10.26 선관위 사건 수사기록에서 드러난 사실

2012.04.04 글쓴이 youknowit

올해 1월초에 있은 검찰 수사 발표는 선관위가 7시경에 KT회선 두개를 모두 닫았다는 사실조차 숨겨 덮었다. 그러나 참여연대의 정보공개청구로 기술보고서가 공개되어야 할 상황에 처하자 선관위는 KT회선을 스스로 닫았다는 사실을 시인하는 한편, 7시 이후에는 과도한 트래픽이 하나의 회선(LG U+회선)으로 몰려와서 접속장애가 생겼다는 주장을 내세웠다(1월말).

하지만 한겨레 신문이 최근 입수한 선관위 사건 수사기록에서 새롭게 드러난 사실들은 선관위의 주장이 사실과 다름을 보여주고 있다.

7시 이후의 트래픽 ‘유입’ 상황

선관위가 지금껏 숨기고 있는 “LG회선과 연결된 디도스 방어장비”의 트래픽 처리량 그래프는 다음과 같다. 이 그래프가 공개되어서는 안될 이유라도 있는가?

LG회선과 연결된 선관위 디도스 장비 트래픽 처리량

LG회선과 연결된 선관위 디도스 장비 트래픽 처리량

이 자료를 보면 7시경부터 7Mbps가량의 트래픽이 LG회선을 통하여 선관위로 들어오고 있었음을 알 수 있다. 선관위가 말하는 이른바 “1차 정상화” 기간(7:10-7:30) 동안의 트래픽 처리량이 다른 기간에 비하여 더 많거나 적은 것도 아니었다. 즉, “1차 정상화”라는 것은 유입트래픽 규모가 변화하여 생긴 것이 아니었다.

선관위가 LG U+회선에 의존하던 7시 이후에, LG U+는 디도스 공격트래픽을 자체적으로 탐지하여 차단하고 있었다는 사실도 검찰 수사기록에는 이미 포함되어 있었다. 일반인들은 다음 정보를 참여연대의 정보공개청구 결과로 올해 3월14일에야 비로소 접하였지만(http://openweb.or.kr/?p=5494), 검찰은 작년 말에 이 자료를 이미 가지고 있었다.

LG U+가 탐지하여 차단한 공격트래픽

LG U+가 탐지하여 차단한 공격트래픽

요컨대, 7시경부터는 7Mbps 규모의 트래픽이 선관위로 유입되고 있었고, 1기가(Gbps) 또는 550메가(Mbps)가 넘는 대규모 공격트래픽은 LG U+가 모두 막아주고 있었으므로 선관위로는 큰 규모의 공격트래픽이 애초에 들어오지도 않았으며, 선관위의 디도스 방어장비는 미미한 수준의 나머지 공격트래픽을 모두 걸러내고 정상트래픽을 통과시키고 있었다. 장애가 일어날래야 일어날 수 없는 상황이었다.
LG회선과 연결된 선관위 디도스 방어장비의 트래픽 처리량

7시 이후의 트래픽 ‘송출’ 상황

최근 입수된 다음 자료는 7시 이후의 선관위 접속 장애는 과도한 트래픽이 선관위로 유입되어서 생긴 것이 아니라, 트래픽이 아예 선관위 바깥으로 나가지를 못하여 생긴 것이라는 점을 보여준다. 7:10-7:30 사이의 소위 ’1차 정상화’ 기간을 제외하고는 송출트래픽(아래 그래프의 붉은색 부분)이 거의 없다는 사실을 알 수 있다.

KT회선과 연결된 선관위 라우터의 트래픽 처리량

KT회선과 연결된 선관위 라우터의 트래픽 처리량

실은 이것과 거의 같은 자료가 검찰수사기록에 이미 포함되어 있었다. 선관위는 올해 1월말에 “DDoS 공격시 DDoS 장비 트래픽 처리량”이라는 애매한 제목의 트래픽 그래프를 공개하였지만, 사실 그것은 “KT회선과 연결된 디도스 장비”의 트래픽 처리량을 표시하는 것이었다. 7:10-7:30에 나타나는 트래픽(아래 그림, 붉은색 타원으로 표시)은 위 그래프의 붉은색 부분(송출트래픽)에 해당하는 것이며 이것은 선관위가 바깥으로 내보낸 트래픽이었다. 이때 선관위는 KT회선을 닫아두고 있었으므로, 그 시점에 표시되는 트래픽은 KT회선으로 ‘인입’되는 트래픽일 수가 없고, 선관위가 처리한 응답 트래픽이 바깥으로 ‘송출’되는 과정에서 나타나는 트래픽일 수밖에 없다.

KT회선과 연결된 DDoS장비 인입/송출 트래픽 처리량, 선관위 보고서 슬라이드 13(부분)

KT회선과 연결된 DDoS장비 인입/송출 트래픽 처리량, 선관위 슬라이드13(부분)

이상 자료에서 도출되는 결론은 다음과 같다:

  • (1) 7시부터는 트래픽이 선관위 바깥으로 “나가지 못하여” 접속장애가 생겼고,
  • (2) 7:10 – 7:30 사이의 이른바 “1차 정상화”는 트래픽이 바깥으로 송출되도록 선관위가 모종의 조치를 7:10에 취했기 때문이고,
  • (3) 7:30부터 다시 트래픽이 선관위 바깥으로 송출되지 못하는 현상이 나타났고 이 상태는 8:40경까지 지속되었는데 이것 역시 과도한 트래픽이 선관위로 ‘유입’되어 생긴 것은 아니다.

선관위로 ‘들어오는’ 트래픽이 급격히 늘어나거나 줄어들었다면 디도스 공격 등 외부적 요인으로 인한 현상이라고 판단해야 하겠지만, 선관위로 들어오는 트래픽은 7Mbps 수준이 계속 유지되는데 반하여, 선관위가 바깥으로 ‘내보내는’ 트래픽은 없다가(7:00-7:10), 있다가(7:10-7:30) 다시 없어지는(7:30-8:40) 현상을 보이고 있는데, 이것은 선관위가 스스로 취한 조치(트래픽 ‘송출’ 규칙을 이리 저리 스스로 바꾼 행위)로 생겨난 결과일 수밖에 없다.

7시 이후에도 디도스 공격은 계속되었지만, 큰 규모의 디도스 공격은 망사업자(LG U+)가 미리 차단해주고 있었고 나머지 사소한 공격트래픽은 선관위의 디도스 방어장비가 모두 걸러내고 있었으므로, 디도스 공격 때문에 선관위의 접속장애가 발생한 것은 아니었다.


관련 글:
[한겨레] 10·26 선관위 사건의 진상 (4월5일)

Categories: 보안, 선관위 접속장애 사건 | Comments Off  오픈웹 구독 메일로 받기

«

»