2012. 3. 5. 월요일

김기창

선관위는 세개의 회선으로 트래픽을 받도록 설정되어 있습니다(KT 2회선, LG 1회선). 디도스 공격으로 트래픽이 많이 들어오는 상황에서 선관위는, 회선 두개를 스스로 다운시켜 남은 회선 하나로 유입트래픽이 집중되도록 하는 이상한 행동을 하였습니다. 이런 조치는 디도스 공격이 없는 상황이었더라도 납득하기 어려운 행동입니다. 선관위는 이것이 자신의 “분산서비스거부(DDoS) 공격 대응지침”(메뉴얼)에 따른 행위였다고 주장하며, 대응지침의 일부를 발췌 인용한 “설명자료“를 최근에 배포하였습니다. 과연 선관위의 디도스 대응지침이 그런지 살펴보겠습니다.

선관위가 2011년3월23일 제정하여 운영 중인 “분산서비스거부(DDoS) 공격 대응지침”은 여기에 있습니다.

대응지침은 무엇보다도 평소에 디도스 대응 모의 훈련을 정기적으로 실시하도록 정하고 있습니다. “유관기관 또는 유지·보수업체와의 협력을 통하여 모의 공격 대응훈련을 정기적으로 실시하고 훈련결과를 분석하여 문제점 및 보완사항을 … 적용하기 위한 방안을 수립한다” (제4면)

막상 공격이 들어왔을 때의 대응절차는 5단계로 되어 있는데, 그 중 3단계(“초동조치”)에서는 국가사이버안전센터(국정원)와 망사업자(ISP)들에게 선관위가 파악한 공격 내역을 알리고 다음과 같이 대응해야 합니다(제6면):

통신사업자에 공격 주소 중 해외 주소에 대한 차단요청 및 일시적 네트워크 대역폭 확대조치

5단계(“차단조치”)에서는 우선 다음과 같이 대응 하도록 정하고 있습니다(제7면):

정보보호담당실무자는 수립된 차단조치 방안 및 기술대응절차서를 이용하여 장비별 담당실무자와 각 장비의 설정을 변경하고 URL Redirection 등 사전 준비된 별도 대응조치와 함께 차단조치를 수행하여야 한다.

여기서 말하는 “차단조치”는 공격 IP를 “차단(block)”하라는 뜻이지, 자신의 네트워크 장비를 스스로 다운시키라는 말이 아닙니다. 선관위는 2월23일에 배포한 “설명자료” 제5면에서 “차단”, “접속차단”이라는 용어를 “회선차단”과 혼동되도록 온갖 수법을 사용함으로써, 일반인들이 선관위의 설명자료를 읽으면 여기서 말하는 “차단”이 “선을 끊으란 말이구나” 하고 생각하게 만들고 있습니다. 구린데가 없는 자가 이런 비열한 거짓말을 하지는 않습니다. 기술에 무지한 일반인을 속여넘기려 드는 것이지요. 실제로 속은 사람도 있고요:

또한, 여기서 “장비의 설정을 변경”하라는 말은 라우터의 BGP설정을 건드리라는 말이 아닙니다. 네트워크 장비와 관련해서는 다음과 같은 조치를 하라고만 되어 있습니다(제16면).

- 해외 IP주소 및 스푸핑된 IP주소 Null 라우팅 처리

- 공격 의심 IP주소 및 네트워크 주소 접근차단 조치(ACL 이용)

어려운 용어가 잔뜩 있지만, 쉽게 말하면, 좀비 PC의 접속 요청을 차단하라는 뜻입니다. 자신의 회선을 스스로 다운시키는 자해 소동을 벌이라는 말이 아닙니다.

