선관위 접속장애 사건 특검의 성과

2012.05.03 글쓴이 youknowit

10.26선관위 접속장애 사건에 대하여 오픈웹에 게시된 30여개의 글 중, 하나라도 읽으신 분이 우리 국민 중 과연 몇 %일까요? 아마 0.0001%?

대담하게 거사를 감행한 자들의 계산은 바로 이것이었습니다. “디도스로 뻗었다”는 스토리를 대대적으로 뿌려대고, “범인도 잡았다”면서 전과자 몇명을 총알받이로 내세운 다음, 내막을 밝히는데 필요한 자료를 숨겨버리면 그대로 묻힌다는 것입니다.

그러나, 선관위가 예측 못했던 것이 하나 있습니다. 미국 오레건 대학교가 전세계 모든 라우터들의 up/down 상황을 실시간으로 기록하여 저장해 두고 있다는 사실입니다. http://archive.routeviews.org/bgpdata/2011.10/UPDATES/ 이 자료를 읽을 줄 아는 사람은 그날 아침의 접속장애가 디도스로 인하여 생긴 것일 수는 없다는 사실을 당장 알 수 있습니다. 이 내용을 오픈웹이 상세히 설명하였습니다만, 기술적으로 복잡해서 과연 어느만큼 전달되었는지 의문입니다. (물론 이런 기술적 데이터는 아예 살펴보지도 않고 무조건 선관위 직원이 ‘무능’했을거라 전제하고 그것이 ‘논리적’이라 믿는 분들도 있지요.)
6:00-8:30 사이 선관위 라우터 Down 현황

많은 분들은 “라우터(router)”가 무엇인지부터 이해하기 어려울 것입니다. 쉽게 설명드리겠습니다. “인터넷”이 무엇인가요? “inter”-”net”이라는 말에서 드러나듯이, 망과 망들이 연결되어 이루어진 망이라는 뜻입니다. Network of networks 이지요. 하나의 망에는 여러대의 컴퓨터가 있는데, 그 중 하나는 반드시 다른 망과 연결되어 있고, 이것이 라우터(트래픽 처리만을 위하여 특별히 제작된 컴퓨터)입니다. 자기 망에서 다른 망으로 나가는 트래픽과 다른 망에서 자기 망으로 오는 트래픽이 모두 이 라우터를 거쳐서 오고 갑니다.

트래픽이 망 내부에서 망 외부로 들어오고 나가려면 “트래픽 교통정리”가 필요합니다. 특히 선관위망은 두개의 망(KT망, LG망)과 연결되어 있습니다. 따라서 교통정리 규칙이 더욱 복잡합니다. “라우터 설정”이라는 것이 바로 트래픽 교통정리 규칙입니다.

이 교통정리 규칙이 이상하게 바뀌면, 트래픽이 오고가지 못하게 됩니다. 사거리에 있는 신호등을 이상하게 조작해 버리면, 차들이 서로 충돌하고 꽉 막혀버리는 것과 같습니다.

그날 선관위 K사무관은 아침 내내 선관위 라우터에 붙어 앉아서 트래픽 교통정리 규칙을 이리 바꾸고 저리 바꾸고 했습니다. 당시 선관위 서버실에는 K사무관 외에도 여러명이 있었고, 모두 이 상황을 목격했을 것입니다. 그리고 라우터에서 이런 조작을 하면, 그런 조작을 했다는 사실이 모두 기록됩니다. 이것이 “라우터 로그(log)”입니다. 구린 짓을 한 적이 없다면, 라우터 로그를 공개하지 못할 이유가 없습니다. 라우터 로그에는 어떠한 개인정보나 민감한 정보도 들어있지 않기 때문입니다.

지난 10월26일 아침 선관위 “라우터 설정”이 이리저리 변경되었을 뿐 아니라, 그런 조작을 한 흔적을 감추기 위하여 “라우터 로그”가 변조되었다는 사실이 특검 수사 과정에서 드러날 것입니다. 이유는 간단합니다. 선관위가 현재 내놓고 있는 라우터 로그 기록과 미국 오레건 대학이 당시 실시간으로 저장해 둔 라우터 up/down 상황을 비교해 보면 되기 때문입니다. 물론 선관위측 라우터와 연결된 LG망, KT망 쪽 라우터의 로그(가 변조되지 않았다면, 이들 로그)와 선관위 로그를 대조해 봐도 됩니다(두번째 방법은 작년 11월26일자 LG엔시스 보고서가 이미 추천했지만, 검경은 이를 묵살).

