다시 보는 선관위 디도스 사건

2년이나 지난 사건이지만 여전히 IT 전문가들 사이에서 미스테리 사건으로 남아있는 선관위 디도스 사건. 선관위가 이 문제에 대해 합당한 해명을 내놓지 못하는 한 선관위 역시 대선개입 의혹 역시 증폭될 수밖에 없을 것이다.

다시 보는 선관위 디도스 사건
선관위는 과연 대선부정 논란에서 자유로운가

동북아의 문
http://namoon.tistory.com

지난 대선에 국정원, 군 사이버사령부는 물론 여러 국가기관들이 개입한 정황들이 드러나면서 총체적 관건, 부정선거가 아니냐는 목소리가 힘을 얻고 있다. 심지어 종교계에서는 박근혜 퇴진 요구까지 나오는 상황이다.

이런 상황에서 과연 선거관리위원회는 중립을 지켰는가 하는 문제가 주목을 끌고 있다. 상식적으로 볼 때 부정선거를 하려면 선관위를 움직이는 게 가장 확실하기 때문이다.

11월 28일 중앙선거관리위원회는 개표부정 의혹을 제기하는 것에 대해 강력히 대응하겠다는 보도자료를 냈다. 하지만 보름 전인 11월 13일 양천구 목3동 4투표구 등 일부 투표구에서 개표결과를 재조사한 결과 문재인 후보가 받은 표의 일부가 박근혜 후보에게 옮겨간 사실이 확인되는 등 개표 과정에 분명 문제가 있었다. 선관위는 수작업 착오라며 덮고 있으나 의혹은 더욱 커지고 있다.

선관위가 선거에 개입했다는 의혹은 2011년 10.26 재보궐선거까지 거슬러 올라간다. 당시 선관위 홈페이지가 디도스 공격을 받아 투표에 영향을 준 사건이 있었다. 경찰은 한나라당(지금의 새누리당) 최구식 의원 수행비서가 범인이라고 발표했고 이 사건은 얼마 안 가 사람들의 기억 속에서 사라져버렸다. 그러나 이 사건은 선관위가 개입했을 가능성이 짙은, 결코 흐지부지 넘어가서는 안 되는 심각한 사건이다. 당시 많은 이들이 이 사건을 이대로 방치하면 이후 총선이나 대선은 해보나마나라고 경고했고 실제로 그러했다.

선관위가 이 사건에 개입했다는 정황은 크게 세 가지로 살펴볼 수 있다.

선관위 개입 없이 해킹만으로 가능할까?

첫째, 선관위 홈페이지가 아닌 투표 장소가 저장된 DB만 마비되었다는 점이 수상하다.

당시 경찰은 선관위 대표 주소가 디도스 공격을 당했다고 발표했다. 하지만 이 경우 선관위 홈페이지가 마비되어야 하는데 실제로는 투표 장소만 검색이 되지 않았다. 누군가 투표 장소가 저장된 데이터베이스(DB)만 마비시킨 것이다. 이는 단순 디도스 공격으로 불가능하다. 경찰 역시 이번 공격에 기존 디도스 공격과는 다른, 한 차원 높은 수준의 기술이 동원됐다고 밝혔다. 하지만 그 기술이 뭔지는 설명하지 않았다. 그리고는 정작 디도스 공격에 사용된 해킹 툴로 <카스>라는 흔한 프로그램을 지목했다.

당시 IT보안기술 전문가인 권석철 큐브피아 대표는 ≪통상 디도스 공격을 당하면 서버 전체가 다운되고 홈페이지에 접속조차 안 되는데, 이번 범행 때는 투표소 검색 페이지만 열리지 않았다≫며 단순한 디도스 공격이 아님을 시사했다. 김태봉 KTB솔루션 사장도 ≪카스를 시연한 결과 여느 디도스 공격 툴처럼 대상 웹 페이지가 통째로 다운되는 결과가 나왔다≫며 ≪일부 서비스만 선택적으로 중단하려면 전문가를 동원한 별도의 해킹기법이 사용됐을 것≫이라고 설명했다.

그런데 선관위는 해킹 가능성을 일축했다. 박혁진 서기관은 ≪여러 의혹이 제기돼 자체적으로 (로그기록을) 조사 및 분석했다≫면서 해킹이나 내부침입 흔적은 없었다고 답했다. 또 DB 서버가 끊기거나 서버 IP가 유출되지 않았냐는 의혹에 대해서는 ≪그런 주장은 DB 서버가 해킹됐다는 걸 전제로 하는데 그런 것들이 사실이 아니기 때문에 이런 가정 자체가 부적절하다고 본다≫고 말했다.

