|
편집자 주 : 10.26 부정선거, 혹은 선거방해 사건이 단순한 디도스 공격 사건으로 변질되는 경향이 있다. 그러나 이 사건의 본질은 디도스 공격이 있었느냐 없었느냐의 문제가 아니다. 디도스만으로는 풀리지 않는 10.26 선거방해사건의 수수께끼를 다뤘다. 이 글은 저자와 합의하여 기재한 것이다. |
이 글은 많은 기술적 부분을 내포하고 있음으로 읽는 분들의 직종에 따라 상당히 난해한 부분이 나타날 수 있습니다. 해당직종의 종사자가 아닐 경우 “Chapter4 -쉬운설명”부터 읽어 나가시기를 권해 드립니다.
Chapter 1.선관위의 서버구성
우선 이번 사건에서 먼저 알고 넘어가야 하는 부분입니다. 선관위는 국가 주요기관으로 최대한 합리적이고 안정적인 서버 운영이 필요한 기관입니다. 선관위 서버가 공격등의 위험에 노출되거나 적절한 대응을 하지 못하였을 시에는 선거 결과에 대한 공신력이 저하될 수 있음을 인지하여야 합니다.
객관적으로 이번 사건을 보기위해선과위 서버 구성을 조사하던 중, 선관위 서버가 Sub Domain마다 다른 IP Address를 가진다는 사실을 알게 되었습니다. 만약 서브도메인 마다 다른 서버를 사용할 경우 선관위 서버는 Load Balancing을 하지 않을 확률이 높아지게 됨으로 이번 증상에 많은 영향을 끼칠 수 있습니다.
|
편집자 주 : Load Balancing(로드 밸런싱)이란 여러대의 서버가 같은 일을 다 같이 힘을 합쳐 하는 것을 뜻한다. 즉 선관위처럼 서브도메인(www.nec.go.kr, m.nec.go.kr, minfo.nec.go.kr 등 파생형 주소)마다 서버를 따로 두는 것이 아니고, 여러 대의 서버로 모든 도메인을 각자 나누어서 처리하는 것이다. 서버끼리 외부에서 오는 모든 트래픽을 분산해서 처리하기 때문에 대체로 더 안정적이다. |
조사결과 선관위 메인 페이지를 기준으로 nec.go.kr을 공유하는 서브도메인 6개(www, info, m, minfo, law, ok)와 별도의 도메인 2개를 발견할
수 있었습니다. 이중에 중요한 것은 서브 도메인 6개 입니다. 정확성을 위해 제가 사용할 수 있는 회선 (SK
Broadband와 KT, KT Wibro) 3개와 주변의 지인분들, 그리고 이 포스팅이 가능하도록 조언을 해 주신 모든 분들께 IP조회를 의뢰한 결과 모두 동일한 결과값을 얻을 수 있었습니다.(IP 조회는 국내뿐 아니라 해외에서도 이루어 졌습니다)
IP만 가지고는 확신을 할 수 없었기에 각 서브도메인 별 Header Response를 살펴보기로 합니다.(이미지를 클릭 하시면 확대보기를 하실 수 있습니다)
http://info.nec.go.kr
http://m.nec.go.kr
http://minfo.nec.go.kr
http://law.nec.go.kr
각 서버별로 상이한 Header Response를 확일 할 수 있으며 심지어는 Charset값 마저 다름을 알 수 있습니다. 이러한 서버 설정은 상당히 비효율적이라 할 수 있습니다. 개인적인 소견으로는 하청을 주는 과정에서 벌어진 웃지못할 비극이 아닐까 하는 생각을 해봅니다. 혹자는 “Virtual Host 셋팅으로 위와같은 결과물을 만들 수 있다”고 주장할 수 있으나, 그러한 세팅을 해야할 목적을 찾을 수 없음으로 가능성은 아주 낮다고 봅니다. 또한 위 결과물을 토대로 선관위 서버는 Tomcat을 기반으로 JSP를 서비스를 하고 있으며, Unix/BSD,Linux기반의 Apache 서버를 사용할 확률이 높다있다는것을 알 수 있습니다. (추가12.01.10: 또는 많은 비용을 들여 WebLogic의 사용도 가능성이 있습니다.)
|
편집자 주 : 지금 필자는, 선관위가 서브도메인마다 따로 서버를 두고 있으며, 로드밸런싱을 하지 않고 있다는 의혹을 입증하고 있다. ‘내가 알아보니까 선관위 서버는 로드밸런싱 안 하는 것 같아. 근데 이게 별로 좋은 것이 아니야’ 라고 말하는 것으로 알아들으면 된다. |
위 결과물과 여러 정황들을 토대로 선관위의 서버 구성도를 그려보았습니다. 선관위 서버 구성과 차이가 있을 수 있으나 logic은 대동소이 할 것입니다. 따라서 이번 현상을 설명하는데는 충분할것 입니다.(포토샵에서 발로 만들었음을 미리 밝히는 바입니다. 이미지를 클릭하시면 확대화면을 보실 수 있습니다.)
