선관위 디도스 공격의 진실은?(서프라이즈 / 동북아의 문 / 2011-12-07)
선관위 사태로 정국은 극도의 혼란 속에 빠져들었다. 선관위 사태가 여당 해산을 불러올지, 대통령 탄핵까지 나아갈지, 그래서 이 사태가 내년 총선과 대선에 어느 정도 영향을 미칠지 아무도 모른다. 중요한 것은 진실을 밝히는 것이다.
이명박 정부의 목표는 전 국민의 인텔리화?
이명박 정권은 집권 첫해부터 광우병 사태로 전 국민의 의학 지식수준을 한 단계 끌어올리더니 천안함 사태로 전 국민을 군사 전문가로, 한미 FTA 날치기로 전 국민을 경제학 박사로, 이제 선관위 디도스 공격 사태로 전 국민을 첨단 정보통신 전문가로 키울 셈일까?
10.26 재보궐선거 당시 선거관리위원회 누리집(홈페이지)이 공격당한 사건의 충격이 일파만파 확산되고 있다. 경찰은 한나라당 최구식 의원 수행비서 공모씨가 몇 명의 사람들을 동원, 디도스 공격을 했다고 밝혔지만 의혹은 오히려 증폭되는 양상이다. 애초에 이 사건을 부각시켰던 팟캐스트 ‘나는 꼼수다(나꼼수)’ 출연진들은 계속해서 선관위 개입설을 주장하고 있으며 많은 전문가들 역시 수행비서 개인의 소행일 수 없다는 의견을 보이고 있다.
이승만 정부 시절 3.15 부정선거에 비유될 만큼 심각한 선관위 공격 사건의 발단은 아주 단순하다. 재보궐선거 당일이었던 10월 26일 오전에 두 시간 이상 선관위 누리집에서 투표소 위치 찾기 기능이 마비되는 일이 발생했다. 이 때문에 출근길에 투표를 하기 위해 투표소 위치를 검색하던 시민들이 큰 불편을 겪었다. 하지만 당시에는 별 대수롭지 않은 일로 치부되었고 조선일보는 북한의 해킹 가능성을 주장했다. 그런데 나꼼수에서 이 사건을 선관위 내부 음모라고 주장했고 뭔가 수상하다는 여론이 확산되자 경찰은 사건 발생 한 달이 지나고 나서야 디도스 공격이 있었다는 조사 결과를 발표했다. 그런데 여기에 풀리지 않는 의혹이 무수히 제기되고 있다.
먼저 디도스 공격이 과연 사실이냐는 의혹이 있다.
사건의 실체는 디도스 공격이 아니다?
디도스(DDoS:Distributed Denial of Service) 공격이란 분산 서비스거부 공격의 약자로 쉽게 말해 특정 사이트에 여러 컴퓨터가 접속해서 그 사이트를 마비시키는 방식이다. 우리가 컴퓨터에서 특정 사이트에 접속하면 서버에서 우리 컴퓨터에 자료를 전송해준다. 그런데 그 서버는 용량(트래픽) 제한이 있어서 한꺼번에 많은 컴퓨터가 접속을 하면 더 이상 연결이 되지 않는다. 이런 약점을 이용해 엄청나게 많은 컴퓨터가 한꺼번에 접속을 시도해서 서버를 마비시키는 공격을 디도스 공격이라고 한다.
경찰은 선관위 대표 주소(URL)가 디도스 공격을 당했다고 발표했다. 쉽게 말해 수많은 컴퓨터가 선관위 대표 주소에 접속을 시도했다는 얘기다. 이런 경우 선관위 누리집은 다운되고 접속이 불가능해진다. 그런데 문제의 26일 오전에 선관위 사이트는 접속이 가능한 상태였다. 다만 투표 장소가 검색되지 않았을 뿐이다. 투표 장소 검색이 마비된 것은 투표 장소가 저장된 데이터베이스(DB)가 마비되었기 때문이다. 즉, 선관위 사이트는 정상이었으나 투표 장소가 저장된 DB만 마비되었거나, 선관위 사이트가 저장된 서버와 DB 사이의 연결에 문제가 생긴 경우라고 할 수 있다. DB가 저장된 서버가 공격당했다는 주장이 있을 수 있지만 이 서버의 다른 서비스는 정상 작동했다.
따라서 이번 사건은 디도스 공격의 결과가 아니다. 원래 디도스 공격은 사이트 전체를 다운시키려는 목적에 사용된다. 전문가들도 디도스 공격을 통한 부분 마비는 불가능하다고 주장한다. IT보안기술 전문가인 권석철 큐브피아 대표는 “통상 디도스 공격을 당하면 서버 전체가 다운되고 홈페이지에 접속조차 안 되는데, 이번 범행 때는 투표소 검색 페이지만 열리지 않았다”며 단순한 디도스 공격이 아님을 시사했다.
이와 관련해서 여러 의문점이 추가로 제기된다.
