10.26부정선거의 선관위 발표 보고서에 대한 분석

2012/2/21 by

10.26부정선거의 선관위 발표 보고서에 대한 분석

 

 

 

10.26 부정선거와 관련하여 하나의 자료를 받았다. 이 자료는 참여연대가 선관위에 정보 공개를 공식 요청하고 선관위가 이를 받아들임으로써 공개된 자료였다. 나를 포함해 11명의 관련 분야 전문가가 이 자료를 받아 공동으로 분석한 후 각자의 견해를 글로 쓰기로 했다. 이에 따라 내가 바라본 이 자료의 내용과 문제점, 그리고 그 문제점에 따른 의혹을 써 보았다. 다음은 이 작업에 함께하신 분들의 글을 볼 수 있는 링크이다.

 

링크 1: 10.26선관위 웹사이트 서비스 장애의 원인

링크 2: 선관위 자살골을 공개합니다.

 

 

이 자료는 선관위의 DDoS 방어 장비인 LG앤시스에서 선관위에 제출한 분석 보고서로 앞서 말했듯이 참여연대의 정보 공개 요청을 받아들여 선관위가 공개한 것이다. 따라서 이 자료는 선관위에서 공식적으로 인정한 입장이라고 봐도 될 것이다. 또한, 이 자료 이외에 선관위에서 발표한 또다른 보고서를 참조했다. 이 보고서는 중앙선관위 홈페이지의 공지사항에 있는 “10.26 재보궐 선거 관련 의혹 제기에 대한 10문 10답”이라는 글의  첨부파일인 “중앙선거관리위원회 DDoS관련 기술분석 보고서.pdf” 라는 파일이다.

 

 

이 글은 다음과 같은 목차로 되어 있으며, 복잡한 설명이 어려운 분이라면 VI.문제점 요약, VII.두 가지 시나리오, 그리고 VIII. 결론 부분만 보시면 어느 정도 이해가 가리라 생각된다. (정 머리가 아프면 마지막 부록만 봐도 된다.)

 

목 차

 

I. 보고서를 토대로 유추해 본 선관위 네트워크 구성

II. 보고서의 개요

III. 주요 사항 분석

IV. 사건의 재구성

V. 문제점 지적

VI. 문제점 요약

VII. 두 가지 시나리오

VIII. 결론

부록 1 : 귀차니스트를 위한 친절한 요약

부록 2 : 왜 KT 망을 차단했는지에 대한 뒷 이야기


I. 보고서를 토대로 유추해 본 선관위 네트워크 구성

 

 

위의 그림은 “중앙선거관리위원회 DDoS관련 기술분석 보고서” 따온 선관위 네트워크 구성도이다. 그런데 이 그림만 봐도 머리가 어질어질 하는 분들이 대다수이리라 생각된다. 그래서 아래 상세 내용 정리는 관련 지식이 있는 분만 보시기 바란다.

- 우선 외부 망은 기본적으로 KT 망 두 개(ATM#0와 ATM#1) 그리고 LG 망으로 병렬로

- 내부 라우터는 KT와 LG 각각 1개씩인 것으로 보임

- 라우터 뒤에 LG 앤시스의 DDoS 장비가 각각 있는 것으로 보임

- 양쪽 DDoS 장비 뒤에 각각 IPS 장비가 있는 것으로 보임

- 각각의 IPS 장비 뒤에 방화벽 장치가 있는 것으로 추정됨. 이 네트웍은 두 망이 상호 연결되어 있음

- 방화벽 뒤에 별도의 웹 방화벽 장비가 각각 있는 것으로 추정됨. 여기에도 두 망이 상호 연결되어 있음

- 웹 방화벽 장비 뒤에 내부 네트웍이 있으며 내부 네트웍에는 5개의 선거정보 웹서버와 2개의 홈페이지 웹서버가 로드 밸런싱 되고 있는 것으로 보임. 웹서버는 TMAX의 WebtoB-JEUS WAS를 사용하는 것으로 추정됨

- 웹 방화벽이 있는 네트웍과 별개의 네트웍에 1개(혹은 클러스터링 된 여러 개)의 Oracle DB 서버가 존재하는 것으로 보이며 이를 모두 share하는 듯함

- 결론적으로 두 망은 병렬로 구성되어 있으며, 망 앞에서 BGP에 의해 한 쪽이 막히면 다른 쪽으로 라우팅 경로가 자동으로 뿌려지도록 되어 있을 것으로 보임. 이후 다른 쪽 망으로 들어온 트래픽은 IPS 장비를 지난 후 다시 원래의 망 쪽으로 라우팅 되는 것으로 보임

 

이렇게 머리가 어질어질할 분들을 위해 쉬운 개념도를 그려 보았다.

 

 

네트워크 방어망이란 주요 정부 기관을 보호하는 초소와 같은 개념이라고 보면 된다. 정부 기관에 일반인도 드나들어야 하지만 나쁜 의도를 가진 테러범이 들어올 수 없게 여러 단계의 초소가 있게 마련이다. 이 그림에서 볼 수 있는 것 처럼 처음에는 경찰이, 다음에는 소총을 든 병사가, 그리고 여러 역할이나 무기를 가진 이가 단계별로 지킨다. 이 그림에서 중요한 점은 어디에 병사가 서 있나가 아니라 이렇게 다양한 역할을 하는 각각의 초소가 있고, 각각의 초소는 자기가 담당한 침입자를 걸러낸다는 개념이다.

II. 보고서의 개요

 

길게 설명해도 복잡하기만 하지 이해에 별로 도움은 안되는게 이런 전문적인 문제다. 그래서 간단하게 보고서에 나온 팩트만 나열해 보겠다.

 

1. 선거일 아침, 디도스 공격은 라우터까지는 지나갔지만 위의 간략한 개요도에 있는 C와 D 화살표 사이에 있는 디도스 방어장비에서 거의 다 차단됐다.

 

2. 공격이 앞에서 걸러짐에 따라 한참 뒤에 있는 웹서버와 DB서버는 정상 동작했다. 즉 위의 그림에서 웹서버(아름다운 여성)와 DB서버(요리사)는 아무 문제 없이 잘 있었고, 어떤 공격도 받지 않고 있었다. 심지어 IPS 장비나 방화벽 장비도 8:32 까지는 별로 한 일이 없다. 이후 저녁 때까지 꾸준히 자기 할 일을 잘 했을 뿐이다. 즉, 앞의 디도스 장비가 다 걸러내면서 D부터는 별로 통행량(트래픽)이 없었고 이에 따라 8:32까지는 오히려 뒤에 있는 넘들은 내내 놀았다.

