초보 해커가 ‘투표소 정보’만 정밀 타격? ‘갸우뚱’

중앙선거관리위원회 누리집에 대한 디도스(DDoS·분산서비스거부) 공격 사건을 수사하고 있는 경찰청 사이버테러대응센터 이름판 앞으로 8일 오후 한 수사관이 지나가고 있다. 김태형 기자 xogud555@hani.co.kr

‘선관위 디도스 사건’ 핵심 의혹 총정리
해킹에 사용한 공격툴로는 불충분…제3 공모자 있을까

경찰이 중앙선거관리위원회 누리집 공격 사건을 한나라당 최구식 의원의 비서 공아무개(27·구속)씨의 단독 범행으로 결론내렸지만, 여론은 이를 좀체 믿지 않는 분위기다.

이와 더불어 트위터 등에서는 선관위 공격이 어떻게 이루어졌는지를 놓고 여전히 여러 의혹이 제기되고 있다. 범인들이 ‘투표소 정보’ 사이트만 정밀 공격한 것을 놓고 제3의 공범설, 선관위 내부 연관설 등의 의혹이 잇따르고 있다.

의혹의 핵심은 이 사건을 ‘단순한 디도스 공격으로 볼 수 있느냐’는 것이다. 만약 단순 디도스 공격이 아니라면 선관위나 다른 국가기관이 개입했을 가능성이 높아지고, 그렇다면 이 사건은 ‘21세기판 사이버 선거 부정 사건’으로 비화할 수 있다. 이후 검찰 조사에서 밝혀야 할 핵심 쟁점이기도 하다.

# 누리집 초기화면은 열리는데 투표소 검색은 안 된다

10·26 서울시장 보궐선거 당시 누리집이 공격을 당하자 선관위가 디도스 공격으로 추정된다고 공지를 올렸다. 선관위 누리집 갈무리

10·26 투표 당일 경찰과 선관위 말을 종합하면, 선관위 누리집은 오전 6시께부터 공격을 받기 시작해 오후 들어서까지 공격이 계속됐다. 선관위 누리집은 오전 6시15분~8시32분까지 2시간 넘게 아예 접속이 되지 않거나, 초기화면에서 ‘일반 투표소 검색’ 과 ‘내 투표소 검색’ 등 일부 항목에 대한 접근이 불가능했다.

그러나 일반적인 디도스 공격은 홈페이지 자체에 접근이 불가능하지, 투표소 검색처럼 특정 서비스만 중단되지는 않는다는 것이 전문가들 의견이다.

인터넷 보안업체인 큐브피아(http://www.cuvepia.com) 권석철 대표는 “초기화면에 공개된 아이피에 공격을 가하는 것이 일반적인 디도스 공격의 형태”라며 “특정 서비스만을 노려 공격을 하려면 서비스 페이지의 아이피를 알아야 하는데, 누군가가 아이피를 알려주거나 또 다른 해킹을 통해 아이피를 찾아내는 방법 밖에 없다”고 말했다.

# 선관위 공격에 사용된 ‘카스’의 한계

아이티업계 대표 매체인 <전자신문>의 실험 결과는 권석철 대표의 주장을 뒷받침한다.

전자신문은 7일치에서 이번 선관위 해킹 사건에 범인들이 사용한 디도스 공격 툴인 ‘카스’로 모의 실험한 결과를 공개했다. 카스 툴은 개당 100원가량에 암시장에서 거래되는 매우 흔한 도구로 경쟁사 도박사이트 등을 중단시켜달라는 식의 청부형 디도스 공격에 자주 쓰인다고 한다. 최구식 의원의 비서 공씨의 지시에 따라 선관위 홈피 공격을 감행한 강아무개(26)씨 등이 실제 도박사이트를 운영했다는 사실에 비춰보면, 이들이 카스 툴에 상당히 친숙할 것으로 보인다.

전자신문은 “이번 시연에서 카스만으로 서버의 기능 일부(DB 선택적 단절 등)만을 제한하기엔 역부족인 것이 확인됐다”며 “다량의 좀비 피시를 동원해 서버 중단을 유발하면 웹페이지 전체 기능이 멈춰 이번 사고 사례처럼 디비(DB)만 단절시키기엔 불충분하다는 게 보안 전문가들의 공통된 의견”이라고 전했다.

