지난 10월 26일 서울시장 보궐 선거 당일, 선거관리위원회의 홈페이지가 다운되는 사건이 발생하였다. 다운된 시간은 아침 6시부터 8시 30분 경으로 직장인이 출근하는 시간과 거의 일치하며, 선관위는 디도스 공격에 의해 발생한 문제라고 밝혔다. 하지만 딴지일보 김어준 총수는 나는꼼수다 26회(2011.10.29)에서 '투표장소가 많이 바뀌었고 그것이 박원순 후보에게 불리하게 작용하였을 가능성이 많고, 이와 선관위 홈페이지 다운이 맞물려 있을 수 있다'는 의혹을 제기하였다.
■ 김어준 총수의 문제 제기 내용
김어준 총수는 문제가 일어난 시간에 선관위 홈페이지 전체가 다운된 것이 아니라 접속이 되는 페이지가 있었고, 선거 장소를 찾기 위해 메뉴 등 데이터베이스에 접속을 시도하는 페이지 들이 접속되지 않는 것을 직접 목격했다고 한다. 그래서 디도스 공격이라기 보다는 데이터베이스 만 끊어놓은 것이 아니냐는 의혹을 제기하고 있다. 또한 이번 선거일에 갑자기 투표 장소가 바뀐 곳이 많고 분석해보니 야권에 불리할 만한
강풀 작가의 나꼼수 맴버 그림
김어준 총수는 이것을 밝히기 위해 선관위 홈페이지 서버의 로그 파일을 공개하라고 말한다. 웹서버 및 DB서버, 네트워크 장비 등의 로그 파일에는 모든 기록이 들어 있기 때문에 이 사건이 디도스 공격 때문인지 다른 이유가 있는 것인지 알 수 있기 때문이다.
하지만, 선관위는 '서버 로그파일을 국정원이 관리해서 자기네 소관이 아니다'라고 하였다가 다시 '보안 상 공개할 수 없다'고 하는 등 일관되지 못한 답변으로 로그 파일의 공개를 미루고 있다. 지금은 경찰에서 수사를 하고 있기 때문에 공개할 수 없다고 한다.
해당 의혹을 제기한 '나는꼼수다 26회'를 아래에서 바로 들을 수 있다. 35분 30초부터 40분까지 해당 문제를 제기하고 있다. 궁금하신 분들은 들어보시길.
김어준 총수가 제기한 의혹이 무엇인지, 공개하라고 말하는 로그파일에는 무엇이 담겨있는지, 그리고 선관위가 로그파일을 공개하지 못한다는 이유가 무엇인지 쉽게 풀이해 본다.
■ 로그 파일이 무엇이며, 어떤 정보가 있나
로그 파일은 '서버가 운영된 기록', '홈페이지에 언제 어디서 누가 접속하였는지의 기록', '오류 기록' 등을 모두 담고 있는 파일이다. 이번 선관위 홈페이지 문제와 같이 어떠한 문제가 발생하였을 경우 이 로그 파일을 분석하여 문제점을 찾게 된다.
김어준 총수가 처음 공개를 요구한 로그 파일은 홈페이지가 운영되는 서버와 데이터가 저장되어 있는 DB서버의 것이다. 그러나, 해당 파일에는 시스템 구조가 담겨져 있어서 보안상 문제가 될 가능성이 있고, 선관위는 그 이유로 로그 파일을 공개를 하지 않았다. 하지만, 로그 파일의 내용 중 시스템 구조가 기재된 부분은 시스템 명령어로 어렵지 않게 내용을 지울 수 있다. 그렇게 문제가 있는 부분을 삭제한 후 공개할 수 있는데 그것을 하지 않고 있는 것이다.
선관위가 11GB의 전송이 발생하였다고 말한 지금은 홈페이지 서버 앞에서 전송량을 체크하고 분배하는 네트워크 장비의 로그 파일을 공개하라고 말하고 있다. 전송량을 말 하였으니 어떤 IP Address에서 접속하였는지의 기록 만을 요구하는 것이다. IP Address란 인터넷을 이용한 개인들의 위치 정보라고 생각하면 된다. 이것 만 있으면 역으로 추적하여 해당 PC가 좀비PC였는지 확인이 가능하기 때문에 디도스 공격이었는지 아닌지를 밝혀낼 수 있다.
이러한 로그 파일은 일반적인 텍스트 파일의 형태로 되어 있어서 해당 로그 파일에 접근할 수 있는 사람이라면 파일의 내용을 간단하게 수정할 수 있다. 그래서, 김어준 총수가 의심하고 있는 선관위나 영향력을 행사할 수 있는 누군가가 악의적인 목적을 가지고 있다면 파일을 위조할 우려가 있는 것이다.
로그 파일을 위조한다는 것은 홈페이지에 접속했던 사람들의 PC 인터넷 주소, 즉 접속했던 PC의 IP Address를 엄청나게 추가한다는 것이다. 그래야 동시 접속이 엄청나게 많았음을 입증할 수 있을테니까. 로그파일은 일반 텍스트 파일이니까 내용을 추가하는 것은 간단한 일이지만, 추가한 IP Address는 실제로 디도스 공격에 사용된 '바이러스에 걸린 좀비PC의 IP Address'이어야 만 한다. 로그파일이 공개되면 시스템 전문가에게 맡겨질 것이고, 그들은 로그파일 내의 IP Address를 역추적하여 해당 PC가 좀비PC인지 확인할 것이다.