사람은 거짓말을 하지만 라우터는 거짓말을 안합니다.

Categories: 보안, 선관위 접속장애 사건 | 6 comments  오픈웹 구독 메일로 받기

  • http://openweb.or.kr youknowit

    정말 궁금해서 그런데요, 선관위 네트워크 전문 가이신 K사무관께 한가지만 물어보겠습니다. 그날 아침 7:10에 라우터 설정을 어떻게 바꾸셨길래, 라우터가 계속 죽는 문제가 감쪽같이 해결되었나요? (물론, 7:30에 또다시 설정을 도로 바꾸었으니까 라우터가 다시 계속 죽었지만, 왜 그랬는지를 굳이 물어볼 필요는 없겠지요)

  • http://openweb.or.kr youknowit

    워낙 꼼꼼한 분과 함께 살다보니, 이런 일도 해두게 되네요. 라우트 뷰에서 내려받은 파일들의 SHA1 해쉬값 입니다.
    0e85638723d40edd1bf7c10882c98c75a1d6a445 updates.20111025.1500.bz253e194862099e7ebcbd30159ff5a9b7041c1d10d updates.20111025.1515.bz2310e715b6c1eb7e72e10fbc63c6871e094e58184 updates.20111025.1530.bz2e0e7d5e873c67b240bb1c52876cf67a107d50ae6 updates.20111025.1545.bz209ee83ae2a8ae721b01afb917229567cadeb999c updates.20111025.1600.bz2cae282b51397f7a46094529168e06da828f01fd3 updates.20111025.1615.bz2fd1a4a985ad51b394c937e657c76c650b26dbad3 updates.20111025.1630.bz2d3d032bded2ff59a665882525d74117db72a8d45 updates.20111025.1645.bz2ed482e5fa5543aef6a4c91d287a8c743bb63a308 updates.20111025.1700.bz291357173289bb02dae6320a220b002d1caf71002 updates.20111025.1715.bz2bfd3788d239df82079afd31076e25c5c3f4e667d updates.20111025.1730.bz21061b42580e02a9f0c1cc504834b8c9c55f1ecb4 updates.20111025.1745.bz20ff9a08f9b9db85b42b7202c205b0e5b3c586b36 updates.20111025.1800.bz268aabb17337a8b576d6d1ea475bcf1078ecd8428 updates.20111025.1815.bz21900bdaed21e1aacda1020babae34b605db0493c updates.20111025.1830.bz20d1f406cbdfcee3ec4e11f2bb97a592056e0d70e updates.20111025.1845.bz2b4d00c75a22e13f08ea4ad904bfeaa6a0813399e updates.20111025.1900.bz21b845a792c810481edfa37d725a907c2fa247362 updates.20111025.1915.bz2bcb18d961e3187ab2f1aac2ddfa18ee0cd5856b2 updates.20111025.1930.bz2e9ccaccdb0817562069b17252cc04dddfd58d877 updates.20111025.1945.bz2f868ae02a62d2fabc70cf160958b4f1b18536bc5 updates.20111025.2000.bz269a6bf1e9cf0620c81aa8d089b6364b8d52fbd43 updates.20111025.2015.bz2d0e9c6557b379eb92542222c3c70f839d4f58e91 updates.20111025.2030.bz280e5c568c21d501e7245db90f6ca151c13dece59 updates.20111025.2045.bz2a7dd7b867f547f028888a59ba4ea38fe36d28969 updates.20111025.2100.bz25bc561b8122de2ce5c4654849235f62bb569d86c updates.20111025.2115.bz22ced9e325b6eab0055562f80e7d23478a171c510 updates.20111025.2130.bz26ca77a41b561235c3ee4ae9e84cc835afe71240e updates.20111025.2145.bz2a12fd1b11e0f018d50fb7efc1be8644e9e2c0285 updates.20111025.2200.bz25106a8d9191f18a0c418af88bf8e4431e81ed166 updates.20111025.2215.bz21114ec0573361b122aed764964f0e3282d4d250b updates.20111025.2230.bz2db10a1278be4e90e0145441be6f0466e559f692b updates.20111025.2245.bz24cb178bc9345449ca071606dbde64ae2fd2d1da7 updates.20111025.2300.bz2896de2d5cb6c7b9172770ccf0fd70bfaa56a6cea updates.20111025.2315.bz2582faa7e636451dd47184c6f601a490e4ccbc210 updates.20111025.2330.bz2 b222f9c7e4d59ecd930a2954b46406f06f4c9193 updates.20111025.2345.bz2f13785031148452e6591e6df05c9f3270637ea2a updates.20111026.0000.bz2

  • http://profile.yahoo.com/IRJ36U4IONKHGTNYKTKCABUTYI 무명

    선관위 사건도 중요하지만 인터넷 뱅킹관련해서 오픈웹이 해놓은 그나마의 노력도 모두 물거품이 될 것 같네요.

