"나꼼수의 '선관위 내부 개입' 주장은 근거 없다"

[전문가 진단 3-선관위 사이버 테러] 보안문제 전문가 L씨

11.12.07 17:40l최종 업데이트 11.12.08 11:28l

"나중에 로그파일 공개되면 나꼼수도 뒤집어질 수 있다."

'나꼼수'의 열렬한 팬이라는 보안문제전문가 L씨는 6일 기자와 만나 이렇게 우려했다. '나꼼수도 뒤집어질 수 있다'는 그의 발언은 중앙선관위 홈페이지 디도스 공격 논란과 관련해 나꼼수에서 제기한 '선관위 내부 개입 의혹'을 염두에 둔 것이다. "선관위 내부 개입 의혹은 근거가 없다"는 것이 그의 일관된 주장이다.

"디도스 공격자들은 '다단계 방어체계' 구축을 몰랐던 듯"

A연구소를 운영하고 있는 L씨는 "말도 안 되는 '아마도식' 주장이나 해석은 안 된다"며 "제 의견은 경찰과 중앙선관위에서 발표한 자료를 바탕으로 그 내용의 진실 여부를 따져보는 것"이라고 전제했다.

이어 그는 "서버를 다운시키는 것만을 디도스 공격으로 생각하면 안 된다"며 "이번 중앙선관위 홈페이지 접속 장애는 디도스 공격자들이 투표소 검색만 계속했기 때문에 일어난 것"이라고 진단했다. 이어 좀 더 자세한 설명을 내놓았다.

"좀비 피시 200대가 11GB의 트래픽을 일으키며 중앙선관위 홈페이지 공격에 나섰다. 그런데 그 중에 최종적으로 263MB만 살아남았다. 이렇게 살아남은 263MB가 DB(데이터베이스) 서버에서 투표소 검색을 계속 실행했고, 2시간여 동안 투표소 검색과 관련된 접속장애가 일어났다."

그는 "263MB가 투표소 검색 DB 서버를 계속 붙잡고 있었다고 보면 된다"며 "그렇게 DB 서버를 붙잡고 있는 동안 유권자들이 투표소를 검색하면 부하가 발생해 접속장애가 일어난 것"이라고 말했다.

"투표소 검색 페이지만 공격했기 때문에 다른 곳은 이상이 전혀 없었다. 처음부터 웹서버를 다운시켰다면 바로 웹서버를 사이버대피소로 옮기면 그만이다. 하지만 웹서버가 살아 있었기 때문에 중앙선관위도 디도스 공격이라고 생각하지 못한 것 같다. 단순한 과부하 정도로 생각했다. 그래서 디도스 공격이 이루어진 지 2시간여 지나서야 웹서버를 사이버 대피소로 옮긴 것이다."

이어 그는 기자에게 "경찰이 이렇게 범인을 빨리 잡은 것이 신기하지 않냐?"고 물은 뒤 "농협 전산망 공격이나 지난 2009년 7·7 디도스 대란 때는 그렇지 못해서 결국 '북한 소행'이라고 결론내렸다"며 "하지만 이번에는 웹서버 등이 정상적으로 가동하고 있어서 로그파일에 범인들의 흔적이 남아 있었다"고 말했다.

그는 "그 전에는 좀비피시를 관리하고 공격을 명령하는 CNC(Command & Control)가 중국에 구축돼 있어서 범인을 잡을 수 없었는데 이번에는 CNC가 국내(강남 삼성동)에 구축돼 있어서 빨리 범인을 잡을 수 있었다"고 덧붙였다.

특히 그는 "정부가 지난 2009년 7·7 디도스 대란 이후 중앙선관위 등 정부기관을 대상으로 '다단계 디도스 방어체계'를 구축했다"며 "그런 방어체계가 구축돼 있었기 때문에 유해 트래픽을 모두 막고 정상적인 트래픽인 263MB만 통과시켰다"고 지적했다.

"다단계 디도스 방어체계가 구축됨에 따라 유해 트래픽 즉 디도스 트래픽은 다 잡는다. 그래서 이제는 웹서버를 다운시키는 공격은 힘들어졌다. 이번 디도스 공격의 최종 트래픽인 263MB도 정상('투표소 검색')으로 가장했기 때문에 보안장비, 방화벽 등을 통과할 수 있었다. 그렇게 통과한 263MB가 투표소 검색만 계속 실행했고, 이것이 서비스 폭주로 이어져 특정 페이지(투표소 검색)가 안열렸던 것이다."

그는 "중앙선관위 홈페이지를 공격한 이들은 이러한 다단계 디도스 방어체계가 구축돼 있고, 국정원(국가사이버안전센터)에서 모니터링하고 있다는 것을 몰랐던 것 같다"며 "그래서 CNC를 국내에 구축하고 디도스 공격에 나선 걸로 보인다"고 말했다.

"선불-후불이든 대가성이 있었기 때문에 공격에 나섰을 것"

또한, L씨는 "중앙선관위 홈페이지를 공격한 이들은 도박사이트를 운영하기 위해 상대방 도박사이트를 공격할 좀비 피시 DB를 구축하고 있었다"며 "이는 어떤 사이트든 (디도스) 공격할 무기가 준비돼 있음을 뜻한다"고 말했다.

그는 "도박사이트를 운영하려던 이들이 자신들과 무관한 중앙선관위 홈페이지를 공격한 것은 최구식 한나라당 의원의 수행비서인 공아무개씨가 요청했기 때문"이라며 "선불이든 후불이든 대가성이 있었기 때문에 공격에 나섰을 것"이라고 주장했다.

하지만 그는 '선관위 내부 개입 의혹'과 관련해 "이제까지 나온 자료들을 봤을 때 로그파일에 선관위가 나올 가능성은 없어 보인다"며 "민주당이나 나꼼수에서는 계속 '내부 개입' 가능성을 제기하지만 막상 로그파일이 공개되면 뒤집어질 수 있다"고 말했다.

그는 "공아무개 수행비서가 IT업체에 중앙선관위 홈페이지 공격을 요청한 이유나 그의 배후 등을 캐는 것은 맞는 방향"이라며 "하지만 '선관위에서 열어줬다'는 주장은 현재 근거가 전혀 없다"고 주장했다.

오탈자 신고

#중앙선관위 홈페이지 디도스 공격 #나꼼수 #디도스 공격