'10.26 선거' 선관위 네트워크 담당자 "내가 KT회선 차단"

이글은 위키프레스 2012-05-08일자 기사 ' '10.26 선거' 선관위 네트워크 담당자 "내가 KT회선 차단" '을 퍼왔습니다.

"라우터 장애 일어난 이유는 잘 몰라...접속 원활은 개인 컴퓨터로 확인한 것"

7일 공개된 팟캐스트 라디오 '나는 꼼수다(이하 나꼼수)'에서 언급한 미국 오레곤 대학의 '라우터 경로 관측 프로젝트(Route views project)'에 대해 알아봤다. 또 그동안 김기창 고려대 법학전문대학원 교수가 자신의 블로그 '오픈웹'을 통해 밝혔던, 중앙선관위 'K사무관'과 통화했다. 그는 2월 23일 참여연대와 중앙선관위 토론 시에 선관위 측 유훈옥 정보화담당 사무관이 언급했던 '진짜 네트워크 담당자'이자, 김 교수가 "라우터 설정을 건드렸다"고 의혹을 제기한 인물이다. 그는 현재 중앙선관위 정보화담당관실이 아닌 다른 부서에서 근무하고 있는 것도 확인했다.

지난 3월 '디도스 특검'이 시작한 지 어느덧 두 달 여의 시간이 지났다. 현재 특검팀은 경찰청과 최구식 의원 자택, 중앙선관위 사당청사 등을 압수수색하며 수사에 박차를 가하고 있는 상황이다. 또한 조현오 전 경찰청장과 김효재 전 청와대 정무수석비서관에 대해 출국금지를 신청했다. 

허나 현재 '선관위 내부 공모설'에 대한 수사가 이뤄졌다는 소식은 들려오지 않고 있다. 특히 그동안 많은 전문가들이 선관위 측의 일관되지 못한 해명을 문제삼았음에도, 여전히 특검팀은 과거 경찰과 검찰이 했던 수사를 따라가고 있는 모양새다.

전문가들이 지적했던 부분은 중앙선관위 측에서 '라우터 설정을 건드렸다'는 점이었다. 즉 '라우터 설정을 건드려 외부에서의 접속 및 내부에서의 결과값 송출을 막았다'는 것. 그 증거로 ▲라우터가 7시부터 비정상적으로 빈번히 죽은(down) 것 ▲아직 해명되지 않은 이유로 라우터가 7시 10분~7시 30븐 사이에는 정상화 된 점을 제시했다.

선관위는 그동안 여러 해명자료를 통해 '디도스 패킷이 대량으로 유입되어 라우터가 죽었다 살아나는 상태가 반복되는 'BGP Up/Down 증상'이 일어났다'는 입장을 반복했다. 그러나 본지와 인터뷰 한 여러 전문가들의 의견을 종합해 볼 때 신빙성이 떨어진다는 결론이었다. 전문가들은 "선관위로 들어오는 트래픽 뿐만 아니라, 나가는 트래픽도 막혔기 때문에 트래픽 과부하로 일어난 일이라 보기 힘들다"고 밝혔다. 즉, '누군가의 손길'이 없이는 일어나기 힘든 일이라는 것이다.

이 문제는 '로그기록의 신뢰성' 문제로 인해 긴 진실공방이 벌어질 소지가 많았다. 그러자 김기창 고려대 법학전문대학원 교수와 '나꼼수' 측은 미국 오레곤 대학에서 진행 중인 'Route views project(라우트 뷰·라우터 관측 프로젝트)'를 제시했다. 이 프로젝트는 전세계 라우터의 신호들을 기록한 것으로, 어느 시점에 라우터가 '죽었는지(Down)' 초 단위까지 세세하게 기록하고 있다. 전 세계 라우터들의 기록이 모두 있기 때문에 김기창 교수는 오랜 시간동안 이 기록들을 세세히 분류해, 선관위를 가리키는 데이터들만 따로 추려냈다. 이후 이를 토대로 자신의 블로그 '오픈웹'에 그래프와 텍스트 형태로 공개했다.

오레곤 대학의 '라우트뷰 프로젝트'의 메인화면.

공개된 자료를 보면, 그동안 선관위가 주장한 내용과는 조금 다른 부분을 발견할 수 있다. 그동안 선관위 측에서는 "6:58에 KT회선을 차단한 후, 7시10경에 1차 정상화가 되었다"고 주장해 왔다. 그러나 6:50경부터 선관위 유입트래픽이 줄어드는 추였는데 어째서 KT선을 차단했는지에 대하여 의문이 제기되자, 선관위는 말을 바꾸어 6시 46분에 KT회선 1개를 차단하였다는 새로운 주장을 내세웠다. 하지만, 이 주장은 선관위가 스스로 2월 23일 제시한 자료를 보더라도 사실이 아니다. 차단되었다는 1개 회선은 약 30초 뒤부터는 다시 연결되었음이 드러나기 때문이다. 김기창 교수는 "오히려 라우트 뷰에서 드러나는 새로운 사실은 선관위가 6:42에 KT회선을 약 30초간 내렸다가 다시 연결한 적이 있음을 보여주고 있다"며 선관위의 주장이 사실과 다르다고 지적했다.