 

3. 보고서 24페이지에 나온 바와 같이 메모리 증가 현상(메모리 100% 사용)으로 인해 홈페이지 웹서버 2대가 6:52과 6:54에 재기동되었다. 왜 메모리가 100% 였는지는 알 수 없지만 간혹 서버 프로그램에 문제가 있는 경우 이런 현상이 발생하기도 한다. 이럴 땐, 모두들 알다시피 “재부팅엔 장사 없다”는 논리에 따라 서버를 재부팅하곤 한다. (물론 그렇다고 이게 좋다는 건 아니다)

 

4. 보고서 6페이지에 나온 바와 같이 5시 50분 이전에는 디도스 공격이 없었던 것으로 보인다.

 

5. 6시부터 디도스 공격이 개시되자 7시부터 8:32 까지 KT 망이 의도적으로 차단됐다. (선관위 유훈옥 사무관이 자신의 결정으로 차단됐음을 오픈웹 김기창 교수에게 인정했음)

 

6. 6시부터 오후 1시까지 LG 망이 이상 증상을 보였다. (경로를 못 찾고 헤매는 현상)

 

7. KT 클린존으로 옮기고(이건 이 보고서에 없지만 다른 선관위 발표에 있음)나서 8:32에 KT 망을 다시 열자 정상적으로 동작 시작. (클린존은 사이버대피소 라고도 하며, 더 큰 용량과 추가 방화벽을 제공하는 것으로 추정됨)

 

8. 오후 1시경 KT Giga 망으로 이동해서 서비스

 


III. 주요 사항 분석

 

우선 무엇보다도 특정 페이지만 죽었다는 주장에 대해 잠시 거론해 보자. 이건 이 발표로 사실과 다르다는 결론을 얻을 수 있다. 이 보고서만 보면 애초에 특정 페이지는 커녕, 웹서버도 안 죽었다. 그러니 디도스로 특정 페이지만 죽일 수 있다는 주장 자체가 거론할 가치도 없는 주장이다.

 

5시 50분 이전에는 디도스 공격이 없었다. (새벽 1시경 테스트로 잠깐 있었던 것으로 보인다.) 이 보고서만으로 판단할 때, 선관위 라우터에 디도스 공격이 도달한 시점은 5:50부터 7:00 뿐이다. 7:00에서 8:32 까지는 KT 망이 끊어졌기 때문에 선관위 라우터에 도달한 디도스 공격이 없었다. 이후 1시 경에 다시 공격이 있었던 것 같은데 이 때에는 바로 KT Giga 망으로 이전해서 이를 해소했다.

 

KT 망을 끊은 이유는 선관위의 다른 보고서에 “KT회선 부하로 인한 서비스 장애 판단 후 LG U+ 회선만 유지”라고 되어 있다. 즉, KT 망에 너무 많은 양의 트래픽이 몰렸다는 이유로 회선을 의도적으로 끊었다는 뜻이다.

 

LG U+망이 제대로 작동하지 않은 이유는 BGP Down으로 인해 트래픽이 제대로 전달되지 않았다고 되어 있다. 이는 원래 155MBps의 회선 대역폭이 있는데 여기에 200MBps가 유입되었고, 이 과정에서 30MBps 만 전달되고 나머지는 아예 상호 전송이 안되는 이상 현상이 발생됐다는 의미다. 하지만 아래 그래프 만으로는 LG U+망에 200MB가 유입된 흔적을 찾기 어렵다.

IV. 사건의 재구성

 

 

선관위의 주장에 따라 사건을 시간순으로 재배열하면 이렇다.

5:00 선관위 유훈옥 사무관 사무실 출근

5:50 디도스 공격 시작. KT망, 병목 현상 발생했으나 다운되지는 않음

6:35 LG U+망 헤매기 시작 (30MBps). 이전까지 LG U+망에는 트래픽이 거의 없었음

6:52 선관위 사무관, 홈페이지 웹서버 #1 재시작

6:54 선관위 사무관, 홈페이지 웹서버 #2 재시작

7:00 선관위 사무관 지시로 KT망 차단. LG U+망 10MBps 정도만 동작

7:30 KT망 #1 회선 열림 (KT망은 두 개의 회선이 있음)

7:45 KT망 #1 회선 닫힘

8:32 KT망 다시 연결 (사이버 대피소, 즉 클린존으로 우회하게 한 후 연결)

13:00 KT Giga 망으로 이동. LG U+망 정상 작동 시작

 

그렇다면 사용자 입장에서의 상황은 어떨까? 나도 당시 선거에 관심이 있어 한국 시간 6:10분 쯤에 선관위 홈피에 접속해 보았다. 이 시점에서는 아주 간헐적으로 접속이 됐다. 그런데 한국시간 7시가 넘어가면서부터는 아예 홈페이지를 볼 수가 없었다. 이 내용만 놓고 보면 선관위는 그럭저럭 대응을 잘 했고, 얼핏 생각하면 이 내용들이 별 문제가 없는 것 처럼 보인다.

V. 문제점 지적

 

자, 그렇다면 이렇게 별 문제 없어 보이는 상황에서 뭐가 문제점이라고 지적하려는 것일까?

 

1. 선관위는 2시간 42분 동안 뭘 했는가?

 

처음 디도스 공격이 시작된 후 KT 사이버 대피소(클린존)을 통해 망을 다시 복구한 시점의 차이는 총 2시간 42분이다. 이 시간이면 뭘 해도 충분히 몇 번은 할 수 있는 시간이다. 그런데 디도스 공격으로 접속이 어려워진 후 1시간 10분이 지난 후에야 KT망이 차단됐고, 다시 1시간 32분이 지난 후에야 클린존을 우회하는 방법으로 복구했다.

 

클린존 우회가 뭔지 나도 100% 아는 것은 아니다. 하지만 짐작컨데 좀 더 높은 대역폭을 갖는 회선으로 연결해 주고, 이 과정에서 공격성 트래픽은 일정부분 차단이 가능한 것이 아닐까 추측된다. 그런데 이런 망 우회를 해주는 것은 이미 준비가 되어 있었다면 크게 어려운 일이 아니다. 기존에 매뉴얼이 있고 사전 협의가 되어 있다면 그냥 KT에 요청해서 우회망으로 돌려달라고 하면 몇분 ~ 몇십분 안에 끝나야 정상일 수준의 일로 보인다. 그런데 무려 이 과정에 공격후 총 2시간 42분이 소요됐다.

 

2. 선관위는 왜 6시 52분에 웹서버를 재시작했나?

