원순닷컴 로그 분석 내놨다, 선관위 차례다

이글은 미디어스 2011-12-07잏자 기사 '원순닷컴 로그 분석 내놨다, 선관위 차례다'를 퍼왔습니다.

'원순닷컴' 로그 분석 결과 "디도스 공격 맞다"

 ▲ 민주당 사이버테러 진상규명위원회 문용식 위원이 ‘원순닷컴’ 디도스(DDOS) 공격 당시 로그 분석 자료를 브리핑 하고 있다©윤희상

6일 오후 4시 민주당 원내대표실에서 ‘한나라당 사이버테러 관련 전문가 긴급 간담회’가 열렸다. 중앙선관위 담당자들도 참석한 가운데 원순닷컴 로그 분석 자료가 최초로 공개됐다. 선관위가 로그 파일을 공개치 않자, 동시에 공격받았던 원순닷컴의 로그를 분석해 선관위 디도스 공격을 유추해보자는 취지였다.

원순닷컴 로그 분석 결과 10월26일 1시 50분 경 시작된 공격은 약 5분 동안 지속됐다. 좀비PC는 79개가 이용됐으며, 총 공격횟수는 13291회, 초당 44회를 기록했다. 좀비PC의 평균 공격횟수는 168회로 나타났다.

공격을 감행한 좀비 PC는 대부분 국내에 소재한 것으로 기록됐다. 또한 공격 패턴으로 보이는 로그의  요청 페이지는 루트( / ) 그리고 ‘HTTP Get Request flooding'란 정보를 남겼다. 이는 일반적인 홈페이지접속에도 남을 수 있는 기록이다.

IT전문가 자격으로 참가한 박원호 씨는 “동일 시간 대 트래픽 분석 자료 등이 없어 충분하지 않다”는 전제 하에 “제시된 로그 분석 자료를 토대로 디도스 공격이 거의 확실하다”는 의견을 내놨다. 다른 전문가인 정광현 블리우드미디어 대표도 분석에 동의했다.

원순닷컴 로그 분석에 따르면 선관위나 경찰청이 밝힌 ‘매우 지능적이고 새로운’ 공격 방식이라는 발표와는 상반된 결론이 도출된 셈이다. 원순닷컴에는 일반적인 디도스 공격 방식이 사용됐다. 웹하드나 도박, 성인 사이트 등을 통해 사용자 모르게 PC를 감염, 루트(/) 페이지를 일시적으로 요청해 서버의 과부하를 유도하는 방식이다.

박혁진 선관위 정보화담당관실 서기관은 “선관위 분석 결과는 TCP 외에 UTP를 통한 다양한 방식의 공격이 있었다”며 기존 입장을 거듭 확인했다. 선관위는 RCMP, UDP, TCP, CC 등 다양한 수법의 디도스 공격이라고 밝힌 바 있다.

하지만 민주당 사이버테러 진상규명위원회의 문용식 위원은 “선관위가 경찰 수사 발표만 기다릴 것이 아니라 국민이 의혹을 가지고 있는 사안이고, 선관위가 신뢰를 회복하기 위해서라도 적극적인 해명에 나서야 한다”면서 “첫 번째 일반 기업에서 1~20분 정도면 복구가 가능한데 어떻게 2시간이나 방치됐는지, 당시 담당부서의 작업일지와 상황일지를 공개해야 한다"며 “전체 로그파일 공개가 불가능하다면, 공격 받은 시간대의 로그 분석 자료를 공개해야 한다”고 요구했다.

이어 문 위원은 이번 간담회의 목적 중 하나인 “공 모씨 일행이 감행한 원순닷컴 홈페이지에 대한 사이버공격은 ‘디도스’ 임을 확정한다”고 밝혔다.

30여분 진행된 간담회는 비공개 간담회로 전환됐다. 민주당 관계자에 따르면 “선관위에게 자체 분석 자료 제출을 재차 압박했다"고 밝혔다. 선관위는 “최대한 빠른 시간 안에 전달할 것을 약속했다"고 전했다.  민주당은 “선관위로부터 자료를 받으면 분석결과를 곧바로 발표하겠다”는 계획이다.

한편, 선관위와 KT 이상용 상무가 각각 밝힌 최고 트래픽 량의 차이는 확인되지 않았다. 선관위는 최대 트래픽 량을 11G로, KT 이상용 상무는 2G로 밝힌 바 있다. 이 역시 선관위의 자체 보고서나 경찰의 수사 발표가 있기 전까지는 밝혀지기 어려울 것으로 보인다.