큰사진보기
▲  23일 열린 '중앙선관위 인터넷 서비스 장애' 관련 토론회.
ⓒ 오마이뉴스	관련사진보기

지난해 10월 26일 오전 6시 15분부터 8시 30분까지 2시간여 동안 중앙선관위 홈페이지가 접속장애를 일으켰다. 이로 인해 일부 유권자들은 바뀐 투표소 위치를 확인할 수 없었다.

이후 ▲ 투표소 위치 확인 DB연동 차단 ▲ 투표율 낮추기 위한 투표소 고의변경 ▲ 중앙선관위 내부 직원 공모 ▲ 중앙선관위 홈페이지 로그기록 조작 등의 의혹들이 잇달아 제기됐다. 하지만 선관위와 경찰, 검찰에서 내린 결론은 '디도스(DDoS, 분산서비스거부) 공격에 의한 인터넷서비스 장애'였다.

이에 김기창 고려대 법학전문대학원 교수(오픈웹 대표)는 "이날 오전 7시 이후 일어난 인터넷서비스 장애는 디도스 공격이라고 할 수 없다"는 주장을 내놓았다. 이는 '중앙선관위 디도스관련 기술분석 보고서'와 LG엔시스의 '2011년 10월 26일 재보궐선거 서비스장애 분석보고서'를 검토·분석한 끝에 내린 결론이다.

김기창 교수 "오전 6시 58분에 KT망 끊었다고 했는데 왜?"

김 교수는 23일 오후 2시부터 참여연대 느티나무홀에서 열린 '10·26 재보궐선거시 중앙선관위 인터넷서비스 장애' 토론회(참여연대 주최)에서 "(2011년 10월 26일) 오전 6시부터 7시 사이 유입 트래픽의 98%를 차단할 정도로 디도스 공격이 집중되었으나 디도스 장비는 이를 성공적으로 차단했다"며 "(하지만) 오전 7시가 넘어서면 유입 트래픽 자체가 불안정하고 불규칙한 양상을 띠었다"고 지적했다.

김 교수는 "공격 트래픽도 평균 10Mbps 가량 정도로 미미하다"며 "이러한 추이는 디도스 공격이 시스템에 별다른 영향을 미치지 못했으며 이후까지 지속된 선관위 인터넷서비스 장애 현상과는 무관하다는 것을 반증하고 있다"고 주장했다.

이를 바탕으로 김 교수는 "오전 7시 이후 선관위 홈페이지 서비스 장애는 디도스 공격과는 상관 없다"며 "선관위는 모든 언론에 오전 8시 30분까지 일어난 홈페이지 서비스 장애가 디도스 공격으로 인한 것이라고 주장했지만 기술적으로 디도스 공격은 성립하지 않는다"고 결론내렸다.

큰사진보기
▲  경찰이 최구식 한나라당 의원의 수행비서와 IT업체 직원 3명을 적발한 가운데, 지난 2011년 12월 2일 오후 서울 서대문구 경찰청 사이버테러대응센터 브리핑실에 피의자들이 사용한 컴퓨터들이 놓여져 있다.
ⓒ 유성호	관련사진보기

김 교수는 "오전 6시부터 7시 사이에 낮은 수준의 디도스 공격이 있었지만 디도스 방어장비가 공격을 탐지해 좀비PC들에 의한 접속 요청을 차단했고 그 외 정상적 유저로부터 오는 접속 요청에 대한 차단은 없었다"며 "때문에 당일 선관위 서비스 장애 현상의 원인규명을 위해서는 디도스 이외의 다른 부분에서 원인을 찾아야 한다"고 주장했다.

또한 김 교수는 이날 몇 가지 의문을 제기했다. 먼저 왜 중앙선관위에서 오전 6시 58분에 KT의 2개 회선을 끊었는가 하는 점이다.

김 교수는 "중앙선관위는 KT망 2회선과 LG망 1회선을 사용하고 있었는데 정보화담당관실은 당일 아침 6시 58분에 KT 회선을 단절하고 LG망만 유지했다"며 "이로 인해 중앙선관위는 3개 회선으로 (공격 트래픽을) 처리하던 데서 1개 회선에만 의존하는 상황을 초래했다"고 지적했다. 그는 "이는 명백한 실수이며 고의성 여부도 함께 판단되어야 할 것"이라고 말했다.

특히 김 교수는 이날 중앙선관위 쪽에서 제공한 '설명자료'를 바탕으로 새로운 의혹을 제기했다. 중앙선관위는 '10·26 디도스관련 새로운 의혹 제기에 대한 설명자료'에서 "오전 6시 46분께 KT회선을 차단했다"고 밝혔다. 하지만 이는 그동안 "오전 6시 58분에 차단했다"고 주장해온 것과는 배치되는 대목이다. 그는 "중앙선관위가 해명해야 할 문제"라고 말했다.

또한 접속자가 거의 없었던 오전 0시부터 오전 6시 45분까지 중앙선관위 홈페이지 웹서버 RAM 메모리가 포화 상태에 있었다는 점도 의문이다. 김 교수는 "LG엔시스 보고서에 따르면 오전 0시부터 오전 6시 45분까지 메모리 사용이 거의 100%에 이르는 것으로 나타나는데 이는 디도스 공격이 본격화되기 이전 상황"이라며 "그런데 왜 밤새 메모리가 과부화였는지 규명해야 한다"고 주장했다. 

중앙선관위쪽 거듭 "홈피 서비스장애는 전형적인 디도스 공격"

하지만 중앙선관위 쪽에서는 "디도스 공격에 의한 인터넷서비스 장애가 맞다"고 기존 견해를 되풀이했다.