 

6시 52분이면 디도스 공격이 시작된 후 1시간이 지난 시점이다. 그리고 문제는 홈페이지가 아니라 선거 정보 서버에 문제가 생긴게 더 컸다. 따라서 이 시점에서 한가하게 홈페이지 서버 재시작이나 하고 있다니? 물론 100% 메모리 사용은 문제가 있는게 사실이다. 하지만 그보다 시급한 것은 디도스에 대한 대응이다. 이 시점에서 메모리가 100%가 되었던 서버의 상황은 보고서 31, 32페이지에도 “이상없음”으로 되어 있다. 따라서, 일단 디도스 공격이 시작되면 서버 재시작이 문제가 아니라 일단 신속하게 사이버 대피소든 클린존이든 대용량 우회 필터링 경로를 이용하도록 조치를 하는게 최우선이다. 그런데 이 조치는 서버 재시작을 하고, 다시 몇 분이 지난 후에야 이루어졌다.

 

그렇다면 도대체 왜 웹서버를 이 시점에 재시작했을까? 물론 KT에 단절조치를 요청한 후 선관위 담당자가 웹 서버를 점검하다보니 100% 메모리 사용중이라서 재시작했을 수는 있다. 그것까지는 이해해줄 수도 있다. 어짜피 문제가 터지면 당황한 마음에 이런저런 해결책을 마구잡이로 써보기도 한다. 하지만 서버의 재시작은 뭔가 설정을 변경했을 때 하기도 한다는 점에서 한번쯤 의혹의 눈길을 받을 여지가 생긴 것 역시 사실이다.

 

3. 선관위는 어떻게 6시 52분에 웹서버를 재시작할 수 있었나?

 

보고서 31, 32페이지를 보면 “이상없음. 메모리 증가 현상으로 인한 장애 방지 차원에서 사용자에 의해 재 기동됨”이라고 되어 있다. 그런데 그 재기동을 하려면 사용자가 직접 데이터 센터에 가서 서버 옆에 서서 재기동을 하던가 혹은 VPN을 이용해서 재기동을 원격으로 지시해야 한다. 아니면 SSH를 이용해서 접속하는 방법도 있는데 일단 VPN 장비가 보고서에 있는 것으로 미루어 볼 때, 당연히 VPN을 기본으로 사용하고 있었다고 보아야 한다.

 

그런데 VPN을 통해 접속하려면 이것 역시 동일한 네트워크를 이용한다. 하지만 6시 – 7시에는 KT의 그래프를 보면 상당히 많은 트래픽이 있었다. LG망은 맛이 가 있었다. 만약 이 디도스로 인한 트래픽이 접속조차 안될 수준이라면, 너무나 당연하게도 VPN 역시 안되어야 맞다. 하지만 이 시점에서 서버 재시작은 이루어졌다. 그러면 결론은 하나다. IDC 내부에서 누군가가 서버 앞에서 재시작을 해줬다는 소리다.

 

이에 따라 오픈웹 김기창 교수가 이 과정이 누구에 의해 이루어진 것인지  선관위 유훈옥 사무관에게 이와 관련한 질의를 했다. 그리고 유훈옥 사무관은 자신이 이것을 지시했으며, 실제로 KT 망을 차단하는 것은 다른 사람이 했다고 답변했다. 이 말은, 그 사람이 IDC 내부에 가서 작업을 했거나, 혹은 그 사람이 IDC에 망 차단을 의뢰했다는 소리다.

 

만에 하나 그 사람이 선관위 사무실에서 VPN을 통해 서버를 재기동했다면, 문제는 다른 국면으로 넘어간다. 이게 가능하려면 선관위 사무실에서 IDC로 VPN 접속이 되어야 한다. 그리고 이 VPN 망은 선관위 홈페이지와 동일한 네트워크를 사용한다. 즉, 선관위 홈페이지가 매우 심각한 디도스 공격을 받고 있었는데, 선관위 사무관은 VPN을 연결해서 서버를 재기동할 수 있었다는 이야기가 된다. 갓길이 없는 고속도로가 사고로 꽉 막혔는데, 경찰차만 혼자 유유히 지나가서 사고 지점을 클리어 했다는 소리가 되니까 말이다.

 

4. LG U+ 망은 왜 비정상 동작했는가?

 

보고서 상으로 볼 때, 이 LG U+ 망은 6시부터 13시까지 비정상 동작했다. 적어도 6시 ~ 9시 사이에는 분명 할당된 대역폭보다 낮은 트래픽을 전송했다. 그런데 LG U+망과 KT망은 처음에 있는 그림에 보이는 바와 같이 병렬로 연결되어 있다. 그리고 이런 설정에서는 한쪽 망이 차단되거나 트래픽이 폭주하면 당연히 다른 망으로 경로가 뿌려지게 구성하기 마련이다. 하지만 그래프에서 보이다시피 LG U+망으로 들어간 트래픽 자체가 매우 적다. 그걸 가리켜 보고서에서는 BGP Down이라고 설명하고 있다. KT망으로 유입되던 트래픽을 LG U+망으로 넘겨줘야할 BGP 설정에 문제가 생겼다는 이야기일 것으로 보인다. 그렇다면 이것은 KT망 백본의 문제일 수도 있고, LG U+망 백본의 문제일 수도 있다.

 

이 과정에서 어떤 조치를 취했을까? 각각의 라우터 등 장비 리셋같은 기본 작업이야 다 했으리라고 믿고, 그렇다면 당연하게도 잠시 끊어졌다가 다시 치솟고 다시 일부만 전달되는 복잡한 과정이 이루어져야 한다. 그런데 보고서 6페이지를 보면 처음에 30MBps 로 치솟았다가 꺼진 후 10MBps에서 유지되는 모습을 볼 수 있다. 참고로 이 네트워크의 설정 대역폭은 150MBps라고, 선관위 홈페이지 공지사항의 보고서에 나와 있다.

 

5. 왜 KT 망을 단절했는가?

 

보고서에서 볼 수 있듯이 LG U+망에 문제가 있었다. 혹은 LG U+망으로 돌려주는 BGP 설정에 문제가 있었다. 그리고 이 문제는 이미 6:30부터 확인 가능했고, KT망을 끊던 7시에는 LG U+망으로 우회가 안된다는 것을 확실하게 보여주고 있었다. 그런데, 두 개의 디도스 방어장비는 잘 작동하고 있었으며, 내부 파이어월이나 웹서버, DB서버는 아예 놀고 있었다.