KT에서 공개한 MRTG가 2개인 점을 감안하여 두군데의 ISP에서 모두 Pubnet으로 유입이 될 것이라는 전제를 두었습니다. Database Server는 개표정보 수집과 각 방송과 언론 기자들의 조회, 일반인의 조회를 충분히 버텨낼 수 있어야 함으로 최소 2대이상의 병렬구조로 이루어져 있을 것입니다. 각 서브도메인 마다 1대의 서버를 사용할 수도 있지만 아래와 같이 L7 Switch혹은 L4 Switch의 순차적 구성을 사용하여 아래와 같이 여러대로 구성할 수도 있습니다.(이러한 경우에는 로드벨런싱을 하더라도 동일 IP를 보일 수 있습니다)
이쯤에서 6기 이상의 서브도메인 서버 또는 서버군을 이미 로드벨런싱으로 묶었어야 하는것 아니냐는 의문을 제기하시는 분이 있을 것입니다. 저도 그 부분은 이해하기가 쉽지 않습니다. 정리하자면 선관위의 서버 구성은 6개 이상, 웹서비스를 목적으로 하는 독립적인 서버(군)으로 이루어져 있으며 각 서버(군)별 서비스 내용은 아래와 같습니다.
- www : Domain Root에 관련된 서비스를 하며 다른 서브도메인 으로의 링크를 제공합니다.
- info : 투표소 조회와 투/개표율 조회 등의 선거관련 정보를 제공합니다.
- m : Mobile Service Page 의 Domain Root를 제공합니다.
- minfo : info 서버와 동일한 정보를 Mobile을 통해 제공합니다.
- law : 선거와 관련된 법제정보를 제공합니다.
- ok : 재외선거와 관련된 정보를 제공합니다.
|
편집자 주 : 문제가 되는 DB, 즉 투표소 위치 관련 서비스가 들어가는 서브도메인은 www, info, m, minfo 4가지이다. 즉 이 4개를 잘 살펴보아야 한다. |
입니다. 경찰 발표에 따르면 “RCMP,UDP,TCP,CC 등의 공격이 이루어 졌다”라고 했습니다. 지금부터 Chapter1 에서 다뤘던 서버의 구성을 가지고 이 공격들의 효율성이 어떠한가 보도록 하겠습니다. LG엔시스에서는 DDoS장비는 정상작동했다고 발표했습니다.
RCMP(ICMP): 가장 당혹스러웠던 공격 기법이었습니다. “구글신”에게 물어보아도 알려주지 않았던 신종 기법이었기 때문이지요. 정확히 말씀드리자면 ICMP의 오타입니다. 이러한 오타를 검증없이 복사해 나른 언론사분들 덕분에 상당히 많은 기사에서 이 단어를 목격하게 됩니다. ICMP 공격의 경우 공격받을 서버가 위치한 네트워크 상의 다른 서버에 공격대상을 수취인으로 하는 ICMP요청을 보내는 방식의 공격입니다. 요청을 받은 네트워크 상의 최소 255대의 서버가 수취인에게 ICMP를 전달하고 공격이 성공하면 상당한 효율을 보장할 수 있습니다. 하지만 대부분 네트워크 장비에들이 막아낼 수 있도록 설계되어 있으며 Chapter1 에서 다루었던 DDoS 방어장비라면 일정량 이상의 ICMP를 거부해 손쉽게 막아낼 수 있는 공격입니다. 심지어 서버세팅시 ipTable설정 만으로도 방어가 가능한 공격이 되겠습니다.
UDP: 별도의 검증없이 양방향으로 데이터를 가장 빠르게 전달하는 통신방법입니다. 보통 동영상이나 음악 스트리밍 서비스에 사용합니다. 방어 방법은 UDP로 들어오는 모든 요청에 대해 Null(정보없음)을 반환해 주는 방식으로 방어가 이루어집니다. 서버나 DDoS 방어 장비에서 이러한 방어를 할 경우 상위 네트워크(스위치 장비나 백본 등)에 부하가 몰리게 되어 서비스 제공 업체에서 인지하고 대응할 수 있으며 마찬가지로 Chapter1의 DDoS 방어장비라면 충분히 방어할 수 있는 공격 입니다.
