2012년 2월 18일 토요일

선관위의 자살골을 공개합니다.

 우선 글을 쓰기에 앞서 다시한번 이런 내용을 포스팅하게 된 점을 슬프게 생각합니다.
이전 포스팅 내용이 너무 난해했기 때문에 이번에는 최대한 짧고, 쉽게 쓰려고 노력을 하겠습니다. 
다만 제 글실력이 부족한 부분은 양해를 부탁 드립니다.


 이번 포스팅은 아래 자료들를 토대로 11인의 전문가 분들과 함께 분석한 내용을 가지고 선관위의 자살골을 소개해 드릴까 합니다. 
1. 선관위가 12.01.27일 발표한 공식변명(?) " 10.26. 재·보궐선거 관련 의혹제기에 대한 10문10답 "  - [Link]
2. 참여연대의 요청에 의해 선관위가 공개LG 엔시스의 분석자료 - [Link
3. 이전에 포스팅 했던 선관위의 서버구성 중 info, minfo 서버 구성

 이 그림은 선관위가 10문10답과 함께 발표한 기술자료 중 선관위의 대응을 시간대별로 이쁘게 설명해 주시는 자료입니다. 여기서 초동 조치로 06:58분에 KT회선을 차단했다는 부분을 눈여겨 봐두시기 바랍니다.


<모든 이미지는 클릭 하시면 확대됩니다>

 선관위가 발표한 자료들에 의하면 05:50~08:30분 동안의 UDP/ICMP공격을 받고 대역폭이 소진되어 정상적인 서비스가 불가능했다는 이야기를 합니다. 피해상황 으로는 전체 서비스 장애, 간헐적 서비스 지속 이라고 명시해 놨네요.




 자 이상황을 "선관위의 10문 10답"에서는 이렇게 설명을 합니다. 상당히 자상한 설명이 아닐 수 없습니다.


 대역폭(Bandwidth)은 여기에서 이야기 하는 도로와 같은 것 입니다. 말그대로 "폭"입니다. 고갈되고 소진되는 것이 아니죠. 만약에 도로가 완전 포화되면 어떻게 되냐구요? 그냥 느려집니다 그러다 장비가 소화할 수 없는 대역폭이 계속 밀려오면 장비는 그냥 죽어버립니다. 이런것을 보통 다운된다 라고 이야기합니다.

 KT의 두 회선(155MBps x 2)만 놓고 봤을때 310MB의 도로에 263MB의 트래픽이 발생합니다. 솔직히 이야기 하자면 84.8%의 대역폭 사용에 의해 회선에 속도저하가 발생했다는 말도 믿기는 어렵습니다. 회선 대역폭 이라는 것은 딱 그만큼의 장비(Hardware)를 사용하는 것이 아니라 장비의 처리능력 내에서 ISP(인터넷 서비스 제공자)가 허가해 준 만큼의 대역폭을 사용하는 것이기 때문입니다.
 하지만 고의적으로 무식하게 UDP/ICMP를 쏟아부어서 84.8%의 트래픽으로 장애를 발생시켰다고 하니 쿨하게 그냥 그랬다 쳐줍니다. 쌩쌩 달리지 못할 뿐이지 끈기있는 누군가는 목적지에 잘 도착 했다는 결론까지 양보하고 다음 이야기를 진행해 보겠습니다.

 간헐적 서비스 지속 부분에 대해 이야기해 봅시다. 자! 누군가는 문제의 시간대에 정상적으로 서버에 접속해 결과물을 가져 왔습니다. 과연 몇명의 사용자가 결과물을 가져왔는지 알아봐야 합니다.


<LG 엔시스 발표자료 16p. 선거정보 웹서버 방문자수>

 오! 생각보다 많은 사용자가 문제의 시간대에 선거정보 웹서버(info,minfo)에 도착합니다. 합산하면 22,000명이 넘는군요. 한명이 모바일 등으로 여러가지 접속을 했다 치고 반띵해도 1만명 입니다. 그렇다면 정상적인 페이지를 본 사람은 몇명이 있을까요?


<LG 엔시스 발표자료 17p. 선거정보 페이지뷰 상세분석>

 합산하면 10만 페이지가 정상 처리 되었다고 합니다. 투표소 조회 결과만 보지못한 사람, 접속 장애를 격어 여러번 페이지를 접속한 사람 다 무시하고 보면 평균적으로 1연결당 5개의 정상 페이지를 보게되고 아주 지극히 정상 서비스를 한 것으로 나타납니다.


 위 자료는 선관위에서 사이트가 정상 작동 했다는 증거로 제시한 극소량의 웹서버 로그 입니다. 선관위 사이트 코딩 스타일을 분석해본 결과 구/군 셀렉터 부분은 AJAX방식으로 JSON데이터를 읽어들여 옵니다. 그리고는 입력받은 데이터를 몽땅 다시 자신의 페이지에 POST 방식으로 던져 버립니다. 뭔소리야? 하시는 분들은 무시하셔도 좋습니다. 다만 "GET /bizcommon... xhtml?&searchkey=..." 으로 보이는 부분은 투표소 조회창이 정상적으로 나타난 것이고 "POST /bizcommon...xhtml" 로 보이는 부분은 투표소 조회가 정상적으로 사용자에게 전달된 것입니다. 선관위는 문제의 시간대 06:00~08:00에 약 20,000명의 접속에 100,000개의 페이지를 정상으로 전달했다고 보여집니다.(100,000개 중 POST로 투표소 결과를 전달해준 수치는 알 수 없습니다 로그에서 보아도 미미할 뿐)

 물론 위의 자료만 가지고는 제가 수집한 장애 증상들 "404 File Not Found(요청하는 파일이 없음)", "324 Empty_ResponseNo Data Received(결과값 비어있음)" 에러 및 독립된 minfo(모바일 서비스 서버)의 동일증상들을 선관위가 해명할 수는 없습니다. 하지만 적어도 06:00~07:00 사이에 3367명의 접속자에게 6894개의 페이지를 정상적으로 보여줬다고 선관위가 주장하고 있음을 알 수 있습니다.




 그런데!! 선관위는 05:50 ~ 06:58 까지의 UDP공격(ICMP는 소량이었음)때문에 서비스 장애가 발생하였고 이를 방어하기 위해 KT회선을 차단(응?뭑?)했다고 이야기 합니다. 일단 선관위가 발표한 서버구성도를 본후 회선차단이 왜 자살골인지 이야기 해 보도록 하겠습니다.


<KT 2회선과 LG U+ 1회선이 병렬적으로 이루어져 있습니다>

 선관위는 155MBps의 3개의 회선(KT 2개, LG U+ 1개)으로 465MBps의 서비스를 하고 있었습니다. 05:50분 공격을 자체적으로 인지 하였고 공격의 종류를 몰랐을 확률은 0%에 수렴합니다. 이유는 DDoS 장비는 기본적으로 공격 레포트를 서버 관리자에게 알리도록 설정되어 있기 때문이죠.(안 알려줘도 서버 관리자라면 장애분석부터 하는게 당연합니다. 여기에 1시간이 걸렸다면 그나마 이해를 좀 해보겠습니다)
자! 서버 관리자가 문제를 풀어야 한다는 생각이 있다면 KT와 LG U+에 전화한통 때리는 것으로 상황은 종료됩니다. 어떻게 하냐구요? 하단에 명제로 정리해 보도록 하죠.

  1. DDoS 공격에 의해 회선 대역폭 문제로 서비스에 장애가 발생했다.
  2. 디도스의 종류는 UDP/ICMP다.
  3. 현재 서버는 1시간동안 3367명에게 6894개의 페이지를 정상적으로 전달했다.
  4. 나는 서버관리자다.

The 서버관리자 to ISP : "여보세요? 아 예 저희 선관위 회선으로 다량의 UDP와 ICMP 공격이 들어와 문제가 생겼습니다. 일단 공격을 차단해 주시구요. 저희 회선 대역폭좀 늘려주세요. 네 감사합니다."

상 황 종 료 !!