송봉섭 의정지원과정은 "경찰, 검찰의 수사결과에서도 홈페이지 장애의 원인이 디도스였고, 내부DB가 끊어진 적도 없으며, 내부 공모 혐의는 전혀 사실이 아님이 확인되었고, 곧 특검 수사를 통해서도 선관위가 무관하다는 사실이 입증될 것"이라고 말했다.

송 과장은 "디도스 장비가 디도스 트래픽을 정상적으로 차단하였음에도 홈페이지 접속 장애가 있었던 것은 정상 서비스 요청(트래픽)이 디도스 트래픽에 묻혀 홈페이지에 도달하지 못했기 때문"이라고 해명했다.

송 과정은 "디도스 공격 대비에 소홀했고, 초기 대처에 미흡했다는 점은 인정한다"면서도 "하지만 투표율을 낮추기 위해서, 특정후보에게 투표하는 것을 막기 위해 (투표소 위치 변경 확인) 서비스를 원천적으로 차단했다는 주장은 인정하기 어렵다"고 말했다. 

지난 1월 27일 공개된 '중앙선관위 디도스관련 기술분석 보고서'를 작성한 유훈옥 사무관은 "(홈페이지 서비스 장애는) 전형적인 디도스 공격에 의한 것"이라며 "그 공격이 들어와서 회선을 고갈시키고 있었다"고 반박했다.

유 사무관은 "KT망 2개 회선을 차단한 것은 오전 6시 58분이 맞다"고 주장한 뒤, "(오전 6시 46분께) BGP(Border Gateway Protocol, 경계 경로 프로토콜) 업다운이 일어났는데 이것도 (디도스와 같은) 악의적 공격에 의한 것"이라며 "이런 상황(BGP 업다운)을 해소하기 위해 KT에 좀비PC 차단을 요청했다"고 말했다.

"LG엔시스 보고서에 왜 '디도스' 용어 없나?

이날 토론회에는 네트워크 보안전문가인 '동네북의 난'과 유권자자유네트워크 집행위원인 '아고라 샤' 등 일부 누리꾼들이 참여해 눈길을 끌었다. '동네북의 난'은 "중앙선관위의 보고서는 디도스공격이라고 했지만 LG엔시스 보고서에는 '디도스'라는 용어가 없다"며 "LG엔시스 보고서를 읽어보면 디도스장비, 방화벽 등 보안장비가 아무 이상 없었다고 나온다"고 꼬집었다. 그는 "(선관위 홈페이지 서비스 장애를 일으킨) 디도스 공격 유형이 (대용량 트래픽 전송 기법인) UDP와 ICMP 두 가지밖에 없었다"며 "하지만 디도스 공격에는 이것만 있는 게 아니다"라고 말했다. 그는 "검거된 범인들은 중국에서 만들어진 디도스 공격 툴인 카스를 이용했는데 이것은 초등생들도 할 수 있는 수준"이라며 "(서비스 장애의) 의도를 가지고 있었다면 이 툴의 모든 (공격)메뉴를 썼을 텐데 로그를 보면 그렇게 하지 않았다고 나온다"고 지적했다. 이어 그는 "UDP와 ICMP 두 가지만 (공격메뉴로) 썼다는 것인데 이것은 해커(검거된 범인)가 성실하지도 않고 최선을 다하지도 않았다"며 "이 사람이 중앙선관위 홈페이지를 다운시키려고 작정했다면 카스 툴에 있는 메뉴를 모두 써서 공격했을 것"이라고 말했다. "화력도 높여서 공격했어야 하는데 200M 정도로 미미했다. 이걸로 봐서 해커가 (홈페이지 다운에) 적극적인 의지를 가지고 공격한 것은 아니라고 추론한다. (트래픽) 총량도 서비스에 지장을 줄 만한 양이 아니었다. 그런데 중앙선관위는 서비스를 못했다." 그는 "LG엔시스는 모든 보안장비에 이상이 없었다고 했다"며 "(그런 점들을 헤아리면) 디도스 공격에 의한 서비스 장애라고 보기 어렵다"고 주장했다. "이것은 장애라고 봐야 하고, 시스템 장애인지, 인적 장애인지 분석해야 할 것'이라고 덧붙였다. 또한 '아고라 샤'도 "나꼼수나 누리꾼들이 '디도스 공격이 아니다'라고 한 적 없다"며 "다만 디도스 공격만으로 설명이 안되는 부분이 많다는 것"이라고 포문을 열었다. "DB 연결을 끊었다가 아니라 (누군가) 의도적으로 DB 연동 오류가 설정된 혐의가 있다는 거였다. 게다가 돈도 없는 20대 의원 비서관들이 금전적 이익도 없는데 이 사건을 저질렀다는 것은 납득되지 않는다." 그는 "디도스 공격을 비롯한 선거부정사건이 있었다는 것이 이 사건의 본질"이라며 "선거방해행위가 일어나 유권자가 피해를 입었다"고 지적했다. "중앙선관위는 피해자이면서 가해자인데 보고서는 피해자의 관점에서만 쓰여졌다"고 꼬집었다. 한편 김유승 중앙대 문헌정보학과 교수(투명사회를 위한 정보공개센터 이사)는 "중앙선관위가 이번 사건에 대한 정보공개에 전향적인 자세를 취했더라면 지난 3개월여 동안의 의혹과 불신으로 빚어진 사회적 비용은 필요없었을 것"이라며 "시민들이 이 사건의 실체에 접근할 알 권리가 보장되었을 것"이라고 지적했다.