 

이런 상황이라면 KT망에 아무리 트래픽이 몰려도 일단 망을 단절해서는 안된다. 왜냐하면 비록 네트워크에 병목 현상이 벌어지고 있다고 하더라도 웹서버가 살아있는 한 부분적으로라도 접속이 되기 때문이다. 또한, LG U+망 우회가 정상 동작을 안하는 상황에서 KT망마져 끊어버리면 접속자는 아예 접속할 방법이 사라져 버리게 된다. 그런데 선관위는 아예 망 자체를 끊어 버렸다.

 

만약 선관위에서 어떻게든 서비스를 유지한 채 대안을 찾으려고 했으면 일단 KT 망 자체는 살려놨어야 한다. 그러다가 클린존 우회 경로가 확보되면 잠시 몇 분간만 회선을 끊고 이를 돌렸어야 한다. 이것을 아주 매끄럽게 하는게 쉬운 일은 아니지만, 그래도 사전에 준비가 다 되어 있었어야 한다. 그런데 대응을 한답시고 일단 끊어버렸다. 백업망인 LG U+망이 작동하지 않는 상태임에도 불구하고.

 

 

그런데 이 시점에서 짚고 넘어가야 할 부분이 있다. 선관위에서 공개한 보고서 13페이지에는 위의 그림과 같은 내용이 있다. 그런데 화살표에 해당되는 부분을 살펴보자. 선관위 담당자가 KT망을 차단한 것은 7시였다. 그렇다면 적어도 6시 50~6시 58분 사이에 차단 결정이 내려졌다고 봐야 한다. 그리고 이 시점에 디도스 장비가 차단한 트래픽의 분량, 즉 디도스 공격량이 감소하고 있었다는 것을 볼 수 있다.

 

다시 한번 정리해 보자. KT 망에 정상 트래픽과 함께 디도스 공격이 폭주했다. 이 상황에서 백업 우회망인 LG U+로의 우회가 제대로 작동하지 않았다. 그리고 1시간 정도 계속되던 디도스 공격이 감소하고 있었다. 그런데 선관위는 이 상황에서 KT 망을 차단해 버렸다. 이유는? 디도스로 접속이 안된다는 이유였다. 하지만 이 디도스 트래픽은 디도스 방어장비가 잘 걸러내고 있었다. 그리고 다시 말하지만, 디도스 공격량 자체는 감소하고 있었다. 즉, 어차피 디도스 장비에 의해 걸러질 트래픽을 막기 위해, 그리고 이미 디도스 공격이 감소하고 있었음에도, 정상 트래픽까지 못 들어오도록 길을 끊어 버렸다는 소리다.

 

언제부터 통신 회선 서비스 장애 해결 방법이 그 회선을 끊어서 아예 못들어가게 하는 것이었나? 요샌 빨대가 막혀서 물을 못 마시면 빨대를 아예 끊어버리나? 그러면 그 물을 마실 수 있게 되나?

 

이 상황을 알기 쉽게 요약하면 다음과 같다.

 

고속도로에 일반 차량과 대포 차량이 몰렸다. 원래 일반 차량만 있으면 충분히 다니고도 남는 길에 대포 차량이 몰리면서 고속도로가 막혔다. 이 대포차량은 중간에 있는 검문소에서 “완전히 자동으로 걸러져서” 옆으로 사라져 버린다. 그리고 고속도로 옆으로는 우회 고속도로가 있다. 그런데 이 우회 고속도로로 가라는 안내 표지판이 무슨 이유에선지 오동작을 했다. 그래서 일반 차량도, 대포 차량도 극소수만 우회할 수 있었다. 그런데 대포 차량이 차츰 감소하고 있었다. 이 과정에서 선관위가 내린 결정은,

고속도로 자체를 막아서 아무도 못 지나가게 한 것

이다


VI. 문제점 및 상황 정리

 

다음은 앞서 지적한 문제점을 보기 쉽게 정리한 것이다.

 

1. 문제가 있었던 당시 누군가가 서버가 있는 곳에서 서버를 관리하고 있었다.  그럼에도 불구하고 선관위는 디도스 공격이 시작되고 2시간 42분이 경과할 때 까지 적절한 조치를 취하지 않았다. (취하려고 했겠지만 완료되기 까지 2시간 42분이 소요됐다.)

 

2. 백업 우회망인 LG U+ 망은 이해하기 어려운 이유로 정상 동작하지 않았으며, 이에 따라 6시부터 원래 용량인 150MBps의 1/5인 30MBps를 처리하다가 나중엔 10MBps 정도만 처리했다.

 

3. 이렇게 LG U+ 망이 정상적이지 않은 상태에서, 선관위 홈페이지로 들어오는 디도스 공격량이 차츰 감소하고 있었다.

 

4. 이 시점에서 선관위 사무관은 트래픽이 많다는 이유로 KT망을 7시에 차단했다. 그리고 8시 32분까지 계속 차단된 상태가 유지됐다.

 

5. 이 결과 시민들은 10MBps의 LG U+ 대역폭만을, 그것도 디도스 공격과 함께 공유하게 되었고 이 결과 선거 투표소를 조회할 수 있는 시민은 거의 없었다.


VII. 두 가지 시나리오

이 문제점과 보고서에 나온 상황들만을 재조합해보면 두 가지 시나리오를 써 볼 수 있다. 첫 번째 시나리오는 선관위 사무관이 뭘 잘 몰랐을 경우, 두 번째 시나리오는 이 모든 것이 고의에 의한 것이 경우다. 물론 이 두 번째 내용은 어디까지나 소설이다. 이런 식의 탐정 소설을 써 볼 수도 있지 않겠냐는 이야기다. 물론 공정성을 생명으로 하는 선관위가 절대 이런 일을 했을 리는 없다고 믿고 있다. 따라서, 절대로 첫번째 시나리오가 진실일 것으로 믿는다! 다시 말해, 소설은 소설로 생각하자. 어짜피 소설가는 진실을 말하고 기자와 정치인이 소설을 쓰는 시대가 아닌가. 뭔가 거슬리는게 있다면 그냥 안드로메다 은하계의 어느 깐따비야 별에서 벌어진 일이라고 생각하자.

 

첫 번째 시나리오 – 부제: 담당자의 무능

 

1. 5시 50분에 디도스 공격이 시작되었다.

 

2. 웹사이트가 접속이 잘 안된다. 확인해 보니 디도스 공격이 들어왔다는 IDC의 보고

 

3. 디도스는 KT망에 들어오고 있고 LG 망은 30MBps정도만 유입된다고 한다.

 

4. 홈페이지 서버를 보니 메모리가 100%다. 허걱. 일단 이것도 재부팅하게 하고 당장 뭐든 멈춰야 할테니 KT망을 차단하라고 지시한다. 공격량이 감소하고 있다거나 LG망이 이상하다는 건 아무튼 무시한다. 여기까지 1시간 10분이 지났다.

