10.26 DDOS 퍼즐 맞추기

나꼼수에서 제기한 10.26 DDOS 설이 사실로 밝혀지고 DDOS를 사주한 범인과 실행한 일당이 잡혔다. DDOS를 사주한 사람이 한나라당 최구식의원 비서관이고, 관련 물증도 확보하고 금전 거래에 대한 물증도 확보하나 보다.
자세한 언론보도에 대한 추적은 경향신문 블로그의 <라운드업> DDoS 공격에 잘 정리되어 있다.(http://khross.khan.kr/132)

나는 10.26 DDOS에 대해서 의문점을 가지고 있다. DDOS가 있었다는 사실과 선관위에 대한 DDOS로 한데 묶여지고 있고, 업계 전문가들께서 "이건 무조건 DDOS가 맞다"라고 주장하는데, 사실 관계가 확인이 잘 안되기 때문이다. 게다가 하필이면 이번 10.26 선거에서 투표소를 바꿨는지, 누가 지시했는지에 대해서는 작은 일로 바라보기 때문이다.

나꼼수가 DDOS 설을 이야기한 후에, 모든 이야기는 "DDOS로 선관위를 공격했다", "DB 연결을 끊었다"라는 추론에서 사실을 짜 맞추는 듯한 느낌이다. 난 반대로 사실과 추론을 분리해야 한다고 생각한다. 

사건과 직접 관련한 사실

사실1. 10.26 한나라당 의원 비서관이 DDOS를 사주했으며, 일당들이 DDOS를 실행
사실2. 박원순 후보의 홈페이지는 접속불가능한 상태에서 KISA 대피소를 통해 정상화함
사실3. 선관위 홈페이지가 잘 열리지 않는 상황이 발생하여 투표소를 찾지 못한 사람들이 많았음
사실4. 선관위에 집중된 DDOS 공격의 트래픽은 2기가였다.
사실5. DDOS 시점에서 1억원이 주고 받았다.
사실6. DDOS 공격에 대한 수사 발표에서 축소가 있었다.

부수적인 사실

부1. 2010년 지방선거에서 사용했던 투표소를 대략 30% 바꿨다.(http://twitpic.com/7syz76)
부2. 이상득의원 보좌관이 사주한 보좌관에게 돈을 건네고 그 돈이 DDOS 일당에게 건네졌다.
부3. 선관위는 무슨 이유인지 로그 파일 공개를 하지 않고 있다.

확인 또는 발표가 안된 사실

발1. 다른 DDOS 수사와 달리, 악성코드 분석을 통해 공격 URL을 찾아내어 발표하지 않는다.
발2. 10.26일 당시 박원순 후보의 홈페이지로 들어온 DDOS 로그도 분석하지 않고 있다.
발3. 10.26일 당시 박원순 후보 서버쪽 DDOS 트래픽 IN도 발표되지 않고 있다.

사람들이 추론하는 내용

추1. 한나라당은 투표율이 낮으면 선거에서 이긴다
추2. 1년만에 투표소를 바꾸면 많은 사람들이 투표를 포기 할 것이다.
추3. 투표소를 찾으려는 사람들에게 정보를 차단하면 투표를 포기 할 것이다.
추4. 투표소를 찾으려는 웹 접속을 차단하기 위해 DDOS를 감행한다.

조각난 퍼즐들
조각1. DDOS 공격 고작 2G 트래픽에 서버가 다운될 수 있는가?
당연히 가능하다. DDOS는 서비스를 하는 쪽의 시스템이 감당하는 용량 이상을 폭주시켜 서비스에 접근하지 못하게 하는 공격이다. 트래픽 용량이 2G 였다는 점이 중요한게 아니다. 공격을 받은 서비스의 용량이 얼마였는가가 중요하다. 선관위 웹 서비스의 시스템 배치가 어떻게 되었는지 확인할 방법이 없지만, 공격을 받았던 info.nec.go.kr은  www.nec.go.kr 보다 상대적으로 중요하지 않아 1대의 서버만 사용했을 가능성이 있다. 특별히 네트워크 접속하는 랜카드를 광이나 10G를 물리지 않는 한 대부분의 서버들은 1G짜리 NIC을 사용한다. 데스크탑 컴퓨터들이 특별한 이유가 아니면 100M 를 쓰는 것과 같은 이유다.
트래픽 1G를 처리하는 시스템에 트래픽 2G가 들어오면 당연히 서비스 거부 반응이 나온다. 따라서 트래픽 2G에 서버가 다운 될 수 있는 가능성은 충분히 존재한다. 실제로 서버에서 보면 1G NIC는 약 0.6-0.7 G 정도 처리 가능하다.
info.nec.go.kr로 연결한 네트워크 스위치와 해당 서버에 대한 용량을 확인해봐야 한다. 

조각2. 2G 트래픽은 DDOS로 유발된 것인가?
조심스럽지만 2G 트래픽은 DDOS가 아닐 가능성이 있다. 계산을 편하기 하기 위해서 HTTP 연결을 요청하는 리퀘스트가 1KByte라고 가정하면 2G는 200M Byte 이니, 약 200,000 명이 요청을 날렸다고 계산할 수 있다. 보수적으로 절반만 잡아 특정 시점에 10만명이 동시에 한 서버에 몰릴 수 있을까? 발생하기 어려운 일이기 하지만, 아침 시간에 투표하고 출근하려는 사람들의 수로는 불가능하지만은 않다. 스마트폰 보급으로 갑자기 트래픽이 평소보다 4-5배는 물론이거니와 10배 이상 튀는 경우가 많다. 모바일과 앱으로 접속하는 사람들이 늘어났기 때문인데, 인터넷의 이벤트에 갑자기 방문자가 폭주하는 상황처럼 10.26 선거 오전에 당황스러운 상황에서 충분히 2G 트래픽이 갑자기 몰릴 가능성은 배제하기 힘들다.
이건 로그를 본다고 확인을 못할 수도 있다.

