“DDoS 공격은 있었지만 윗선 배후는 없고, DB 연동도 차단되지 않았다.”
지난 10·26 중앙선거관리위원회 분산서비스거부(DDoS) 공격을 수사한 박태석 특별검사팀은 21일 서울 역삼동 특검팀 사무실에서 기자간담회를 열고 선관위 공격이 DDoS인 것은 맞지만 공격을 지시한 배후는 없다고 밝혔다. 또 일각에서 제기한 DB 연동 차단 의혹도 부정했다.
특검팀은 최구식 전 국회의원의 개입, DDoS 공격 관련 한나라당 국회의원 비서나 정치인 등 제3자의 개입의혹도 없으며 제3의 공격세력에 의한 `제3의 좀비도 없다`고 설명했다.
박 특별검사는 “내부 직원 공모라는 의혹이 지속적으로 발생, 증거수집이 급선무라 판단해 사건관련자에 대한 수사 및 관련기록 검토 외에 선관위, LG유플러스 본사, KT 등 5회에 걸쳐 압수수색을 했다”며 “시스템 로그분석을 실시, 하드디스크 용량초과로 삭제됐던 공격당일 로그자료를 포렌식으로 복구, 초당 선관위 유입 및 송출 트래픽을 확인했다”고 말했다.
◇선관위, 일반적인 DDoS 공격에 당했다=선관위는 공격유형을 시간별로 분석한 그래프를 증거로 제시하며 주요 공격패턴이 ICMP 플루딩(Flooding), UDP 플루딩, HTTP 플루딩 공격으로 일반적인 DDoS 공격유형을 보였다고 설명했다.
선거 당일 트래픽은 대역폭을 가득 채우며 들어온 공격으로 일반적인 DDoS 공격이었다. 라우터 로그기록이 조작돼 신뢰성을 가질 수 없다는 의혹도 나왔지만 각 파일에 있는 정보가 KT라우터 정보와 일치해 조작 흔적이 없었다고 설명했다.
또 좀비 PC의 C&C서버(공격명령서버)로 쓰인 고정IP에 대한 원격접속IP 로그 기록, 공격자가 사용한 두 개의 T로그인 단말기 로그 기록 분석결과 모두 동일한 공격명령서버로부터 지령을 받은 것으로 파악했다.
DB 연동이 되지 않아 투표소 위치 응답이 없었다는 의혹 부문에 대해 로그기록을 조사했다. 조사 결과 DDoS 공격으로 인해 투표소 조회 응답건수가 현저히 감소했지만 DDoS 공격이 계속된 시간인 오전 5시 50분~8시 20분까지 작은 양이나마 투표소 위치를 전달해준 것이 확인돼 DB 연동 차단은 아니라는 결론을 내렸다.
◇선관위 직무유기 `기술적으로 판단하기 어려워`=특검은 DDoS 공격 시 선관위 직원 고씨가 KT 회선을 절제한 것에 대해 직무유기 혐의도 조사했다. `DDoS 공격 대응지침` 내용을 사전 준비하지 않은 과실을 인정, 직무유기 혐의로 불구속 기소했다.
특검 초기부터 네트워크 분석에 참여해 기술자문을 한 김승주 고려대 사이버국방학과 교수는 “기존 경찰 조사와 특검 조사의 차이점은 최초로 선관위를 직접 압수수색하는 한편 LG유플러스, KT 등 모을 수 있는 모든 로그기록을 모아 조사했다는 점”이라며 “DDoS 공격이 발생했던 것은 확실하며 내부에서 DB를 강제로 끊은 흔적은 발견되지 않았다”고 말했다. 김 교수는 “모든 자료 기록들이 사건 발생 초기에 보존됐다면 더 많은 사실들을 밝혀낼 수 있었을 텐데 특검팀이 늦게 꾸려진 것이 아쉽다”고 덧붙였다.
특검팀은 네트워크 분석팀, 모바일 분석팀, 포렌식 분석팀 등 한국인터넷진흥원, 경찰 사이버수사대 등 최고 수준의 인력을 모아 지난 3월 26일 분석에 착수했다.
임종인 고려대학교 정보보호대학원장은 “선관위 내부에 보안전문가가 없었다는 점, DDoS 대응장비를 구입하고도 제대로 사용하지 못했다는 점 등 설마 무슨 일이 있겠냐는 안일한 대응이 이 같은 사고를 키웠다”며 “연말 치러질 대선에서 같은 사고가 되풀이되지 않도록 하기 위해서는 기반시설을 총체적으로 재정비하고 비상계획을 수립, 사고에 대비한 수시점검 등 관리적 보안의 중요성을 되새겨야 한다”고 강조했다.
장윤정기자 linda@etnews.com