2012. 3. 6. 화요일

김기창

작년 10월26일 재보궐 선거날 아침에 발생한 선관위 홈페이지 접속장애 사건에 대하여 진교수께서 적으신 트윗을 일별하였습니다. 선관위 접속장애는 디도스 공격으로 인한 것이고, 일부에서 제기하는 의혹은 근거가 없다는 입장이신 것 같습니다. 이것이 선관위의 입장이고, 경찰, 검찰의 견해일 뿐 아니라, 검경의 수사발표를 믿는 대다수 국민의 생각이라는 점은 길게 말할 필요가 없습니다.

디도스가 구체적으로 어떻게 이루어지는지, 디도스 방어기제가 무엇인지에 대한 세세한 지식이 없는 사람들에게 “디도스로 선관위 접속장애가 생겼고, 디도스 공격을 감행한 범인도 잡혔다”는 간단명료한 스토리는 더 이상 그 내막을 파고들 이유나 흥미조차 잃게 만들 정도로 큰 설득력이 있습니다.

그러나, 최근에 공개된 기술보고서는 완전히 새로운 사실을 드러내고 있습니다. 세 개의 회선(KT 2회선, LG 1회선)으로 트래픽을 받던 선관위가 회선 두 개를 스스로 다운시켜 선관위로 오는 트래픽을 남은 회선 하나로 몰아넣는 일을 했다는 사실은 검경의 수사 발표에는 전혀 언급되지도 않았습니다. 선관위로 오는 트래픽을 다른 곳으로 “우회”시키는 조치를 6:58에 취한 것처럼 들리도록 검찰은 수사발표를 했지만, 그것도 사실이 아니었음이 이제 드러났습니다.

기술보고서가 공개된 후, 선관위의 추가해명은 의혹을 더욱 증폭하는 불행한 것이었습니다. “LG 가입자는 LG회선으로 선관위에 접속하고, KT나 SK 등 여타의 망사업자를 이용하는 가입자들은 KT회선으로 선관위에 접속한다”는 선관위의 설명은 일반인이 듣기에는 당연한 것 같지만(그래서 KT망을 다운시킨 선관위의 행위가 LG망 이용자들만이라도 서비스를 받게 하려는 조치처럼 들리겠지만), 실은 기술적 근거가 없는 이야기입니다. 가입자가 무슨 ISP를 사용하건, 선관위로 오는 마지막 단계에서는 거의 대부분 KT망으로 트래픽이 들어오고, KT회선을 선관위가 다운시키면 그 트래픽이 모두 LG회선으로 몰려들게 되어 있습니다.

KT회선 두 개를 다운시킨 선관위의 행위가 선관위 디도스 대응 메뉴얼에 의거한 행위였다는 선관위의 주장 역시 근거가 없음이 드러났습니다. 선관위는 “차단”, “접속 차단”, “공격IP 차단” 등의 개념을 “회선 차단”과 혼동되도록 구사하여 일반인을 속이는 해명 자료를 만들어 배포하였고, 진교수님도 선관위의 해명자료에 쉽게 넘어간 사람 중 하나입니다.

실은, 선관위의 대응 메뉴얼은 디도스 공격이 들어오면, (1)회선 대역폭을 증설하라, (2) 평소 준비해둔 사이버 대피소로 신속히 이동하라, (3) 공격IP에서 오는 트래픽을 차단하도록 망사업자들에게 요청하라는 내용입니다. 그러나 선관위는 공격이 들어오자

■(1)회선 대역폭을 1/3로 축소하고,

■(2)공격이 끝날때까지 사이버 대피소로 이동하지 않고 있다가, 공격이 끝난 후에 이동하고,

■(3)KT에게만 공격IP를 알려주고 공격트래픽을 차단해 달라는 쇼를 한 뒤(6:25), 실제로 유입트래픽이 줄어들기 시작하자(6:50) KT회선을 모두 다운시키고 LG회선으로만 트래픽이 들어오도록 하는(6:58) 괴상한 행동을 하였습니다.

