지난해 10·26 서울시장 보궐선거일에 발생한 중앙선거관리위원회 홈페이지 디도스(DDoS·분산 서비스 거부) 공격 사건을 수사 중인 박태석 특별검사팀이 4월4일 경찰청 전산센터를 압수수색했다. 그러나 압수수색 영장에 수색할 장소를 정확히 명시하지 않아 디도스 사건 담당 부서인 사이버테러대응센터에는 접근조차 하지 못했다.

지난 1월 초 서울중앙지검 첨단범죄수사2부(부장검사 김봉석)는 10·26 선관위 디도스 공격 사건의 윗선은 없다고 결론 내렸지만, 의혹은 더 커졌다. 

참여연대가 입수한 재·보궐 선거 서비스 장애 분석 보고서와 검·경의 수사 기록을 분석한 고려대 김기창 법학전문대학원 교수(오픈웹 대표)는 선관위의 대응에 대해 몇 가지 의문을 제기했다. 김 교수가 지적하는 가장 ‘이상한 대응’은 선관위 홈페이지로 향하는 3개의 회선 중 2개를 선관위가 스스로 잘라버렸다는 사실이다.

회선 차단 밝히지 않다가 시인한 검찰

선관위 홈페이지는 KT 회선과 LG U+ 회선으로 접속할 수 있다. 선관위로 향하는 KT는 155Mbps(초당 메가비트) 용량의 회선 2개로 연결돼 총 용량이 310Mbps에 달한다. 반면 LG U+는 155Mbps 용량 회선 1개로 연결돼 있다. 사용자가 어느 통신사의 인터넷 서비스를 이용하건 외부에서 선관위 서버에 접속하는 모든 트래픽(데이터 양)은 KT 회선을 거치도록 설정돼 있다. 더 넓은 길을 사용하도록 회선 설정을 해두었기 때문이다. 디도스 공격 트래픽도 같은 원리에 따라 KT 회선으로 들어왔다.

10월26일 오전 5시50분 시작된 디도스 공격은 1Gbps(초당 기가비트) 규모의 트래픽을 유발했고, 이는 KT 회선을 통해 선관위로 향했다. 최대 용량의 3배가 넘는 트래픽으로 병목현상이 생기자 선관위 홈페이지 접속이 어려워졌다. 전문가들은 “디도스 공격에 대응하려면 용량과 속도를 늘려야 했다”라고 말한다. 선관위가 마련한 내부 규정 ‘디도스 공격 대응지침’에도 ‘대역폭을 늘리라’고 규정되어 있다.

그러나 선관위는 정반대로 결정했다. 오전 6시58분 선관위는 KT망으로 연결된 2개 회선을 막았다. 선관위 홈페이지로 향한 트래픽은 길을 잃었다. 트래픽은 선관위 회선 구성 원리에 따라 남아 있는 유일한 길인 LG U+ 회선으로 몰려들었다. 당연히 KT 회선 용량의 절반인 LG U+회선도 꽉 막혀버렸다. KT 회선 차단을 결정하는 과정에서 선관위는 KT와 LG U+ 등 네트워크 사업자와 상의하지 않은 것으로 밝혀졌다.

지난 1월 초만 해도 검찰은 선관위가 KT 회선 두 개를 모두 닫았다는 사실을 밝히지 않았다. 그러나 기술 보고서가 공개될 상황에 처하고서야 KT 회선을 스스로 닫았다는 사실을 시인했다.

선관위는 “접속장애 상황에서 (회선을 자른 것이) 적절한 판단이었는지에 대해 기술적인 관점에서 논란의 여지가 있지만, 긴박한 상황에서 담당자가 내린 결정의 진정성을 부정하는 것은 아니다”라고 말했다.

“누군가 의도적으로 라우터 설정 건드려”

전문가들에 따르면, 디도스 공격에 대응하기 위해서는 공격 IP 주소를 차단하고 좀비 PC의 접근을 막는 것도 한 방법이다. 선관위는 홈페이지 접속장애 40여 분이 지난 오전 6시25분 KT 국가망운용실에 공격 IP 차단을 요청했다. KT 회선 차단 이후에는 LG U+에도 공격 IP를 알리고 차단을 요청해야 했다. 그러나 LG U+에서의 IP 차단 작업은 오전 8시30분에야 시작됐다.

LG U+관계자는 검찰에서 ‘선관위가 오전 8시7분 처음 장애 사실을 알려왔다’고 진술했다. 선관위가 ‘이날 오전 6시40분에 알렸다’고 말한 것과 다르다. 이에 대해 LG U+ 관계자는 ‘그 시각에 연락을 받은 적이 없다’고 재반박했다.

새로운 의혹도 연이어 제기되고 있다. 선관위는 접속장애가 발생한 지 2시간여가 지난 오전 8시39분쯤, 대용량 회선과 공격 차단 시스템을 갖춘 사이버 대피소로 우회하게 했다. KT가 선관위에 사이버 대피소 사용을 제안한 뒤에서야 이루어진 조처이다. 또 트래픽이 드나드는 관문인 ‘라우터’가 죽었다가 되살아나는 현상이 오전 7시30분부터 무수히 반복된 것도 석연치 않은 대목이다. 장애가 발생하는 신호가 규칙적이고 지속적으로 일어난 것이다.

김 교수는 “누군가가 의도적으로 라우터 설정을 건드렸다고 볼 수 있다”라고 말했다. 그 사이, 누군가가 선관위 DB 서버에 로그인했다. 그러나 어떤 작업을 했는지에 관한 기록은 남아 있지 않다.

10·26 이후에도 선관위를 둘러싼 의혹은 계속됐다. 지난 1월, 선관위는 100억여 원을 들여 내부 시스템 개비(改備)를 추진했다가 폐기했다. 당시 선관위는 “19대 국회의원 선거를 안정적으로 확보하기 위해 전체 시스템을 대상으로 교체 및 신규 장비 도입이 필요하다”라고 밝혔다. 이에 대해 한 내부 관계자는 “4·11 총선이 촉박한 상황에서 정상적인 절차가 아니다. 로그 정보가 드러날 것을 두려워한 누군가가 은폐하려던 것으로 보인다”라고 말했다.

선관위가 시스템 보안을 담당했던 LG엔시스에 ‘디도스라고 해명하라’고 종용한 사실도 드러났다. 한 관계자는 “선관위에서 (LG엔시스에) ‘접속장애 원인은 디도스 공격 때문이라고 언론 플레이를 해라’고 요청했다”라고 전했다. 이미 LG엔시스에서 ‘접속장애는 디도스와 무관하다’고 발표한 뒤였다. 그는 “‘(선관위 측에서) 향후 비즈니스를 같이 하기 위해 이 정도는 해줘야 하지 않겠느냐’라고 말했지만, ‘디도스와 무관하다’는 기존 발표를 뒤집으면 업체가 큰 타격을 입을 수 있다고 판단했다”라고 말했다. 결국 LG엔시스는 선관위의 요청을 거절했다.

김기창 교수는 ‘접속장애와 관련한 기술적인 사실은 더 이상 덮을 수 없다’라고 못 박았다. 김 교수는 “디도스 공격을 감행한 이들은 ‘미수범’에 해당한다. 실제로 공격을 계획한 몸통을 가려내야 한다”라고 말했다. ‘중앙선관위와 서울시장 후보 홈페이지 사이버테러 진상 규명’ 박태석 특별검사팀은 지난 3월26일 공식 출범하고 수사에 들어갔다. 최장 90일 동안 수사를 통해 의혹이 얼마나 밝혀질지 세간의 관심이 집중되고 있다.