위에 인용한 5단계 조치에는 “URL Redirection 등 사전 준비된 별도 대응조치”가 언급되고 있는데, 이것이 바로 사이버 대피소를 이용하라는 뜻입니다. 선관위의 DNS등록 정보를 바꾸어(선관위의 IP를 변경하여) 트래픽을 우회(redirection)시키라는 것입니다. 물론 5단계에 와서야 뒤늦게 이런 조치를 하라는 뜻이 아니라, 3단계에서 이미 수행한 이런 조치와 병행하여 차단조치(공격 IP 차단조치)를 5단계에서도 계속하라는 뜻입니다. 선관위 디도스 공격 대응지침에 별첨 문서로 포함된 “DDoS공격 징후발생 시 긴급대응요령”을 보면, 제3단계에서 다음과 같은 조치를 하도록 정하고 있습니다(제17면).

❍ 피해 완화대책 가동

 - URL Redirection 등 사전 준비된 피해 완화대책 가동

 - ISP와 협조하여 IP주소 차단, 대역폭 증설 등 수행

URL Redirection (사이버 대피소 이동)에 필요한 설정을 평소에 미리 준비(“사전 준비”)해두면, 공격이 들어올 경우 수분 내로 사이버 대피소 이동이 완료될 수 있으므로 공격IP 차단을 요구함과 동시에 사이버 대피소로 이동부터 하라는 것입니다.

대응조치 제5단계 마지막 항목을 보면, “지속적 차단조치에도 불구하고 피해범위가 계속 확산”될 경우에 “네트워크 케이블의 일시 단절”을 할 수 있다고 되어 있습니다.

이 조치는 앞 단계의 모든 조치를 취했음에도 불구하고(공격IP 차단, 대역폭 증설, 사이버 대피소 이동 등) 사태가 개선되지 않을 때 취할 수 있습니다. (1)대역폭 “증설”은 커녕 자신의 회선을 다운시켜 대역폭을 1/3로 축소하고, (2)사이버 대피소도 이용하지 않고, (3)피해범위가 “확산”되기는 커녕, 유입트래픽이 6:40경부터 KT회선(2회선)과 LG회선(1회선)으로 분산되기 시작하여 KT회선 혼잡상태가 빠르게 “개선”되는 상황에서 KT회선을 모두 다운시킨다? 말이 안돼요, 말이.

메뉴얼에서 “케이블의 일시 단절”을 언급한 이유는 디도스 공격이 “침입공격”(intrusion attack)과 병행하여 이루어지는 정황이 의심될 경우, 자신의 시스템 자체가 침입공격에 노출될 위험에 대비하여 케이블을 뽑고 시스템을 재부팅할 수 있다는 뜻입니다.

선관위가 당일 아침6:58에 한 행동은 “케이블의 일시 단절”이 아닙니다. 케이블은 그대로 연결해 두고, 라우터의 link 상태 설정을 변경하여 네트워크에 알린(announce) 것입니다. “일시 단절”도 아닙니다. 유입트래픽이 고작 10Mbps 미만에 머물거나 0으로 떨어져 있는 것을 확인하면서 자신의 라우터 상태를 link up이라고 네트워크에 알리다가 link down이라고 알리는 짓을 1시간 반 동안 차분하게 반복했습니다. 케이블은 잠시도 뽑은 적이 없습니다.

일반인들은 link down이 뭔지, IP차단이 뭔지, ACL이 뭔지, 라우터가 뭔지 전혀 이해도 못하고 구분도 못할 거라는 교활한 계산에서 선관위는 엄청난 거짓말을 해대고 있고, 검찰은 그 거짓말을 전 국민에게 “수사발표”라는 미명하에 유포하는 사기극을 벌인 것입니다. 검찰의 컴퓨터범죄 수사인력이 기술을 모르는 등신이라서 그런 수사발표를 했다? 이게 말이 됩니까?

중앙선거관리위원회 위원장은 김능환 대법관입니다. 자신이 수장으로 있는 선관위가 입만 열면 거짓말을 해대는 이런 사태에 대하여 김능환 대법관은 더이상 자유로울 수 없습니다. 김능환 중앙선거관리위원회 위원장은 10.26 재보궐 선거방해에 대한 책임을 지고 사퇴하기 바랍니다.

김기창