[DDos 공격] 정말 DDos공격이 발생 했었을까??(역풍꼼수주의)

[딩동댕동댕]

제가 이 글을 그것도 이곳에 쓰는 이유는 간단합니다. 불필요한 논쟁 보다는 힘을 결집해서 진실을 규명하고

나꼼수 팀에게도 진실규명을 위한 올바른 방향설정에 보탬이 되고자 합니다.(누가 좀 나꼼수 팀에 전해 줬으면 좋겠네요..ㅡ.ㅡ)

정말 DDos공격이 있었느냐와 없었느냐는 선관위 내부 개입 여부를 다툴 사안임으로 중요하다고 말씀하시는 경우도 있지만,

DDos공격이 있었어도 다량의 투표소 변경 등과 짜 맞추어진 이번 사건은 선관위 개입 의혹이 충분히 있을것입니다.

다음은 선관위 사이트 입니다. 선관위 사이트는 하나의 메인홈페이지와 그에 연결되는 기타 자매(?)홈페이지들로 이루어졌더군요.

DNS정보를 보면, Host name: www.nec.go.kr
IP address: 210.204.204.10

10번 서버네요

위 사이트가 바로 그 투표소 정보를 보여주는 사이트인것 같습니다.

DNS 정보를 보면 36번 서버 입니다.

Host name: info.nec.go.kr
IP address: 210.204.204.36
Alias(es): None

위 캡처 화면은 사이트에서 종로구 투표소 정보를 DB에서 검색하여 보여주는 화면인데. 접속 URL은 아래와 같습니다. 아마도 이런 종류의 Request(요청) 가 공격에 쓰인걸로 보입니다. 각 지역 투표소정보를 가져와야하는데 몰리면 부하가 상당할 것 같습니다.

(너무 자주접속 하지 마세요 공격으로 오탐될 수 있습니다. ^^)

http://info.nec.go.kr/electioninfo/electionInfo_report.xhtml?electionId=0020111026&requestURI=%2Felectioninfo%2F0020111026%2Fbi%2Fbipp01.jsp&topMenuId=BI&secondMenuId=BIPP&menuId=BIPP01&statementId=BIPP01&cityCode=1100&townCode=1101&x=21&y=8

이 밖에도 선거정보 통합정보시스템

Host name: e-doumi.nec.go.kr
IP address: 210.204.204.11
Alias(es): None

읍면동용 선거정보통합시스템

Host name: emd.nec.go.kr
IP address: 210.204.204.12
Alias(es): None

등을 운영하고 있더군요...

제가 공격당시 상황은 못봤지만, 바로 위 36번(투표소보여주는) 서버가 불능이 되었던것으로 판단되는데요....

다른 게시판은 글도 써졌다, 홈페이지는 멀쩡했다 등등의 의문제기는 당연하지만, 위 홈페이지 구조로 볼때,

독립적인 구조로 웹서버를 운영중으로 보여집니다. 만약 DB를 통합하여 하나로 쓴다고 한다고해도 한 서버의 과도한 DB요청이 다른 홈페이지의 DB접근을 방해하기란 쉽지 않습니다. 통상 각 홈페이지마다 WAS가 DB와 이미 할당된 세션을 사용하기 때문입니다.

(이 내용은 이쪽분야 운영경험 있으신분들은 충분히 이해하실거라 생각됩니다.)

*참고 : 웹서버의 구조

 - 선관위쯤 되는 큰 사이트는 3tier 구조로 홈페이지가 구성됩니다. 웹서버-WAS-DB

 - 원순닷컴 정도면 1tier 또는 2tier정도로 운영될 것 같습니다. (웹서버+WAS+DB) 또는 웹서버-(WAS+DB)

3-tier환경에서 DDos공격을 예를 들어 설명하면, 어느분이 예시한것처럼 은행을 비유해보겠습니다.

은행공간-웹서버

창구직원-WAS

금고속 돈-DB

사람들은 돈을 인출하기 위해서 은행에 들어가 인출신청서를 제출하면 창구직원이 금고내 돈을 꺼내다 주는 것입니다.

(36번 웹서버에 접속하여 투표소 정보를 요구하면 WAS가 DB의 조회결과를 보여줍니다.)

은행에 사람들이 몰리면, 번호표를 뽑아 창구내 대기합니다. 엄청나게 순서를 기다리거나 포기할 수도 있습니다.

이때까지도 은행에 사람들이 입장하는 것은 가능합니다. 그러나, 돈을 찾을 수는 없습니다.

만약 은행안이 발 디딜틈도 없다라면 더이상 은행안에 사람이 들어갈 수 없습니다. 즉, 웹서버가 맛이가서 홈페이지조차도 볼수가 없습니다.

