선관위의 “디도스 대응” 신공....나꼼수 6회 내용

[하늘0]

★ 총선/대선 관련 논의는 선거 논의 게시판으로 해주세요 ^^

선관위의 “디도스 대응” 신공

선관위가 2012.1.27 게시한 “중앙선거관리위원회 DDoS관련 기술분석 보고서” 슬라이드에 의하면, 선관위는 10.26선거 당일 아침 6:58에 “KT회선을 단절하고 LG U+망만 유지”했습니다.(슬라이드 12)

앞선 포스팅에서도 설명드렸듯이 선관위는 KT망 2회선과 LG망 1회선을 사용하고 있습니다(각 155M, 총 용량합계 465M). 트래픽이 많으면 회선 용량을 늘여야지, 어째서 있는 회선 두개를 끊어서 1/3로 용량을 줄였는지 궁금했습니다. 마침 선관위 유훈옥 사무관께서 고맙게도 전화를 주셨습니다(2012.2.15 밤10:22). 유사무관님의 답변은 좀 다양했고, 그후 직접 만나거나 추가 전화 통화를 통하여 폐기되거나 수정되었습니다.

첫째, 공격트래픽이 주로 KT망을 통해서 들어왔기 때문에 KT망을 끊었다는 답변.

• 그러나, 공격트래픽이 망사업자를 가려가며 다니지는 않습니다. 망사업자가 누구건 간에 트래픽은 최종 목적지를 향해서 갑니다.
• KT망에 “공격트래픽”만이 들어오는 것이 아닙니다. 정상트래픽과 공격트래픽이 모두 들어옵니다. 이것을 가려내는 것이 “디도스방어장비”입니다. 디도스 방어한다고 망을 끊는 사람은 없습니다. 디도스의 목적이 바로 접속 장애를 일으키려는 것인데, 망을 끊으면 그 목적을 달성해주는 것이지요.
• KT망을 끊는다고 트래픽(공격트래픽이건 정상트래픽이건)이 줄어드는 것이 아닙니다. 남아 있는 LG망으로 모두 몰려오므로 혼잡이 더 심해질 뿐입니다.

이 답변은 폐기하셨습니다. 애초에 왜 이런 “괴상한” 답변을 하셨는지 원…

둘째, LG망은 재외국민선거 홈페이지(ok.nec.go.kr)인 58.184.95.131로 오는 트래픽을 위한 것이고, KT망은 선관위 홈페이지(www.nec.go.kr)인 210.204.204.10로 오는데 주로 사용된다는 답변.

• 그럼 KT망 두개를 모두 끊었다는 말은 “아무도 선관위 홈페이지로 접속 못하게 하겠다는 뜻이었나요?” “그건 아니고…”
• 선관위 홈페이지로 오는 트래픽은 우선은 KT망을 사용하고, KT망에 여유가 없어지면 LG망을 통해서도 선관위 홈페이지로 트래픽이 들어옵니다. 굳이 KT망을 끊지 않아도 트래픽이 많아지면 LG망도 사용하여 선관위로 트래픽이 전달됩니다. 그런데 왜 KT망을 끊었나요? “…”
• KT망을 끊기 전에 이미 약간의 트래픽(30M 수준)이 6:40경부터 LG망을 통하여 선관위로 무난히 들어오고 있었는데, KT망을 6:58에 끊으니까 선관위로 오던 트래픽이 모두 LG망(155M)으로 집중되어 오히려 그때부터 병목현상이 생겼다는 사실은 선관위 슬라이드12에 그래프와 말로 설명되어 있습니다.

“KT망을 왜 끊었나요?” 라는 제 질문에 대하여 “LG망으로는 선관위 홈페이지(www.nec.go.kr)로 트래픽이 오기 어렵기 때문”이라는 좀 당혹스런 동문서답 식 답변은 철회되었습니다. 애초에, KT망과 LG망은 ip가 달라서 어쩌구 하는 유사무관의 대답은 link aggregation이나 “WAN load balancing” 기술이 뭔지 아는 사람이 들으면 황당한 헛소리입니다. 선관위에 Layer 4 스위치를 납품한 업체에게 그런 소리 해보라고 하시죠. ㅋ (L4 스위치가 바로 network load balancing 과 server load balancing 을 담당합니다. 기술설명은 여기)

셋째, 디도스 “대응 메뉴얼”에 따라서 KT망을 끊었다는 답변.

• 이 답변은 최초 전화 통화가 거의 끝날 무렵에 하셨습니다.
• 그후 2.17 저녁 9시에 박혁진 과장님을 뵙는 자리에 유 사무관께서도 나오셨길래 제가 “디도스 대응 메뉴얼 어디에 망을 끊으라는 소리가 있느냐”고 물으니까, 메뉴얼에 있는 것은 아니지만 비상 사태에서 “최후의 조치”로서 KT망을 차단했다”고 답변을 수정하셨습니다. 그러자, 옆에 있던 박혁진 과장(네트워크나 라우팅에 대한 지식은 그닥 없으신 분이라는 인상을 받았습니다만)이, “포탄이 비오듯 하는 상황에서 비상 조치로서 한 일을 이제와서 이리저리 따질 수 있느냐?”며 거들었습니다.

하여간 대응 메뉴얼에 따라 KT망을 끊었다는 답변도 폐기하셨습니다.

넷째, 당시는 비상 상황이었고, 그때 상황에서는 “최후의 조치”로서 그렇게 하는 수 밖에 없다고 판단했다는 대답.

이것이 현재 유훈옥 사무관님과 박혁진 과장께서 굳건히 반복하시는 답변입니다.

그래서,

“그 당시”의 유입트래픽 추이를 살펴보았습니다.

아래 그림은 2012.1.17 선관위가 게시한 기술보고서 슬라이드 13에 있는 “DDoS장비 트래픽 처리량” 그래프의 일부입니다. 선관위로 들어오는 유입트래픽 추이를 6:58에서 잘랐습니다. KT망 자르는 결정을 6:58분에 했으니, “그때까지의” 유입트래픽 추이를 보고, 과연 제정신을 가진 서버관리자가 “당시 상황에서” 그런 판단을 할 수 있는 것인지를 보자는 것이지요.