그렇다면 해킹이 아닌 어떤 방법이 가능할까? 사실 해킹보다 더 쉬운 방법이 있다. 선관위가 직접 작업을 하는 것이다. 이에 대해 염홍열 순천향대학교 정보보학과 교수는 ≪이론적으로는 (선관위) 내부에 열어주는 방법도 있고, 공격자가 다른 해킹 사건처럼 (선관위 사이트를) 해킹해서 그 안에서 외부 공격자의 길을 틀 수도 있다≫고 주장했다.

한국전자부품연구원(KETI)의 한 연구원은 인터넷 언론 ＜위키프레스＞에서 다음과 같은 세 가지 시나리오를 제시했다.

1. 서버에 로그파일 등을 변경할 수 있는 root 유저(슈퍼유저 라고도 한다)가 접속해 몇 몇 기능을 마비시켰다가 자신의 로그파일도 지우고 나갔다. 혹은 디도스 공격인 것처럼 로그파일을 조작하고 나갔다. 이 경우 선관위 정보지원센터의 몇 안 되는 관리자를 조사하면 밝혀낼 수 있다.

2. 누군가 해킹을 통해 root 유저로 로그인 하고 1번 경우처럼 로그파일을 지우고 나가거나 로그파일을 조작해 디도스 공격인 것처럼 꾸미고 나갔다.

3. 디도스 공격이라고 볼 아무런 단서가 없는데 경찰이 ＜우리는 알 수 없는 어떤 이유나 목적을 위해＞ 로그파일도 제대로 보지 않고 디도스 공격이라고 발표하고, 발표에 맞춰 수사 내용을 조작하고 있다.

어찌 됐든 선관위가 개입했을 가능성도 충분히 있음을 알 수 있다.

왜 투표소를 대거 이동했을까?

둘째, 선관위가 투표소를 대거 이동했다는 점이 수상하다.

사실 선관위에 접속해 투표소 위치를 확인하는 사람들은 주로 새로 이사 온 사람들이거나 처음 투표하는 사람들이다. 기존에 투표했던 사람들은 전에 투표했던 곳으로 가면 되므로 굳이 찾아볼 필요가 없기 때문이다. 그런데 선관위가 투표소를 대거 바꾸는 바람에 많은 사람들이 투표소 위치를 검색해야 하는 일이 발생했다. 즉, 이 사건은 선관위의 투표소 위치 변경 → 선관위 DB 공격 → 투표소 위치 확인 불가 → 투표율 하락으로 이어지며 모든 출발이 바로 투표소 위치 변경에 있다.

그렇다면 실제 서울지역 투표소 위치는 얼마나 바뀌었을까? 직전 선거인 8.24주민투표 당시의 투표소와 바뀐 곳이 서울 전역에서 332곳으로 15%에 달한다. 특히 야권 지지가 높은 지역에서 변경이 심해 서대문구는 무려 48%, 금천구는 43%가 바뀌었다. ▲걸어서 가기 힘들 정도로 멀리 옮겨버린 사례 ▲연희동의 경우 단 한 곳도 투표소가 그대로 유지되지 않고 모조리 바꿔버린 사례 ▲투표소 수를 줄여 투표하기 힘들게 만든 사례 등 선관위가 의도적으로 투표율을 낮추려 했다는 의혹을 살만한 사례가 많이 발견된다.

문제는 선관위가 투표소 위치 변경 공지를 투표 직전에 했고 홍보도 많이 하지 않았다는 점이다. 그런데 그걸 새누리당 의원 수행비서가 어떻게 알고 디도스 공격이든 해킹 공격이든 준비했을까? 선관위 DB 공격에 최소 수 개월 준비가 필요했을 텐데 말이다. 이번 사건은 오래 전부터 선관위가 투표소 위치 변경을 준비했고 이 내용이 극비리에 외부로 새어나가지 않고서는 성립할 수 없다.

더 자연스러운 시나리오는 대규모 투표소 변경과 홈페이지 마비를 한 사람 혹은 한 집단이 계획하고 선관위에 지시했다는 것이다.

선관위는 왜 매뉴얼대로 대처하지 않았을까?

셋째, 선관위가 매뉴얼을 무시하고 비정상적인 대처를 했다는 점이 수상하다.

선관위 업무매뉴얼 ＜분산서비스거부 공격 대응지침＞에 따르면 디도스 공격 발생시 1단계 징후탐지, 2단계 초동조치, 3단계 분석 및 차단조치, 4단계 복구 및 정상화 순으로 대응하도록 되어 있다. 그리고 2단계 초동조치에는 국정원 국가사이버안전센터와 통신사업자에게 통보하도록 명시해 놓았다. 또한 디도스 공격 대응 모의훈련 및 교육을 정기적으로 실시하게도 되어 있다.