 

5. KT망이 죽었는데 더 접속이 안된다. 왜 안되지? 어떻게 하지? IDC에 있는 누군가에게 사이버 대피소든 뭐든 해보라고 지시한다.

 

6. IDC에 있는 누군가가 KT 망을 사이버 대피소로 우회하도록 조치했다고 보고했다. 여기까지 다시 1시간 32분이 지났다. 일단 사이트는 뜬다고 하니 안심이다.

 

 

 

두 번째 시나리오 – 부제 : 담당자의 고의

 

1. 5시 50분에 디도스 공격이 시작되었다.

 

2. 디도스 공격 전에 이미 LG U+망으로 우회하지 않도록 설정을 변경했다.

 

3. LG U+망으로의 우회가 되지 않자 KT망으로 디도스 공격과 정상 접속 시도가  몰렸다. 그런데 이 시점에서 벌어진 공격은 UDP 와 ICMP 공격이다. 따라서 매우 느리고 어렵지만 부분적으로 접속이 됐다.

 

4. 예상과 달리 조금씩이라도 접속이 된다. 게다가 디도스 공격량이 줄어들고 있다. 이대로 가다간 모든게 허사가 된다. 아무래도 안되겠다. KT 망을 사이버대피소(클린존)로 옮긴다는 이유로 7시에 차단시켜 버린다.

 

5. 최대한 시간을 질질 끌면서 우회 경로(사이버대피소)를 설정한다. 물론 이를 위해 사전 예행 연습이나 상세 대응 매뉴얼은 만들어두지 않는다. 그냥 “디도스 공격이 들어오면 차단한다”, “차단하고 난 후 사이버 대피소로 이전한다” 정도만 매뉴얼에 써 놓는다. 나중에 누가 뭐라고 하면 “경황이 없었다” 라고 하면 된다.

 

6. 8시 30분이 넘으면 우회 경로로 변경된 KT망을 다시 살려준다. LG U+망은 9시 이후 13시까지 차단해 버린다. 느리긴 하지만, 접속은 된다. 할만큼 했다는 소리를 할 수 있다.

 

다시 말하지만 두 번째 시나리오는 어디까지나 깐따비야 별에서 벌어진 일을 담은 SF 소설이다. 그러니 이런 이상한 일도 있을 수 있다. 소설은 소설이다. 다큐가 아니다.

VII. 결론

 

선관위의 보고서대로라면 선관위 서버와 방어 장비는 아무 문제가 없었다. 문제는 단지 선관위로 유입되는 두 회선이었다. LG 회선은 알 수 없는 이유로 과도한 트래픽 한 방에 맛이 갔거나 혹은 애초부터 설정에 문제가 있었다. KT 회선은 트래픽이 많다는 이유로 관리자에 의해 수동으로 차단됐다. 그리고 유권자들이 어쩔 수 없이 포기하고 출근할 때 쯤인 8:32분에 KT 회선이 정상화 됐다.

 

이 공격은 선관위 보고서의 내용을 전적으로 믿더라도 그냥 회선 대역폭만 늘렸어도 간단히 대응할 수 있는 문제였다. 설령 사이버 대피소(클린존) 우회망을 통하도록 구성하는 데에 시간이 걸린다고 해도, 그걸 하는 동안 회선을 끊어버릴 필요는 없었다. 끊어도 잠깐만 끊었으면 되는 일이었다. 그런데 1시간 10분 동안 아무 일도 안하다가, 다시 1시간 32분 동안 회선을 끊어버렸다. 그게 이 보고서에 나온 팩트다.

 


 

복잡하게 생각할 것도 없이, 보고서 6페이지에 나온 그래프에서 8시 32분부터 KT망이 아무 문제없이 동작하는 것을 볼 수 있다. 이것이 바로 사이버 대피소로 옮긴 이후의 그래프다. 그렇다면 선거가 시작되기 직전부터 미리 사이버 대피소로 망을 우회하도록 해 놓았다면? 당연히 디도스 공격이 들어왔어도 아무런 문제가 발생하지 않았을 것이라는 사실을 알 수 있다. 이 KT의 사이버 대피소(클린존) 서비스는 이미 2009년에 시작된 서비스다. 즉, 몰랐다면 직무 유기고, 알았다면 내부자 조력이 되는 셈이다.

 

결론은 결국 담당자의 무능, 혹은 담당자의 고의다. 물론, 담당자의 무능이 원인일 수도 있다. 그런데 담당자의 무능이라고만 보기에는 석연찮은 점이 존재한다. 그것은 바로 담당자가 스스로 KT망을 차단해 버렸다는 점이다. 그것도 KT망으로 유입되는 디도스 공격이 줄어들고 있고, 백업망인 LG U+망으로의 우회가 되지 않는 시점에서 이루어진 일이다. 이것은 어느 누가 보아도 “고의로 자른 거 아니냐” 는 의심을 할 수 밖에 없는 상황이다.

 

이제 공은 선관위로 넘어갔다. 선관위가 “고의로 KT망을 차단한 것이 아니다” 라는 주장을 하고 싶다면, 자신들이 절대로 고의로 그러지 않았다는 것을 입증하는 자료를 제시해야 한다. 그것을 제시하지 못한다면 결국 선관위는 내부자 조력을 했다는 의혹에서 자유로울 수 없을 것이다.

 

Barry Lee

 


부록 1 : 귀차니스트를 위한 친절한 요약

 

1. 선관위 홈페이지는 KT망과 LG U+망이 병렬로 되어 있어 KT망이 끊어지면 LG U+망이 작동하도록 되어 있지만 당일 이 병렬 대응 체계가 정상 작동하지 않음

 

2. KT망으로 KT망 용량(약 300MBps)보다 조금 적은 양(약 240MBps)의 디도스 공격이 들어왔음

 

3. 디도스 공격이 줄어들고 있고 LG U+망으로의 우회가 작동하지 않는 시점이었던 7시경, 선관위는 강제로 KT망을 차단했음

 

4. KT망을 강제로 차단한지 1시간 32분이 경과한 후에야 KT의 디도스 대응 서비스인 클린존을 통해 들어오도록 조치하여 다시 KT망을 연결함. 이 과정에서 7시 30분경에 KT 회선 중 한 개가 열렸는데 40MBps 정도의 트래픽을 보여주다가 갑자기 다시 차단됨

 

5. 이후 서비스가 어느 정도 정상화 됨

 

6. KT망이 차단된 1시간 32분 동안 누구는 됐다고 말하는 이유는 LG U+망이 “부분적으로” 작동하고 있었기 때문인 것으로 보임

 