10.26보궐선거 당일 아침 6:58까지의 유입트래픽 추이

선관위로 유입되는 트래픽 추이를 보면 6:50경에는 디도스 공격이 사실상 끝나가는 모습을 보입니다. 즉, KT선 자르기 전 마지막 10분 가량은 유입트래픽이 폭주한 것이 아니라, 유입 트래픽이 절반 이하(100M bps 수준)까지 급속도로 줄어들고 있는 상황입니다. 그러자/그러므로/그러니까/그런데도, 선관위는 KT망에 연결된 “선관위 라우터”에 (KT와 아무런 협의도 없이) link down 명령을 때립니다! ㅋㅋㅋ

급박한 상황? 순전 뻥이예여

“망을 끊기 전까지”의 상황은 긴박하지도 않았습니다. 유입트래픽 총용량이 회선 용량 절반에도 못 미치고, 디도스 방어장비는 공격트래픽을 말끔히 걷어내고 약 10M bps 규모의 정상 트래픽을 통과시키고 있는 상황이었고, 홈페이지 웹서버 메모리 포화문제도 6:52, 6:54에 리부팅을 해서 정상으로 되었습니다. “흠, 디도스 방어장비 구축한 보람이 있구만…” 하며 흐믓한 심정으로 트래픽 상황을 모니터하며 모닝커피를 즐기면서 유관 수사기관에 “디도스 공격시도가 있으나 잘 막고 있고요, 조금 전부터는 유입트래픽이 대폭 줄고 있습니다. KT측에서도 좀비PC ip에서 오는 트래픽을 차단하기 시작한것 같아요” 라는 정도의 연락을 취하면 되는 상황입니다.

포탄이 빗발치는 상황에서 “최후의 수단으로” 06:58에 KT망을 끊었다? 감동의 도가니…
차라리 영화를 찍어요, 영화.

19. February 2012 by youknowit
Categories: 민원/소송 | 0 Comments

10.26사태관련 선관위 10문10답에 대한 세가지 질문

올해 1월27일 중앙선관위는 “10. 26. 재·보궐선거 관련 의혹제기에 대한 10문10답”과 “중앙선거관리위원회 DDoS관련 기술분석 보고서”를 공지했습니다. 여기에 있습니다. 링크를 클릭해서 나타나는 화면에서 혹시 “해당 게시물이 없다”고 표시되면, “다시고침”을 하시면 나타날 것입니다.

10문10답은 일반인을 상대로 한 것이고, 기술분석보고서는 전문가를 상대로 제시된 말그대로 “기술분석 보고서”입니다. 그런데, 일반인 상대로 게시한 10문10답의 내용은 기술분석 보고서 내용과 충돌하고 있습니다. 그 이유가 궁금하네요.

첫째 질문:
10문10답 중, 문1에 대한 답변을 보면(4면), “2011. 10. 26. 05시 50분경 회선 용량을 고갈시키는 디도스공격이 발생”했다고 적혀있습니다. 그러나, 기술보고서 내용은 다릅니다.

• 선관위 네트워크는 초당 465M 트래픽을 처리할 수 있습니다. KT망 2회선(용량: 각 155M)과 LG망 1회선(용량: 155M)을 사용(기술보고서 슬라이드8).
• 당일 6-7시 사이의 유입 트래픽은 최대 263M, 평균 221M 였습니다(기술보고서 슬라이드 11과 13).
• 따라서, 유입트래픽 평균 규모(221M)는 선관위 회선 용량(465M)의 절반에도 못 미치고, 최대 유입 순간에도 56%를 넘지 않는 규모입니다.

기술보고서 내용이 이런데도, 10문10답에서는 “회선 용량을 고갈“시키는 디도스공격이 발생했다고 일반인들을 상대로 대답한 이유는?

둘째 질문:
10문10답 중, 문2에 대한 답변을 보면(5면), “2011. 10. 26. 디도스공격 당시 우리위원회에 유입된 트래픽은 1기가이고 네트워크 수용 용량이 310메가이므로 병목현상이 발생”했다고 적혀 있습니다. 그러나, 기술보고서에 의하면

• 공격 당시 유입트래픽은 최대 263M 를 넘지 않았고, 6-7사이에 평균 221M 였으며(기술보고서 슬라이드 11, 13)
• 네트워크 수용용량은 465M 입니다(기술보고서 슬라이드8).

그런데도, 일반인을 상대로 한 10문10답에서는 “유입된 트래픽은 1기가”라고 하고 “수용용량이 310메가”라고 하여 “병목 현상이 발생”했다고 대답한 이유는?

셋째 질문:
당일 6:58에 선관위는 KT망 2개를 모두 끊고, LG망 하나만 남겨두었습니다(기술보고서 슬라이드4). 그 결과 선관위로 오는 200M 규모의 트래픽이 LG망 하나(용량: 155M)로 집중하게 되어 송수신이 원활하지 못했습니다. “155M 회선 대역폭에 200M 트래픽이 유입”되어 문제가 생겼다는 것입니다(기술보고서 슬라이드12). 그러나,

• 세개의 회선으로 넉넉하게 처리하던 상황(회선 총용량의 절반에도 못미치는 트래픽을 처리하던 상황)에서 회선 두개를 끊은 이유는?
• 세개의 망 중 두개를 끊고 하나만 남겨두면, 트래픽 병목 현상이 “해소”될거라고 생각했는지? 아니면 “초래”될 것이라고 생각했는지?
• KT망 두회선을 모두 끊기로 한 결정은 누가 한 것인지?

3개의 망중 2개를 끊어서 “155M 회선 대역폭에 200M 트래픽이 유입”되는 상황이 초래되었다는 내용(기술보고서 슬라이드12)은 어째서 10문10답에는 적지 않았는지요? 너무 어려워서? 아니면, 너무 이상해서?