 참 쉽죠? 그래요 별거 아니에요. 이런 상황에 판단 착오나 실수가 일어날 확률은 파리가 새가 될 확률보다 적습니다. 그럼에도 불구하고 선관위가 선택한 방법은? "KT회선차단" 입니다. KT회선을 차단해 버리면 전체 465MBps의 대역폭 중 155MBps의 서비스 만이 가능해 집니다. 심지어 당시의 LG U+의 망은 원인을 알수없는(?) BGP 장애로 30MBps도 제대로 사용하기 힘든 상태였습니다. 결국 465MBps -> 30MBps로 갈아타는 결과를 만들어냅니다. DDoS 공격으로 대역폭이 부족해 장애가 일어났다면서 거꾸로 대역폭을 대폭 줄여 버립니다. 이런 것을 "죽어가는 놈에게 청산가리를 먹이는 짓" 이라고 합니다. 메뉴얼에 따라 대처했을 뿐이라구요? 메뉴얼을 쓴 사람부터 검증해 보시길 바랍니다.

자 그리고 또 하나의 FACT !!

 KT 회선을 차단하면 DDoS가 길을 잃고 선관위 서버로 오지 못할 것 같습니꽈? 백본 라우터님은 그러한 길 잃은 어린 양들을 다시 선관위 서버로 정확하게 인도해 주시는 역할을 합니다.
 결국 선관위의 "KT회선차단"은 DDoS도 막지 못하고 상황을 더욱 악화시키는 "자살골"이 되는 것 입니다. 게다가 선관위는 스스로 문제를 만들고도 이 모든 책임을 DDoS공격에 떠넘기고 그것도 모자라 이러한 행위를 자랑스럽게 기술문서로 만들어 공개했습니다.

 이제와서 담당 직원의 실수라고 한다면 과연 누가 믿어줄까요? 담당 직원의 실수를 덮기 위해 각종 발표자료를 만들고, 내부 방어팀을 구성하여 한결같은 어조로 DDoS공격임을 주장했던 선관위의 모습에서 그들은 이미 돌아올 수 없는 강을 건너갔다고 봅니다. 또한 더 많은 자료들을 가지고도 이러한 FACT들을 찾아내지 못한 검/경찰 수사력과 신뢰도 또한 다시한번 생각해 봐야 할 것 같습니다.

 마지막으로 "무조건 DDoS님의 강림이니 믿어라!" 라는 하단의 두 성서를 [비방흑색선전조사TF팀]님의 입을 빌어 공지에 올리심에 경의를 표하며 글을 마치는 바입니다.

[현안브리핑] 정보시스템 구축관련 의혹제기에 대한 입장 - 2012.02.11
[현안브리핑] 디도스 공격이 아니라는 주장에 대한 입장 - 2012.02.16


[2012.02.19 23:00 추가] - 선관위가 [비방흑색선전조사TF팀]이던 게시자를 [정보화담당관]으로 변경하였습니다. 공개도 안한 제 블로그를 보고 있는건지 참... 걱정안하셔도 됩니다. 캡쳐해 놨으니까요.






부록 : 이길환 정보보호소장의 페이지디도스

 이길환 정보보호소장에 대해서는 장문으로 길게 쓰고 싶지만 귀차니즘의 발동으로 인해 확실한 팩트만 짚고 넘어가겠습니다.

자 먼저 DDoS공격에 DB는 불사의 존재인가?

 결론부터 말씀드리면 아닙니다. DB사용 페이지를 통해 무리한 부하가 걸리거나  DB Connection Pool 능력을 초과하는 DB 접속이 있다면 당연히 데이터를 불러오는데 장애를 겪거나 DB가 먼저 뻗어버리는 현상이 발생할 수 있습니다.

그런데도 왜 페이지 디도스는 안되는 걸까요?

 어떠한 공격자도 DDoS공격시 웹서버와 DB중 무엇이 먼저 뻗을지는 알 수가 없습니다. DB의 종류가 무엇인지, DB의 성능이 어느 정도인지, 캐싱은 어느정도 되는지, DB Connection Pool 세팅은 어떻게 되어있는지, 어떠한 페이지를 호출해서 얼만큼의 쿼리를 날려야 DB에 무리를 주는지 등등의 변수가 많기 때문입니다. 이러한 것들을 알아내려면 직접 서버에 들어가서 봐야하고, 그정도 실력자라면 DDoS공격을 하지는 않습니다. 왜냐구요? 이미 들어갔으니까요.

 간략하게 결론을 내리자면 특정 페이지를 다운시킬 목적으로 DDoS공격을 하려해도 웹서버와 DB중 무엇이 먼저 죽을지는 며느리도 모른다는 이야기 입니다. 이러한 목적을 상실한 공격을 페이지 다운이라는 특수한 목적으로 실행한다는 것은 말인지 당나귀인지 구분이 안되는 이야기입니다.
 이런게 가능하다고 떠들어 대는 사람들에게 "어디서 약을 팔어?!" 라고 말하고 싶지만 그냥 참겠습니다.



 새로운 알고리즘에 의해 DDoS로 DB를 공격할 수 있다면 그러한 보안이슈는 빨리 공개되고 공유 되어야 방어책도 만들어지고 새로운 피해자도 막을 수 있습니다. 정보보호연구소 소장님 이라는 분이 꽁꽁 싸매고 자신만이 알고 있다고 떠들며 언론플레이를 해야할 성질의 것이 아닙니다.

 결국 그동안 기술자들이 제시했던 이야기는 "보안이슈"와 "알고리즘"의 공개이지 선관위를 공격하라는 것이 아닙니다. 그리고 이번 이슈에 재연을 요구한 기술자들을 싸잡아서 꼼수빠 나 음모론자로 몰고간 이분법자 들에게는 "ㅗ(ㅡ..ㅡ)ㅗ"라고 말씀드립니다. 기술자들은 디지털 코드를 다루지만 당신들처럼 디지털 적인 [0]아니면 [1]이라는 이분법적 사고를 하는 사람들이 아닙니다. 지금이라도 깨닫고 개과천선 하시어 후세에는 좀 더 발랄하고 다양한 사고로 삶을 영유하실 수 있기를 바랍니다. 한가지 더하자면 저는 나꼼수에 대해서 비판적수용을 주장하는 사람이지 당신들이 생각하는 맹목적 신도가 아닙니다.







첨부 1. 포스팅 하는동안 선관위 유훈옥 사무관님이 김기창 교수님과의 통화에서 KT회선을 차단하는 결정에 자신도 관여하였으나, 실제로 차단한 당사자의 성함은 밝히기 곤란하다라는 발언을 하셨답니다.

첨부 2. 언제나 글이 길어지는 문제는 해결이 안되는군요. 쉽게 쓴다는게 가장 어려운 것 같습니다.

첨부 3. 읽어주셔서 감사합니다.

첨부 4. 블로그를 퍼가실 때는 원문 저자와 출처를 명시하여 주시기 바랍니다.

첨부 5. 제 트위터는 상단 우측의 Follow me 버튼을 통해 이동하실 수 있습니다.




이번 사안에 관련된 다른 전문가 분들의 의견은 이곳에서 보실 수 있습니다.

IT 전문가 Barry 님의 글 - [Link]
오픈웹 김기창 교수님의 글 - [Link]




댓글 102개:

  1. 언제...어디서...누가...왜... 대충 짐작은 가지만 멱살을 잡을만큼 수사가 진행될수 있을까..하는 걱정이 앞서네요.. 또한, 부정선거 이것 하나 만으로 총선과 대선은 쉬워진것인데, 이제 민주당의 역할에 더이상 실망이 없엇으면 하네요.. 아쉬워서 기대고 있지만 여전히 허접한 스텐스만... 아쉽다.. 통합진보... 조금더힘있었더라면...이번기회가 좋은 발판 마련했을텐데...

    답글삭제
    답글
    1. 개인적으로 정치권에 거는 기대는 별로 없습니다.

      물론 특검도 마찬가지구요.

      삭제
  2. 선관위 보고있나?

    답글삭제
  3. 음모론이 아닌 진실이네요 이건....
    이러고도 빠져나간다면 진짜.....

    답글삭제
  4. 제가 이해하는게 맞는지는 모르겠습니다만..

    대역폭을 거꾸로 줄여버림으로 인해 접속이 불가능 했다는 것이 맞는 것이죠?
    일부 나온 주장인 '그럼 접속한 사람은 뭐냐?' 인 것도 극소량의 대역폭에서 운좋게 걸려든(?) 사람 이겠군요...