  • http://profile.yahoo.com/IRJ36U4IONKHGTNYKTKCABUTYI 무명

     우선 무명으로 글 남기는 부분은 죄송합니다.(관련 분야 종사자여서)
     간략히 말씀드리면, 완전하게 웹표준을 준수한 오픈뱅킹은 아니지만, 오픈웹의 노력으로 리눅스, 매킨토시 운영체제와 다양한 웹브라우저를 지원하는 은행들이 많아진 상황이고 점차 늘어나고 있습니다.
     국민은행 같은 경우에는 조회만 가능하지만 스마트폰에서 웹으로 접속했을 때 서비스가 가능한 형태로까지 점차 발전하고 있습니다.
     그런데, 아쉽게도 현재 금융위에서 추진하고 있는 뱅킹관련 정책이 후퇴하고 있고, 이 부분에 대한 반대 의견을 많은 실무자들이 건의해도 막무가내로 의견 수렴없이 진행되고 있는 상황이어서 공론화의 필요성이 있어서 언급합니다.

     올해 초 보이스 피싱 사고 관련 금융위가 발표한 “금융소비자 보호를 위한 보이스피싱 피해방지 종합대책”이 있습니다.
    http://www.fsc.go.kr/info/ntc_news_view.jsp?bbsid=BBS0030&page=1&sch1=&sword=&r_url=&menu=7210100&no=28528

     1월 발표 내용과 현재 추진 내용은 다소 변경이 있으나, 인터넷 뱅킹 시스템에 영향을 미치는, 특히 웹 표준과 또 멀어지는 내용이 있습니다.

     바로 인터넷 뱅킹을 할 수 있는 PC를 지정하는 것입니다.(애초는 공인인증서 재발급 PC 지정이었는데, 이것이 뱅킹 거래 PC 지정으로 현재 변경 추진중입니다.)

     이를 위해서는 당연히 사용자가 이용하는 PC 정보를 은행에 알려주기 위해서 “PC 정보 수집”을 하는 플러그인(ActiveX 등)을 또 깔아야 합니다.

     현재 오픈 뱅킹에서 겨우 자바 스크립트 기술(웹표준)로 대체해서 걷어낸 키보드보안 프로그램 같은 것이 강제로 하나 더 생기는 것이죠.

     향후 HTML5 에서 전자서명, 인증서 발급 기능이 표준으로 들어간다고 하더라도, 이 규정이 강제되면 진정한 오픈 뱅킹은 또 물건너 가게 되는겁니다.

     사실 보이스 피싱사고가 현재 큰 문제이고 해결해야 합니다. 그러나, 이를 해결할 수 있는 방법이 꼭 PC 지정제만 있는 것이 아닙니다. 금융위 자료에도 “PC 지정” or “전화 인증” or “OTP” 중에서 택일로 되어 있습니다.

     문제는 아래 2가지 때문입니다.

    1. PC 지정이 시스템을 만드는 은행의 선택이 아니라, 고객의 선택이므로 은행은 무조건 ActiveX 를 깔도록 시스템을 만들어야 합니다. 현재의 방화벽과 똑같은 개념입니다.(설치는 무조건 하되 사용자가 싫으면 삭제할 수 있다??)

    2. PC 지정이 “전화 인증”, “OTP” 보다 보안상 더 취약할 수 있습니다.(해킹한 PC에서 MAC 주소 등을 획득하고 해커 PC에 해당 정보로 강제 변경하는 등), 다만 금융위가 이것을 강제하는 것은 사용자의 불편을 최소화하는 방안을 추가해서 국민들의 불만을 최소화하려는 목적이 크다고 봅니다.

    제발, 편의성과 면피만을 생각해서 불필요한 낭비와 요상한 보안 정책의 남발이 그만 멈추었으면 합니다. TT

  • http://twitter.com/jijac 만지작

    선관위는 김기창 교수를 명예훼손이든 회손 이든 빠른 대응을 해야 할 것입니다. 물론 논리적으로 봤을 때 무능해서 그렇지 않을 가능성이 높죠… 

  • youniman

    특검 결과나왔네요. 어처구니 없네요. 

«

»