* 인터뷰를 인용보도할 때는
프로그램명 'CBS라디오 <김현정의 뉴스쇼>'를
정확히 밝혀주시기 바랍니다. 저작권은 CBS에 있습니다.
======================================================

- 정황상 내부소행 가능성 무시 못해
- 해킹이라면 '디도스+추가 해킹술'
- 하루밤 아닌 치밀한 준비 있었을것
- 고급해커, 로그파일도 변조가능


■ 방송 : FM 98.1 (07:00~09:00)
■ 진행 : 김현정 앵커
■ 대담 : 큐브피아 권석철 대표(정보보안전문가)

10월 26일 서울시장 보궐선거가 있던 날. 중앙선관위와 박원순 후보 홈페이지가 두 시간 동안 마비되는 일이 발생했습니다. 당시 투표장소가 바뀐 곳이 서울에 332곳이나 됐기 때문에 어디서 투표를 해야 되나 궁금해서 홈페이지를 찾았던 사람들은 상당히 당황했죠.

경찰의 수사 결과가 나왔습니다. 한나라당 최구식 의원실의 9급비서가 IT업체에 의뢰해 벌인 이른바 "디도스 공격이었다." 그런데 수사결과가 나온 뒤에 의혹이 더 커지고 있습니다. '9급비서가 왜 자기 돈을 들여서 그런 범행을 저지른단 말인가', 심지어 '외부디도스 공격이 아니라 선관위 내부인의 소행 아니냐'는 음모론까지 돌고 있는데요. IT보안전문가를 연결합니다. 큐브피아의 권석철 대표입니다.

◇ 김현정> 이 공격 수법이 “디도스가 맞느냐, 아니냐” 여기부터 주장이 엇갈리는데, 어떻게 보십니까?

◆ 권석철> 디도스라는 것이 '분산서비스거부 공격'이지 않습니까? 동시에 공격함으로써 시스템이 더 이상 정상적으로 서비스를 못 하도록 하는 것인데요. 그렇게 본다면 디도스라고 볼 수 있습니다.

◇ 김현정> 그런데 외부디도스 공격이 아니라는 주장이 나오는 이유가 “디도스 수법으로는 전체 홈페이지가 다운되지, 이렇게 부분적으로 특정 홈페이지만 다운시키는 기술은 없다” 이런 얘기가 나오는데요?

◆ 권석철> 웹사이트에서 다른 웹사이트로의 접속이 어려웠다면 디도스 공격으로 봐야 되겠지만, 이번같이 "데이터베이스 쿼리(DB Query)를 정상적으로 실행할 수 없다" 이런 메시지가 나왔다면, 이것은 '디도스 공격 이외에 다른 공격이 있을 수도 있다'고 저희들은 보고 있습니다.

◇ 김현정> 그게 무슨 말씀이세요?

◆ 권석철> 그것은 데이터베이스 서버(DB Server) 자체가 아예 처음부터 켜지지 않았거나, 데이터베이스 서버를 순간적으로 다운시켰거나, 데이터베이스 포트(DB Port)를 특정적으로 공격을 했다는 건데요. 그 경우에는 디도스 공격 이외에 취약점 공격이라든가 여러 공격들이 가능하거든요.

◇ 김현정> 쉽게 말하자면, '디도스 공격만이 아니라 거기에 어떤 해킹기술이 하나쯤 더 들어갔을 수도 있다'는 말씀인가요?

◆ 권석철> 그건 충분히 가능한 상황입니다.

◇ 김현정> 저희가 만약 권석철 대표께 이런 공격의 시연을 부탁한다면 충분히 할 수 있는 정도인가요?

◆ 권석철> 이런 부분들은 디도스 공격을 하는 사람들이나 해커들 입장에서는 충분히 가능한 기술입니다.

◇ 김현정> 그런데 외부공격이 아니라고 보는 분들의 또 하나 이유는 “이 공격당한 데이터베이스(DB)가 내부전산망에 깊숙이 들어 있어서 외부에서의 공격으로 뚫리기가 어렵다”라고 얘기하던데 그렇지도 않습니까?

◆ 권석철> 실제로 디도스 공격만 하는 사람들은 내부에 들어가지는 않겠죠. 그런데 일반 해커들의 경우에는 내부 침입까지 가능한 상황입니다. 그렇기 때문에 내부자 소행으로 볼 수는 있어요. 그러나 기술적으로는 내부의 접근이 없어도 해킹기술로서도 충분히 가능하기 때문에 양쪽을 충분히 고려해야 될 것 같습니다.

◇ 김현정> 그러니까 '내부자 소행일 가능성도 있지만, 외부에서 들어가는 게 불가능하지는 않다'는 말씀이세요?

◆ 권석철> 네, 맞습니다.

◇ 김현정> 외부인 침입이 상당히 어렵다는 부분에서 자꾸 의혹이 피어나는 거니까요. 그래서 요구되는 게 '로그기록이 담긴 파일 공개'인데, 이걸 공개하면 적어도 선관위와 관련된 의혹부분은 해소가 되는 건가요?

◆ 권석철> 보통 일반적으로 사용하는 PC나 서버에는 누가, 언제, 어디서, 무엇을 했는지 기록이 남게 됩니다. 이것이 파일 형태로 저장이 되는데 이것을 보통 로그파일이라고 얘기를 하죠. 이것이 공개가 되면 아무래도 모든 내용들을 알 수가 있습니다.