    대역폭 이런거 이해안되시는 분들 휴대폰 3G 망 이해하시면 될 듯 싶습니다.
    사람 많은 곳에서 3G 가 안터지면서 인터넷도 안되고, 카카오톡도 안되는 상황과 비슷하다고 보시면 되요.

    답글삭제
    답글
    1. 쉽게 설명하는 것이 가장 어려운 것 같습니다.
      좋은 설명 감사합니다.

      삭제
  5. 음.. 인제 온국민이 통상교섭단의 실력을 갖추더니, 비로소 IT전문가도 되어가는군요.

    답글삭제
  6. 역시나 저같은 컴맹에게는 외계어에 가깝지만 이해한느데 도움이 되었습니다.
    근데 왜 민주당은 이걸 물고 안늘어질까요.. 바보들....

    답글삭제
  7. 이렇게 상세하게 공개를 하시다니..
    다음 선거 때는... 아마도 국가 통신망을 다운 시키고..
    태양폭풍에 의한 일시적인 장애라는 소리를 할듯...한 느낌이..

    답글삭제
  8. 읽어주셔서 감사하다뇨. 써주셔서 진심으로 감사드립니다. 저희 모두가 그리고 역사가.

    답글삭제
  9. Network장비 만드는 회사에 근무하는사람입니다. BGP가 문제가 생겨서 Traffic이 일부가 끊긴다는건 말이 안되는거 같습니다. BGP가 문제가 생겼으면 Traffic이 완전히 차단돼죠. 제가 Routing Protocol쪽을 담당하는건 아니라 확언은 드릴수 없지만 납득이 안되는 설명이군요.

    답글삭제
    답글
    1. LG 엔시스 보고서에 보면 BGP 문제로 인해 접속이 원할하지 않다고 되어 있습니다.
      아마 Up/Down 쪽을 건드린 것 아닐까 예상해 보고 있습니다.
      김기창 교수님의 글을 보시면 조금 더 자세히 설명되어 있습니다.

      삭제
  10. 봉주6회듣고 인사하러 왔어요 감사하다구
    근데 되게 어려울줄 알고 안읽으려고 했는데
    생각보다 쉽게 글을 잘 적어주셨네요~~~

    고맙습니다 꾸벅

    답글삭제
  11. 이길환 떨고있니....

    답글삭제
  12. 저세한 설명 감사합니다!! 복받으실 거에요

    답글삭제
  13. 설명을 잘 해주셔서 이해가 쉬웠어요.
    글 잘쓰시는 구만... 엄살은...
    전문가의 글을 읽으니 한결 이해가 더 쉽네요.
    상식적으로 이해가 되지 않는 10.26 선거 부정사건...
    앞으로도 계속 수고해 주세요. 감사

    답글삭제
  14. ㅎㅎㅎ 파리가 새가 되는 표현 아주 브레인에 콕 박힙니다.
    어디서 약을 팔아?!!! 도 음성지원되는 줄 알고 깜놀했습니다.
    분석하시느라 수고하셨고, 분석해주셔서 감사합니다. 고생하셨습니다.

    답글삭제
  15. 글 감사합니다. 이런글을 일게 되는 국민들이 생기게 될줄은 몰랐습니다. 민주주의 발전은 그냥 이뤄진게 아니었다는 것을 반증하는 사안이라 생각합니다. 수고하셨습니다.

    답글삭제
  16. 나꼼수 팀이 선관위 컴터를 관리하면 끝내줄텐디...

    답글삭제
    답글
    1. 저는 꼼수팀 하고는 관련이 없습니다.

      삭제
  17. 감사합니다 고생하셨습니다
    꾸벅~

    답글삭제
  18. 이건뭐 국가 기관이 아니라...구멍가게?..만도 못한거같네.

    답글삭제
  19. 이렇게 말씀하셧는데 이말에는 전적으로 동의합니다
    저도 기술자와 나꼼수한테 이유없이 비방하는 악플러들 무지싫습니다
    하지만 분위기에 휩쓸려 국가기관인 선관위를 까는거도 자제해야할거같아요

    좋은자료 감사합니다^^ㅋ

    답글삭제
    답글
    1. [결국 그동안 기술자들이 제시했던 이야기는 "보안이슈"와 "알고리즘"의 공개이지 선관위를 공격하라는 것이 아닙니다. 그리고 이번 이슈에 재연을 요구한 기술자들을 싸잡아서 꼼수빠 나 음모론자로 몰고간 이분법자 들에게는 "ㅗ(ㅡ..ㅡ)ㅗ"라고 말씀드립니다]

      이렇게 말씀하셧는데 이말에는 전적으로 동의합니다
      저도 기술자와 나꼼수한테 이유없이 비방하는 악플러들 무지싫습니다
      하지만 분위기에 휩쓸려 국가기관인 선관위를 까는거도 자제해야할거같아요

      좋은자료 감사합니다^^ㅋ

      삭제
    2. 선관위의 명확한 해명이 있을때 까지는 자제할 필요는 없다고 봅니다.

      삭제
  20. 번개킴 입니다.

    고생 진짜루~ 많으셨습니다.

    홧팅~!!!

    답글삭제
  21. 디지털기기를 잘 사용하지만 속 내용은 잘모르는 40대이지만

    내용 이해가 됩니다. 글 잘보고 갑니다.

    답글삭제
  22. 이렇게 디테일하고 꼼꼼하게 정리해주셔서 무한감사합니다.. 진심으로!! 진실을 낱낱히 밝혀주셔서 고맙습니다.!

    답글삭제
  23. 이길환이 출국 금지 시켜야 되는데

    답글삭제
  24. 고생 많으셨습니다. 꾸벅

    답글삭제
  25. 약은 쥐에게...

    이럴려고 it 다 죽였군

    답글삭제
  26. 선관위가 아니라 선관위의 누구 언놈이냐죠 누구냐고 그놈이 이름석자 알기 이리힘드나....

    답글삭제
  27. 감사합니다 꼼꼼하고 세심한 설명!! 자 기자님들 요거 기사 씁니다!

    답글삭제
  28. 잘쓴글임.쉬움.왜당신이 전문가인지 알수있는글입니다.

    답글삭제
  29. "어떠한 공격자도 DDoS공격시 웹서버와 DB중 무엇이 먼저 뻗을지는 알 수가 없습니다."
    이 부분이 좀 문제가 있네요... 대부분의 공격자는 DDoS 공격시 DB관련해서 호출되는
    페이지의 부하가 제일 많이 걸린다는것을 알고 있습니다. 그래서 DB가 가장 먼저 뻗는다는것도 알고 있습니다.
    웹서버가 먼저 뻗는 일은 거의 없지 않나요?

    답글삭제
    답글
    1. 확률로 본다면 DB가 뻗는일이 더 적습니다.

      삭제
    2. 확률의 문제로만 말하기는 좀 힘들것 같긴합니다. 대부분 공공웹어플리케이션들이 최적화가
      썩 잘 되어 있지 않다라는 가정하에,

      로직이 담겨있지 않은 Static 페이지들을 처리하는 웹서버들은 웬만큼 리퀘스트를 받고, 또
      동일한 페이지는 캐쉬처리를 합니다. 하지만 DB 호출이 일어나면, 이는 결과를 받아야 하는 거라서
      Waiting이 일어나겠죠. 커넥션 하나하나가 리소스라서... 대부분의 경우, 많은 개발자들이 리소스처리를
      잘못하는 경우가 많아서요.

      확률로 보자면 오히려 DB가 뻗는일이 더 많을것 같은데요.

      정확하게는 DB가 죽는것보다는 Resource 반환 Waiting이 일어났을수도 있었던것 같은데, 선관위 경우는...

      삭제
    3. 페이지에 접속하는 것 자체로 DB연산이 많이 일어나는 페이지가 있다면 확실히 말씀대로 DB가 먼저 뻗을 확률이 높겠습니다만, 선관위 홈페이지에 그런 페이지가 있던가요....
      선관위 홈페이지에서 DB처리가 그래도 가장 많을것으로 예상되는 투표소 조회페이지도 그냥 간단한 조회라서 DB부담이 거의 없을것 같던데요....
      이런 상황에서 페이지가 열리기 힘들정도로 공격을 받고 있다면 서버가 먼저 뻗을지 DB가 먼저 뻗을지 장담할수 없다가 맞을 듯 싶은데요....