조각3. Slowris 일 가능성은 없는가?
http://parkscom.tistory.com/1167111275 에 보면 Slowris 일 가능성을 이야기하는데, 그럴 가능성이 존재한다. netcraft를 통해서 확인해보면 선관위는 Web r105라는 서버를 사용한다. 처음 들어봤는데, Slowris의 경우 그 당시 모든 웹 서버들에 존재하는 취약점이어서 업데이트가 나왔다. 사용량 0.01%도 안되는 Web r105라는 웹 서버가 그런 취약점까지 업데이트 했을지는 잘 모르겠다. google에서 검색을 해봐도 도대체 만드는 업체도 찾을 수 없는데, 대한민국 정부기관등에서는 많이 쓴다. DDOS 공격 방법이 Slowris 이었다면, Web r105을 사용하는 국가기관 인터넷 서비스도 다 점검해야 한다.
게다가 지난  Slowris 공격이후로 큰 규모의 서비스 업체들은 캐시 서버 적용, 서버 업데이트들이 이루어졌기 때문에, 크래커들이 Slowris 를 선택하는 우를 범하지 않았을 것이다.
이건 로그를 보면 확인할 수 있다. 
 
조각 4. DBMS 공격인가? DBMS 연결 끊기인가?
어떤 전문가들은 DBMS 공격에 대해서 이야기한다. 전문 해커가 DBMS에까지 접근하거나 연결을 끊었다는 가설이다. 또 어떤 전문가들은 내부에서 DBMS 연결을 끊어놓았다는 추론까지 한다.

내 생각은 좀 다르다.
"DDOS와 DBMS와 관련이 없고 내부의 공모자나 해킹이다"는 주장은 하나만 아는 경우이거나 결과를 놓고 원인을 짜맞추기 하는 경우다. (언제나 그렇지는 않지만) DB를 이용하는 프로그램의 경우 평상시의 접속 수치에서는 평균정도의 최소 처리속도를 보여준다. 임계치에 다다르면 연결이 비정상화되어 모든 프로그램 실행 속도가 한없이 느려지고, 실패로 떨어지는 경우를 많이 본다. 내부 프로그램 로직중에 쿼리문을 하나만 잘못 써도 서비스 전체를 외부에 볼 때 DDOS 처럼 보이게 만들기는 엄청 쉽다. slow query 하나 만들면 끝이다. IO를 불러일으키고, swap까지 넘어가게 만들면 된다. 
한 가지 가능성은 선관위에서 투표소 안내하는 프로그램 자체에 버그는 아니지만 성능 저하를 불러일으키는 slow query가 들어있었을 가능성이 있다. 그건 프로그래머만 아는 영역이라 소스를 열어봐야 안다. 어쨌든 소스나 쿼리 몇자만 잘못 구현했어도(이건 버그와는 다르다)  평상시에는 정상처럼 보이지만, 트래픽이 몰리면 서비스가 멈출 수 있다.

10.26 DDOS 공격은 3가지 사건이 함께 일어났다. 개별 사건들을 독립적으로 바라봐야 한다.

1. 최구식의원 비서관이 DDOS를 사주
2. 갑작스러운 선관위 투표소 변경

3. 투표소 변경에 당황한 시민들이 스마트폰으로 투표소 확인

경찰과 검찰의 하는 짓을 봐서는 적어도 2번을 감추려고 하는 느낌이다.
증거가 명백하여 다른 사실들을 감출 수 없기 때문에, 다른 사실들은 천천히 하나씩 터뜨리면서, 욕도 적당히 먹어가며 수사를 진척시킬 것이다.
적어도 현 정권은 2번 선관위의 투표소 변경에 대한 조사, 수사를 막으려 할 것이며, 이슈가 옮겨가는 것도 차단할 것이다. "왜 갑작스럽게 바꾸었는지?","누가 그 결정을 내렸는지?" 그대로 묻어두기만 하면 된다.
다른 문제는 공정성과는 상관없는 형사 사건일 뿐이고, 투표소 문제는 헌법을 위반한 반헌법적인 국가전복음모와 같은 중대한 사건이기 때문이다. 

내 가설.

한나라당에서 나경원 후보 승리를 위해 투표율을 낮출 필요가 제기되었다.
2개의 다른 라인이 DDOS와 투표소 변경을 실행했다.
두 라인은 서로의 실행 사실을 알지 못했을 가능성이 있다.
(아니면 두 개의 실행이었을 가능성도 있다)
박원순 닷컴에 대한 DDOS 공격이 있었다.
투표에 참여하려던 젊은 사람들이 스마트폰으로 선관위에 접속하면서 DDOS처럼 보였다.
결국 DDOS 공격자가 잡히면서 투표소 변경 행위가 관심사로 떠오르자, 물타기를 시도하고 있다.

관련 자료

<라운드업> DDoS 공격 http://khross.khan.kr/132
10.26부정선거 기획 투표소 바꾸기 http://twitpic.com/7syz76
바뀐투표소 찾을수 없게 선관위 DDos공격 http://twitpic.com/7sz0b4
DDOS 사태 설명 http://hgc.bestiz.net/zboard/view.php?id=gworld0707&no=524833 
그들은 선관위를 어떻게 털었을까?  http://minix.tistory.com/317