. 전세계 모든 유저들이 선관위에 접속할 수 있습니다. T-mobile, Orange, AT&T, Bouygues, Virgin … 유저가 어떤 ISP로부터 인터넷 접속 서비스를 받건 간에 선관위에 가까운 마지막 단계에 오면 (KT망이 여유가 있는 상태라면), 모두 KT망을 거쳐 선관위로 접속합니다.

선관위에 가장 가까운 KT망(210.204.204.0)이 복잡해지면? 그러면 트래픽 중 일부는 (유저가 LG가입자건, KT가입자건, T-mobile가입자건 가리지 않고) 여유가 있는 LG망으로 “자동으로” 분산되어 들어옵니다. KT망이 끊어지거나, KT망에 연결된 선관위 라우터를 선관위가 다운(link down)시키면 어떻게 될까요? 선관위로 오는 모든 트래픽이(공격 트래픽이건, 정상트래픽이건, 유저가 LG가입자건 아니건) LG망으로 들어오게 됩니다.

선관위가 “3개 회선을 사용”한다는 말은 바로 이런 뜻입니다. 어느 회선의 부하가 높아지면, 여유가 있는 나머지 회선으로 부하가 분산되고(네트워크 로드 밸런싱), 어느 회선이 끊기면 남은 회선으로 부하가 모두 집중됩니다.

 

 

요컨대,

• “LG가입자는 LG회선으로 선관위에 접속한다”는 선관위의 말은 기술적으로 명백히 틀립니다. LG가입자도 마지막에는 KT회선으로 선관위에 접속합니다(KT회선이 정상 이면).

• “KT, SK, 기타 가입자들은 KT회선을 주로 사용한다”는 선관위의 말도 기술적으로 명백히 틀립니다. “모든 가입자”들이 마지막 단계에서는 KT회선을 주로 사용하며, KT회선이 잘리면 “모든 트래픽”이 LG회선으로 몰립니다.

 

“LG가입자는 LG회선을 이용한다”는 터무니 없는 소리를 선관위가 “설명자료”에 적은 이유가 있습니다.

• 대부분의 일반인들은 그 말을 믿을 것이다.

• KT망 두회선을 자르고 LG망 1회선만 남겨둔 선관위의 행동에 대하여, 일반인들은 “KT망으로 공격이 많이 들어오니까 KT망을 잘랐구나”, 또는 “LG가입자들 만이라도 서비스를 받을 수 있게 해주려는 절박한 시도였구나”하고 멍청하게 받아들일 것이다.

 

이런 비열한 계산이 없었다면, “LG가입자는 LG회선을 이용한다”는 난데 없는 거짓말을 담대하게 시도할 이유가 없습니다. “통신 사업자의 공식적 의견” 이라고요? 나 참… 이런 말을 표정하나 흐트러짐 없이 “차분하게” 하시는 유훈옥 사무관님은 범인의 경지를 뛰어 넘습니다.

 

2. 사실은 6:46경에 KT회선 하나를 먼저 끊었다?  

선관위는 지금껏 경찰, 검찰은 물론 온 국민을 상대로 6:58에 KT 회선 두 개를 잘랐다고 해오다가, 그것이 거짓말이었고, 실은 6:46경에 KT회선 하나를 먼저 잘랐다는 주장을 2월23일에 돌연 내놓았습니다. 좀 의외입니다만, 6:50경부터 유입트래픽이 절반 이하 수준으로 떨어지고 있는데 어째서 KT 회선을 모두 잘랐는지 궁금하다는 오픈웹의 질문에 대답할 필요를 느꼈던 것 같습니다.

 

2월23일자 선관위 설명자료, 제7면

 

선관위의 “새로운” 주장대로라면, 회선 하나를 6:46경에 잘라서 유입트래픽이 절반 이하로 떨어지는 것을 보고 6:58에는 나머지 회선까지 잘라서 아예 유입트래픽을 없애버렸다는 것인데, 이건 뭐 점입가경이라고 밖에는…

선관위의 주장에 따르면, 디도스 방어장비에 유입되는 트래픽이 6:50경부터 줄어든 이유는 “6:46경 KT회선 #1을 차단 … 함으로써 KT회선 #2를 통해 유입된 패킷에 대한 용량”이 표시되기 때문이라는 것입니다. 그래서 6:46쯤에 붉은색 선을 하나 그어 봤습니다.