      보통의 홈페이지에서는 대량의 DB처리를 하는 페이지는 홈페이지에 로그인을 한 후에 접근할수 있는 경우가 많을텐데, DDOS공격을 하는 입장에서는 서버를 다운시키거나 DB를 죽이거나 결과는 똑같으니까 약간의 노력과 처리가 필요한 DB쪽보다 그냥 단순한 방법으로 가능한 서버쪽을 선호하고, 그래서 현업쪽에서는 상대적으로 DB보다 서버 뻗는 일이 많은 것이 아닐까하고 생각해봅니다.

      학부생이 달아봅니다.

      삭제
    4. 역시 이해력은 학부생이 가장 높은 것 같습니다.

      항상 DB가 먼저 죽으려면 여러가지 "가정하에" 라는 말이 많이 필요합니다.

      이제는 이해를 하셨기를 바랍니다.

      삭제
    5. 하나 더 달죠...
      리소스는 클로즈 하지 않는 문제는 로직이 전혀 들어 있지 않아도 발생하는 문제입니다. 제가 말씀드린건
      DB가 죽는것보다 Resource 반환 Waiting이 일어날 수 있었다는것을 지적하는 겁니다.
      학부생스런 이해에서 그치셨군요. ZiNe iMa님. ^^

      삭제
    6. 주장하시는 부분 또한 가정이 필요합니다.

      DDoS 공격시 무조건 일어난다 가 아니지요.

      장난 스럽게 말하자면

      WAS가 출동한다면? DB가 Oracle 이라면? Connection Pool이 충분해서 0.0001ms 의 성능이 나온다면?

      학부생을 무시하시면 안됩니다.

      삭제
    7. 제가 주장하는 부분에 왜 가정이 필요하지요? 커넥션 클로즈하지 않는게 가정이 필요한건가요?
      하하...
      이건...

      본인 스스로 전문가가 아니라는걸 말하시는건데요?

      삭제
    8. 아직도 모르시겠나요?

      "커넥션을 클로즈 하지 않았다면" 이라는 것은 가정이 아닌가요?

      그리고 말씀하시는 커넥션 클로즈를 해야 하는 웹 컨테이너는 무었인가요?

      삭제
    9. 부하테스트도 안하고 런칭하진 않죠.. 특히나 여기처럼 대량 트래픽이 예상되는데는 더더욱.. 커넥션클로징같은건 프레임웍에서 알아서 해주기때문에 개발자가 신경쓰지 않아도 됩니다..

      삭제
  30. 어렵지만 날 잡아서 꼼꼼히 함 볼게요~ ^^ 수고하셨습니다 용기에 박수를!

    답글삭제
  31. 잘 읽고 갑니다 ...
    수고하셨습니다 ...꾸벅

    답글삭제
  32. 좋은글 잘 읽고갑니다..

    선관위....휴우...올해 총선, 대선 ...믿음이 안가네요...또 어떤 조작질을 할지..

    답글삭제
  33. 감사합니다~ 잘 읽었습니다

    답글삭제
  34. 익숙치 않은 용어들이라 어려울줄 알았는데 의외로 이해하기 쉽게 잘 설명해주셨네요~~ 고생 많으셨습니다~

    답글삭제
  35. 잘보고갑니다 고생하셨습니다 ^^

    답글삭제
  36. 감사합니다 잘 보고갑니다.

    답글삭제
  37. 잘 보고 갑니다....
    나쁜놈들 ...우리를 이렇게 속일수 있다니....
    그래도 정부라고 쪼금은 믿었것만.....
    아~~~선거 하고 싶다...

    답글삭제
  38. 글 잘보았습니다

    개탄스럽네요

    답글삭제
  39. 잘보고 갑니다 들었을때 보다 더 이해가 잘되내요

    답글삭제
  40. 진실을 알리기 위한 용기있는 모습에 박수 보냅니다

    글 정말 잘 읽었습니다

    답글삭제
  41. 아무래도 선관위가 온국민을 IT 전문가로 만들기위한 작전인것같습니다...

    답글삭제
    답글
    1. 대처를 잘 못한것은 분명하지만 선관위도 피해자인데 그렇게 까지 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ

      삭제
    2. 글을 제대로 안 읽으셨네요.

      삭제
    3. 온국민IT전문가 ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ아.....재밌으심ㅋㅋㅋㅋㅋㅋㅋ 답글에 익명님 선관위 피해자요??? ZiNe iMa님 힘들게 글쓰셨는데 왜 그런 이상한말씀을...

      삭제
  42. 정말 수고하셨어요. 눈가리고 아웅하는 이런 모든 짓들이 국민을 바보천치로 알지않으면 할수 없는일.. 국민을 위하고 가장 어렵게 생각하는 지도자를 뽑는 일이 얼마나 중요한지 절절히 느끼는 요즘입니다.

    답글삭제
  43. 잘 읽었어요 감사합니다.....한숨만 나오니 어찌 할까요 하늘이 무섭지도 않은 저들인가 봅니다. 부정을 저지르고도 잘 먹고 잘 살 저들이 끔찍하네요.

    답글삭제
  44. 파렴치한 짓을 하고도 새빨간 거짓말이나 일삼는 기관...정말 염치 없네. 4월에 이모든 초딩같은 사건들로부터 종지부를 찍을 수 있으면 좋겠어요.

    답글삭제
  45. 이런 사안을 팟캐스트에서 캐고 다녀야하는 현실이 참 암담하네요....
    검찰은 대체 왜 존재하는가...

    답글삭제
  46. 나꼼수와 공개된 자료들을 보고 가능성들을 생각해 봤습니다.
    이는 선관위 내부의 문제였다는 가정으로 세운 내용입니다.
    가정으로 시작된 내용이라 허무맹랑하지만...
    선관위 시스템이 어떻게 구성되어 있는지 모르기 때문에 가정에 가정이 이어집니다.
    습자지 지식으로 가능성을 생각하려니 앞뒤가 맞지 않을 수도 있습니다.

    1.메모리 사용률 100%는 고의적인 프로세스 기동때문이다.
    (인위적으로 메모리를 많이 사용하는 프로그램을 실행했을 가능성)
    - 이로 인해 서버의 과부하가 걸리며 서비스 지연을 노렸거나
    서버 재기동을 하기 위한 이유로 사용하기 위함이다.
    2. 서버 재기동은 환경설정 중 무엇인가를 변경했기 때문이었다.
    (서버에서 연결하는 DB ConnectionPool의 설정에 변화가 있다던지...)
    - 로그에 남는 정보는 시스템 보호를 위해 나타나지 않거나 부분 삭제하여
    공개를 했을 가능성 또한 없지 않다.
    따라서 DB Connection에 대한 로그상 에러는 없을 가능성도 있다.
    3. DB ConnectionPool 정보가 변경된 이유는 일부 DB Table의
    연관 관계가 변경되었을 가능성
    (DB 스키마가 어떻게 설계되어 있는지 알 수 없기 때문에 확신 할 수 없다.)
    - 이에 정보 검색 화면으로 넘어가더라도 정상적인 데이터를 받을 수 없지만
    요청에 따른 응답은 완료되었기 때문에 응답코드는 정상으로 나타날 수 있다.
    4. DDoS 이후 컨테이너 재 기동시 원래 설정을 읽도록 하던지 또는
    DB의 데이터를 원래 데이터와 동일하게 셋팅하였다.
    - 이 이후 정상적인 동작이 된다.
    5. 시스템 개비의 목적은 모든 흔적을 지우기 위해서이다.
    로그에 에러가 발생 하였다해도 극히 미미하여 쉽게 조작 가능하나
    모든 시스템에 남은 흔적들을 찾아서 그것만 지우기는 쉽지 않기 때문이다.

    어처구니없는 가정에 따른 어처구니없는 상상입니다.

    자료를 먼저 보고 나꼼수 들으면서 대충 생각난 것들이라...
    앞뒤도 맞지 않고... 논리에도 맞지 않을 것 같고...

    다시 말하지만 오로지 상상으로 만들어진 내용입니다.

    답글삭제
    답글
    1. 제 글을 읽으셔도 그렇게 생각이 되신다면 생각의 자유를 막지는 않겠습니다.