◇ 김현정> 그렇군요. 빨리 이걸 밝히는 게 중요할 것 같고요. 정리해 보자면 권석철 대표는 ‘디도스 공격+해킹 정도의 수법이 맞는 것 같다’는 말씀이신데요.

경찰 발표를 보면 “비서 공 모씨가 선거 하루 전날 IT업체 강 모씨에게 의뢰해서 좀비PC 1500여 대 정도로 범행을 저지른 것으로 보인다”, 들으시면서 전문가로서 좀 의아한 부분은 없습니까?

◆ 권석철> 실제로 많이 의아하죠. 왜 그러냐면 결국에는 그걸 공격하는 사람들은 돈에 의해서 움직이거든요. 돈에 의해 움직이는데 그 돈을 하루에 전달하고, 어떻게 이 사람들은 서로 믿고. 돈 주는 사람은 공격자를 못 믿을 거고, 공격자는 돈 주는 사람을 못 믿을 텐데요.

◇ 김현정> 그런데 중요한 것은 돈이 오고가지도 않았대요. 대가가 없었답니다, 그럼 더욱 이상한가요?

◆ 권석철> 굉장히 어려운 일입니다. 이건 비밀성하고 위험성이 같이 겸비되기 때문에 어떻게 보면 돈을 얘기한다고 하더라도 아마 적은 금액이 아닐 것 같거든요. 그렇게 제공을 하지 않았으면 그것은 좀 신빙성이 없다고 봅니다.

◇ 김현정> 돈이 오갔다면 어느 정도나 오가야 되는 겁니까? 업계에서 이 정도 해킹, 디도스 공격을 부탁하려면?

◆ 권석철> 보통 작은 규모인 경우에는 500만 원에도 가능하지만, 이 정도의 대형규모, 1500대의 PC가 동원됐다면 수천만 원 정도 되고요. 그리고 말씀드린 것처럼 위험성하고 비밀성, 이 양쪽이 같이 겸비된다면 이것은 수천만 원 이상의 큰 금액으로 오갔을 가능성이 있습니다.

◇ 김현정> 위험수당이라는 부분이 붙는다는 거군요. 어디를 공격하느냐에 따라서 말이죠. '하루 만에 이렇게 해 주십시오' 해서 공격할 수 있는 것도 아니라는 말씀이세요?

◆ 권석철> 일부 그런 경우도 가능한데요. 그건 소규모일 경우고요. 큰 경우에는 그렇게 하루 만에 하기는 어렵고요. 오랫동안 치밀하게 준비된 것으로 보입니다. 왜냐하면 예행연습까지 했다고 언론에 나와 있거든요. 그런 경우에는 치밀하게 준비됐다고 보고 있습니다.

◇ 김현정> '예행연습까지 하고 치밀하게 준비해야만 가능한 일이다.' 보통 예행연습은 얼마나 걸려요?

◆ 권석철> 예행연습이라는 게 어떻게 보면 한두 달 정도면 충분히 준비할 수 있거든요. 그런데 말씀드린 것처럼 디도스 공격 이외에 다른 해킹공격까지 했다면, 그것은 더 많은 예행연습이 필요한 것이죠.

◇ 김현정> 디도스 공격에다가 해킹, 그 해킹기술은 고도의 해킹기술인가요?

◆ 권석철> 아닙니다. 어려운 기술은 아니고요. 어쩌면 간단한 알려진 취약점으로도 가능합니다.

◇ 김현정> 사이버대피소로 옮기는데 2시간이 걸렸답니다. 이렇게 걸릴 수도 있나요?

◆ 권석철> 그것은 판단을 해야 하는데요. 앞부분에서 이것이 디도스인지, 디도스가 아닌지를 판단하는 시간이 걸리게 됩니다. 그 부분에서 시간이 좀 지체되지 않았나 생각을 하고 있습니다.

◇ 김현정> 그런데 거기에도 상당히 전문가들이 있을 텐데요. 디도스인지 아닌지 알아보는데 그렇게 오래 걸립니까?

◆ 권석철> 2시간 정도까지는 아니고요. 어느 정도 시간이 필요합니다. 하지만 실제로 디도스라든가 정상적인 트래픽이라고 판단하기에는 그 장비의 의존도가 크기 때문에 장비에서 어느 정도 결과치를 봐야 되는데요. 그 부분에서 좀 머뭇머뭇 거렸던 게 아닌가 생각합니다.

◇ 김현정> 로그파일을 공개하면 내부자 소행인지 아닌지, 누가 공격했는지 이런 것들을 알 수 있나요?

◆ 권석철> 네. 충분히 가능한데요. 그런데 시스템 내부에 침입을 해서 로그파일을 혹시 변조를 했다면 그 자체도 어느 정도 변조가 되어져 있을 가능성도 있다고 볼 수 있습니다.

◇ 김현정> 로그파일 기록도 변조가 가능은 합니까?

◆ 권석철> 네, 충분히 가능합니다.

◇ 김현정> 로그공개를 해도 이게 완벽한 것은 아니라는 말씀이네요?

◆ 권석철> 결국에는 로그파일이 존재하고 있지만 초급이나 중급 정도의 해커라면 변조가 어렵습니다. 하지만 고급인 경우에는 충분히 변조가 가능하고요. 그래서 실시간으로 연결되어 있을 때 그 공격자를 찾는 것이 로그파일 변조라든가, 이런 것들을 막을 수 있는 가장 좋은 방법이죠.

◇ 김현정> 참 쉽지 않은 문제네요. 여기까지 말씀 듣겠습니다. 권석철 대표님, 고맙습니다.