TCP,CC: 두가지 모두 다른 공격 방법이나 하나로 묶어 쓰는 이유는 두가지 공격 모두가 “정상인척” 하는 공격으로서 대용량의 공격이 불가능 하다는 이유가 있습니다. 정상 이상의 패턴을 보이면 DDoS 방어장비가 탐색할 가능성이 높습니다. 위 공격들은 많은수의 좀비를 확보했을 때 비로소 공격의 효과가 나타나며 200대의 좀비로는 큰 효과를 볼 수 없는 공격방식 입니다. DDoS 방어 장비는 이러한 “정상인척 하는 비정상 신호”를 막아내는 역할을 하며 서버설정으로 방어 할 수 있는 방법을 인터넷 검색만으로 쉽게 찾을 수 있습니다.
섞어찌개(?): 경찰 발표에 의하면 200대의 한정된 공격 자원을 이용하여 최대한의 공격을 해야 효율성을 보장받을 수 있습니다. DDoS 공격에 있어 200대는 적은 자원이고 이를 활용해 공격할 수 있는 최선의 방법은 ICMP나 UDP공격이지만 Web Server Web Server Software(Apache등)와 방화벽 기본 세팅은 TCP/80, TCP/433을 제외하고 Deny all입니다. (이 설정이 들어있지 않다면 선관위 서버 관계자들은 전부 옷을 벗어야 합니다) 앞서 설명드린대로 UDP를 제외하면 200대로 2Gbps의 공격을 하는 것은 현실적으로 불가능하기 때문에 전송량 부분 또한 충족할 수 없으며, 2Gbps 이하의 공격을 여러가지 공격방식으로 분할하는 것 또한 효율성면에서 최악의 선택입니다. 따라서 DDoS공격으로 선관위 서버를 무력화 시키는 것에는 실패했을 확률이 높다고 할 수 있습니다.
나. 기술적
논쟁 부분 입니다. “나꼼수”에서 처음 이 사건을 이야기 하면서 “DB서버를 끊었다” 라는 표현을 사용합니다. 그리고 자칭 보안전문가 이신 “이길환”님이 방송 매체와의 인터뷰를 통해 “특정 페이지를 공격해 DB를 무력화할 수 있는 신종 DDoS다”라는 이야기를 하면서 전문가들 사이에 기술적 논쟁이 시작됩니다.
이번 기술적 논쟁에서 가장 중요한 부분은 Chapter1 에서 다루었던 서버의 구성 입니다. 제 예상이 틀리지 않다면 현재의 선관위 서버는 그 어떠한 효율도 기대할 수 없는 구성으로 이루어져 있으며, 앞서 이야기한분들 주장에 가능성이 생깁니다. 하지만 확실히 집고 넘어가야 할 부분은 특정페이지를 공격하던, 메인 페이지를 공격하던 “DDoS공격으로 죽일 수 있는것은 웹서비스를 하는 프로그램이지 특정 페이지만 죽지는 않는다”는 것입니다.
이 기술적인 논쟁을 하기 위하여 한가지 더 필요한 사항이 있다면 바로 선거당일 이용자들이 격었던 장애증상에 대한 레포트 입니다. 선관위 서버에서 일어났던 일들을 종합적으로 정리해봐야 할 필요성이 있었습니다. 이번 맥락 에서는 선관위 서버에서 나타난 증상만을 기술하고 자세한 내용은 Chapter3에서 제보와 증상을 중심으로 사건을 재구성 하면서 이야기 하도록 하겠습니다.
-
DB서버에서의 Caching은 일어나지 않았을 확률이 높다. 시/도,구/군 외 사용자 이름과 주민등록 번호, 읍/면/동을 입력받았다.
-
DDoS 공격은 있었다. 하지만 200대의 좀비로 2G의 공격은 불가능하며 공격의 효율성 부분을 보장할 수 없다.
-
6시 부터 9시 사이에는 자신의 투표소 찾기가 불가능 했다. 심지어 투표율 조회 또한 되지않았다.
-
8시 부터 9시 사이에는 http://www.nec.go.kr (메인페이지)도 접속 장애를 겪었다.
-
DDoS 공격을 받을 수 있는 것은 “특정 페이지를 소유하는 1기의 서버(군)”이다.
-
info와 minfo 서버(군)에서 동시간대에 같은 증상이 나타났다.
-
경찰발표에서 선관위가 공격을 인지한 시각은 5시50분이다.
-
|
편집자 주 : 즉, 선관위의 주장대로 웹페이지가 멀쩡한 상황에 DB만 죽으려면 위에서 말한 4개의 서브도메인에서 DB서버로 엄청난 트래픽을 일으켜야 한다. 그러나 DB서버에 부하를 줄 수 있는 데이터는 주민번호, 주소 등의 간단한 데이터 뿐이다. |
먼저 11월 16일 KT 이상용 상무가 방송통신위원회가 주최한 해킹방지워크샵에서 공개한 MRTG를 보면서 이야기를 풀어가도록 하겠습니다.