      삭제
  47. ㅠㅠ저는 무슨 말인지 전혀 모르겠지만 봉주에서 비교설명해주니 이해하기 쉬웠어요.
    그러나 과연 이 사건을 언론이 대대적으로 다뤄서 검찰이 수사에 들어갈수 있을지
    의문입니다. 지상파와 조중동이 다루지 않는이상 연령대가 높으신 분들은
    모르는 현실이니 말이죠. 이제 곧 3월이고 봄이니 부정선거가 활짝펴서 모든
    사람이 알고 총선을 잘 치렀으면 좋겠어요.

    답글삭제
  48. 오늘 완전 이명박의 날이구나~!!
    에헤라디야~ 오늘 강형도 구라친거 걸렸는데...
    강형이 먼저 학교가서 기다리면 친구들이 줄줄이 곧 따라 갈듯~

    답글삭제
  49. 분야에 대해 문외한인지라 의문 생기는 부분에 대한 질문을 드리겠습니다.

    1. 현재 글에서는 단순 DDoS가 아니라 DDoS에 대한 '선관위의 방조'라는 팩트에까지는 접근한 것 같습니다. 맞는지요?
    2. 이게 맞다면 '선관위의 방조'를 넘어서 선관위가 DB접속을 적극적으로 막았다는(DB연동을 다양한 방법으로 차단했다는) 나꼼수의 주장과는 어떤 인과관계가 성립하는가요? 여기에 대해 인과관계를 찾을 수 있는 연결고리를 제가 읽지 못한 것이라면 조금 더 상세한 설명을 부탁드립니다.

    저는 나꼼수의 지지자는 아닙니다만 그렇다고 새누리당과 선관위의 주장을 모두 믿지도 않습니다. 작성자님의 글을 보고 최소한 선관위가 DDoS공격을 방조했으며 그렇다면 그것이 사전에 나경원 후보 측과 교감이 없이는 불가능할 것이라는 의심까지는 가지고 있습니다. 제가 알고 싶은 건 이 글과 나꼼수의 최종 주장인 '선관위 DB연동 차단설'과는 어떤 인과관계를 가지고 있는지입니다. 제 의문을 해결해주시면 고맙겠습니다.

    답글삭제
    답글
    1. 나는 꼼수다를 들어 보시면 아실것 같은데요...검색의 생활화...@@

      삭제
    2. DB보다는 들어오는 회선 자체를 막은 거라고 보시면 됩니다.

      삭제
    3. Zine iMa님, 문외한인지라 이리저리 힘들게 생각했던 제 의문을 간단히 해결해 주셨네요. 나꼼수 측의 주장과는 다소 차이가 있군요. 이렇게 쉽게 설명해주셨는데도 제가 오독한게 아니었으면 합니다. 감사합니다.

      위에 익명님은 제가 나는꼼수다를 안 들었다고 보시는군요. 봉주 6회 및 선관위에 대한 의혹제기와 관련된 모든 회차를 듣고 하는 질문입니다.
      제 질문은 이 글과 'DB의 값을 헝클어 놔서 투표소 찾기 페이지에 최종 접속을 못하게 했다'고 주장하는 나꼼수 측과는 어떤 인과관계가 존재하는지였습니다. 나꼼수 듣고 생기는 의문에 나꼼수를 들으라고 하다니요. 본인이 설명하기 힘드시면 굳이 댓글을 달지 않으셨으면 합니다.

      삭제
    4. 나꼼수에서 주장하는 일부분을 전체 주장으로 생각하시는 것 같습니다.
      회선을 차단해 디도스보다 더 심각한 상황을 만들었다는 주장은 제 글과 일치하는 부분입니다.

      DB를 헝클어 놨다는 말은 05:50~06:58 까지의 증상을 아직까지 선관위가 제대로 설명하지 못함으로 나올 수 있는 의견 중 하나일 뿐입니다.

      방송을 다시 들어 보시면 그외에도 여러가지 주장이 있음을 아실 수 있습니다.

      삭제
    5. 아, 제 질문이 왠지 작성자님과 나꼼수간의 의견차이가 있다는 뜻이거나 제가 제기하는 질문이 나꼼수의 전체 의견으로 받아들이고 있다고 오해를 불러온 것 같네요.

      방송에서 들은 주장 중 나꼼수 측이 29회부터 일관되게 주장해온 에 대한 의문만 있었을 뿐 그 외에 다른 의도는 없었습니다. 또한 다른 주장들은 팩트에 기반해 설득력을 갖춘 부분이기에 의문을 제기할 필요성을 느끼지 않았던 것 뿐이고요.

      작성자님이 말씀하신 '회선을 차단해 디도스보다 심각한 상황을 만들었다'는 설명에 납득하고 있으며 맨 처음 질문에서도 말했듯 저는 KT 회선을 끊었다는 것만으로도 선관위가 사실상 DDoS를 방조해 선거 방해에 일조했다고 봅니다.

      다만 LG엔시스의 보고서에서 드러난 팩트 속에서 불거지는 '의혹'을 어떤 논리로 풀어내야 하는지에 대한 궁금증에서 관련 전문가에게 여쭤본 것일 뿐, 작성자님과 나꼼수 측의 의견차이를 강조하고자 했던 것은 아닙니다. 혹여 불쾌하셨다면 제 질문 의도를 이해해 주시기 바랍니다.

      삭제
    6. 의견 차이가 아주 없는 것은 아님으로 크게신경쓰지 않으셔도 됩니다.

      DB를 끊지않고 끊어진 것 처럼 하는일, DDoS 없이 DDoS 증상을 서버세팅 만으로 만들 수 있는 일 모두 가능하다는 것 까지만 말씀드리겠습니다.

      삭제
  50. 나꼼수 듣는 중 가장 아쉬웠던게
    DB 연결 실패를 어떤식으로 유도 했다 라는
    것에 대한 내용이 추측성으로 간단히 넘어가버려서

    이쪽 부분을 팔 수 있으면 좋을것 같은데..
    안타깝군요..

    답글삭제
  51. 나꼼수 듣고 읽어보니 이해하기 쉽군요. 감사합니다. 고생 많으셨습니다^^

    답글삭제
  52. 좋은 분석에, 의견에 감사드립니다. 글을 보면서 "성동격서"라는 말이 생각나서....

    전략:박원순 후보에 우호적인 젊은친구을 투표를 방해하라.

    방법:투표장소를 변경->변경정보 조회 차단 or 지연

    전술:"성동격서"-동쪽을 공격하는 것처럼 소란을 피우나 실제 주력공격은 서쪽에서 행하는 손자병법의 기본. 즉 동쪽에서 DDoS로 소란을 피우고 실제 주력은 서쪽에서 Server controled by traffic 조작, DB query 변경, making processor busy,....etc

    답글삭제
  53. DB만 공격 가능할 수 도 있다고 한 사람 있죠?
    전 이렇게 질문하고 싶었습니다.
    DB만 공격한다면 이미 해킹 끝난건데
    뭣하러 비용 비싼 DDos하냐?
    휘젓고 다니지!!! 해커가 바보냐?

    답글삭제
  54. 수고하셨습니다. 요즘 소위 '진보'라는 언론들은 왜 이런 중요한 일에 철저하게 모르쇠하고 있는 걸까요? 우리 사회의 양심이 아직은 남아 있었다는 것에 작은 안도감을 느낍니다. 진심으로 감사드립니다.

    답글삭제
  55. 너무 길어서 끝까지 못읽어서 미안합니다.
    하지만 역시 감사드립니다.
    읽다가 선관위에는 완전 전문가는 없거나 있더라도 그자리에 없었던듯한 생각이 들어 그쳤습니다.
    고질적인 문제. 아무것도 모르는 사람을 완장채워 앉혀놓고 준전문 또는 비전문가들이
    박봉으로 고생하고..
    전문가는 자리 비우고 뒷수습..
    그 일 터지던 그때 전산에 관해 처리할만한 사람이 단한명도 없었던듯 싶습니다.
    이런 분석글을 다루는 님들같은 전문가가 저자리에 단한명이라도 있었더라면 좋았을것을.
    농협.선관위. 정신 못차렸습니다. 이정부는.

    답글삭제
  56. 결국은 이제 이걸로 가는거네요.

    10/26 서버 다운 사건은 DDOS 가 아니다! <-- Fact

    그리고

    선관위 단순 실수 vs 나꼼수 음모론

    현재로서는 알 순 없지만 단순 실수라기엔 뭔가가 복잡하게 얽혀있는 느낌이네요.