 

 

 

 

 

 

 

 

6:46경에 KT회선 하나를 잘랐다는 선관위의 새로운 주장

 

선관위 말대로 6:46(붉은색 선으로 표시된 시점) 이후 부분은 “KT회선 #2를 통해 유입된 패킷에 대한 용량”을 표시하는 것이라면, 어째서 6:46 후에도 약 5분이 넘도록 260Mbps 가량의 트래픽이 디도스 방어장비에 찍힐 수 있는지 궁금합니다. 6:46에 KT 회선 하나를 자르고 하나만 남겨뒀다면, 유입트래픽 규모는 “즉각” KT 한 회선 용량(이론상 155Mbps, 현실적으로는 130Mbps) 수준으로 떨어졌어야 할 것입니다.

선관위의 주장이, LG회선으로는 트래픽이 들어오기 어렵다는 말인지, LG회선으로 유입된 트래픽은 이 그림에 나타나지 않는다는 말인지 분명하지는 않습니다. 이것 좀 밝혀 주시면 좋겠어요 만일 이 그래프가 KT회선 유입트래픽과 LG회선 유입트래픽의 합계를 보여주는 것이라면, 6:46경에 KT망 하나를 자르니까, 유입트래픽 총량이 순간적으로 잠깐 줄었다가 다시 260Mbps 수준으로 회복되었다는 말이 됩니다. KT망 두개를 주로 사용해서 트래픽이 들어오다가, KT망 하나를 자르니까 남은 KT망 하나와 LG망 하나로 각각 130Mbps씩 나누어 들어오기 시작했다는 말이지요(네트워크 로드 밸런싱이 제대로 작동하고 있었다는 말).

그러나 7시 전의 LG망 유입트래픽 추이를 보면, 고작 30Mbps정도의 트래픽이 들어왔을 뿐입니다. 따라서 나머지 100Mbps 정도의 트래픽은 하늘에서 강림하셨거나, 선관위 유훈옥 사무관께서 삽으로 퍼다가 보충하셨다는 말이 되는데…

 

 

 

 

 

 

 

 

7시 전의 LG망 유입량은 30M미만이었음, 선관위 슬라이드12(부분)

 

“트래픽이 줄어들고 있는데 왜 회선을 잘랐어요?”라고 물어본다고 화들짝 놀라서 이 말 저 말 마구 해대기 전에 트래픽 계산부터 좀 차분하게 하시기 바랍니다.

다시 물어볼게요. 트래픽이 줄어들고 있는데, 왜 회선을 하나 더 잘랐나요?

 

3. “PUB넷은 사이버 대피소 서비스를 제공하지 않는다” ?

 

“사이버 대피소”로 피난가려면, 새벽에 이삿짐 센터 부르고 무거운 서버 운반해야 하는거 아닌가?라고 생각하시는 분도 있을 것입니다. 그 수준까지는 아니더라도 뭔가 번거로운 절차나 복잡한 작업이 필요하겠거니 생각하시는 분이 대부분일 것입니다.

역삼동 KT IDC 내에 만들어진 ‘DDoS 사이버 대피소’에 대한 기사를 우선 읽어보시기 바랍니다. 억대에 달하는 디도스방어 장비를 스스로 마련하기 어려운 영세 중소기업들이 공격을 당할 경우, 신속하게 보호를 제공해 줄 목적으로 마련한 것입니다. 관리는 KISA가 하고 있습니다. 간단한 사전 등록 신청서를 이메일로 제출해두고 나면, 공격을 당했을 때 전화 한 통이면 즉시 해결되고, 사전 등록을 안 했더라도 긴급 보호를 요청하면 대피 조치를 당장 해주고 등록 신청은 사후에 처리하도록 하고 있습니다. 40Gbps 규모의 디도스 공격까지 무난히 막아낼 수 있는 시스템을 갖추고 있습니다. 비용은? 무료입니다.