어쨋건 이해할 수는 없네요.

ps. 선관위가 그 “기술”보고서에서 트래픽 또는 회선 용량을 이야기 할때 “155M”, “221M”, “465M” “1기가”, “310메가” 등으로만 표시하고 있는데, 그 단위가 bits인지 bytes 인지를 분명히 해주시면 좋겠습니다. ㅋㅋ

http://openweb.or.kr/?p=4476 (10.26선관위 웹사이트 서비스 장애의 원인)은 조만간 공개하겠습니다. 잠시만 기다려 주세요.

16. February 2012 by youknowit
Categories: 보안, 오픈웹 | 1 Comment

10.26선관위 웹사이트 서비스 장애의 원인

선관위 웹사이트의 디도스 방어장비를 공급, 관리하는 업체는 LG엔시스입니다. 이 업체가 지난해 11월26일 작성하여 중앙선관위에 제출한 “2011년 10월26일 재보궐선거 서비스 장애 분석 보고서”를 읽어보았습니다. 중앙선관위는 참여연대의 정보공개청구를 일부 수용하여 이 보고서(총36면)를 2012.2.11에 마지못해 공개하였습니다.

결론부터 말씀드리면, 당일 6:00-7:00 사이에 낮은 수준의 디도스 공격(초당 221메가 비트, 초당 4만4천 패킷 수준)이 있긴 하였으나, 디도스 방어장비가 공격을 탐지하여 좀비PC들의 ip에서 오는 접속 요청을 차단시켰고, 그 외 정상적 유저로부터 오는 접속 요청에 대한 차단은 없었다. 따라서 디도스 공격은 선관위 웹사이트 서비스 장애와는 무관하다는 것입니다.

2011.11.26자 기술보고서의 핵심 포인트를 간략히 설명드리겠습니다.

1. 디도스 공격 규모: 초당 221 메가 비트, 4만4천 패킷 정도의 공격은 디도스 공격의 평균 수준에 훨씬 못미치는 소규모 공격입니다. 2011년 후반기 전세계 디도스 공격 추이를 분석한 기사에 따르면, 공격에 동원된 트래픽 규모의 평균치는 초당 5.2기가 비트 수준이었습니다. 선관위 공격은 이것의 1/20 수준.

2. 당일 아침 장애 기간 동안의 정상 트래픽 규모: 웹사이트 가장 앞 단(端)에서 디도스 방어장비가 공격 트래픽을 걸러내고, 정상 트래픽을 통과시키면 방화벽 장비가 그 다음 단계에서 이 트래픽을 처리합니다. 여기에 기록되는 트래픽은 정상적인 접속 요청 트래픽으로 볼 수 있습니다. 문제의 기간 동안 정상 트래픽량은 초당 10메가 비트 수준이었고, 처리세션도 3000세션 미만의 낮은 수준이었으며(3분 단위로 측정), 보고서 3.4는 그 이유를 “앞 단 DDoS 보안장비에서 유해 트래픽이 차단되어 세션 수가 적었음”이라고 설명하고 있습니다.

참고로 그날 하루의 트래픽 추이를 보면 저녁 8시-9시 사이에 접속량이 절정에 달하는데, 이때의 세션 수는 24만 세션(3분 단위 측정) 가량의 수준이었습니다. 따라서 3000 세션이라면 선관위 서버가 아무 부담없이 여유롭고 널널하게 처리할 수 있는 수준의 부하입니다.

3. 장애 기간 동안의 웹서버 상황: 방화벽을 통과한 트래픽은 웹서버가 처리합니다. 선관위는 TMax사가 제작 납품한 WebtoB + JEUS 서버 소프트웨어를 사용하고 있습니다. 웹서버는 유저의 접속 요청을 처리하는 과정에서 DB서버와 교신하여 DB서버로부터 데이터를 가져와서 웹페이지를 실시간으로 생성하는 작업을 합니다. 선관위 웹서버들 중에는 홈페이지 웹서버(www.nec.go.kr)도 있고, 선거정보 웹서버도 있습니다(info.nec.go.kr). 거의 대부분 유저들은 일단은 선관위 홈페이지로 접속을 시도할 것입니다. 인터넷 검색창에 “선관위”, “선거관리위원회” 등을 치면, 제일 먼저 나오는 것이 이것이니까요. 투표소 안내 페이지의 정확한 url 주소를 자신이 직접 주소창에 입력하여 투표소 검색하는 분은 아마 없을겁니다.

선관위 ‘홈페이지’는 2대의 웹서버로 구축되어 있는데, “홈페이지 웹서버#1 상세 분석 내역”(첨부 3.6)을 보면, “메모리 증가 현상으로 인한 장애방지 차원에서 06:52에 사용자에 의해 재 기동됨”이라고 되어 있고, “홈페이지 웹서버#2 상세 분석 내역”(첨부3.7)에도 그로부터 2분 뒤에 “메모리 증가 현상으로 인한 장애방지 차원에서 06:54에 사용자에 의해 재 기동됨”이라고 보고되어 있습니다.

쉽게 설명하면, 선관위 웹서버 관리자가 ‘홈페이지’ 서버 상태를 살펴보니, 메모리(RAM 메모리를 말하지요)가 거의 소진되어 그냥 두면 뻗을 것 같아서 아침 6시52분과 54분에 홈페이지 서버2대를 다시 시작(reboot)했다는 뜻입니다. 메모리 사용수준은 그래프로 판명될 수 있으므로, 그래프를 보았습니다(첨부2.3). 그래프도 재미있고, 그 옆에 “점검결과”란에 적힌 내용은 더욱 재미있습니다.

기술보고서의 해당 페이지는 이렇게 생겼습니다. 아래 그림을 클릭하면 full size로 보실 수 있습니다.

세개의 그래프 중, 중간 것을 보시기 바랍니다. 이렇게 생겼습니다.