    답글삭제
  57. 그게 고의건, 실수건
    이런 fact를 다 숨기고
    'only DDos 때문!'이라고 한 건
    도의적으로나 법적으로 용서할 수 없다.

    최소한 '직무유기'이거나,
    결과를 뻔히 알고도 방조한 '미필적 고의'다

    유권자는 선거운동원에서 밥을 얻어먹어도 50배의 벌금을 토해야 하는데
    국가 기관에서 선거와 관련되어 저지른 직무유기나 미필적 고의를
    어물쩡 넘어가도록 내버려 두는 건, 정치 역사의 엄청난 퇴보이다!

    답글삭제
  58. 많은 분을의 설명을 계속 읽다보니, 선관위홈피 조작가능성에 대한 문제제기는 가능성있는 추론으로 이해가 되었습니다. 그런데, 역시 선관위의 협조 또는 방조가 있기 위해서는, 선행적으로 선관위 주도의 투표소 변경의 프로세스 부분에 의혹이 어느정도 입증되어야 할 것 같아요.

    투표소 변경이 실제로 이루어졌다는 것은 PD수첩이나, 뉴스타파 등에서 예가 거론되긴 했기에 그런일이 있었구나 싶어요. 그러나 반론자들은 투표소 지정이 여야가 추천한 인원들에 의해서 승인이 되는데, 어느 한 사람, 또는 소수가 밀실에서 결정해서 각 구/동으로 일방적으로 지침을 내린 것이 아닌 다음에야, 모든 구 또는 동 단위의 결정에 그렇게 많은 사람이 동조하는 것이 가능한 일이냐 묻습니다.

    그래서 당연히 드는 의문은, 예를 들어 꼭집어, '구로구'의 투표소 변경은 구로구 구청에서 한 것인지, 아니면 중앙선관위에서 변경지침을 내린 것인지, 그리고 야당이 추천한 인사들은 여기에 찬성한 것인지, 눈먼 봉사노릇을 한 것인지, 아님 애초에 이런 일에 발언권이 없으므로, 전혀 문제가 없는 것인지 이런 설명은 아직 들어본 바가 없어요.

    투표소 홈피가 조작되기 앞서, 투표소 변경의 결정을 그럼 누가 했고 누가 여기에 관여할 수 있었고, 과연 아무 저항없이 이 것이 가능했던 원인은 무었이었나가 속시원히 밝혀졌으면 좋겠습니다.

    답글삭제
  59. 더 많은 네트워크 전문가들이 왈가왈부 자기 생각을 떠들수록 좋다고 생각합니다. 야근하고, 먹고 살기 바빠서 그런지 모르겠는데, 너무 조용하고 얌전해요. ㅋ

    답글삭제
  60. 이 페이지 실시간 인기링크에 올라와있네요.

    선관위의 자살골을 공개합니다.

    http://newssmart.org/news/links/

    답글삭제
  61. 이번선거때 디도스 공격이 걱정된다면.. 선거시스템을 개선하는 것보다 저런 판단을 내린 담당자를 교체하는 게 더 현명할 것 같군요.

    답글삭제
    답글
    1. 마음 같으면 다른걸 바꾸고 싶지요. ㅎㅎ

      삭제
  62. 공공기관에서 DDOS 공격 중 서버 담당자가 KT나 LG에 전화한통 때려서 문제해결할 수 있는 경우는 없습니다.
    1. 보고 받는 사람은 서버관리자가 아니라 네트워크 담당자겠지요. 큰 문제는 아닙니다. 공격이 발생, 서비스 장애가 나타나고 있다는 것을 상위 보안관리자에게 알립니다. (연락을 받은 사람은 외주 직원일 수도 있습니다. 어쨌든 공무원 담당자에게 보고합니다.)
    1-2 공무원 담당자는 대책을 논의하기 위해 외주 직원과 관련자들을 불러 모으거나 통화를 합니다. 이거 어느 정도야? 어떻게 해야 해? 더 위로 올려야 하나? 그러나 명확하게 답변해 줄 사람은 아무도 없죠! 그리고 다들 자기가 책임질 일이 없기를 바랍니다. 가장 안전한 답변만 하죠.
    2. DDOS 공격이 UDP 형태라는 게 무슨 의미인지 의사결정자(전산직이 아닌 일반직 공무원일 수도 있습니다)에게 설명해야 하는데 이걸 사건 발생 후 현장에서 한다는 건... 대략 난감.
    3. 트래픽량, 서비스 제공 수준은 사후 몇달 지난 보고서에서 나왔다는 거 기억하세요. 현장 실시간에서 트래픽 량은 오를 수도 있고 내릴 수도 있고 판단 안됩니다. 지금 몇 건 접속, 페이지 뷰 몇 이건 그 상황에서 확인될 수 없었을 수 있고, 확인 해도 이해를 하거나 시키기 어려울 가능성이 높고, 무엇보다도 DDOS 공격 상태에서 장애를 당하는 고객 상태를 판단하기에 큰 도움이 안됩니다. 유효한 총 요청 대비 만족된 요청을 평가해야 할텐데, 이건 나올 수 있는 숫자가 아니죠.
    4. 회선 대역폭은 LG와 KT와의 계약을 통해 정해진 것입니다. 계약사항은 담당자가 전화 한통화로 변경해서 해결되는 게 아닙니다. '비상시 추가 대역폭을 할당할 수 있다'라는 항목이 계약서에 포함되어 있더라도, 추가 대역폭의 한계가 있을 것이고, 망 구성이 허용해야 합니다. 또한 그래도 문서화된 승인과 공식 요청이 필요하죠. 전화 건 사람이 누군줄 알고 KT 직원이 네 알겠습니다 하고 바로 변경해 주겠습니까? 하다못해 내 폰 데이터사용량 다 써서 늘리려고 할 때도 본인확인하고 절차를 밟죠? 기관 대 기관이면 더 복잡합니다. 당신이 제일 잘 아는 사람일 수는 있지만, 그렇다면 당신이 결정을 내리고 승인을 할 수 있는 권한이 있는 사람일 가능성은 매우 낮습니다. 이건 개인의 책임이 아니라 관료조직, 특히 전산직렬을 일반직렬의 하위 따까리로 보는 공무원 문화의 문제입니다.
    4. KT를 통해 공격이 들어오는 이 상황에서, 공무원 팀장이 이게 해킹으로 발전할 수 있는 가능성이 있어? 할 때 당신이 UDP/ICMP 공격이니까 없어요! 대역폭만 늘리면 럴럴! 하고 답변할 수 있을 것 같습니까? 낮기는 한데... 라고 하겠지만 절대로 없다고 할 수 없습니다. 만일 그랬다가, 추가 공격이 들어온다면, 당신이 다 뒤집어 쓸려구요?
    5. 이러한 사태를 포함해서 일반적으로 가용성 제공을 위한 전형적인 설계 방식이 선관위에서 보듯 2개의 통신사에 병렬로 회선을 연결하는 방식입니다. 이때 모인 사람들이 LG 스위치가 버벅거리는 것을 알고 있었을까요? 가능성 별로 없습니다. 그럼 트래픽 소모되고 있고 추가 공격 들어올 수 있다고 생각하면 이거 끊어도 문제 없지? LG에서 커버 되는 거 아냐? 그렇게 할려고 이렇게 만든 거 아냐? 하면 안돼요 하기 힘듭니다. 아니 애시당초 이럴 때 쓰자고 만든 건데....
    6. KT 끊고 LG로 돌린 후, 여전히 안되고 있더라도 그 원인을 파악하는데 시간이 걸릴 거라는 생각이 안드나요? 물론 엔시스의 보고서가 손에 있다면 기술전문가는 파악할 수 있겠죠. 근데 저 시점에서는 아직 나오기 전이었거든요. 아니, 그 보고서에 쓰일 정보들이 만들어지기 전이었으니까요. 엔시스의 보고서에도 LG 스위치의 문제의 원인은 별도 조사가 필요하다고 나와 있네요.

    선관위 직원이 잘한 건 없지만, 담당자 교체해도 바뀔 거 하나도 없습니다. 특히 어떻게든 해명하려고 자신의 신분을 밝히며 소통하려고 했던 담당자의 실명을 올려놓고 이 사람이 결정했대요!하면서 의도적 음모론에 좀 더 나은 근거가 필요하다는 기자를 편드냐고 욕하는 방식으로는.

