[토론회]< 10.26 재보궐선거시 중앙선관위 인터넷서비스 장애 어떻게 볼 것인가 > 개최

 1.jpg
 
참여연대는 2월 23일(목) 오후 2시 참여연대 느티나무홀에서 <10.26 재보궐 선거시 중앙선관위 인터넷서비스 장애 어떻게 볼 것인가>에 대해 토론회를 개최하였다(본 기사 마지막 부분에 [중계영상]과 [토론회 자료집]을 함께 게시했습니다).

앞서 참여연대는 지난 2/15일(수) 선관위가 부분 공개한 LG엔시스 작성 <재보궐 선거 서비스장애 분석 보고서>를 인터넷에 공개한 바 있다. 국민적 의혹 사안인 10.26 재보궐 선거시 중앙선관위 인터넷서비스 장애에 관련하여 시민들에게 알권리를 위해 정보공개청구를 통해 입수한 정보를 공개한 것이다. 이 토론회는 자료를 입수/공개한 주체로 자료의 일차적인 분석과 남는 의문점에 대한 정리 발표의 자리를 갖고, IT 전문가는 물론 네티즌들과 함께 토론하는 자리를 갖기 위해서이다.

 
특히 이번 토론회에는 참여연대의 요청에 중앙선관위가 화답하여, 중앙선관위 실무 책임자 격인 서기관들이 직접 토론에 나섰다. 인터넷서비스 장애 의혹의 중심에 서 있는 정보화담당관실도 함께 토론에 참여했다.
 
2.jpg

 
처음 발제에 나선 송봉섭 중앙선관위 의정지원과장은 발표문 <DDoS사태 이후 중앙선관위의 입장과 평가>을 통해, 검경은 10/26 당시 중앙선관위 홈페이지 장애의 원인이 DDoS였고, 내부 DB가 끊어진 적이 없으며, 내부 공모 혐의는 전혀 사실이 아니다라고 발표했다.

선관위의 분석결과도 같은 결과를 공표하였음에도 의혹이 해소되지 않고 확대 재생산되고 있음은 매우 유감스러운 일로 안타까운 일이라고 전제한 후, 참여연대가 LG엔시스 작성 <재보궐선거 서비스장애 분석보고서>의 일부 내용을 거론하면서 “그간 제기되어 온 ‘선관위 홈페이지 장애가 디도스 공격 때문이 아닐 수 있다’는 의혹이 단순 괴담이 아니라 사실일 수도 있다”라고 발표함으로써 의혹의 불에 기름을 끼얹은 꼴이 되었다고 주장했다.
 
디도스 공격 당시 선관위 대응에 관련해서는 ○ 06:58경 DDoS 공격으로 추정하고 주요 공격 IP에 대한 수동차단 조치 및 KT 회선차단 검토 ▸ KT 회선 차단, LG U+망만 운영 ➩ 홈페이지 서비스 1차 정상화(07:10) ○ 07:35 이후 LG U+망도 공격받게 되어 KT측과 협의, (임시)사이버대피소로 우회조치 ▸ 2차 정상화(08:32)의 단계를 밟았는데, 다만 최초 인지 후 공격탐지 및 확인단계를 거쳐 공격이 집중되었던 KT 회선을 차단하기까지의 초동조치와 자체 사이버대피소가 구축되어 있지 않은 관계로 KT측으로부터 (임시)사이버대피소를 할당받아 우회조치 하는데 있어 절차상 불가피한 시간이 소요되었다고 밝혔다 .
 
선관위 관련 의혹에 대한 입장 관련해서는 선관위가 1/27일 발행한 <10. 26. 재·보궐선거 관련 의혹제기에 대한 10문 10답>을 중심으로 발제했다.