위 MRTG는 11월16일 오전 KT 이상용 상무가 공개한 그래프에 가시성을 위해 시간표시를 추가했음을 알려 드립니다.
Chapter1 에서 말씀드린대로 ISP유입은 KT+Dacom을 보는것이 맞을 것입니다. 그럼으로 두 그래프를 합친 값이 Pubnet으로 유입된 전체 트래픽 양이 되겠습니다. 여기서 Pubnet이라 함은은 초고속 국가망을 구축하는 사업으로서 선관위가 들어있는 KRNIC : KT Pubnet 을 가리킵니다. KT Pubnet 안에는 선관위의 서버만이 있는 것은 아닙니다. 하지만 전개의 편의성을 위해 다른 서버로 유입되는 트래픽은 무시하도록 하겠습니다.
유입량을 보면 양 그래프 모두다 7시경 부터 유입량이 증가하며 피크는 8시 입니다. 6시 이전의 유입량은 상당히 적으며 당일 당선확정 뉴스가 나간 20시 30분경 이후로 유입량이 상당히 줄어듭니다. 아래 기사는 MK뉴스에서 당일 9:50에 발표한 뉴스 입니다.
시간대별로 유입량(피크 기준)을 보면.
-
[00:00 ~ 06:00]무의미할 정도의 적은 양만이 유입되고 있습니다.
-
[06:00 ~ 07:00] KT로 1G 가량의 트래픽이 유입됩니다. Dacom은 200M 이하의 유입을 보입니다.(합산 1.2G 정도의 트래픽으로 DDoS공격+ 일반트래픽량 입니다. 2G 공격은 보이지 않으며, 공격이 있었다 하더라도 몸풀기 수준일 것으로 예상됩니다)
-
[07:00 ~ 08:00] KT로 4G->6G
Dacom으로 1G->2G 의 트래픽이 유입됩니다. 합산하면 5G->8G의
트래픽이 유입됨을 알 수 있습니다.(선관위가 발표한 11G의 유입은 없었던 것으로 보입니다) -
[08:00 ~ 09:00] 양쪽 그래프 모두 30분 경까지
급속도로 유입이 줄어들다 09:00경 KT는 1G, Dacom은 2G의 유입을 보입니다. -
[09:00~ ] KT는 1G대 Dacom은 2G
이하(합산 평균 3G)의 유입을 꾸준히 유지 합니다.
-
위 상황을 종합하여 보면 선관위 서버 장애가 발생할 수 있는 시간대는 07:00 ~ 08:30 이며 06:00 ~ 07:00 사이에는 장애가 발생할 확률이 낮다는 것을 알 수 있습니다. 다음은 제보를 통한 사건의 분석을 해 보겠습니다.
먼저 그동안의 제보요청을 꾸준히 리트윗 해 주신 모든 분들께 이번글을 빌어 감사의 뜻을 전합니다. 이글이 포스팅 된 후에도 제보는 꾸준히 받을 생각이며 제보를 하실 분들은 @iMaZiNe80 으로 멘션 주시기 바랍니다.
제보를 주신 분들의 장애증상을 분석해 본 결과 시간대별 장애증상이 다르게 나타나고 있음을 알 수 있었습니다. 증상과 시간대는 크게 2가지로 나뉠 수 있습니다.(멘션 내용의 공개는 조금 더 심사숙고 후 결정하도록 하겠습니다)
-
[06:00 ~ 07:40]선관위 메인 페이지(www.nec.go.kr, m.nec.go.kr)와 투표소 찾기 페이지(info.nec.go.kr, minfo.nec.go.kr)까지는 정상적으로 접근이 가능했으나 검색결과 페이지가 나오지 않음.
-
[07:40 ~ 09:00]선관위 메인 페이지 접속시에도 장애를 격었으며 투표소 찾기 페이지 접근 도 어려웠음.
-
위 증상은 일반접속과 모바일 접속에서도 동일하게 나타남.
-
Chapter1에서 언급했던대로 선관위의 서버는 서브도메인 별로 독립적으로 구성되어 있습니다. DDoS가 특정 페이지를 공격했다는 경찰의 발표에 따르면 www, info, m, minfo 4가지의 서버(군)중 하나만이 영향권에 있다 할 수 있습니다. (만약 4개의 서버 모두를 공격했다면 Chapter2 에서 다루었던 공격의 효율성 자체가 소멸되어 버립니다) 또한 DDoS가 성공적으로 서버를 공격했다 할지라도 나머지 3개의 서버는 정상적인 서비스를 하고 있어야 합니다. 하지만 제보를 바탕으로 보면 선관위 서버는 2개의 서버(군)[info.nec.go.kr, minfo.nec.go.kr]이 같은 증상(검색 결과 페이지가 나오지 않음)을 보입니다.
7시 40분