    답글삭제
    답글
    1. 그렇게 생각할 수도 있군요.

      하지만 그동안 선관위가 줄기차게 주장해왔던 부분도 생각해 보시기 바랍니다.

      삭제
    2. 윗분은 개콘 "비상대책위원회" 같은 말씀을 하시네요. "안돼~~~" ㅎㅎ 하지만 그렇다면 다음 멘트도 기억하셔야죠. "사람 불러야돼" 근데 선관위는 사람을 부르지도 않고 자체적으로 해결하지도 못했습니다. 물론 관료적인 마인드가 강하다곤 하나, 디도스 공격에 대한 매뉴얼이 있다고 말한 선관위의 해명을 기억한다면 최소한 이렇게 오래 걸려 문제를 오히려 악화시키는 모습을 보여선 안되죠.

      이 시점에서 선관위에 요구해야 할 것은 도대체 "매뉴얼"의 내용이 무엇인지 공개하라는 겁니다. 디도스 공격이 들어오는데 회선을 잘라버린다는 것이 진짜 매뉴얼에 있는지, 그런 황당한 매뉴얼을 누가 만들었는지 말입니다.

      삭제
  63. 처음부터끝까지 꼼꼼히봤습니당
    지금새벽두신데ㅋㅋㅋㅋㅋㅋ 집중해서 잘읽었습니다.
    중간에'KT회선차단(응?뭑?)'ㅋㅋㅋㅋ 웃겼어요
    아 너무감사합니당 이해하기 어려운 부분들인데 자세히 잘 설명해주셔서!!
    너무너무 수고하셨습니다^ ^

    답글삭제
  64. 알기쉽게 알려주셔서 감사합니다~

    답글삭제
  65. 정부를 상대로 힘든 일인데 용기를 가지시고 글을 올리신 용기에 깊은 감사를 드립니다. 그리고 단순한 의혹이 아니다라는 것을 잘알겠습니다. 검찰과 경찰 그리고 특검을 통해 어느 정도 밝혀질지 걱정입니다. 이 글을 읽어보면서 사실 믿고 싶지가 않습니다. 그리고 모든 것이 명쾌히 밝혀질 경우 국민의 분노와 그로인한 국정혼란 상상도 하기 힘듭니다. 언론도 그것을 지금 두려워하지 않을까 생각됩니다.

    답글삭제
  66. 컴맹에 가까운 저도 이해할 수 있게 항상 풀어 설명해주시는 점 감사합니다.

    어제 진중권 교수의 트위터를 보고 다른 의견도 있을 수 있나 생각들어서 검색하다가 이런 글을 봤어요. 김기창 교수님의 댓글도 있더군요.

    https://plus.google.com/u/0/103964357561720361859/posts

    링크 상단의 2가지 글을 보면 디도스 공격이 서비스 장애의 원인이다라고 말하는거 같은데요.
    전 그동안 ZiNe iMa님이나 Barry님, 김기창 교수님의 글에서는 디도스는 방어되었고 이후 선관위의 조치가 서버장애의 원인이다라고 설명하고, 이후 선관위와의 토론도 그 조치가 합당한가에 대해 다루어지고 있다고 이해하고 있었거든요. 선관위 역시 디도스공격이 있었다는 정도만 인정하고 서버장애의 원인은 아니다란 입장이구나 싶었구요.

    근데 저 링크의 글을 읽고나니 다 햇갈리네요.

    01. 처음부터 지금까지 선관위 측의 주장도 디도스 공격이 원인이라고 말하고 있는건지요?
    02. 저 링크의 글처럼 같은 자료를 보더라도 전문가 간에도 의견이 갈릴 수 있는건지요?
    03. 만약 그렇다면 지금 공개된 자료가 한정적이라 데이터를 분석하는 사람에 따라 의견차이가 있을 수 있다고 이해하면 되는건지요?

    이미 ZiNe iMa님 글에 다 설명되어 있는데 제가 놓친걸지도 모르지만 답변 부탁드립니다. 기본적인 개념은 이해하고 있었다고 생각했는데 초보자에겐 어렵군요;;;

    답글삭제
    답글
    1. 관련 답변은 차후 포스팅을 통해 공개하도록 하겠습니다.

      요즘 시간이 허락치 않아 포스팅을 엄두도 못내고 있습니다.

      간단하게 요약해 드리자면 선관위의 해명이 상당히 실망스럽다는 것 입니다.

      삭제
  67. 나꼼수에 애정을 가지고 있고, 네트워크쪽에서 10년 이상 일을 하고 사람입니다.
    처음으로 댓글을 단다. 라고 생각하시면 어느정도로 나꼼수의 역할을 긍정적으로 생각하는지 조금은 설명이 될듯 합니다.
    이렇게 댓글을 달기전에 설명을 드리는것은 나꼼수를 걱정하는 마음을 전제하고 싶어서입니다.

    먼저 결론, 아니 개인적인 의견을 말씀드리면 다수의 훌륭하신 전문가분들이 금번 선관위의 DDos의 리뷰를 기술적으로 설명해주셨는데 이렇게 기술적인 지지보다는 나꼼수가 선관위와 각을 세우도록 하는것은 막으셔야 한다는 의견입니다.
    이 부분은 나꼼수에서 처음 문제를 제기했고, 한나라당을 궁지로 몰아 놓을 정도로 충분히 역할을 하신 상황이라고 생각하며, 또한 특검이 잘 진행될수 있도록 의견을 제시하는 정도만 하는것이 맞지 기술적으로 다가서는것은 개인적으로 반대하기 때문입니다.

    이런 개인적 의견의 이유는 엔지니어의 입장이 다수의 상황 특히, DDos와 같은 급박한 경우에서의 처리는 여러상황이나 복합적인 판단근거, 그리고 관리자의 상황대처 여유(?)등이 개입되는 경우이므로 결국에는 관리자가 문제에 대해 상황극복대처가 적당했는가의 평가가 가능할뿐이지 그것이 오류나 더 나아가 고의로까지 끌고 가기에는 무리가 있다고 생각합니다.

    첫번째, KT 155Mbps 2회선 절단 문제
    김어준씨께서 계속 문제삼고 리뷰에서 의견을 주시는 부분입니다.
    이 부분에서 배제된부분이 네트워크장비인 라우터 부분입니다. 구성도에서 나와있듯이 방화벽등 보안장비가 트래픽을 차단하고 DDos를 방어하는 부분은 보안장비 안쪽입니다. 즉, 라우터의 인터페이스와 CPU는 DDos에 의해 지속적으로 Load 가 올라갔을것이고, 이 경우 ISP(KT)와의 협의로 백본쪽에서 트래픽을 차단하거나 혹은 라우터 Input 인터페이스쪽에서 DDos 트래픽에 대해 조치를 해야 됩니다. 이 경우 많은 관리자분들은 Null 0의 소스 IP에 대한 라우팅 조치 혹은 Access-List를 통한 긴급조치를 하고 ISP에 협조를 구하게 됩니다. 이 때, 선관위측 라우터의 CPU는 계속 올라갔을것이고, 인터페이스쪽 큐에는 계속 쌓이는 데이터로 Drop이나 트래픽의 처리불능과 반환이 발생하게 됩니다. 이때 관리자는 DDos의 IP 소스가 KT쪽에 모두 집중되어있다고 판단되었다면 KT 인터페이스쪽의 상황을 보기위한 조치를 하기 위해 일단 BGP를 내리는 판단을 할 수도 있습니다. 이 경우 LG쪽으로 우회해서 트래픽이 온다고 하지만 일단 IX(KT와 LG의 접속점)에서의 처리가 기대되고, Best path가 KT로 잡혀있다는 판단으로 또, 새벽시간임을 고려하고 선거일이 다가옴에 대한 심적부담감에 결과적으로는 바람직하지는 않지만 일단 BGP 피어를 끊을수도 있습니다. (제가 처음 설명한 주변상황이 바람직하지는 않은 대처를 관리자에게 하게 할 수도 있다..라는 뜻입니다.) 즉, 선관위 관리자의 이러한 조치가 결과적으로 바람직하지 못했다라고 말할수는 있지만, 따로 의도가 있었다라고까지 논리를 전개하기에는 무리가 있다는 의견입니다. 즉, 라우터의 Log, KT ISP측의 MRTG 정보, 라우터 인터페이스 조치내용 등의 충분한 추가데이터가 필요한 부분입니다.