은행의 처리속도를 높이려면 창구직원을 얼마나 두느냐가 중요한것처럼, 웹서비스의 용량과 성능을 늘이려면, WAS,DB가 그 성능을 좌우합니다. 웹서버는(은행공간)는 들고나는 속도가 빠르고 처리내용이 단순해서 상대적으로 성능이 떨어져도 전체 성능에 영향을 거의주지 않기 때문입니다. 물론 1tier방식은 서버 한대에 모두 모아져 있기 때문에 성능에 직결됩니다

DDos공격에는 다양한 종류의 공격이 있습니다.

네트워크 장비의 부하를 올려 다운시키는 공격 방식도 있고, 홈페이지를 맛을 보내는 공격도 있습니다.

홈페이지 공격방식중에는 간단히 생각해서 웹서버(은행공간)의 자원을 고갈해서 망가뜨리는 방법이 있지만, 3-tier구조에서는

연결세션(창구업무처리)을 고갈시키는 방법이 훨씬 많습니다.(이경우 웹서버 자원은 살아 있으며 홈페이지 접속도 가능)

이번 공격은 위에 언급한 투표소 검색 URL을 마구 요청하여 WAS나 DB의 연결 세션을 고갈시켜버린(그러나 홈페이지는 접속가능한) 공격으로 생각합니다. (미권스 12만명 회원중에 웹시스템 운영경험이 있는 분이 많을텐데, 왜 이런 가능성에 대해 이의제기를 하지 않으시는지 궁금합니다.)

<공격 트래픽 양은 무의미>

경찰청 발표 초당 263M의 공격트래픽?(5시간동안 공격이 벌어졌다고 했으며 이 평균이 5시간 평균인지 불분명)

통신사(KT모 상무가 발표했다는 자료인 듯) 발표 트래픽그래프상 2~6G

*아래 선관위가 있는 퍼브넷(초고속인터넷국가망)으로 유입된 IX트래픽 참고

또 선관위 자체 발표로 11G이상 공격이 들어 왔다고 하고.....

중구난방 같지만, 산출 기준(최대치? 평균치? 총량?)을 밝히지 않아서고, 측정 구간을 밝히지 않아서 별로 의미가 없습니다.

또한 이홈페이지는 공격이 시작된 후 한국인터넷진흥원(또는 KT)의 "사이버대피소"로 이전하였다고 했습니다.

그렇다면, 그 이후에 검출된 공격량은 이미 사이버대피소의 필터링 시스템에 걸러진 이후 이므로

전체 공격량을 산출하기에 무리가 있습니다.

이중 가장 적은량의 공격으로 보이는 초당 263M 공격(경찰발표) 만 치더라도........

세션고갈은 충분히 시킬수 있는 양입니다. 위 투표소 보여주는 홈페이지 자체가 그닥 효율적으로 구성되지 않아.

충분할 것 같습니다. 263M의 트래픽이 초당 몇개의 웹세션을 발생시킬수 있는지 응답시간 단순계산만 하더라도

충분히 다운 가능합니다

<로그파일>

로그파일은 선관위 본페이지 로그가 아니라, 투표소 보여주는 사이트의 로그여야 하며, 또한 웹서버(은행공간)의 로그가 아니라

WAS(창구업무) 로그가 되어 야 합니다.

로그파일 변조 할 수 있을까요?? 물론 할 수 는 있겠지만, DDos공격이 발생하지 않았는데 발생했다는 로그변조는 불가능

할겁니다. 만약 완벽히 변조하려면 -KT의 IX구간 정보 변조 -Dacom(LGU)의 IX구간 정보 변조, 한국인터넷진흥원 사이버대피소 차단로그 변조, 기타 선관위의 네트워크 장비, 보안장비 로그 변조, 웹서버, WAS서버 로그변조, 공공기관이니깐, 대전 정부통합전산센터 관제서비스 받거나 NCSC나 ..다른 관제센터 그쪽 로그 변조......

 *참고 IX : 인터넷교환노드로 좀비PC 들이 선관위를 공격시 꼭 거칠수 밖에 없는 구간, KT, DACOM등이 운영

위 언급한 회사와 기관에 종사자들이 얼마인지 아십니까?? 만약 없는 공격을 있겠끔 만든다면 어딘가 분명 빵꾸나서 티가 날껍니다.

(위 모든것을 변조하는 노력,비용보다 차라리 쉽게할 수 있는 DDos공격이 제일 손쉬운 방법입니다. 안걸린다면요)

그렇다면 로그 조작은 DDos공격이 있었다는 변조가 아니라 내부시스템 시스템로그(접근로그, 기타 보안감사 로그 등)의 변조를 의심하면 했지...DDos공격 로그 변조는 아니라는 거죠..

장황해졌습니다만, 이 분야로 먹고사는 저로서, 말씀드리고 싶은것은

"DDos공격은 없었는데 이것들이 거짓말하며, 로그파일 안준다"의 접근이 아니라

"투표소 대량변경(선관위)과 맞추어 DDos공격과 이 모든것을 공모한 또는 지시한 선관위를 포함한 의혹"을 규명하자는 것이죠.