주요 내용은 첫째, 엔시스 보고서의 내용대로 DDoS 장비가 DDoS 트래픽을 정상적으로 차단하였음에도 홈페이지 접속 장애가 있었던 것은 정상 서비스 요청(트래픽)이 DDoS 트래픽에 묻혀 홈페이지에 도달하지 못하였기 때문이며, 간헐적으로 DDoS 트래픽을 뚫고 홈페이지에 접속된 경우도 있었다는 것, 둘째, 데이터베이스(DB) 서버의 로그기록 등을 분석한 결과, 데이터베이스 시스템(DBMS)은 모두 정상 작동되고 있었으므로 데이터베이스(DB)를 고의로 끊었다는 주장 역시 사실이 아니라는 점, 셋째 투표소를 찾는 방식은 홈페이지 접속 이외에도 우편 발송한 외에 안내현수막 설치, 안내벽보 게시, 안내도우미 배치, 구청 홈페이지에 안내문 게시, 각 후보자 측에 투표소현황 문서 안내 등 다양하게 진행되어, 투표소를 찾지 못하게 하기 위하여 ‘투표소 찾기 서비스’를 접속되지 않게 하였다는 주장은 사실로 볼수 없다는 점.  넷째, 로그기록 조작 등에 대해서는 DDoS 공격 이후 당일 10시 10분 경찰청에 수사의뢰를 하면서 로그기록을 포함한 모든 자료를 제공하였고, 2011. 12. 9. 경찰에서 검찰청으로 사건이 송치되면서 검찰 측의 요구에 따라 경찰청에 제공한 자료보다 더 광범위한 자료 일체를 검찰청에 다시 제공한 바 있다는 점. 다섯째, 투표소 변경 조작 의혹에 대해서는 서울시 관내 대부분의 구청장이 민주당 소속이라는 것과 6인으로 구성되는 동선관위 위원 중에는 국회에 교섭단체를 구성한 정당에서 추천한 인사가 참여하고 있는 점 등 제반절차와 과정을 고려할 때 일고의 가치가 없다고 주장했다.
 
이에 대한 토론에 나선 김유승 교수(중앙대 문헌정보학과 교수)는 이번 사건으로 헌법기관인 선거관리위원회에 대한 안타까운 불신이 커져갔다며, 이 이유로 선관위의 불성실한 정보공개방침을 들었다.

이번 토론회의 계기가 된 참여연대의 정보공개청구는 12월 23일 청구한 것이 정보공개청구 > 비공개 >이의신청 > 연장통보 > 부분공개의 지난한 과정으로 2개월 간이 소요되었음은 이미 알려졌지만, 이 사례 말고도 참여연대가 작년 11/4일 청구했던 서울시 선관위 최근 4차례 선거의 투표소 현황 정보공개청구는  투표소 변경 사유에 관한 자료 부존재 통보했지만 11/15일 강남구 선관위에서 변경 사유를 기재하여 보내와, 불성실한 답변이 증명되었고, 또  25개구마다 공개와 비공개가 들쭉날쭉이며 공개한 자료의 범위, 형식이 각각 달랐다는 사실도 지적했다.

또 유권자자유네트워크는 현재 보궐선서시 중앙선관위 회의록 비공개 처분 취소 행정소송 중임을 볼 때 공정성과 투명성을 지키고자 했다면 이렇듯 회의록을 통째로 비공개하는 것은 납득하기 어렵다고 밝혔다.
 
두 번째 발제에 나선 김기창 교수는 <중앙선관위 공개 자료의 1차 분석 결과와 남은 과제>라는 발표문을 통해 10/26일 재보궐선거 당일 06:00-07:00분 사이 낮은 수준의 디도스 공격(평균 초당 221메가 비트, 초당 4만4천 패킷 수준)이 있었으나 디도스 방어장비가 공격을 탐지하여 좀비PC들에 의한 접속 요청을 차단하여 그 외 정상적 유저로부터 오는 접속 요청에 대한 차단은 없었다고 여러 도표를 인용해 밝혔다.
 
3.jpg

 
때문에 당일 선관위 서비스 장애 현상의 원인 규명을 위해서는 디도스 이외의 다른 부분에서 원인을 찾는 것이 합당하고, 오히려 중앙선관위의 당일 디도스 현장 대응은 문제가 있었던 것으로 분석되며 추후 특검 등에서 보다 정밀하고 치밀한 조사가 있어야 할 것으로 판단된다고 분석했다.