    두번째로, 80%정도의 트래픽인데 왜 회선을 차단했나?
    보통의 경우 즉, 정상적인 데이터 전달 트래픽은 80%라고 해도 느려지는 경우가 발생할수도 있지만 충분히 처리 가능한 트래픽량입니다. 하지만, ICMP/UDP로 이루어진 DDos는 작은량의 데이터를 많은 수를 동시에 보내서 자원을 고갈시키는 공격입니다. 즉 회선처리 용량도 관계가 있지만, 라우터시스템의 리소스에도 관계가 있습니다. 이 경우 80%정도라고 해도 DDos의 공격에 의해 라우터가 처리하는 용량이나 CPU와 인터페이스에 Load가 걸릴수 있고 이경우에 첫번째와 같이 관리자가 그 상황에 따라 판단하는것에 대한 결과적인 평가만이 가능합니다.

    세번째로 DDos의 경우 회선을 증속해달라고 연락만 하면 된다.
    이 경우 MRTG그래프나 구성도에 보면 ATM회선으로 구성되어있음을 알수 있습니다. 즉, ATM 인터페이스의 교체부터, 회선증속을 위한 전화국간의 처리, 계약조건 등 새벽시간에 담당자가 단독적으로 처리가능한 범위에 있지 않는 부분도 있고 그렇게 간단한 일도 아닙니다. 1G로 오후에 증속한것은 아마 장비나 회선을 급히 조달하거나 교체해서 대역폭을 확보한것으로 보아 선관위도 나름대로 급히 움직인것 같이 보이기는 합니다. 물론 중요한 선거기관에서 그것도 선거일에 만약을 대비하는 증속대비나 대처장비, 공격차단요청이 준비가 안되서 오후까지 시간이 흐른것은 매우 나쁜 사례이기는 하지만, 이것을 고의적인 것이다. 라고 하기에는 힘든 사안이라고 생각합니다. 선관위를 두둔하기는 싫지만 안일한 선거일대비였고, 하지만 처음있었던 일(맞나요?)이어서 상상도 못했다라고 할수도 있을겁니다.

    네번째로 정상적으로 홈페이지는 접속되었는데 DB만 쿼리가 안되었다.
    만약 모든 사용자의 접속서비스가 위의 명제와 맞는다면 이건 선관위 내부적으로 뭔가 다른 나쁜 조치를 한것이 틀림없습니다. DB서버는 구성도에 나와있듯이 외부와는 차단되어있고, 단순한 DDos공격이 DB서버만 공격하기 위해서는 내부링크나 DB쿼리에 대한 구성을 모두 알아야 하는데 이 경우 위의 리뷰와 같이 아예 들어와서 해킹을 하지 굳이 표시나는 DDos공격을 하지는 않았을겁니다.
    하지만, 리뷰에 나와있듯이 '결론을 내리자면 특정 페이지를 다운시킬 목적으로 DDoS공격을 하려해도 웹서버와 DB중 무엇이 먼저 죽을지는 며느리도 모른다는 이야기 입니다.' 라는 의견을 반대로 생각하면 랜덤하게 서비스가 안되었다. 라고 말할수 있는 사안입니다. 즉, 정상적으로 홈페이지접속은 모두 이루어졌는데 DB쿼리만 문제가 있었다 라는 단일한 서비스패턴 선상에 있다면 선관위의 내부관여가 맞고 더 분석이 필요한 상황인데 Log 분석대로 가끔 이상한 패턴이 보인다.. 로는 풀수 없는 명제입니다. 랜덤하게 즉, 며느리도 모른다가 맞습니다.

    제가 생각나는대로 적은 의견이 고생하신 전문가분들에게 반대되는 의견을 드리는 것은 아니고, 0이나1 처럼 디지털한 상황 즉, 잘한것 아니면 뭔가 의도가 있다라는 상황으로 결정하기에는 자료나 Log가 그리 충분하지 않은것 같으니 나꼼수팀을 위한다면 좀더 조심스러운 조언과 객관적인 기술서퍼트가 필요한 상황이라는것을 말씀드리고 싶습니다.

    나꼼수분들은 조중동이나 지상파 방송처럼 오보나 실수를 묻고 갈수 없는 분들이라는 부분에서 저도 가슴이 아프고, 이 때문에 더욱 애정이 가는건 사실입니다. 모든것이 명명백백했을때 나꼼수분들이 의제를 국민들에게 내놓아달라는 부담을 감히 드릴수는 없지만, 정봉주의원께서 수감되셨다는 기사를 보고 답답한 마음 반, 미안한 마음반에 며칠 일이 손에 안잡혔던 기억이 나서 조심스러운 부분을 꼭 말씀 드려서 나꼼수분들을 지켜드리고 싶은 마음에 새벽에 몇번을 망설이다가 글을 적습니다.

    리뷰를 작성하신 전문가분들의 수고에 누가되었다면 송구스럽구요. 반대입장이나 공격하고자 하는것이 아니라 조심스러운 부분이 있다라고 말씀드리는 글이라는점 꼭 알아주시길 바랍니다.

    다른 기술적 의견도 몇가지 있는데 나꼼수에서 다룬 내용만 말씀드리는점 이해해주시길 바랍니다.

    답글삭제
    답글
    1. 기술적 부분에 대한 지적은 충분히 공감할 만한 내용입니다. 하지만 며느리도 모르는 공격 성공성에 특정한 목적을 가지고 공격을 감행하지는 않는다는게 윗 문단의 요지 입니다. 작문 실력이 떨어져 오해가 생겼다면 재고해 봐야 할 것 같습니다.

      나꼼수에 대해서는 그저 객관적인 시각만 가지고 있을 뿐 그들과의 심오한 교류나 이런것은 없습니다. 저번 방송에서 나온 내용들도 제 의견과 다른 부분도 있구요. 제 예전 블로깅 같은 경우는 강용석과 이준석도 흥미를 가진 적이 있습니다.

      기술적 포스팅이 정치적으로 사용되는 것을 바라지는 않습니다. 하지만 선관위의 자세는 지적을 받아야 한다고 생각합니다. 직원의 실수라고 하기에는 그들이 지금껏 주장해왔던 것들과 내부대응팀을 운영했다는 점을 다시한번 생각해 보아야 합니다. 진정 직원의 실수라면 법적 조치 운운하면서 이렇게 까지 상황을 몰고갈 필요는 없다고 봅니다.

      삭제
    2. 이런 경우 100% 대응이 잘못되었다 라고 결과이전에 판단할수 있는 잣대는 딱하나 담당자가 자리에 없어서 전혀 조치를 하지 못했다. 일뿐이라고 생각합니다.
      저도 선거일에 선관위가 대응형태나 특히나 조치시간에서 (조치시간이 오래 걸린것 때문에 결과적으로 젊은 유권자들이 피해를 본것은 피할수 없은 선관위의 잘못이라고 생각합니다.) 문제가 있다고 생각합니다.
      하지만, 제 의견은 일반 기관 특히나 공무원들이 금번과 같은 사건에서 순순히 자신의 잘못을 처음부터 인정하기는 내부적으로나 생태적으로나 불가능에 가까웠을겁니다. 그러다보니 계속 대응이 변명같이 보인거구요.

      저 같으면 선관위의 잘못을 지적하고 싶으면, 선거일 대응 계획안에 대해서 문제를 삼을것 같습니다.
      분명 이런 중요한 시기에 운영안이나 인력운영, 대응계획안이 있었을 것이고 결제 처리되었을 겁니다. 그런데, 결과적이기는 하지만 이 대응계획이나 운영안이 최악인것 같고 (특히 ISP간 협조나 대응장비, 조치시간 등을 고려할때) 만약 이런것 조차 없었으면 정말 문제를 선관위도 함께 만든 경우라고 생각합니다.

      삭제
  68. 총선과 대선!!
    선관위 진실규명이 곧 답이네요..
    나꼼수로 인해 알게 되는
    현실의 진정성...
    투표합시다!!!
    무조건~~~~!!

    답글삭제