7. 결론적으로 선관위는 반드시 KT망을 차단할 이유가 없는 것으로 보이는 상황에서 KT망을 차단했음. 선관위는 그 이유를 납득할 수 있게 설명해야 함

 

 

 부록 2 : 왜 KT 망을 차단했는지에 대한 뒷 이야기

당초 선관위의 유훈옥 사무관은 오픈웹 김기창 교수와 전화를 했을 때 KT망을 차단한 이유가 매뉴얼에 나온 대로 했을 뿐이라고 답했다고 한다. 하지만 이후 직접 만나서 대화를 할 때에는 매뉴얼에 있는 것은 아니지만 비상 사태에 따른 “최후의 조치”로서 차단을 했다고 말을 바꾸었다고 한다. 이 때 옆에 있던 모씨는  ”포탄이 비오듯 하는 상황에서 비상 조치로서 한 일을 지금 차분하게 따질 수 있느냐?” 라고 거들었다고 한다. 다음날 김기창 교수가 유훈옥 사무관과 다시 전화 통화했는데, 여전히 “비상 상황에서, 그때 상황에서는 그렇게 하는 수 밖에 없다고 판단했다”라고 말했다고 한다.

 

혹시나 이게 원래 매뉴얼에 의한 것이었다고 선관위가 다시 입장을 바꿀 지도 모르겠다. 하지만 이미 말이 이랬다 저랬다 한 전력이 있으므로 이것 역시 더 이상 믿는 어렵다고 해야 할 것이다. 설령 매뉴얼이 있다고 내놓는다고 하더라도, 이 매뉴얼이 언제, 누구에 의해 작성된 것인지를 증거와 함께 명백하게 밝혀야 할 것이다. 이 과정에서 “노무현 정부 때 만든 매뉴얼”이라는 식의 낡은 둘러대기를 하지는 않을 것이라고 믿는다.

 

 

덧붙임 > 내용에 궁금하신 점이 있으시면 트위터 아이디 @barry_lee 로 문의하시면 가능한 답해드리겠습니다.

 

 

 

Print Friendly

78 Comments

  1. 김성진

    글 잘 봤습니다.
    나꼼수 들으면서 어? 이부분은 좀 이상한데..? 하는 부분들이 많이 해소가 되었습니다.
    역시 말하는 사람도 네트워크/보안쪽 전문가가 아니라(딴지일보 총수 포함)
    세부적인 부분까지는 완전히 이해 못하고 말하는 것 같더라고요.

    아.. 그리고 문제점 3번에서 누가 웹서버를 재시작했나 부분은 별 문제가 없어보입니다.
    IDC에 코로케이션으로 입주해 있는 서버 같은 경우에는 IDC 상주근무자(IDC소속)가
    관리담당자로 지정이 됩니다.
    평상시 네트워크 접속이 잘 되거나 서버가 정상작동하는 경우에는
    현업담당자가 원격으로 서버 재시작을 하는게 보통이지만,
    서버가 맛이 가거나 회선상에 문제가 있어 서버에 접속되지 않는 경우에는
    IDC담당자에게 유선으로 연락을 하여 해당 담당자가 서버를 직접 재시작하는 경우도 많습니다.

    뭐 대세에 영향을 주는 부분은 아니지만,
    혹시 미국의 IDC와 국내IDC의 운영의 차이부분이 있어 잘못알고 계시지는 않나해서
    그 남겨봅니다. ^^

       0 likes

    • 앤서니

      웹서버와 웹호스팅 서버는 별개입니다.
      웹서버는 웹호스팅 서버에서 실행되는 수많은 데몬중의 하나일 뿐입니다.

      다시말해 웹서버는 논리적.
      웹호스팅 서버는 물리적입니다.

      외부에서 물리적인 서버에 접속이 불가능한 상황에서
      논리적인 웹서버를 재시작한 것은 로컬에서 작업했다 라는 의미입니다.

      idc에서 물리적인 서비스는 제공하지만, 논리적인 서비스는 제공할 수 없습니다.
      왜냐하면 세콤을 이용한다고 금고의 비밀번호까지 세콤에 알려주지 않는 것과 같습니다.

      세콤이 금고만 지키듯, idc도 서버와 회선만 지킬뿐입니다.

         0 likes

  2. 민혜

    처음부터 끝까지 꼼꼼하게 다읽었어요!!
    그래도 몇번을 처다봐도 모르겠는것도 있었지만요!!
    너무감사합니다 저같이 이쪽에 문외한 사람은
    님의 이 전문적분석이 소중하고 너무감사하네요!!!
    다시한번 감사드려요!!^ ^

       1 likes

  3. 박지형

    솔직한 감상을 이야기 하자면, 위 분석은 실제 현장경험이 적은 사람이거나 선관위 내부자 소행이라는 결론을 이미 마음속에 가진 상태에서 선관위에서 보고한 자료를 결론에 맞추기 위해 무리하게 분석한 것으로 보입니다.

    일단 2시간 넘는 대응시간을 볼 때 위 글에 분석하신 분은 마치 Web server관리자가 네트워크 트래픽까지 모니터링 할 수 있는것 처럼 생각하셨는데 현실은 그렇지 못한 경우가 많습니다.
    그리고 Web server의 모니터링은 로그로 인한 문제점 발견보다는 실제로 해당 Web page를 들어가보고 이상을 찾게되는 경우도 상당히 많습니다.
    만약 Web server의 관리자가 네트워크 트래픽양의 폭주를 모른 상태에서 홈페이지 접속시 이상을 발견하고 뒤늦게 조치를 시도한 것으로 보는 것이 더 확률적으로 높습니다.
    그렇다면 정작 잘못은 네트워크 모니터링을 담당하던 사람 그게 KT가 될지 선관위에 네트워크 담당자가 될지는 모르겠지만 네트워크 현상을 점검하고 대응하는 사람이 가장 큰 잘못을 하게 되는 것입니다.
    그리고 DDOS서버의 트래픽 유입이 적어지고 있는데 네트워크 차단한것을 문제삼으셨는데, 네트워크 차단한 7시 이전에 Web server를 종료하고 있었다면 당연히 트래픽 유입은 적어집니다. DDOS공격을 한 사람은 DDOS공격을 중단한 것이 아니라 Web server를 종료했기 때문에 트래픽 유입이 줄어든 거라고 볼 수 있고 그렇다면 Web server기동시 다시 네트워크 트래픽이 폭주할 가능성은 충분히 있습니다. ‘DDOS공격이 줄어들고 있는 시점에 네트워크 차단은 고의성이 있다’라는 주장은 억지스러운 면이 있군요.
    일단 7시 상황은 Web server를 중단하는데 지속적인 Web server접속 요청으로 정상적으로 Web server중단이 어렵다던가 아니면 Web server를 재기동해도 DDOS공격을 계속할 것을 걱정해서 네트워크를 중단 했을 수도 있습니다. 일단 백업망인 LG망을 살린 상태로 KT망을 내린것을 보면 어쩌면 KT망을 내린 상태로 DDOS서버나 IPS서버에 로그를 분석하여 문제점을 찾으려고 했을지도 모릅니다.
    어느 이유에서든지 제가 드리고자 하는 말씀은 충분히 있을 수 있는 내용이라는 것입니다.