그래프 왼쪽 끝이 2011.10.26.새벽 0시이고, 오른쪽 끝이 그날 23:59 입니다. 왼쪽 상단을 보시면, 그날 0시부터 6:50 경까지 메모리 사용이 거의 100%에 이르고 있습니다. 새벽 4:20경부터 5:20경까지 한시간 동안 잠시 떨어졌다가 다시 100%에 달하는데, 결국 6시52분, 54분에 서버관리자가 reboot을 하고 나니까, 정상 수준(70%-80%)으로 돌아왔다는 것입니다. 무언가 비정상 프로세스가 메모리를 밤새도록 잡아먹고 있었고(새벽 4시-5시 사이에 잠시 내려갔다가), 이 사태는 아침 6시50분쯤에 서버관리자가 reboot을 하니까 비로소 회복되었다는 이야기 입니다. 따라서

• 접속자가 거의 없는 한밤중이나 새벽에 어째서 선관위 홈페이지 웹서버 RAM 메모리 포화상태가 계속되었는지?
• 새벽 4:20경에는 누가 어떻게 했길래 메모리가 회복되었는지, 5:20 분경에는 무슨 일이 있었길래 다시 RAM메모리가 소진된 상태로 맛이 갔는지?
• 선거 당일날 0시부터 이런 일이 벌어지고 있었는데 어째서 6시50분까지는 아무도 홈페이지 웹서버 상황을 모니터하지 않고 있었는지? 아니면, 모니터하면서도 가만히 보고 있었는지 규명되어야 합니다.

그런데 흥미로운 점은, 위 그래프 오른쪽 란을 보시면 “장애발생 당시 메모리 사용률은 과부하가 존재하지 않은 상태임”이라고 적혀 있다는 것입니다. 그럼, 같은 보고서 첨부3.6과 첨부3.7에서 “메모리 증가 현상으로 인한 장애방지 차원에서 06:52(6:54)에 사용자에 의해 재 기동됨”이라 적은건 뭥미? 그냥 실수? “장애 발생 당시에” 무슨 일이 있었지에 대한 분석보고서의 핵심 부분에서?

4. DB서버: 이상 상황 없습니다. 그도 그럴것이 6시54분까지는 홈페이지 웹서버 자체가 메모리 포화로 버벅대고 있었으므로, DB서버에 제대로 요청도 못하고 있는 상황이었기 때문입니다. DB서버는 그냥 한가하게 놀고 있는 것이지요. 그점은 DB로그에도 나타날 것입니다. DB서버와 웹서버 간의 연결을 강제로 끊고 말고 할 필요도 없었습니다. 접속량은 3분에 3000세션 밖에 안되는 널널한 수준인데도, 어떤 이유에선지, 웹서버의 메모리가 포화상태로 있었기 때문입니다.

5. 7:00-8:32 사이: 선관위 홈페이지 웹서버의 메모리 포화 상태가 6:54경에 해소되자, 약 5분 후인 7시부터 8:32까지 선관위는 KT망서비스를 끊습니다. LG엔시스 보고서는 이렇게 적고 있습니다. “선거당일 06시부터 07시 사이 대량의 트래픽이 유입됨. 07시부터 08시32분까지 KT망 서비스를 단절함”

이것은 기술적으로 “해괴망칙한 짓” 이라고 밖에는 달리 표현하기 어렵습니다. 왜 그런지 설명드리겠습니다.

선관위는 평소 3개의 망을 이용하여 인터넷과 연결되어 있습니다. KT망이 두개(KT ATM#0, KT ATM#1) 그리고 LG망이 하나입니다. 각 회선은 초당 155메가 비트의 트래픽을 감당할 수 있는 용량입니다. 따라서 선관위는 합계 465 메가 bps 규모의 트래픽을 감당할 수 있습니다. 선거당일 6시부터 07시 사이 “대량의 트래픽”이 유입되었다고 하지만, 실은 221메가 bps 규모의 트래픽에 불과했기 때문에 세개 회선 중 KT망 두개(용량 310M)만으로도 충분히 처리하고, LG망은 그냥 놀고 있었습니다. 그런 상황에서 KT망 두개를 끊으면 그 트래픽이 어디로 가겠습니까? 회선을 끊는다고 트래픽이 공중으로 사라집니까? 땅으로 꺼집니까? 인터넷은 원래 군사목적의 교신 수단으로 개발된 것이기 때문에 회선의 일부가 절단되면, 트래픽이 사라지거나 drop 되는 것이 아니라, 마지막까지 남아있는 다른 회선을 어떻게라도 찾아서 가도록 설계되어있습니다. 따라서 그때 까지 KT망 두개를 통하여 널널하게 오고가던 221메가 bps의 트래픽이, 아직 끊기지 않고 남아 있는 LG망(용량 155메가 bps)으로 몰리게 됩니다. 즉 155메가 bps 용량의 회선에 221메가 bps 규모의 트래픽이 몰리는 과부하 상황이 “연출”되는 것입니다. (선관위가 올해 1.27일 게시한 “중앙선거관리위원회 DDoS관련 기술분석 보고서” 슬라이드 12면 참조).

파이프 세개로 널널하게(워낙 널널해서 파이프 하나는 아예 사용도 안하면서) 트래픽을 처리하다가, “트래픽이 많다는 이유로” 파이프 두개를 자르고 하나의 파이프로 트래픽을 몰아넣는 해괴한 짓을 7시부터 한 것입니다.

망을 자른다고 트래픽이 없어지는 것이 아닙니다. 어느 하나의 망을 자르면, 트래픽은 남아 있는 망을 통하여 찾아오는 것입니다. 회선 자체는 정상 트래픽이건 공격 트래픽이건 가리지 않습니다. 공격 트래픽은 망 변경때문에 선관위 사이트를 찾아오지도 못하는데 정상 트래픽만 용케 찾아온다거나, 그 반대의 경우는 애초에 있을 수 없습니다. 디도스 장비에까지 도달한 트래픽의 추이는 다음과 같습니다.

6시-7시 사이에는 초당 221메가 비트 수준이던 유입 트래픽이 7시 이후에는 26메가 비트 수준으로 대폭 줄어듭니다. 어째서 이렇게 유입 트래픽 자체가(공격 트래픽인지 정상 트래픽인지 가릴것 없이) 거의 10분의1 수준으로 줄어들게 되는지에 대하여, LG엔시스 보고서 2-2을 보면, “07시 이후 08시30분까지 LG망을 통해 서비스하였으나 LG망과의 BGP Down/UP 연속발생으로 인해 서비스가 중단된 것으로 판단됨”이라고 적고 있습니다.