'그 때 동원되었던 좀비PC 대부분이 바이러스 치료를 끝냈으면 좀비PC였는지 찾아낼 수 없지 않느냐' 라고 반문할 수 있지만 대부분의 사람들은 자신의 PC가 좀비PC였는지 알아채지 못한다. 그러므로 대부분의 PC는 그대로 바이러스에 감염되어 있을 가능성이 높고, 전체적으로 디도스 공격이 있었는지를 가늠해 볼 수 있다.
■ 선관위가 말하는 전송량 11GB의 의미와 의문점
지난 토요일에 공개된 나는꼼수다 31회(바로 듣기)에서 정봉주 전 의원은 선관위의 공식 답변을 공개했다. 선관위의 공식 답변에 따르면 문제가 발생한 시간. 순간 트래픽이 11GB에 이르는 전송이 발생하였고 이것은 디도스 공격이라는 것이다.
선거관리위원회 홈페이지를 크롬 웹브라우저로 다운로드 받아보니 381KB였다. 그러니까 산술적으로 만 보면 11GB라는 용량은 30,000여 명이 동시에 접속했을 때 발생하는 전송량이 된다. 하지만 좀비PC는 이보다 큰 트래픽을 발생시키므로 이 보다 적은 수로도 해당 전송량을 만들어 낼 수 있다.
아래는 선거관리위원회 홈페이지의 파일이다. 압축을 풀면 홈페이지의 용량을 확인할 수 있다.
nec_go_kr_1112061229.zip디도스(DDoS) 공격이란, 수백에서 수천대의 좀비PC들에게 특정 홈페이지에 동시 접속하게 하여 인터넷 회선에 엄청난 과부하를 일으켜서 서비스를 정지시키는 것을 말한다. 이때 사용되는 좀비PC는 특정한 지시에 따르도록 만든 컴퓨터 바이러스에 감염이 된 일반 사용자의 PC를 말한다. 자신의 PC가 좀비PC가 되어도 알아채기가 어렵다.
나는꼼수다 31회(바로 듣기)에서는 선거관리위원회 서버가 위치한 'KT IDC'의 해당일 발표에 따르면 전송량이 2GB 였다고 말하고 있다. 2GB 전송량 이라면 약 5,000여 명이 동시에 접속했을 때 발생하는 수치이지만 그것은 단지 그냥 수치이고, 위에 말했듯이 5,000명 보다 훨씬 적은 숫자라도 2GB는 만들 수 있다. 해당일이 선거일이었기 때문에 2GB의 전송량은 예상할 수 있는 수준이었을 것이다.
11GB와 2GB, 누군가는 거짓말을 하고 있다. 만약 선관위의 말이 맞다면 김어준 총수의 요구데로 로그 파일의 내용 중 11GB의 동시 접속을 일으킨 PC들의 IP Address 를 공개하여 의혹을 풀면 될 것이다.
■ 김어준 총수가 제기한 의혹은 무엇인가
김어준 총수는 문제가 발생한 시간에 선관위 홈페이지에 접속을 해 보니 페이지가 열렸다고 말했다. 그리고, 투표장소를 확인하기 위한 페이지에 접속하니 그 페이지가 열리지 않았다고 했다. 즉 모든 페이지가 다 열리지 않은 것이 아니라 데이터베이스와 관련된 페이지가 열리지 않았다는 것이다.
데이터베이스가 다운된 홈페이지의 사례
위에 말한데로 특정 홈페이지가 디도스 공격을 받게 되면 서버가 위치한 네트워크의 과부하가 발생하므로 어떤 페이지도 접속할 수 없어 해당 홈페이지가 다운된 것으로 보이게 된다. 즉 디도스 공격을 받으면 어떠한 페이지도 열리지 않는다는 것이다.
그러나, 선관위 홈페이지는 열리는 페이지가 존재하였고 단지 정보에 접근하는 페이지가 열리지 않았으므로 디도스 공격이 아니라 데이터베이스의 연결이 끊어졌을 것이라는 추측을 할 수 있다. 그러면 왜 데이터베이스 만 연결이 끊어진 것이고, 왜 선관위는 디도스 공격이라고 단정짓고 뒤를 풀어가냐는 것이다.
지금 경찰은 한나라당 최구식 국회의원의 수행비서인 공모씨를 디도스 공격을 지시한 사람으로 지목하고 수사를 하고 있다. 한나라당은 공모씨가 단순한 운전기사라고 공모씨의 존재감을 축소하려고 한다. 디도스 공격이 아닐 수 있다는 의혹은 그대로 둔 채 꼬리자르기 하듯이 수사를 하는 것은 옳지 않다. 문제가 없다면 의혹을 풀고 떳떳하게 수사를 진행하는 것이 국민의 공감대와 지지를 얻을 수 있을 것이다.