    전체적인 내용을 보면 선관위에서는 네트워크, Web page에 대한 제대로 된 모니터링 미흡, 백업망인 LG망이 정상적으로 동작했는지에 대한 사전 테스트 및 점검 미흡은 문제시 삼을 수 있겠지만, 선관위의 고의 성이라던가 선관위에 작업자가 무능하다는 주장은 억지라고 생각합니다.

       6 likes

    • 김정기

      먼저 Barry Lee 님의 자료 정리 노고에 감사드립니다.

      제 생각에도 만약 평상시 선관위 시스템에 디도스 공격이 감행됐고 그를 막다가 벌어진 선관위 직원의 어설픈 실수로 본다면 어느정도 이해할 수 있는 내용입니다.
      그러나 선관위 시스템에 대한 디도스 공모 룸싸롱 사건도 참으로 어설프게 발표되었고 그것이 실제 디도스 공격으로 이어진 상황을 감안한다면 결코 선관위 직원의 어설픈 실수로 볼 수 없을듯 합니다.

         1 likes

    • 앤서니

      설마 디도스가 80포트만 공격한다고 생각하시는 건가요?
      디도스의 종류와 공격 방법들에 대한 이해가 먼저 선행돼야 할것같습니다.

         0 likes

  4. 가객

    박시형님 저는 박시형님이 이쪽 계통에서 일하시는지가 궁금하네요.
    저는 LG-CNS 자매회사에 근무하고 있는 사람이고, 현직 서버관리자입니다.
    보통 솔루션을 계약할 때는 시스템과 하드웨어, 관리인력까지가 계약사항에 포함되는 경우가 많습니다. 아니 거의 대다수라고 할 수 있죠. 그렇다면 중앙선거관리위원회와 계약한 LG-CNS 측에서 관리인력을 파견했거나 교육인원을 파견해서 선관위인력의 교육을 담당했다고 볼 수 있고, 이는 선거 당일에는 충분히 숙련된 인원이 서버관리에 들어갔다고 판단할만한 요소가 됩니다.

    또한 Web Server 관리자가 네트워크모니터링을 하는 것이 현실적으로 힘들다고 하셨는데 당최 언제적 시스템을 가지고 말씀하시는 것인지 모르겠네요. 현재 서버관리자로 근무하는 제 입장에서 본다면 메인WEB과 각 서버 패널 그리고 넷몬까지 다 띄워놓고 하는 경우가 많습니다. 선관위 정도 되는 고객사에 근무하는 서버관리자가 네트웍모니터링을 못한다구요? 회사 말아먹으려고 작정하지 않고서야 어찌 그럴수가 있을까요? 짤리고 싶어서 환장했다면 모를까.

    그리고 트래픽 때문에 서버셧다운을 했다라고 하셨는데 저 도표를 보고 말씀하신 것인가요?
    이 부분에서 정말 시형님이 이쪽 계통에서 일하고 계신건지가 더욱 궁금해지네요. 저런 도표는 배당된 대역폭이 맥시입니다. 도표에 나오는 부분은 트래픽 추이를 더 자세히 보기 위해서 공백을 지우죠. 그 말은 롤러코스터 위에 이따시만한 공백이 원래 있다는 말입니다. 다시 말해서 저 도표를 보고 평가를 하셨다면 디도스 공격이 웃긴 수준이었고 그것만으로 서버 다운을 시킨다는 것은 담당 직원이 정말 할 일 없는 인간이란 소리밖에 안된다는 말이라고 하셔야 된다는 겁니다.

    또 한가지 말씀드리고 싶은 것은 디도스는 VPN과 그에 연계된 보안체계에서 처리가 되었고 저 시점에서 서버를 재구동해야 했던 결정적인 요소는 메모리100%사용이었다는 점입니다. 다시 한 번 말씀드리지만 시형님이 이쪽 계통에서 일하셨고 코딩 체계를 아신다면 저 상황이 왜 일어났는지도 아실테고 그렇다면 서버전체 셧다운이 아니라 CMS만 재구동하면 된다는 사실도 아실 것입니다.
    백업데이터가 있는 LG망은 물론이고 굳이 전체 VPN 안에 있는 다른 서버들까지 셧다운하지 않아도 된다는 말씀입니다.

    마지막으로 시형님 글을 읽고 솔직한 감상을 이야기 하자면 서버관리 경험이 없는 상태에서 글에 대한 반박을 하기 위해서 무리하게 분석한 것으로 보입니다.

       20 likes

    • 박지형

      먼저 가객님께 한가지 질문을 드리겠습니다. 넷몬을 띄우면 어디 네트워크 상황이 모니터링 됩니까?
      가객님의 주장대로라면 서버패널 다 띄우고 넷몬을 띄우면 DDOS서버 위쪽에 네트워크 상황도 모니터링 된다고 생각하신것 같은데, 설마 아니겠지요? 흥분하셔서 상황판단을 제대로 못했다고 이해하겠습니다. OS에서 제공하는 모니터링 프로그램은 해당 호스팅서버(물리적인 서버를 호스팅서버라고 하겠습니다. 외쿡에서는 노드라고하는데 국내에서는 잘 안쓰는 단어이니…)로 유입되거나 나가는 네트워크만 모니터링 됩니다. DDOS서버 윗단 특히 KT망 자체에 네트워크를 모니터링 하려면 별도의 장비나 S/W가 필요합니다. 보통은 네트워크 관리자가 보거나 종합 상황실이 있는 경우 상황실 모니터중에 해당 화면이 출력되는 경우도 있지요. 그리고 그러한 데이터는 서버패널이나 넷몬으로는 절때 못봅니다.
      5와 6시 사이 DDOS공격이 시작되는 시점에 DDOS장비가 정상적으로 작동이 되어 있었기 때문에 각 서버에 직접적으로 연결된 네트워크는 정상적이 었을겁니다. 한마디로 넷몬으로 모니터링 해도 그 시점에 DDOS는 감지가 안된다는 거죠. 뭐 웹서버 관리자가 부지런해서 네트워크 관리 부서에 협조 요청을 해서 네트워크망을 모니터링하는 장비를 접근할 수 있던가 해당 데이터를 확인할 수 있는 별도의 수단이 있었다면 모르겠지만, 그런 부지런한 웹서버 관리자는 많지가 않은것이 현실입니다.
      가객님 조차도 넷몬으로 만족하는 상황이니 더이상 말이 필요없다고 봅니다.
      그런 상황에서 DDOS가 일어난 시점에서 웹서버 관리자가 DDOS를 제때 발견하는 것은 네트워크 관리자 혹은 종합 상황실 모니터링 요원이 알려주지 않은 한 제때 발견하기 힘듭니다. 한마디로 웹서버 자체내에 이상 혹은 웹페이지 접속에 이상을 발견하기 전까지는 웹서버 관리자가 스스로 이상을 감기하기는 힘들다는 것이죠. 그래서 위에 글쓴이가 지적한 조치시간의 지연은 고의가 아니라 네트워크 관리자 또는 종합 상황실 모니터링 요원의 모니터링 미흡일 수 있다라는 것이 제 의견인 것입니다. 일부러 조치를 지연했다는 것은 억지스러운 주장이라는 거죠.