무슨 뜻인고 하니, 세개의 망을 모두 사용하여 트래픽을 널널하게 받다가, 7시에 KT망 두개를 끊고 LG망 하나로만 트래픽이 몰리도록 했을 뿐 아니라, 누군가에 의해 또는 어떤 이유에선가 LG망과 연결된 선관위 라우터가 꺼졌다/켜졌다(link up/link down)를 반복해서, 트래픽이 어느 망으로 선관위를 찾아가야 할지 갈팡질팡하게 되어 접속 트래픽(공격트래픽이건 정상트래픽이건)이 네트워크 주소를 제대로 찾아 오고가지를 못하게되어 전반적으로 접속량이 줄어들었다는 것입니다.

따라서, 다음 사항들이 규명되어야 할 것입니다:

• 홈페이지 웹서버를 6:54경에 reboot하여 메모리 포화 상태가 해소되자, 약 5분 후 선관위와 연결되는 세개의 회선 중 두개를 단절하였는데, 누가 이 결정을 했는지? 이 결정을 한 기술적 근거는 무엇인지?
• 465메가 bps 규모의 처리 용량을 가진 선관위 회선망이 그 용량의 47%에 불과한 221메가 bps의 트래픽을 처리하고 있는 상황에서 어째서 회선 두개를 단절하여 용량 초과(142%) 상황을 연출했는지?
• 하나만 남겨둔 LG망 자체의 접속 문제(BGP Negotiation 등의 문제)까지 있어서 장애가 일어난다면, 왜 그런 문제가 없었던 두개의 KT망을 다시 연결하지 않고 1시간 30분이나 그냥 두었는지?

실은, “BGP up/down 연속 발생”이라는 것도 저절로 생겨나기는 어려운 것입니다. 독립된 망들 간의 연결을 처리하는 Border Gateway Protocol(BGP)는 소프트웨어적으로는 그리 쉽게 down되지는 않습니다. 여러 게이트웨이 호스트들과의 연락 가능성을 확보해두고 하나가 실패하면 다른 호스트와 연락해서 결국 네트워크 주소를 찾아가도록 설계되어 있는 것입니다. 물론, 종착지의 라우터가 어떤 이유에서건 link up/link down 상태를 반복하면(트래픽을 보내라 했다가, 보내지 말라하는 요청을 변덕스럽게 반복한다면) BGP 라우터가 그 요청을 전달받아 처리하는데 걸리는 시간 때문에 트래픽이 이리저리 방황하는 상태가 초래될 수 있겠지요…

디도스와는 무관한 이런 기술적 이슈들이 규명되어야 10.26 선관위 웹사이트 장애 사태가 밝혀질 수 있습니다. 보궐선거 당일 아침의 서비스 장애는 디도스와는 무관하다는 기술보고서가 11월26일에 선관위에 이미 제출되었음에도 이를 무시하고(기술보고서를 무시하려면, 기술적으로 합당한 근거라도 제시해야 할 것입니다), “20대 전과자 몇명이 나경원을 좋아해서 술김에 디도스 공격을 하니까 선관위 사이트가 두시간 넘게 뻣더라”는 황당한 스토리를 경찰은 2011.12.9일에, 검찰은 2012.1.6에 온국민을 상대로 “수사발표”라는 미명하에 유포한 이유가 무엇인지는 앞으로 차근 차근 규명되어야 할 것입니다.

ps. 결국, 10.26 선관위 웹사이트 장애는

(1) 당일 0:00(또는 그 이전) 부터 6:54까지는 홈페이지 웹서버 RAM 메모리가 (어떤 이유에선가) 포화 상태로 내내 있었기 때문에 접속 요청을 제대로 처리하지 못했고,
(2) 홈페이지 웹서버가 reboot되어 메모리 포화 상태가 해소되자, 5분 뒤인 7시 부터는 (어떤 이유에선가) 그동안 널널하게 트래픽을 처리하던(하도 널널해서 세개의 망 중 하나는 아예 놀려두고 있던) 상황에서 KT망 두개를 자르고 LG망 하나로만 모든 트래픽이 몰리도록 한 다음, 누군가가 선관위 스위치 라우터를 계속 장난질쳐서 선관위로 트래픽이 오고가기 어렵게 만들었다가 8시 반에 KT망 두개를 다시 연결하여 정상화 된 것으로 보입니다.

LG엔시스 보고서 3.1 하단의 “종합의견”에도 “정상적인 서비스가 이루어지지 못한 이유는 Router와 LG망과의 BGP Down으로 인한 것”이라고 되어 있습니다.

디도스는 이런 내막을 덮으려는 쇼. 왜 그런 “쇼”를 했을까요?

15. February 2012 by youknowit
Categories: 보안 | 3 Comments

Security theatre

보안 전문가나 보안학을 연구, 강의하시는 분들은 이미 잘 아시고 계시지만, “security theatre”라는 말이 있습니다.

theatre 는 “극장”이라는 뜻도 있고, “연극”이라는 뜻도 있습니다. 그런데 우리말로 “연극”이라고 하면, 두 가지 뜻이 있습니다. 하나는 공연장에서 이루어지는 진짜 연극을 말하는 것이고, 다른 하나는 “연극하고 있네”라는 표현에서 보듯이, 꾸며서 시늉하는 과장된 행태를 말하기도 합니다. 영어에서도 마찬가지 입니다. “쑈하고 있네”라고 할때의 쑈와 대체로 같은 의미라고 보시면 됩니다.

