선관위 DDoS 기술적 분석(2)-사실과 논란의 정리

선관위 DDoS 공격에 대한 기술적 가능성 분석은 지난 글(http://parkscom.tistory.com/1167111275)에서 이미 했었다.
그런데도 논란은 끝이없고, 여러 가지 사실들이 뒤 썪여 있다.

민주당 내부의 매우 정통한 소식통(이렇게 쓰니, 꼭 신문사 기자들이 뭔 기사 쓸 때 쓰는 느낌이다.)으로 부터 들은 정보를 이용해서 논란을 정리해보고자 한다.
여기에 사용된 내용은 사실에 최대한 근거한 내용이라는 것을 밝혀둔다. 인터넷에 나온 내용보다는 실질적으로 객관화된 데이터가 더 많이 사용하고자 한다. 더 좋은 자료가 있으면 알려주시면 좋다.

음모론이나 소설같은 추측은 최대한 배제해보고자 노력은 한다. (노력은. 하지만, 쉽지않다.)
이 글에서는 DDoS 공격이 있었다는 것을 기본 전제로 깔아 놓고, 그걸 반박가능한지에 대해서 논점을 맞춘다.
-------

논란 1. 공격 트래픽의 규모에 대한 부분 : 264Mbps는 너무 적은 것은 아닌가?
가장 많이 논의되는 내용중에 하나인데, 사실 관계를 정리한다.

- 경찰 발표는 264Mbps(bit per sec)라는 단위가 정확하다. 이전 글에서 Byte per sec 인지에 대한 추측은 사실이 아니었다. bps가 정확하다.
- 이번에 공격당한 선관위의 서버는 KT IDC가 아닌 관악구에 있는 자체 전산센터(사무실내에 존재했다.)
- 선관위는 KT와 LG U+로 부터 155Mbps 회선(T3라고 불리는) 각각 1라인씩 총 2라인을 임대했다. 따라서 선관위가 소화할 수 있는 최대 트래픽은 300Mbps를 넘지 못한다.

264Mbps는 높은 수준의 공격이 아니다. 집에 있는 PC도 100Mbps를 감당할 정도로 뛰어나다. 이 부분이 논란이 되는데, 위의사실을 종합해보면, 서버가 죽은게 아니다. 서버는 멀쩡했을 수 있다. 하지만, KT와 LG U+로 부터 들어오는 회선의 트래픽이 꽉차버리는 경우가 발생한 것이다.

논란 2. KT에서는 11Gbps라는 말이 있는데, 이건 왜 그런가?
논란 2. KT에서는 2Gbps라고하고 선관위는 11Gbps라고 한다.
(이 부분에 대해서는 아래의 자료가 오류가 있어 정정한다. 원문에 포함된 인용된 자료의 출처가 정확/명확하지 않았다. 업데이트로 볼 수 있는 자료는 아래의 내용이다. 12월 17일 01:24 수정)
http://article.joinsmsn.com/news/article/article.asp?total_id=6820546&ctg=1200
 


KT와 경찰이 서로 다른 이야기를 하고 있으니, 이런 논란이 나온다. 출처 자료는 http://bbs1.agora.media.daum.net/gaia/do/debate/read?bbsId=D101&articleId=3689591 (다음 아고라)이며, KT의 모 상무님께서 보안 컨퍼런스에서 발표한 자료에 기초한다.

KT는 11Gbps의 공격이 있었고, 그 시점도 미묘한데 어뚱한 자료를 가지고 물타기 하는 것은 아닌가? 있을 수 있는 질문이다.
하지만, 다른 관점에서 살펴보면 KT의 백본 스위치에 걸려든 트래픽의 총량은 11Gbps가 맞을 수 있다.
또한, 측정 포인트에 따라서(라우팅 테이블이 변경되었다면) 시간의 차이도 존재할 수 있다.
하지만, KT 백본 스위치(라우터) 이후에 실제 회선(155Mbps)로 나가는 부분에 대해서는 병목이 발생하므로, 264Mbps로 경찰측은 인식할 수 있다.

그러므로, KT에서 발표한 자료 11Gbps가 반드시 틀린 자료가 아니다. 그리고, 이게 공격의 최대치일 수 있다는 자료로서는 유효하다!!


논란 3. 어떻게 투표소 홈페이지 서버만 접속이 안될 수 있는가?
여기에 대해서는 일단 설명할 수 있는 자료는 www(메인 홈페이지 서버)와 info(투표소 안내 서버)가 2개로 구분되어 있었고, 공격이 info 서버로만 이루어졌다면 충분히 가능한 이야기이다. DB 서버의 문제가 아닌 공격의 대상이 info 서버였기 때문이라고 볼 수 있다.