특히 특검에서 꼭 밝혀야 할 사항으로 ① LG엔시스 보고서에는 메모리 증가 현상으로 인한 장애방지 차원에서 06:52과 06:54에 웹서버 사용자에 의해 재기동(Reboot)되었다고 보고되며 보고서의 다른 기록에도 00:00부터 06:54경까지 메모리 사용이 거의 100%에 이르는 것으로 나타나는데 이는 디도스 공격이 본격화되기 이전 상황이어서 왜 밤새 메모리가 과부화였는지 규명해야 할 것 ② 선관위 KT망 2회선과 LG망 1회선을 사용하고 있었는데(각 155M, 총 용량합계 465M), 정보화담당관실은 당일 아침 6:58에 KT회선을 단절하고 LG U+망만 유지하는 등의 행동을 취했는데 이는 명백한 실수이며, 고의성 여부도 함께 판단되어야 할 것이라고 밝혔다.
 
한편,  중앙선관위 정보화담당관실은 <10.26 DDos관련 새로운 의혹제기에 대한 설명자료>(자료집 47p 이후)를 현장에서 배포하며 설명에 나섰다.
  
먼저 KT 2회선을 차단한 것은 선관위가 2011. 3월 제정하여 운영 중인 <분산서비스거부(DDoS운영지침>에 의한 것이며 여기에는 DDoS 5단계 차단조치가 기술되어 있다고 해명했다.
 
또 선관위 총 회선용량의 56% 수준의 트래픽이 유입되어 충분히 감당할 수 있었다는 견해에 대해서는 회선이 들어 올 때 거치는 라우터 인터페이스가 ATM모듈임에 따라 이더넷으로 변환시 Data패킷의 차이가 발생, 실제로는 85% 수준, 즉 155M 회선은 130M 수준이 정상적이라고 주장했다.  
 
07:00부터 08:32까지는 디도스 공격이 거의 없다는 견해에 대해서는  KT망을 끊어 LG U+회선망의 경우 BGP up/down이 자주 발생하여 정상적인 서비스가 어려운 상황이었으나 이때도 DDos패킷이 유입되었고,  디도스 공격 규모에 대해서는 공개된 자료에는 5분 단위로 트래픽 량이 평균 기록되는데 실제로는 1초 사이에도 과당한 트랙픽이 몰릴 수 있어 당시 상황은 훨씬 급박했다고 말했다.
 
이후 지정 패널들과 네티즌과 선관위와의 지속적인 공방이 오갔다.
 
김기창 교수는 오늘 선관위가 KT와 LG U+의 회선 자료를 또 일부 인용 공개했는데 이는 사전에 자료를 공개하겠다는 말과 다르다며, 회선사업자의 유입 트래픽 등의 데이터에는 어떤 개인정보 사항도 없는 만치 남김없이 공개하라고 요구했다.
 
아고라 샤(유권자유네트워크 네티즌 집행위원)는 함께 공격을 받았던 박원순 홈페이지도 사이버대피소 측과 어떤 사전 협약도 없는 상태에서 유선 통화와 결정 등의 과정을 거친 후에도 클린존 이동이 08:30 경 이루어졌는데, 국가중요방호시설인 선관위가 거의 비슷한 시간에 사이버 대피소 이동이 이루어졌다는 것은 있을 수 없는 일이라는 점을 강조했다.
  
동네북의 난(네트워크 보안 전문가)는 보고서를 분석할 때 나온 디도스 공격 메뉴는 UDP와 ICMP 두 가지인데 이 둘은 디도스 공격 프로그램인 카스툴의 초기 메뉴로서 중앙선관위 홈페이지를 다운시키려고 작정했다면 카스 툴에 있는 메뉴를 모두 써서 공격했을 것인데 그렇게 하지 않았다며 이것은 공격에 최선을 다하지 않은 반증이라고 말했다. 또 기본 화력도 200M 정도로 미미해 이런 정도의 공격으로 을지훈련 등 국가시설 방호훈련을 매년 수 차례 수행하는 선관위 인터넷서비스가  멈춘다는게 상식적으로 이해가 가지 않는다고 지적했다.
 
한편, 진보네트워크센터 황규만 서버 관리자는 오늘 선관위 답변도 그것이 확실하다기 보다는 그렇게 추정된다는 것 뿐이라며 인터넷서비스 장애가 멈춘 이유에 대한 여러 가설들을 선관위가 검토는 했었는지 반문했다. 오히려 초기부터 디도스 공격으로만 상황을 설명하다보니 이런 문제가 생긴 것 아니냐고 지적했다.
 





 
 

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입


참여연대 NOW

실시간 활동 SNS

텔레그램 채널에 가장 빠르게 게시되고,

더 많은 채널로 소통합니다. 지금 팔로우하세요!