Security theatre 라고 할때 theatre 가 바로 이런 의미의 ‘연극’을 뜻합니다. 보안 ‘쑈’를 한다는 뜻이지요. 실제로 보안에 도움이 되는 것이 아니라, 그저 관객들(일반인들)이 보기에 ‘뭔가 좀 안전해 지지 않겠나’라는 느낌이 들도록 쑈를 하고 있다는 것입니다. 이말은 부르스 슈나이어 씨가 2003년에 출간한 Beyond Fear 라는 책에서 사용한 이래 많은 보안전문가들이 공감하고 있습니다. 컴퓨터 보안 뿐 아니라, 9.11 이후에 전세계 공항에 도입된 이른바 “강화된 보안조치”가 실은 상당부분 “쇼”에 해당하는 측면이 있다는 점을 효과적으로 지적하는데 동원되는 말이기도 합니다. 공항에 특전 요원들이 베레모에 썬글라스를 끼고 잔뜩 ‘폼을 잡고’ 큼직한 소총까지 매고 2인1조로 왔다갔다 하는 일. 이것이 과연 실제로 보안에 도움이 될까요? 아니면 허접해 보이는 평복 요원들이 표가 안나게 무기를 감추고 (이럴 경우, 일반인들은 아무런 보안 조치도 없고 엄청 허술하다고 느끼겠지만) 백그라운드에서 활동하는 것이 더 도움이 될까요?

컴퓨터 보안을 위해서 이런 저런 “보안 프로그램” 설치하고, 웹브라우저 다시 시작하고, 공인인증서 USB에 담아 쓰고, 이체나 지불 거래 할 때 비밀 번호를 몇 번씩이나 입력하고, 거래 내역에 대하여 또다시 전자서명하고, 인증서 암호 입력은 이상하게 생긴 스크린 키보드를 사용하며, 개인방화벽이 설치되지 않으면 거래 못한다, 탈옥이나 루팅한 스마트폰에서는 은행거래 못한다 등등 등등… 보안 전문지식이 없는 일반인들이 보기에는 이 모든 조치들이 엄청나게 보안을 강화시켜 주겠지라는 “느낌”이 들것입니다.

과연 그럴까요?

세계적인 보안 트렌드는 유저측에서의 보안 조치는 단순화/최소화/간단화시키는 반면, 서버/서비스 제공자가 백그라운드에서 거래의 패턴을 분석하여 잠재적 공격에 대응하는 쪽으로 이미 옮겨갔습니다. 유저들에게는 오직 두가지 만을 일관되게 강조하고 주지시키면 됩니다. (1)OS업데이트, 웹브라우저 업데이트를 제때하라 (2) 웹사이트가 설치하라고 권유하는 프로그램은 종류 여하를 막론하고 함부로 설치하지 말라.

웹사이트가 아무리 그 프로그램이 ‘보안 프로그램’이므로 반드시 설치해야 한다고 이야기 한들, 그말을 함부로 믿을 수가 없다는 인터넷 보안 상황의 가장 근본적 전제사실을 외면한채로 아무리 보안을 설계해 본들, 반쪽 보안, 이것 저것 갖다붙인 누더기 보안, 유저들과 공무원들에게 보여주기 위한 보안, “보안 연극”, 즉 security theatre 에 불과할 것입니다.

12. February 2012 by youknowit
Categories: 공인인증서, 보안 | 0 Comments

탈옥/루팅 폰에서 뱅킹앱 실행 금지?

스마트폰 이용자 중 꽤 많은 분들이 탈옥/루팅을 하여 사용하고 있습니다. 탈옥/루팅은 저작권 침해도 아니고, 이용허락조건 위반도 아닙니다. 물론 소프트웨어 제공자가 “변경을 일체 금지한다”는 조항을 이용허락조건에 일방적으로 넣어둘 수는 있지만, 이런 조항은 법적효력이 없습니다. 유저가 스스로 소프트웨어를 변경하여 사용하는 것은 유저의 권리입니다. 그 과정에서 역분석을 하더라도 그것은 법률이 명문으로 인정하는 적법한 것입니다. Continue Reading →

17. December 2011 by youknowit
Categories: 보안, 인터넷 뱅킹 | 20 Comments

10.26 선거방해 사건의 문제점

“술김에 좀비PC 200대로 ‘때리삐까예’ 한번 하니까 중앙선관위 웹사이트가 2시간 넘게 맛이가더라”는 순정연애소설을 믿으라지만, … 문제는 훨씬 심각합니다. 경찰은 이 사건을 전과자 몇명이 우발적으로 저지른 정보통신망법 위반 사건이라고 얼버무려 덮으려 하지만, 적용법률부터 완전히 틀렸을 뿐 아니라, 이 사건은 선관위, KISA, 방통위가 모두 연루될 수 밖에 없습니다. 디도스였어도 그렇고, 아니라면 더더욱 그렇습니다. 그 이유를 설명드리겠습니다.

중앙선거관리위원회는 2005년에 “정보통신기반보호법”이 규정하는 “주요정보통신기반시설”로 지정되었습니다(2011 국가정보보호백서, 109면). 따라서, 선관위는 전산망 보호대책을 수립하여 방통위에 제출해야 할 뿐 아니라, 행안부장관, 국정원장 등은 선관위가 수립한 보호대책이 제대로 이행되는지 여부를 점검하도록 되어 있습니다.

그리고 중앙선관위원장(김능환 대법관)은 침해사고가 발생하여 중앙선관위 전산망이 교란·마비된 사실을 인지한 때에는 관계 행정기관, 수사기관 또는 KISA(이하 “관계기관등”이라 한다)에 그 사실을 통지하여야 하고, “관계기관등은 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다“고 규정하고 있습니다(정보통신기반보호법 제13조 제1항).

KISA는 지난해 7월28일, 24억원을 들여 “감염PC 사이버 치료체계“를 시범 구축하였습니다. 이 사업의 소상한 기술적 내용은 감염PC 사이버 치료체계 시범 구축 감리용역의 제안요청서를 참조하시면 되지만, 간단히 말해서 디도스 공격이 감지되면 ISP가 그 공격에 동원된 감염PC의 ip 주소를 신속하게 파악하여 그로부터 오는 트래픽을 우회시키고, 해당 PC이용자가 웹브라우저를 실행하면 KT, SK브로드밴드, 티브로드 등의 접속서비스 제공자가 감염사실을 유저에게 알리고 백신을 내려받아 치료하도록 팝업창을 띄워주는 것입니다. 이 사업에는 인포섹·안철수연구소가 관련 사업자로 선정되었다고 합니다. “악성코드 감염PC 사이버치료체계 구축 본격화”, 2010.7.30 디지털데일리 보도.

