디도스 공격이 들어오는 상황에서 선관위는 통신장비(라우터)의 설정을 이리저리 바꾸는 매우 특이한 행동을 하였습니다. 평소 세개의 회선으로 트래픽을 받도록 설정된 선관위가 회선 두개를 스스로 다운시켜, 남은 회선 하나로 유입트래픽이 집중되도록 한 조치는 디도스 공격이 없는 상황에서도 납득하기 어려운 행동입니다. 선관위는 이것이 자신의 “분산서비스거부 공격 대응지침”(메뉴얼)에 따른 행위였다고 주장하며, 2월23일 그 대응지침의 일부를 발췌 인용한 “설명자료”를 배포하였습니다. 과연 선관위의 디도스 대응지침이 그런지 살펴보겠습니다.
선관위가 2011년3월23일 제정하여 운영 중인 “분산서비스거부(DDoS) 공격 대응지침”은 여기
에 있습니다.
대응지침은 무엇보다도 평소에 디도스 대응 모의 훈련 및 교육을 실시하도록 정하고 있습니다. “유관기관 또는 유지·보수업체와의 협력을 통하여 모의 공격 대응훈련을 정기적으로 실시하고 훈련결과를 분석하여 문제점 및 보완사항을 운영 시스템과 장비에 적용하기 위한 방안을 수립한다” (제4면)
막상 공격이 들어왔을때의 대응절차는 5단계로 되어 있는데, 그 중 3단계(“초동조치”)에서는 국가사이버안전센터와 망사업자(ISP)들에게 선관위가 파악한 공격사례를 신속히 전파하여 피해확산을 방지하도록 정하고 있습니다. 특히, 다음 조치를 하여야 합니다(제6면):
   통신사업자에 공격 주소 중 해외 주소에 대한 차단요청 및 일시적 네트워크 대역폭 확대조치
5단계(“차단조치”)에서는 가장 먼저 다음 조치를 하도록 정하고 있습니다(제7면):
정보보호담당실무자는 수립된 차단조치 방안 및 기술대응절차서를 이용하여 장비별 담당실무자와 각 장비의 설정을 변경하고 URL Redirection 등 사전 준비된 별도 대응조치와 함께 차단조치를 수행하여야 한다.
물론, 여기서 말하는 “차단조치”는 공격 IP를 “차단(block)”하라는 뜻이지, 자신의 네트워크 장비를 스스로 down시키라는 말이 아닙니다. 선관위는 2월23일에 배포한 “설명자료” 제5면에서 “차단”, “접속차단”이라는 용어를 “회선차단”과 혼동되도록 온갖 수법을 사용함으로써, 일반인들이 선관위의 설명자료를 읽으면 여기서 말하는 “차단”이 “선을 끊으란 말이구나” 하고 생각하게 만들고 있습니다. 구린데가 없는 자가 이런 비열한 거짓말을 하지는 않습니다. 기술에 무지한 일반인을 속여넘기려 드는 것이지요.
또한, 여기서 “장비의 설정을 변경”하라는 말은 라우터의 BGP설정을 건드리라는 말이 아닙니다. 네트워크 장비와 관련해서는 다음과 같은 조치를 하라고만 되어 있습니다(제16면).
- 해외 IP주소 및 스푸핑된 IP주소 Null 라우팅 처리
- 공격 의심 IP주소 및 네트워크 주소 접근차단 조치(ACL 이용)
그리고, “URL Redirection 등 사전 준비된 별도 대응조치”가 언급되고 있는데, 이것이 바로 사이버 대피소를 사용하라는 뜻입니다. 선관위의 DNS정보를 바꾸어(선관위의 IP를 변경하여) 트래픽이 사이버 대피소(임시 IP)를 거쳐서 선관위로 오도록 하라는 것입니다. 물론 5단계에 와서야 뒤늦게 이런 조치를 하라는 뜻이 아니라, 3단계에서 이미 수행한 이런 조치와 병행하여 차단조치(공격 IP 차단조치)를 5단계에서도 계속하라는 뜻입니다. 선관위 디도스 공격 대응지침에 별첨 문서로 포함된 “DDoS공격 징후발생 시 긴급대응요령”을 보면, 제3단계에서 다음과 같은 조치를 하도록 정하고 있습니다(제17면).
❍ 피해 완화대책 가동
- URL Redirection 등 사전 준비된 피해 완화대책 가동
- ISP와 협조하여 IP주소 차단, 대역폭 증설 등 수행
특히 URL Redirection (또는 사이버 대피소 이동)에 필요한 설정은 평소에 미리 준비해 두고 있으라는 것입니다(“사전 준비”).
대응조치 제5단계의 마지막 항목을 보면, “지속적 차단조치에도 불구하고 피해범위가 계속 확산”될 경우에 “네트워크 케이블의 일시 단절”을 할 수 있다고 되어 있습니다.
이 조치는 앞 단계의 모든 조치를 취했음에도 불구하고(공격IP 차단, 대역폭 증설, 사이버 대피소 이동 등) 사태가 개선되지 않을 때 취할 수 있다는 것입니다. 대역폭 “증설”은 커녕 보유한 회선을 다운시켜 대역폭을 1/3로 줄이고, 사이버 대피소 사용도 고려해보지 않고, 피해범위가 “확산”되기는 커녕, 유입트래픽이 6:40경부터 KT망과 LG망으로 분산되기 시작하여 KT망의 혼잡상태가 빠르게 “개선”되고 있는 상황에서 라우터 콘솔에 로그인을 해서 link down 신호를 네트워크에 전파시킨다? 말이 안돼요, 말이.
메뉴얼에서 “케이블의 일시 단절”을 언급한 이유는 디도스 공격이 “침입공격”(intrusion attack)과 병행하여 이루어지는 정황이 의심될 경우, 자신의 시스템 자체가 breach 될 위험에 대비하여 케이블을 뽑고 시스템을 재부팅할 수 있다는 뜻입니다.
선관위가 6:58에 한 행동은 “케이블의 일시 단절”이 아닙니다. 케이블은 그대로 연결해 두고, 라우터의 link 상태를 변경하여 네트워크에 announce한 것입니다. “일시 단절”도 아닙니다. 유입트래픽이 고작 10Mbps 미만에 머물거나 0으로 떨어져 있는 것을 확인하면서 라우터의 상태를 link up으로 announce 했다가 link down으로 announce하는 짓을 1시간 반 동안 차분하게 반복했습니다. 케이블은ㆍ 잠시도 뽑은 적이 없습니다.
대다수 일반인들은 link down이 뭔지, IP차단이 뭔지, ACL이 뭔지, 라우터가 뭔지 전혀 이해도 못하고 구분도 못할 거라는 교활한 계산에서 선관위는 엄청난 거짓말을 해대고 있고, 검찰은 그 거짓말을 전 국민에게 “수사발표”라는 미명하에 유포하는 사기극을 벌인 것입니다. 검찰이 기술을 몰라서 그런 수사발표를 했다? No f***ing way!