그것을 위하여 로그파일 요청(좀 이상한가?)하는것은 찬성인데,

"DDos아닌데 거짓말하는거다 그러니 로그파일 내놔라"는

"자 로그파일 봐라~ 네들이 원하는 전문가에 갔다가 줘셔 확인해라 DDos아닌지 맞는지............."

이것이 아니라는 겁니다. 일종의 저들의 김빼기(동력저하) 전략에 휘둘릴까봐.......제 생각에 DDos공격이 있었던건 확실해 보여서요..

김어준 총수와, 봉도사님이 각종 언론에서 DDos를 강조하고 계신데, 왜 나꼼수팀 주변엔 상황을 보다 면밀히 살펴줄 분야별 전문가 그룹이 없는 것 같아 아쉽습니다.

IT, 보안분야에 질문이 있으시다면, 제가 아는 범위내에선 답변하겠습니다.

==================================================================================================

나꼼수 31회를 듣고 첨언합니다.

o DB만 공격하는 DDos 없다.

 - 맞습니다. 저도 그런 DDos공격은 본적이 없습니다. 3-tier구조의 홈페이지 시스템은 웹서버는 DMZ(인터넷 오픈구간)에 설치하고   WAS와 DB는 내부망에 설치합니다. 따라서, 내부망을 보호하는 각종 보안장비(FW등)의 DB 직접 접속 경로를 열지 않는한 절대 DB를 직접공격은 못합니다.

 - 그러나, 제가 위에서도 언급한것처럼 위 현상은 DB의 결과값을 가져오는 세션고갈이 DB의 접속불능을 야기할 수 있습니다.

o 홈페이지가 다 죽지 않고, 선거투표소 주소검색 시작화면까지 볼수 있었다..DB검색만 안됐다.

 - 위에서 설명한것과 같은 이야기지만, 통상 껍데기에 불과한 웹서버(은행공간)은 html 과 그림파일, 플래쉬 들 밖에 없습니다. 그래서 웹서버가 살아 있는 상태에서는 DB조회가 필요없는 단순 화면은 볼수 있습니다. 보였던 주소검색화면은 순전히 텍스트와 그림파일, 주소검색하는 콤보박스 같은 html기반의 데이터 뿐으로 보입니다. 따라서 웹서버가 살아만 있다면 보여지는 것들입니다.

 - 주소검색시 검색버튼을 누르면 WAS가 받아서 DB를 조회하게 되므로 이부분이 불통이 된것으로 판단됩니다.

o KT상무나, 선관위가 발표한 공격량이 다르다, 11G, 2G등

 - 본글에 설명하였으므로 생략합니다.

o 초기에 로그를 국정원에서 가져갔다? 그후 경찰이 개입했지만?

 - 국정원이 가져갈수 있을겁니다.

 대통령훈령(고 노무현대통령때) 114호(?) 에 의한 국가 사이버안전관리규정은 정부기관에 대한 사이버침해대응을

국정원 산하 국가사이버안전센터(NCSC)가 하도록 되어 있을겁니다. 그런 차원이면 로그는 갈수 있을듯.

그러나, 국정원에 로그 줬다고 없다는건 아니죠....로그는 복사해 주는 거니깐요...

o 기타 사항으로 숫자에 불과한 IP공개요구

 - 통비법 상이나, 정보통신망법, 개인정보보호법 에서도 IP를 비밀정보, 개인정보로 보는 것으로 알고 있습니다.(법률자문하는 사람들 없나요?)

   공격IP(좀비)는 상관없을지 모르나, 그와 섞인 정상 IP는 분명 그 대상이 될껍니다.(딱히 구분할 방법도 없습니다. 전수조사 아니면)

*예를 들어) 본인이 이용하는 화상채팅 사이트 또는 정당 및 단체 홈페이지에 접속하는 IP를 공개한다면 문제가 있겠죠? 변동IP쓰는 사람도 있지만, 고정IP  사용하는 사람들도 있고,  IP정보를 검색하면, 소속 회사까지도 노출될 수 있는 정보입니다. 이번에 제정된 개인정보보호법상에서는 IP가 개인정보임을 규정한것으로 압니다. - IP요청하면 그들은 이런 핑계를 댈지 모르겠네요.

그간 노출된 일방 정보들을 바탕으로 한 제 주장이 틀릴수도 있으나, 제가 이런 글들을 쓰는 이유는 나꼼수팀이

 이번 부정선거 시도 사건의 방향을 잘 잡고 나아가길 희망하기 때문입니다.

부디 사소한 것으로 저것들에게 빌미를 주지말고...

[루디아]

좋은 정보 감사합니다. 글을 정리해 주셔서 더 많은 이해를 합니다. 감사합니다.~~~