“감염PC 사이버 치료체계”는 올해 초 3.4 디도스가 발생하였을 때 만족스럽게 작동하였다고 방송통신위원회 스스로가 자랑한바 있습니다: “7.7 디도스에 비해 피해가 적은 이유” (방통위 공식블로그). 실제로 감염PC 이용자들은 팝업창을 보았을 것입니다. KISA 스스로가 이 체제를 어떻게 자랑하는지는 이 동영상을 보시기 바랍니다.

요컨대, 선관위가 로그파일 공개 못하겠다며 이리저리 이유를 궁색하게 둘러대고 있지만 현재 가동되는 “감염PC 사이버 치료체계”에 따라서 주요기반시설에 대한 디도스 공격에 동원된 감염PC의 ip주소는 아예 선관위를 거칠 필요도 없이 ISP들이 KISA, 방통위 등과 신속히 공유하고 있습니다. 그렇기 때문에 올초 3.4 디도스의 경우에도 동원된 감염PC 갯수가 116,299개라고 방통위가 신속히 집계하는 것입니다.

궁금하지 않으세요? 정말 이번 선관위 접속장애가 “디도스” 때문이라면, 실제로 동원된 감염PC가 과연 몇대였는지? 방통위나 KISA가 왜 40일이 지난 아직까지 조용히 입다물고 뒤에 있고, 경찰 혼자 앞에 나와 200대인지 2000대인지 오락가락, 횡설수설하고 있는지? 선관위가 새벽에 신고를 했는데도 KISA나 수사기관, 방통위 등은 왜 아무 조치도 안하고 있었는지? 관련 법규정의 해당 부분을 다시 적어보겠습니다: “관계 행정기관, 수사기관 또는 KISA(‘관계기관등’)에 그 사실을 통지하여야 한다. 이 경우 관계기관등은 침해사고의 피해확산 방지와 신속한 대응을 위하여 필요한 조치를 취하여야 한다.”

선관위 웹페이지는 별로 “중요하지 않아서” 그랬다? 선거 당일날 이런 일이 벌어졌는데도? “감염PC 사이버 치료체계”가 “그날은” 작동하지 않았다? LG엔시스가 관리하고 있던 디도스 방어장비는 정상 작동하고 있었는데, 좀비 200대로 선관위 서버를 다운시켰다? 말이 된다고 생각하세요?

하다 못해 온라인 게임사이트가 디도스 공격을 당해도 경찰은 “수사과정에서 확보한 악성코드를 정보보호기관에 제공해 감염된 좀비PC가 치료되도록 조치하고” 있습니다. 중앙선관위가 디도스 공격을 당했다는데 어째서 40일이 넘도록 KISA, 방통위, 경찰 어느 한 XX도 감염 PC에 대하여 아무 조치도 취하지 않고 있나요?

국가의 “주요정보통신기반시설”인 중앙선관위가 좀비PC 200대에 뻣었다는 것이 정말이라면, 그것만으로도 벌써 선관위원장, 행안부장관, 국정원장이 모두 처벌되어야 합니다. 국가의 주요정보통신기반시설을 이따위로 방치해둔 책임이 가벼울수는 없습니다. 이름도 모를 게임사이트 공격에도 13만대 정도는 감염시켜야 장애를 일으킬 수준의 디도스 공격이 가능한것 같은데… (“좀비PC 13만대 동원 경쟁 게임사 디도스 공격” 2011.5.25자 디지털타임즈 보도)

별 웃기지도 않는 디도스 사기극을 믿으라니 참… 선관위, KISA, 방통위, 수사기관 모두 썩은 냄새가 진동하는군요.

아 참, 중앙선관위와 같은 주요정보통신기반시설을 교란·마비 시킨 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처하도록 되어 있습니다(정보통신기반보호법 제28조). 경찰이 적용하려는 정보통신망법 제71조 제10호(“정보통신망에 장애가 발생하게 한 자”)는 5년 이하 징역 또는 5천만원 이하의 벌금에 처하도록 되어있습니다. 위메프 50% 통큰 할인되겠습니다! 경찰인지 변호사인지 쬐끔 헷갈리는 부분입니다용…

이 글도 읽어보세요: “선관위 디도스 공격은 페인트 모션이다“

12. December 2011 by youknowit
Categories: 보안 | 2 Comments

10.26 선거방해 디도스 쇼, 쇼, 쇼

한국은 “디도스 강국“인지라, 디도스 관련 자료가 꽤 있습니다. 시간 있으신 분은 아래 기술분석 보고서들을 한번 읽어보시기 바랍니다(올해 3.4 디도스 관련):

http://blog.estsoft.co.kr/65

http://www.hauri.co.kr/updata/3.3_DDoS_Attack_Report.pdf

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=17596&dir_group_dist=0

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=17595&dir_group_dist=0

(안랩의 보고서는 “보고서”인지, “회사 선전”인지 분간이 어렵지만…)
요컨대,

• 고도의 세련된 공격기술을 구사하여
• 무려 116,000대 이상(방통위 집계)의 감염PC를 동원하고,
• 사람들의 감염컴퓨터가 켜져있을 가능성이 매우 높은(따라서 공격이 가장 효과적인 시점인) 오전 10시, 오후 6:30분에
• 주요은행, 전자정부, 지마켓, 옥션, 네이버, 다음 등을 상대로

이루어진 공격이었습니다.