DDoS 공격이면 같은 네트워크 전체가 다 마비되어야하는데, 왜 메인 페이지는 뜨고 투표소만 접속이 안되냐는 논란은 그대로 남아 있다.
(추측에 가까운 설명을 하자면) 일단, 300Mbps 회선중 264Mbps 정도의 비정상 트래픽과 일부의 정상적인 트래픽이 섞여 있었다. 그러므로, 일부 정상적인 트래픽인 일반 사용자 중 일부는 느리지만 www 홈페이지를 접속할 수 있었다. (매우 빠르게 그리고 항상 접속이 가능했다는 증언과 결과가 나온다면 이건 다른 이야기다.)

하지만, 공격 타겟이 info 서버이므로 해당 서버로 가는 대부분의 트래픽은 이미 공격 트래픽에 섞여버렸다는 것이다.

논란 4. 그래도 이해가 잘 안간다. 왜 info만 접속이 안되나?
이번 공격의 패턴은 UDP Flooding, ICMP 공격, HTTP GET Request Flooding이 서로 혼재된 공격이었다고 한다. 물론 내가 해커라도 이렇게 공격할거다. 하나만 하면 재미 없으니까. (어짜피 툴이 다 제공하는데.)
UDP로 트래픽을 꽉 채워 타인의 접속을 최대한 제한하면서, 그 사이 HTTP GET Request로 공격을 한번 더한다면 시스템의 자원이 고갈될 수 있다.

어제 일부 공개된 원순닷컴의 공격 로그에서는 HTTP GET Flooding 공격만 소개되었으며, 선관위에도 동일한 패턴의 공격이 존재했을 것이다.
그러므로, info 서버는 네트워크 트래픽도 비정상적으로 많이 몰리고, 시스템 자원도 고갈 상태로 넘어갈 수 있다.


논란 5. 선관위는 왜 2시간이나 걸렸나? 내부의 협조 또는 방조 아닌가?
시간을 정리를 해보자. 이건 소문이 아니고 선관위의 소식통을 이용한 것이다.(지금은 밝히기 곤란하다. 기다려 달라.)

5시 50분 : 선관위에서 이상한 낌세가 있음을 알았음, 하지만 공격인지는 몰랐음
6시 15분 : KISA에서 원격 모니터링 도중 이상한 점이 있음(홈페이지 접속 불가)을 선관위에 통보
6시 30분 : 운영 담당자 확인 - DDoS 공격으로 인지
6시 58분 : KT 회선 절췌, 그나마 공격을 덜 받고 있었던 LG U+ 회선만으로 서비스 시도
  하지만, 곧 LG U+ 회선도 문제 발생하기시작함
이후 KISA, KT와 논의하는 과정에서 시간이 갔고, 결국 KT의 DDoS 클린존으로 이전 결정

사건 발생 30분 이후에야 완전히 사태를 파악했고, KISA나 KT와 협의에 시간이 많이 걸렸다. 이건 선관위에서도 인정하는 부분이다. 기초적인 매뉴얼은 있어다고 한다.
하지만, 인터넷에서 이야기하는 많은 전문가중에 실제로 DDoS를 방어해본 경험자가 몇명이나 되는가? 실제로 거의 없다. 선관위도 처음 당했으니, 당황하고 회선 이전하고 등등의 일을 하다가 시간이 갔을 것이다. 다음에 공격당하면 빨리 대응할 수 있을 것이다.

이건 민주당에서도 더이상 이슈화 하지 않고, 국회 행정안전위(행안위)로 넘겨서 논의하기로 결정되었다. (이건 민주당 소식통에서 전달 받은 사실이다.)


논란 5. 고도의 전문가 집단의 소행인가? 
내 개인 사견으로 말한다. 어짜피 자료는 존재할 수 없다.
내 의견은 "초보 해커의 실력"이라고 본다. 전문가 수준이 아니다. 어제 전자신문에는 사용되었던 툴(CAS?)를 이용한 모의 실험도 해주시는 센스를 보여주셨다. 보통 이런 툴을 사용하는 사람들을 Script Kid라고 부른다.
만일 정말 전문가라면 전자신문에서 구할 수 있는 그런 알려진 툴을 사용하겠나? 이해가 안되지 않나? 물론 툴을 구매하는데드는 비용 100~200만원 정도는 소요된다. 하지만, 몇 천~ 몇 억은 아니지 않는가?