가장 논란이 많은 부분은 이른바 '1차 정상화'를 둘러싼 사실 관계이다. 선관위가 그동안 제시한 자료를 보면 KT회선 차단 시점 이후 LG회선에서 라우터 장애가 일어났고, 이후 7시 10분부터 7시 30분까지 20분간은 그런 현상이 말끔히 사라졌음을 알수 있다. 이 부분에서 많은 전문가들은 "비정상적으로 작동하던 라우터가 트래픽의 변동도 없는데 '자연적으로' 7시 10분에 정상화 된다는 것은 말이 안 된다"며 "7시 30분에 다시 장애가 일어난 것도 기술적으로 설명이 안 된다"고 밝혀왔다. 바로 이 대목이 '라우터 설정 변경'을 의심케 하는 부분이다. 

이런 문제에 대해 10월 26일 당시 중앙선관위 네트워크 담당자였던 K사무관과 통화했다. 그는 "'나꼼수'를 듣지 않아서 어떤 문제가 제기됐는지 잘 모른다"며 "6시 58분 경에 KT회선 인터페이스 차단조치를 직접 한 것은 맞다"고 밝혔다. 이에 대해 7시 10분부터 20분간 라우터가 정상을 되찾은 점을 언급하며 "설정을 다시 바꾼 것인가"라 묻자 "그런 적 없다"며 "7시 10분에 정상화가 되서 잘 돌아가는데 굳이 설정을 건드릴 이유가 없었다"고 말했다. 또한 오레곤 대학의 '라우트뷰'와시간이 맞지 않음을 지적하자 "'라우트뷰'는 모른다"며 답변을 회피했으며, "그 시간은 라우터에 설정된 시간이기 때문에 오차가 있을 것으로 보인다"고 답했다.

또 7시 1분~7시 10분 사이의 라우터 비정상 작동 사실에 대해서는 "6시 58분에 KT회선을 모두 차단한 후, 7시 10분에 정상화 될 때까지의 시간동안 왜 장애가 일어났는지 모르겠다"고 말했다. 그는 "58분 이후에 개인 컴퓨터로 접속상태를 확인했고, 이후 7시 10분에 정상화 된 것을 확인했을 뿐"이라며 "로그를 확인해봐야겠다"고 말했다. 이어 "선관위가 '7시 10분 접속 정상화'라 밝힌 것은, 기계적으로 확인한 것이 아니다"며 "우리가 개인 컴퓨터로 접속상태를 확인했을 때, '접속 원활'을 확인한 시간이 7시 10분"이라고 덧붙였다. 그는 "트래픽을 모니터링하고 있었으나, 접속 확인은 사용자 입장에서 해야 했다"고 해명했다. 이같은 K사무관의 해명에 대해 한 보안전문가는 "비상상황이었을텐데 실시간 상황파악이 안 됐다는 것은 이해할 수 없는 부분"이라며 "접속 상태를 12분간 확인만 하고 있었다는 것도 말이 안 된다"고 지적했다.

6시 58분부터 12분간의 라우터 장애에 대해 K사무관이 이유를 대지 못하자, 이번에는 7시 30분에 다시 장애가 일어난 원인에 대해서 물었다. 그는 이에 대해서도 "모르겠다"고 대답했다. 

"(다시 장애가 일어난 시간이)7시 35분이다"고 밝힌 K사무관은 "그 전에 디도스 공격이 있었으니까 또 디도스 공격이 몰려온다고 판단했다"고 말했다. 이에 7시 30분 이후에는 트래픽이 적지 않았느냐고 묻자 "실제로 그랬다"고 인정하면서도 "장애 이유에 대해선 잘 모르겠다"고 밝혔다. 또 "우리(선관위)쪽에서 (트래픽이)30~40M정도 잡혔는데, LG쪽에서는 200M정도 잡혔다고 들었다"고 말했다.

K사무관은 그동안 제기된 문제에 대해 답변을 하면서도, 정작 중요한 쟁점들에 대해서는 "모르겠다"는 입장을 유지했다. 또한 '트래픽 모니터링'에 대해 답하는 과정에서 처음에 "실시간으로 트래픽이 모니터링된다"고 말했으나, 이후에는 "5분 단위의 트래픽이 기록된다"고 바꾸기도 했다.

10월 26일 당시 실제 담당자였던 K사무관의 입장이 나옴으로 인해, 선관위에서 당일 어떤 일이 있었는지 좀 더 자세히 알 수 있을 것으로 보인다. 또한 비교할 수 있는 자료로 오레곤 대학의 데이터가 제시됐기 때문에, 이를 근거로 선관위 해명의 신빙성을 입증할 수 있을 것으로 전망된다. 즉 그동안 선관위가 제시한 라우터 관련 로그 기록상의 시간과, 오레곤 대학의 라우터 시간을 비교해보면 되기 때문이다. 한 IT업계 관계자는 "오레곤 대학의 해당 프로젝트는 지금 이 시간에도 기록이 쌓이고 있다"면서 "이 데이터들은 공개된 것이기 때문에, 의지만 있다면 선관위 제출 자료와 얼마든지 비교할 수 있다"고 말했다. 이제 문제는 '특검의 수사 의지'로 보인다.

유지만 (redpill@wikipress.co.kr) 기자