         3 likes

    • 박지형

      그 다음 그래프의 한계에 대해서 이야기 하겠습니다. 그래프를 발표할 때 보기 편하게 하기 위해서 위에 공백을 지운다고 하셨죠? 그건 발표자료 만들때 이야기고~ 그래프에 데이터를 어떻게 가져오는 가를 이야기 할 때, 데이터를 가져오는 장비 또는 S/W는 실시간으로 모든 데이터를 가져오지 않습니다. 5초~10초 또는 몇분에 한번 꼴로 데이터를 가져오고 그것을 그래프로 표시합니다. 때에 따라서는 수집되는 데이터가 많은 경우 수집한 데이터를 가지고 일정 주기 간격으로 평균값을 가져오는 경우도 있습니다. 한마디로 그래프에 표시되는 최대값은 실제상황에 최대값이 아닐 수도 있다라는 겁니다.
      사용량이 계속적으로 최대가 아닌 사용량이 널띄기를 하는 상황에서는 그래프에 나타난 최대값은 실제 상황에 최대값으로 보지 않는 것이 정상입니다. 그럼 뭐하러 그래프를 만드냐고 하시겠지만, 그래프는 추이분석을 용이하게 하기 위함이지 정확한 데이터를 보기 위함이 아닙니다.

         1 likes

    • 박지형

      트래픽때문에 서버를 셧다운 했다는 이야기가 제글 어디에 있는지 저도 궁금하네요. 저는 위에서 트래픽이 내려가고 있는데 네트워크를 단절했기 때문에 이건 고의다! 라는 위 글쓴이의 주장에 반박을 했을 뿐입니다. 네트워크 망의 단절은 7시이고 7시 이전에 웹서버를 내렸기 때문에 트래픽의 감소는 DDOS공격의 중단이 아닌 웹서버 다운으로 인한 트래픽 감소일거라는 것이 제 주장이었습니다.
      뭐 이글 때문에 디도스 공격이 80포트만 쓰는것이 아니라는 주장이 있는데, 좀비PC를 이용해서 한 DDOS인점을 감한하면 URL반복호출을 이용한 Web server공격일 확률이 크고 네트워크의 모든 포트까지 마비시킬 실력자라면 뭐하러 좀비 PC를 직접 구매하겠습니까? Malware하나 만들어서 DDOS공격용으로 간염된 PC를 확보하는 편이 더 좋지 않을까요?
      그리고 KT망의 단절은 LG백업망이 있었기 때문이라고 생각하는 것이 더 맞지 않을까요?
      한마디로 바보짓은 KT망을 단절한 것이 아니라 LG망을 정상적으로 이용할 수 있는지 점검하지 못한 것과 LG망의 이상을 빠르게 발견하지 못한 것입니다.
      그래프만 가지고 상황을 유추하면 LG을 믿고 KT망을 단절했다가 LG망이 정상적이 않은것을 뒤늣게 발견하고 KT망을 다시 살리고 KT망을 살린 상태에서 KT Giga망으로 옮기는 작업을 했다고 생각합니다.

         2 likes

  5. 박지형

    마지막으로 제 이름은 ‘지형’입니다. ‘시형’이 아닙니다.

       0 likes

  6. 양영선

    박지형님의 말씀은 그 상황에서 당황한 관리자가 할 수도 있는 행동이라고 여겨 집니다. 실제로 작년인가 서울시 출신의 그쪽 관리자로 갔던 사람이 요번 일로 짤려서 선관위에서 현재 사람을 구하고 있습니다만, 서버 100퍼 메모리 점유의 이유도 밝혀 지지 않았고, 이를 단순히 I/O 트래픽의 증가로 오인 할 수도 있으니까요, 하지만, 전체적인 타임라인에서 그 실수의 연속이 너무 많고 업체에서 만들어 주었던 선관위의 메뉴얼대로 행하지 않는 부분도 너무 많습니다. 그리고, 지금의 이 부분은 단지 Ddos에 관련 된 것이고, 정상적으로 유입된 트래픽에서도 웹페이지의 다른 부분은 정상작동하는데, 유독 DB서버 조회가 안되었다는 부분이 처음부터 의문사항의 초점입니다. 서버 리셋후에 모든 서버가 정상작동하고 있다고 보고되었으니까요. 7시이후 유입된 정상 트래픽에서도 주소는 조회가 안되었다고 합니다. 저기의 네트웍구성도로는 잘 이해가 안되는 것이 공공기간에서 보안관련해서 사생활 정보인 주소정보는 철저히 보안을 거치게 되어 있습니다. 아마도 망분리가 되어 있어서 웹을 통한 그 어떠한 해킹에도 DB서버는 보호가 되는 구조로 되어 있을 것입니다. 보통 네트웍족에서 보면 물리적단절이라는 표현을 쓰죠. 이부분이 핵심이 되어야 되는 사안이라고 봅니다.

       0 likes

Trackbacks/Pingbacks

  1. 나꼼수를 비판하는 경향신문과 언론에 대한 충고 | Barry's Post - [...] 작성해서 나의 블로그에 게시하기로 했다. 그것이 어제 공개한 “10.26 부정선거의 선관위 발표 보고서에 대한 분석“이라는 [...]
  2. » 2011년 10월 26일 부정선거(언론보도 "디도스") 사건제보타임스 - [...] 10.26부정선거의 선관위 발표 보고서에 대한 분석 [...]

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>