전자신문은 “이번 선관위 공격엔 최대 2Gbps가량 전송량이 집중됐다는 경찰 발표를 감안하면 좀비 피시 1500대가량이 필요하다. 하지만, 사고발생 시각이 새벽 시간이고, 그 시간대에는 대부분 좀비 피시가 비활성화된다는 점을 감안하면 그보다 10배 이상 많은 2만대가 필요했을 것”이라고 덧붙였다. 대개 카스 툴이 설치된 좀비 피시는 대당 1.3Mbps가량의 전송량을 유발한다.

# 특정 서비스 공격하려면 고도의 해킹기술 필요해

일반적인 디도스 공격이 아니라면 기술적인 측면에서 4가지 가능성이 있을 수 있다. 1. 해커들이 고도의 해킹 기술을 보유했거나 2. 고도의 해킹 기술을 가진 누군가의 도움을 받았거나 3. 내부 공모자가 아이피를 알려줬을 가능성이다. 마지막으로 4. 디도스 공격이 감행될 시점에 선관위 내부에서 해당 서비스가 운영되는 서버를 꺼버리는 방법이 있다.

일단 구속된 최구식 의원 비서 공씨의 지시를 행동에 옮긴 강씨 등은 초보적인 수준의 해킹 기술을 가진 것으로 경찰 조사결과 드러났다. 민주당이 선관위 누리집과 함께 공격을 당한 박원순 후보의 홈페이지 로그파일을 분석할 결과도 이를 뒷받침한다. 민주당은 “당시 사용된 수법은 새로운 게 아니고 박원순 후보 메인 페이지 주소를 집중적으로 공격하는 널리 알려진 초보적인 수법”이라고 주장했다. 전문가들도 해커들이 추적할 수 있는 한국 아이피(IP)를 사용한 점이나 디도스 공격의 특성상 범인을 잡기가 쉽지 않다는 점 등을 들어 범인들 해킹 수준이 최상급은 아니었을 것이라고 판단한다. 그런 점에서 제3의 공모자가 있었을 가능성이 제기된다.

# <나꼼수>가 제기한 의혹은 해소되었나?

10·26 서울시장 보궐선거 선관위 누리집 공격 개념도.

선관위 내부에서 누군가 공모했을 수 있다는 의혹이 제기되는 것은 이 때문이다. 팟캐스트 방송인 <나꼼수>가 이런 주장에 앞장서고 있다. 정봉주 전 의원은 5일 “구속된 이들이 주장하는 디도스 공격이라고 하는 것이 디도스 공격 기본논리에 하나도 안 맞는다”면서 “홈페이지 일부만 차단된 것은 그 특정 서버만 공격할 수 있게끔 누군가가 길을 열어줬거나 아니면 그냥 내부자의 소행”이라고 주장했다. 이 사건의 초기부터 의혹을 제기한 <나꼼수> 쪽은 이번 사건의 핵심이 젊은층의 투표율을 낮추기 위한 것이었고, 그러기 위해선 선관위 투표소 변경 → 선관위 디비 서버 공격을 통한 투표소 위치 확인 서비스 불통 → 투표율 하락으로 이어지는 시나리오가 있었다는 주장이다.

# 로그파일만 공개하면 되나?

여러 의혹을 밝혀줄 핵심적인 증거는 로그파일이다. 로그파일은 선관위 사이트에 접속한 모든 기록을 담고 있다. 따라서 로그파일을 분석하면 디도스 공격이 맞는지, 누가 어디를 어떻게 공격했는지, 당시 서버를 다운시킨 트래픽이 2기가였는지, 11기가였는지 등 핵심 의혹이 대부분 풀린다. 그러나 선관위는 “수사중”이라거나, “관련법에 공개할 수 없도록 했다”는 이유를 들어 로그파일 공개를 할 수 없다는 입장이다.

설령 선관위가 로그파일을 공개한다 하더라도 의혹은 남을 수 있다. 로그파일도 조작될 수 있기 때문이다. 한 보안 전문가는 “로그파일이 텍스트 파일이기 때문에 접속 아이피를 다른 것으로 한다거나 아이피 기록을 통째로 교체하거나 지우는 방법으로 충분히 조작할 수 있다”고 주장했다.

박종찬 권오성 기자 pjc@hani.co.kr