이것은 대응 메뉴얼을 처음부터 끝까지 어긴 행위입니다. [상세 설명]

선관위가 긴급상황에서 ‘실수’를 저지르고, 그 실수를 덮기 위해 거짓 해명 자료를 뿌리고 있다? 그럼 선관위와는 상관도 없는 KT의 보안총책임자(Chief Information Security Officer) 이상용 상무가 작년 11월 16일에 한 행동은 어떻게 이해할 수 있나요? 10월 26일 아침에 발생한 선관위 접속장애 원인에 대하여 모두들 궁금해 할때, 선관위의 회선 용량과는 전혀 상관도 없는 KT퍼브넷 “유입”트래픽 그래프를 언론에 슬쩍 흘림으로써 기술을 모르는 기자들이 디도스 공격트래픽 규모가 “2기가”라는 스토리를 쏟아내도록 한 행위는 ‘실수’로 설명하기는 어려운 것입니다. 사건발생 후 20일이 지난 11월 16일은 긴급한 상황도 아니었고, 망사업자인 KT의 보안총책임자가 디도스와 관련된 트래픽의 “유입”과 “송출”도 분간하지 못해서 그런 “실수”를 저질렀다고 이해할 수는 없습니다. [여기]

더욱 중요한 사실은 또 있습니다. 디도스 방어기제는 웹사이트(선관위)에게만 있는 것이 아닙니다. KT, LG, SK 등 망사업자들은 개별 웹사이트보다 훨씬 고도화된 디도스방어 솔루션을 구축, 운영하고 있습니다. 자신의 회선으로 지나다니는 패킷을 검사하고 이상 징후가 발견되면 자동으로 차단하는 “네트워크 보안 솔루션“을 국내 모든 망사업자들이 2009년부터 도입하여 가동하고 있습니다. KT 이상용 상무가 보궐선거날 하루 종일 KT퍼브넷으로 “유입”되는 트래픽 추이만 슬쩍 흘린 다음(이 트래픽은 KT퍼브넷에 연결된 여러 공공 기관들에게로 오고가는 트래픽을 모두 합한 분량이 표시됩니다), 정작 그날 아침 시간에 KT퍼브넷이 선관위로 “송출”한 트래픽의 규모에 대하여는 지금껏 함구하고 있는 이유도 바로 이것 때문입니다. 자신이 운영하는 디도스 방어 기제가 KT퍼브넷으로 유입된 트래픽 중 얼마 만큼의 공격트래픽을 걸러내고 나머지를 선관위로 송출했는지 밝히기 거북하기 때문입니다.

다행히, LG가 선관위로 송출한 트래픽의 규모는 이제 공개되었습니다. 그 덕분에 드러나는 사실은, 선관위가 KT 2회선(수용 용량 310메가)을 모두 다운시킨 시점(6:58)에 KT퍼브넷이 선관위로 “송출”하던 트래픽은 1기가도, 2기가도, 11기가도 아니라 고작 110메가(Mbps)에 불과했다는 점입니다.

경찰과 검찰의 수사발표는 선관위에 디도스방어 장비가 있었다는 사실도 숨겼을 뿐 아니라, 망사업자인 KT와 LG 또한 네트워크 디도스 보안 솔루션을 운영하고 있었다는 사실까지 모두 숨겼습니다.

오픈웹은 음모론을 제기하는 것이 아닙니다. 선관위, 경찰, 검찰과 KT가 이런식으로 국민을 속이는 것은 옳지 않다는 점을 지적하는 것입니다. 오픈웹은 무슨 고차원적인 심리 분석이나 정치적 판세 읽기에 골몰하는 곳이 아닙니다. 싸구려 디도스 공격프로그램으로 좀비 200대 남짓 동원해서 국가기관 웹사이트를, 그것도 디도스 방어장비가 구축된 웹사이트를 2시간 반 넘게 다운시킨다는 “판타지 소설”을 국민에게 팔아대고 있는 검찰의 뻔뻔스러움을 지적할 뿐입니다.

하찮은 소매치기 잡범들도 범행을 저지를 때는 자신이 잡힐 것이라고 생각하지는 않습니다. 잡히지 않을 것이라고 생각하기 때문에 그짓을 하는 것입니다. 선관위 사건은 우발적인 치정 살인 사건이 아닙니다. 냉정하게 계획된 범행이고, 설사 그 복잡한 기술적 내막이 나중에 드러나더라도 간단 명료한 “디도스 스토리”를 몇 달 간 국민들에게 주입시키고 나면, 그 스토리를 뒤집기는 엄청나게 어려울 것이라는 교활한 계산이 깔려 있는 것입니다.

온 국민에게 BGP Multihoming technique을 상세히 설명하고 이해하도록 만들 수는 없지 않겠습니까?

진교수님께서는 선관위 사건과 관련하여 “나는 꼼수다”가 제기한 의혹에 대한 기술적 자문을 제공한 자들의 신상을 밝히도록 요구하셨습니다.

제 이름은 김기창이고, 고려대에 근무하고 있으며 2006년부터 오픈웹을 운영해 오고 있습니다.

김기창