그런데 선관위는 당일 오전 5시 50분에 디도스 공격을 확인하고도 한국인터넷진흥원과 통신사업자에만 통보하고 국정원에는 통보를 하지 않았다. 오전 6시 15분에는 국정원이 선관위 홈페이지 접속장애를 확인했지만 선관위에 이를 통보만 하고 아무런 대응도 하지 않았다. 선관위도 협조를 요청하지 않았다. 선관위와 국정원 모두 두 시간 이상 디도스 공격을 방치한 셈이다. 원래 국정원 국가사이버안전센터는 국가기관 등의 정보통신망을 각종 사이버 공격에서 방어하는 임무를 갖고 있다. 국정원이 자신의 임무를 방기한 셈이다.

이상한 점은 이뿐이 아니다. 선관위가 공개한 자료에 따르면 새벽 1시경에도 디도스 공격이 있었음을 확인할 수 있다. 그런데 선관위는 이 공격을 알아채지 못했고 보고서에도 언급하지 않았다. 디도스 공격자로 지목된 김씨는 검경 진술을 통해 1시께부터 30여분 동안 디도스 공격을 해 선관위 홈페이지를 마비시켰다고 했다. 아마 아침에 본격 공격하기 위한 예행연습이었을 것이다.

더 황당한 것은 선관위가 디도스 공격이 줄어들 즈음 회선 3개 가운데 2개를 끊어서 접속장애를 계속 유발했다는 것이다. 선관위 서버는 KT망 2개와 LG망 1개의 회선을 이용하고 있었다. 그런데 디도스 공격으로 회선이 폭주하자 오전 7시부터 8시 32분까지 KT망 회선 2개를 끊어버렸다는 것이다. 그것도 KT 몰래.

이렇게 되자 LG망 1개 회선에 트래픽이 몰리면서 더 심각한 접속장애가 발생하였다. 문제는 회선을 끊기 전인 6시 50분 경부터 디도스 공격이 절반 가까지 줄어들어 접속이 원활했다는 점이다. 마치 디도스 공격이 잦아들면서 선관위 홈페이지 접속이 원활해지는 것을 막으려는 행동으로 보인다. 전문가들은 도저히 이해할 수 없는 ＜해괴망칙한 짓＞, ＜선관위의 자살＞이라고 평가했다.

일반적으로 디도스 공격을 받으면 회선을 늘려 트래픽을 소화하려고 하는데 선관위는 반대로 했다. 선관위 업무매뉴얼에도 ≪일시적 네트워크 대역폭 확대조치≫를 하도록 되어 있다. 대체 업무매뉴얼과 반대로 한 이유가 무엇일까?

게다가 디도스 공격을 받을 경우 당연히 이용하는 사이버 대피소도 두 시간이나 지난 8시에, 그것도 KT에서 먼저 제안해 이용했다는 점도 이상하다. 수사자료에 따르면 선관위 직원은 ≪디도스 공격 당시에는 사이버 대피소 생각을 못했다≫고 진술했다. 디도스 공격에 대비해 업무매뉴얼까지 만들어 훈련하는 선관위가 서버 관리 기본 상식도 없단 말인가?

아무리 살펴봐도 당시 선관위의 대응은 홈페이지가 마비되도록 최선을 다했다고밖에 해석할 수 없다. 대체 선관위는 누구의 판단으로, 무엇을 위해 그런 대응을 한 것일까?

2년이나 지난 사건이지만 여전히 IT 전문가들 사이에서 미스테리 사건으로 남아있는 선관위 디도스 사건. 선관위가 이 문제에 대해 합당한 해명을 내놓지 못하는 한 선관위 역시 대선개입 의혹 역시 증폭될 수밖에 없을 것이다.(2013.12.6.)

＜동북아의 문＞ 은 매일 아침 7시 30분에 ＜아침브리핑＞을 통해 전날 주요 뉴스를 소개합니다.
더 많은 ＜동북아의 문＞의 글을 보시려면 이곳을 클릭!

* 팟캐스트 ＜주간 정세동향＞을 들으시려면 아이튠즈에서 검색하시거나 아래 링크로 들어가시면 됩니다.
http://itunes.apple.com/kr/podcast/jugan-jeongsedonghyang/id519727836

안드로이드폰은 별도 앱 설치 후 아래 주소를 입력하세요
feeds.feedburner.com/namoon