10.26 선관위 홈페이지 공격 사건에 대해 상황을 좀 파악해 보려고 LG엔시스라는 곳에서 나온 "2011년 10월 26일 재보궐선거 서비스 장애 분석 보고서"라는 것을 읽어 보았다.
보고서 내용을 요약정리하면 이렇다.
1. 10월 26일 새벽 5시 50분에서 8시 32분까지 외부에서 디도스 공격이 발생하였다.
2. 그런데 이중 실제 장애가 발생한 것은 7시부터 8시 30분 사이의 시간이다.
3. 방화벽 등 다른 장비에는 전혀 문제가 없었고, 장애가 발생한 원인은 '라우터(Router : 서로 다른 네트워크를 중계해주는 장치) '에 있었다.
4. 선관위가 이 날 사용한 라우터는 4개였는데, 편의상 KT1, KT2, KT3, LG1로 구분해 보자면, 디도스 공격이 발생한 당시엔 원래 KT1과 KT2가 작동을 하고 있었는데, 대략 6시부터 7시까지 대량의 트래픽이 유입되자 이 두 라우터를 다운시켰다.(장비를 껐다는 뜻인 듯)
5. 대신 7시부터 8시 42분까지는 LG1을 라우터 장비로 사용했다. 바로 이 시기, LG1을 사용하고 있을 때 서비스 장애가 발생했다.
6. 장애가 발생한 이유는 라우터와 LG망과의 'BGP Down'으로 인한 것이다. 나머지 장비에서는 전혀 문제가 없었다.
7. WAS 상세 분석에 따르면 선거정보 웹서버와 홈페이지 웹서버의 DB(데이터베이스)와의 세션이 끊긴 흔적은 없다.
디도스 공격이 발생했을 때 선관위 측의 대응이 정상적이었던 것 같지는 않다. 하지만 보고서에 따르면 선관위 내부에서의 데이터베이스 연동 차단은 없었다.
선관위 내부 공모자설이 제기된 것이 데이터베이스 차단설에 기인했던만큼 김어준이 제기한 의혹의 논리적 기반은 일정 부분 무너진 셈이다. 그럼에도 불구하고 내부공모자를 설정하는 것이 여전히 가능하기는 한데, 이 경우 공모자의 역할은 디도스 공격이 발생했을 당시 일부러 허술한 대응을 하여 디도스 공격이 먹히도록 돕는 것이라 할 수 있다.
김어준은 '디도스는 훼이크고, 진짜 문제는 데이터베이스 연동을 끊은 것'이라고 했지만, 내부 공모자가 있든 없든 일단은 디도스 공격이 이 사건의 몸통이라는 것은 분명해진 것 같다. 조사가 더 진행되면 정말로 선관위 내부의 공모자가 나올지도 모르겠다. 하지만 '선관위의 공모'가 아니라 그냥 '선관위 보안팀의 무능'으로 귀착될 가능성이 상당히 높아 보인다.
선관위 내부 공모자설이 제기된 것이 데이터베이스 차단설에 기인했던만큼 김어준이 제기한 의혹의 논리적 기반은 일정 부분 무너진 셈이다. 그럼에도 불구하고 내부공모자를 설정하는 것이 여전히 가능하기는 한데, 이 경우 공모자의 역할은 디도스 공격이 발생했을 당시 일부러 허술한 대응을 하여 디도스 공격이 먹히도록 돕는 것이라 할 수 있다.
김어준은 '디도스는 훼이크고, 진짜 문제는 데이터베이스 연동을 끊은 것'이라고 했지만, 내부 공모자가 있든 없든 일단은 디도스 공격이 이 사건의 몸통이라는 것은 분명해진 것 같다. 조사가 더 진행되면 정말로 선관위 내부의 공모자가 나올지도 모르겠다. 하지만 '선관위의 공모'가 아니라 그냥 '선관위 보안팀의 무능'으로 귀착될 가능성이 상당히 높아 보인다.