그래서 결과는? 태산명동에 서일필(쥐 한마리)… 공격대상 어느 곳도 별 접속장애 없이 정상 서비스가 가능했습니다. 감염 PC의 하드디스크가 “파괴”된다는 무시무시한 호들갑에 사람들이 화들짝 놀라서 백신을 내려받아 설치하긴 했으나, 그 시점에는 이미 공격이 별 영향도 없이 끝난 다음이었습니다. 10만대 이상의 좀비PC를 동원한 3.4 디도스가 아무런 서비스 교란도 없이 끝난 이유는 사람들이 백신을 설치했기 때문이 아니라(백신으로 디도스를 막는다는 것은 원래부터 웃기지도 않는 헛소리입니다), 2년전에 있었던 2009년 7.7 디도스 이후에 서버들이 디도스방어장비를 구축해 두었기 때문이었습니다. 선관위도 2009년 12월에 디도스방어장비를 구축해두고 있었고, 보궐 선거 당일에도 이 장비는 정상 작동하고 있었습니다.

인터넷에서 싸구려로 구할수 있는 아마추어 디도스 공격킷으로 고작 200대(아니, 2000대 였던가요? 워낙 오락가락해서 ㅋ)의 감염PC를 동원해서 술김에 한번 “때리삐까예” 해보니 새벽6:15분부터 아침 8:32분까지 2시간여 동안이나 중앙선관위 서버가 맛이가더라? 한마디로 쥐가 웃을 소리입니다.

10.26 선거방해 사건의 초점은 공씨 단독범행인지 아닌지가 아니라, 공씨가 자백했다는 수준의 디도스 공격으로는 디도스방어장비가 정상작동하던 선관위 서버가 2시간이 넘게 장애를 일으킬 수가 도저히 없다는데 있습니다.

디도스 공격이 서비스장애의 진짜 원인이었다면, 어떤 PC들이 어떤 경로로 감염되었는지에 대한 기술분석 보고서(위에 제가 보고서를 제시한 이유가 있습니다) 한페이지도 없다는 것도 납득이 안가는 부분입니다. 10.26 선거방해 사건 발생 후 40일 넘게 시간이 있었습니다. 위에 링크된 보고서들은 3.4 디도스 발생 이틀이나 사흘만에 나온 것들입니다.

디도스 공격은 (1)먼저 많은 PC를 감염시켜야 하고(야동 파일 등에 숨은 형태로), (2)감염된 PC들이 켜져 있어야 가능한 것입니다. 술김에 전화 한통 한다고 ‘원하는 시간에’ 할 수 있는 공격이 아닙니다. 아침 6:15 – 8:32 는 이른 출근 시간이므로 감염 PC들이 켜져 있을 가능성 자체가 낮습니다. 저도 그날 아침 출근 버스에서 PC가 아니라 “휴대폰으로” 선관위 웹사이트에 접속을 시도하였고(휴대폰이 좀비PC로 작용하는 경우는 거의 없습니다), 실제로 페이지가 뜨긴했지만 투표소 조회는 안되었습니다.

오늘 경찰이 발표한 10.26 선거방해 사건 “수사” 결과는 국민을 컴맹바보천치로 우습게 아는 사기극에 불과합니다. “나경원을 사랑해서…” 참 눈물 겹군여

중앙선관위와 경찰이 공동 연출하는 “10.26 선거방해 순정 에로 드라마”에 검찰도 곧 카메오로 출연하겠지만, 이미 스포일러가 워낙 많아서 결말은 뻔할 것입니다.

09. December 2011 by youknowit
Categories: 보안 | 0 Comments

중앙선거관리위원장 김능환 대법관의 사퇴를 촉구합니다.

선거는 민주주의의 핵심을 이루는 절차입니다. 아무리 황당한 짓을 일삼는 정부일지라도 그 정부가 공정한 선거를 통하여 선출된 정부라면 그 정당성을 함부로 부인할 수는 없습니다. 따라서 다음 선거에서 최선을 다해서 정부를 교체해보려 노력하는 것이 민주주의의 당연한 모습입니다. 물론 선거만이 민주주의의 전부는 아니지만, 가장 중요한 요소인 것은 분명합니다.

여러번 있은 보궐선거나 주민투표(이들은 모두 근무일에 실시되는 투표입니다)에 별다른 불편이나 문제도 없었던 투표소의 위치를 대대적으로 변경하는 것부터가 좀 이상했습니다. 하지만 선관위는 더욱 괴상한 일을 거듭했습니다. Continue Reading →

08. December 2011 by youknowit
Categories: 보안, 정책제안 | 2 Comments

DDoS 장난질 그만 치세요

여기 오픈웹을 방문하시는 분은 이미 웹기술이나 컴퓨터에 상당한 지식을 가진 분들이므로 DDoS 공격이 무엇인지 알고계실 것입니다. 그러나 다른 대부분 사람들에게 DDoS는 “뭔지 모르지만 심각한 공격”, “북한이 저지르는 주요 인프라 교란행위” 등 막연한 두려움을 자아내는 것입니다.

하지만 원래 DDoS는 정치적 소신을 피력하는 수단으로 사용되거나(위키 리크스에 사람들이 보내는 기부금 줄을 끊은 Paypal에 대한 DDoS 공격 등), 순전히 돈을 노리고 경쟁사의 웹사이트를 다운 시키는 찌질한 용도로 쓰이거나(이것은 경쟁사가 영세하여 제대로 된 DDoS방어 설비도 없을 때에나 사용되는 저급한 부류의 공격이지요), 별 이유 없이 그냥 여기저기 유명 사이트를 상대로 감행해보는 해킹 초짜들의 개념없는 공격(페이스북, 워드프레스, 아마존, 구글 등 유명사이트에는 늘 일정 규모의 공격이 들어오고, 이런 공격은 일상적으로 방어되고 있으므로 아무런 영향도 없습니다) 등이 있습니다.

그러나, 한국에서는 “괴상한” DDoS 공격이 이루어지고 있습니다. Continue Reading →

08. December 2011 by youknowit
Categories: 보안 | 0 Comments

교육과학기술부 인증서비스(ePKI)의 문제점

제가 강의안 게시 등의 용도로 사용하는 웹서버의 SSL서버인증서를 교육과학기술부 전자서명인증센터로부터 발급받았습니다. 이 과정에서 발견된 몇가지 문제점을 말씀드리겠습니다. Continue Reading →

24. November 2011 by youknowit
Categories: 공인인증서, 보안, 정책제안 | 3 Comments