그 원리를 간단히 설명드리겠습니다. 디도스 공격 프로그램이 좀비PC들에게 공격을 명령할 때 공격 타겟의 IP만을 지시하는 경우가 흔합니다. 따라서 공격 타겟(예를 들어, 선관위 www.nec.go.kr) 이 IP를 바꿔버리면 디도스 공격이 무력화 될 수 있습니다. 더 세련된 공격 프로그램이라면 공격 타겟이 IP를 바꾸면 변경된 IP로 따라다니며 공격트래픽을 보낼 수도 있지만, 변경된 IP의 회선 용량이 더 크면 역시 디도스 공격이 무력화될 수 있습니다. “사이버 대피소”는 회선 용량을 넉넉하게 확보하고(예를 들어, 40Gbps), 공격타겟이 임시로 사용할 수 있는 IP를 제공하고, “프록시 서버”를 운영합니다. 그림을 곁들여 설명드리겠습니다.

 

 

사이버 대피소로 피난가는 절차는 이렇습니다:

• 선관위가 www.nec.go.kr 의 IP 주소를 대피소가 알려주는 피난용 IP(xx.xxx.xxx.xx)로 변경. 약5분 소요.

• 선관위 웹서버가 피난용 IP로 접속하여 서비스 하도록 설정(host 파일 수정). 1분 소요

끝입니다. 너무 간단해서 죄송합니다.

이렇게 해두면, 선관위로 오는 모든 트래픽은 사이버 대피소 프록시 서버(xx.xxx.xxx.xx)로 가게 됩니다. 나머지 자잘한 수정이 필요한 부분이 물론 있지만, 그건 커피 한잔 타마시면서 느긋하게 하면 됩니다. 프록시 서버는 넉넉한 회선 용량이 구비된 망에 위치해 있으면서, 공격트래픽을 모두 걸러내고 정상 접속 요청만을 선관위 서버 IP(210.204.204.10)로 보냅니다. 선관위가 응답하는 내용은 프록시 서버를 거쳐서 유저에게 전달됩니다. 프록시 서버는 중간에서 신호를 “이쪽 저쪽으로 전달”하는 역할을 합니다.

공격 타겟이 된 서버가 어느 망에 위치해 있건(KT망에 있건, SK망에 있건, 공공망이건 간에) 이 서비스는 순식간에 제공될 수 있습니다. 어떠한 설비나 장비도 새로 만들거나 변경할 필요가 없습니다. IP주소만 있으면 됩니다. 아무리 보잘것 없는 웹사이트라 할지라도 IP주소가 없는 웹서버는 없지요.

이제 선관위의 답변을 들어봅시다.

 

사이버 대피소로 피난가는데 2시간 반이 걸린 이유?, 선관위 설명자료, 12면

 

한 마디로 가관입니다. 무지한 일반인을 상대로 KORNET이 어떠니, PUBNET이 어떠니 아무 상관도 없는 이야기를 늘어놓으며 사기를 쳐대는 꼬락서니 하고는. 정부망(PUBNET)에 있건, KT망(KORNET이 KT망입니다)에 있건, LG망에 있건, SK망에 있건 사이버 대피소를 이용하는 것과는 전혀 관련이 없습니다. IP주소만 있으면 해결되는 것이 사이버 대피소입니다. IP주소가 없는 망이 있나요? 실은, 선관위는 KT망에 할당된 IP(210.204.204.10)를 사용하고 있습니다. 갑자기 KORNET이라고 영어로 말해버리면 일반인들이 워낙 멍청해서 그게 KT망이라는 것을 눈치채지 못할 거라고 생각했나요?

차라리, “DDoS 사이버 대피소는 중소기업특별법상의 범위에 해당하는 기업 및 단체와 영세사업자에 대해서만 제공됩니다” 라고 KISA 안내 페이지에 적혀 있어서 '겁이 나서 신청도 못했어요' 라고 대답하면 애교라도 있다고 봐줄 수 있겠지만…

 

김기창