또하나는 공격 트래픽이 11Gbps라고 말하니까 신문 기자들은 이게 매우 높은 트래픽으로 알고 있는 모양인데, 사실 높은 수준이 아니다. 전문적으로 IDC에서 운영을 해본 경험이 있다면 2~3일에 한번 정도는 IDC에 이런 공격이 빈번하게 들어온다는 것을 경험할 수 있다. 농담 같다고? 미안하지만 사실이다.
내가 관리하는 사이트는 아니지만, 같은 회선을 공유회서 사용하는 다른 업체가 공격을 받아도 "망이 흔들린다"라는 말을 하면서 통보를 해준다.

11Gbps의 트래픽의 양과 공격의 질적 수준으로 보았을 경우 고도화된 전문가 집단으로 보기 어렵다는게 의견이다.


논란 6. 로그 파일, 제발 공개해라?
이 부분도 민주당의 소식통에 의하면 선관위와 여러차례 협의를 했으나 법적인 문제 등이 있어 불가한 것으로 결론 내었고 재론하지 않기로 했다.

하지만, 그래도 많은 사람들이 "난 로그 파일을 보고 싶다"고 주장할 것이다. 그러나, 로그파일에 집착할 필요가 거의 없다.
어제 공개된 원순닷컴의 로그파일을 확인해보면, HTTP GET Request 공격의 흔적은 확실히 남아 있다. 하지만, 이거 가지고 봐봐야 공격의 전모를 파악할 수 없다.
로그파일을 이용한 분석 자료에서 좀비 PC의 수가 150대 정도라고 이야기했는데, 이것은 신빙성이 없는 이야기다.

a) UDP 공격은 웹 서버 로그에 흔적을 남기지 않는다.
UDP는 그냥 트래픽을 채우는 공격이다. HTTP Apache 서버의 Access Log 파일에 어떠한 흔적도 남기지 않는다. 어제 원순닷컴의 로그 파일에도 이 부분을 설명할 수 있는 내용은 없다.

b) 만일, 선관위에서 보안 장비로 IPS를 보유하고 있었다면?
IPS는 공격 패턴에 대해서는 사전에 차단할 수 있는 기능이 있다.
일반적으로 장비를 배치하는 구성 방법은 "회선 --> IPS/방화벽 --> 백본 스위치 --> 웹서버"로 볼 수 있는데, 공격이 들어오면 IPS에서 먼저 트래픽을 걸러준다. 웹서버에 접속 자체가넘어가지 않는다. 그런 상태에서 웹서버에 어떤 로그를 기대할 수 있는가?
그럼 원순닷컴은? IPS가 좀 비싸다.(억대를 호가한다.) 이걸 영세 원순닷컴이 보유할 수 있었을가? 없었겠지. 그래서 로그에 HTTP GET Flooding 공격이 남아 있는 것이다.
** 참, IPS가 있어도 UDP 공격은 못막아낸다. 오해하지 마시길. 

결론적으로, 로그 파일은 공개되면 좋겠지만 공개에 집착할 필요는 없다. 그거보다는 네트워크 트래픽 모니터링 결과(MRTG라고 일반적으로 부른다.), 장애 운영 기록 일지 등을 공개하는 것이 더 현실적이다. 개인 정보의 문제도 없고, 더 진실에 접근할 수 있는 자료이다.
로그 파일은 공개를 하고 싶어도 못하는 것 뿐이다. 선관위 담당자도 죽을려고 한다.

논란 7.  DB 서버 내부에서 공모해서 죽였다?
(이건 객관적인 사실이 없는 추측이다.)
말그래도 음모론이다. 이건 엔지니어로서 이야기할 수 있는 부분이 아니다. 하지만, 엔지니어는 이런 미친짓 잘 안한다. 밥그릇 날라가는 짓거리를 왜 하는가?
그리고,  어짜피 DDoS 공격하면 서버 죽어 접속 못할텐데 (아니면 접속 가능한 사람의 비율을 매우 줄일 수 있는데) 왜 힘들게 DB 서버까지 죽이겠는가? 그건 증거도 남는데.

---------------------
논란에 대한 기술적인 분석은 이 정도이다. 나는 보안 전문가는 아니다. 하지만, 꽤 큰 사이트의 운영 경험이 있고 DDoS라면 몇번 당해본 적이 있어서 말하는 부분이다. 

출처를 밝히지 못하는 점에 대해서는 이해하시기를.


** 이 글에 대한 기술적인 논쟁은 환영합니다. 하지만, 한나라당 편을 드니, 선관위 편을 드니 등의 편향적인 시선으로 보는 것은 절대로 반대합니다.
 
신고
크리에이티브 커먼즈 라이선스
Creative Commons License
Trackback 1 Comment 13

티스토리 툴바