경찰이 서울시장 보궐선거날인 지난 10월 26일 선거관리위원회(이하 선관위) 홈페이지에 분산서비스거부(DDoS) 공격을 감행한 용의자로 현직 국회의원 비서관을 지목했다. 용의자가 선거 전날 밤 지인에게 DDoS 공격을 사주했고, 좀비PC 200여대로 선거당일 선관위 홈페이지 접속량을 폭주시켰다는 혐의다. 더불어 국회의장 비서도 용의자와 술자리를 가진 것으로 드러나 논란이 커지고 있다.
경찰의 발표에도 불구, 선관위 DDoS에 대한 논란은 끊이지 않는다. 선거 당일 나타났던 여러 현상과 경찰 조사결과 발표를 조합하면 의문점이 여전하기 때문이다.
정치 이야기를 빼고, 오로지 정보기술(IT) 측면에서 정리해보면 의문점 투성이다. IT업계 관계자들 조차 고개를 저을 정도다.
우선 웹사이트를 구성하는 IT인프라 체계를 알 필요가 있다. 웹사이트는 여러 서버로 구성된다. 각 서버의 콘텐츠를 조합해 외부인에게 화면으로 나타난다. 서버는 데이터베이스(DB), 콘텐츠 서버, 인증 서버 등 다양하다.
서버 접근 통로엔 L2스위치와 로드밸런서(L4스위치) 등이 위치한다. 로드밸런서 앞에 다시 방화벽, IPS 등 보안장비가 붙는다. 정부기관은 7.7 대란 이후 DDoS 방어를 위한 장비를 설치했다. 선거관리위원회도 마찬가지다.
이런 환경에서 일반 사용자는 ‘보안장비-로드밸런서-L2스위치-서버군’ 순으로 서비스에 접속하게 된다. 어떤 웹페이지라도 이 같은 절차를 반드시 거친다.
일반적인 DDoS 공격 방식 자체는 단순하다. 정해진 시간동안 특정 사이트에 대량의 트래픽을 보내 무력화하는 것이다. 100명이 한 번에 통과할 수 있는 문을 1천명이 통과하려할 때 문제가 생기는 것과 같은 이치다. 트래픽 자체는 정상이기 때문에 DDoS 장비가 없다면, 트래픽은 로드밸런서와 보안장비를 모두 통과해 서버에 접근할 수 있다.
선관위와 경찰에 따르면, 용의자들은 초당 263MB 용량의 트래픽을 선관위 홈페이지로 보냈다. 선관위는 이후 KT의 사이버대피소로 옮겨 서비스를 정상화했다고 설명했다. KT 측은 선관위 공격 트래픽을 2Gbps 수준이었다고 밝힌 바 있다. 선관위 DDoS 장비는 1Gbps 수준의 장비였으므로 탈이 났을 것이다.
■웹사이트 멀쩡...투표소 조회기능만 불통?
10월 26일 선관위 홈페이지는 오전 6시 15분부터 8시 32분까지 2시간동안 사이트장애를 보였다. 여기까지 선관위의 해명은 나름 설득력있다. 문제는 다음이다. 일반적인 DDoS라면 당연히 웹사이트 전체가 다운돼야 한다.
그런데 이날 웹사이트 전체가 접속되지 않은 건 아니다. 선관위 홈페이지 첫 화면은 나타났고, 지역구 투표소 조회기능만 사용할 수 없었다는 지적이다.
IT인프라 중 서버군은 웹서버를 중심으로 DB 서버를 따로 운영한다. DB서버는 가장 핵심적이고 민감한 정보를 갖고 있어 가장 뒷단에 숨겨져 있다. 메인 서버는 사용자의 콘텐츠 검색 요청에, DB로부터 정보를 끌어와 값을 보여주게 된다.
이 때문에 대량의 트래픽을 전송하는 DDoS는 원칙적으로 선관위 DB에 접근할 수 없다. 만약 DB서버가 다운됐다면 메인서버까지 함께 다운돼 홈페이지 전체가 완전히 이용불능 상태였어야 한다.
지역구 투표소 검색만 불가능했다는 주장을 상기하면 DB서버의 문제란 결론이 나온다. 그래서 누군가 의도적으로 DB서버 접속을 차단했거나 해킹했다는 주장이 나오는 것이다.
■단순 DDoS 아닐 가능성↑...정보 공개하면 의문 해결
그러나 반드시 해킹이나 의도적 차단만으로 DB서버에 문제를 일으킨다는 것은 아니다. DDoS로도 얼마든지 DB서버를 다운시킬 수 있다. DB 검색 요청만 계속한다면 과부하를 일으키기 충분하다.
한 IT업체 관계자는 “좀비PC에 심어둔 DDoS 지시 내용이 웹사이트 접속 후 DB 검색을 요청하라는 것이라면 DB서버 과부하를 만들어낼 수 있다”라며 “다만 비정상적인 트래픽 내용을 인지하는 웹방화벽을 속이기 위한 여러 가지 조치를 해야 한다”라고 설명했다.
이는 웹방화벽, IPS, IDS 등의 보안장비가 이상징후를 인지할 수 없도록 별도의 조치를 취해야 가능한 시나리오다. 즉 단순한 DDoS가 아니기 때문에 전문성과 준비과정을 필요로 한다는 의미다.
DDoS 방지책은 방화벽과 ADC(로드밸런서)의 쓰루풋 확장, 트래픽 경로를 비상용 인프라로 변경하는 라우팅 기술 등이다. DDoS 전용장비는 정상적인 트래픽 총량을 설정했다가 비정상적인 트래픽이 몰릴 경우 해당 IP의 접속을 차단해 정상 서비스를 위한 대역폭을 확보한다. 선관위는 이같은 방지책을 모두 사용한 것으로 알려졌다.
선관위와 경찰의 입장이 전혀 설득력이 없는 건 아니다. 다만 그외에 너무나 많은 가능성이 존재한다는 것이 문제다. 특히 DDoS 장비가 존재함에도 서비스 정상화까지 2시간이나 걸렸다는 점은 선거일이란 특수한 상황에 전혀 대비하지 않은 게 된다.
관련기사
- 서울시장 선거 DDoS 범인 잡고보니...2011.12.07
- 중앙선관위 홈페이지 DDoS 징후 포착2011.12.07
- 3.4 DDoS '북한 배후설'…또 모락모락2011.12.07
- DDoS, 아직 끝나지 않은 이야기2011.12.07
정치적인 상황을 차치하고라도, IT업계는 로그파일 공개면 모든 의문점을 일순간 해결할 수 있다고 지적한다. DDoS공격에 사용된 도구와 로그파일을 볼 수 있다면 간단히 알아낼 수 있다는 설명이다.
올해 벌어졌던 일련의 IT관련 사고를 보면 단 한건도 명확히 의혹을 해소한 게 없다. 한해도 끝나간다. 선거와 같은 정치적으로 민감한 사안에 비밀 유지를 고집하는 것은 의혹만 키우는 길이다. 로그파일을 공개해 누구나 공감할 수 있는 근거를 제시하는 게 현실적인 해결책이다.