첫째, 나꼼수에서 김어준 총수가 지적한 것처럼 선관위 서버가 있는 KT의 모 상무가 보안컨퍼런스에서 2기가의 트래픽이 발생했다고 공개했는데 나중에 선관위가 11기가로 발표한 점이다. 선거 당일이므로 2기가 트래픽 정도는 디도스 공격이 아니라도 충분히 발생할 수 있다는 전문가들의 지적을 받고 선관위에서 11기가라고 수정한 것이 아니냐는 것이다.
경찰 발표도 이상하다. 처음에는 좀비PC 200대가 동원됐다고 했다가 하루 사이 1500대로 말을 바꾼 것이다. 좀비PC란 디도스 공격자를 위해 바이러스에 감염시켜 정해진 시간에 특정 사이트를 접속하는 컴퓨터를 말한다. 겨우 200대의 디도스 공격에 선관위 사이트가 마비되는 게 말이 안 된다는 지적 때문에 경찰이 말을 바꾼 것 아니냐는 의혹이 쉽게 제기될 수 있다.
둘째, 선관위가 로그파일을 공개하지 않고 있다는 점이다. 로그파일에는 선관위 사이트에 접속한 모든 기록이 나온다. 따라서 디도스 공격이 맞는지, 누가 공격했는지, 당시 트래픽이 2기가인지 11기가인지 로그파일을 통해 모두 확인할 수 있다. 그런데 선관위는 서버 보안을 이유로 로그파일 공개를 거부했다가 로그파일에 기록된 트래픽 기록은 보안과 무관하다는 주장이 나오자 로그파일을 국가정보원이 관리하고 있기 때문에 공개할 수 없다, 수사 중이라서 공개할 수 없다, 관련법 때문에 공개할 수 없다는 등 말을 바꿔가며 계속 로그파일을 공개하지 않았다.
문제는 사건 발생 한 달이 지난 지금 로그파일은 이미 조작됐을 수 있다는 점이다. 로그파일은 단순한 텍스트 파일이기 때문에 저장된 장소를 모두 찾아서 디도스 공격처럼 보이게 조작하는 게 충분히 가능하다. 한국전자부품연구원(KETI)의 한 연구원은 언론에서 이런 작업은 전문가들이 2, 3일이면 완벽하게 꾸며낼 수 있다고 하였다.
선관위는 얼마짜리 웹호스팅을 쓰나?
셋째, 경찰이 발표한 한 차원 높은 수준의 기술이 무엇인가 하는 점이다. 경찰은 이번 공격에 기존 디도스 공격과는 다른, 한 차원 높은 수준의 기술이 동원됐다고 밝혔다. 그런데 그 기술이 무엇인지 자세한 설명이 없다. 기존 디도스 공격과 다른 한 차원 높은 기술을 과연 디도스 공격이라고 할 수 있을까? 아예 다른 종류의 해킹 아니었을까? 그런데 문제는 정작 디도스 공격에 사용된 것으로 지목된 툴(tool)은 ‘카스’라는 흔한 해킹 툴이라는 점이다.
김태봉 KTB솔루션 사장은 “카스를 시연한 결과 여느 DDoS 공격 툴처럼 대상 웹 페이지가 통째로 다운되는 결과가 나왔다”며 “일부 서비스만 선택적으로 중단하려면 전문가를 동원한 별도의 해킹기법이 사용됐을 것”이라고 설명했다. 즉, 디도스 공격 외에 별도의 해킹이 있지 않고서는 선관위 사태가 불가능하다는 말이다.
넷째, 선관위 누리집의 보안 수준이 과연 디도스 공격에 마비될 만큼 허술한가라는 점이다. 문용식 민주당 인터넷소통위원장은 “작년 6.2지방선거 당시 선관위는 ‘트래픽 폭주나 디도스 공격, 해킹에 대비해 선관위가 완벽한 보안대책을 갖췄다’고 밝혔을 뿐만 아니라 디도스 공격을 우회시킬 수 있는 ‘클린존 서비스’를 이용하고 있었다”면서 “길어야 10~20분이면 디도스 공격을 무력화할 수 있는 서비스를 받으면서도 2시간 넘게 장애가 지속된 것은 석연치 않다”고 주장했다. 박혁진 중앙선관위 정보화담당관실 서기관은 CBS 라디오에 출연해 디도스 방어장비가 디도스 공격을 차단하고 있었음을 밝혔다.
그런데 MBC 라디오에 출연한 선관위 신우용 공보팀장은 “선관위가 열악한 예산 사정상 충분하게 여유 있는 보안시스템을 갖추진 못”했다고 주장했다. 애초에 디도스 공격에 대한 완벽한 보안대책을 갖췄다고 자랑해놓고 이제 와서 예산 부족으로 보안시스템이 부족했다고 주장한 것이다. 하지만 보안시스템이 아예 없었다고 해도 말이 안 된다.
경찰 발표에 따르면 지난 10월 26일 새벽 6시 직전에 좀비PC 200여 대가 중앙선관위 누리집과 박원순 후보 누리집을 공격했다고 한다. 당시 좀비PC로 인한 선관위 누리집의 트래픽은 초당 263메가바이트(= 2104Mbps = 약 2Gbps : 1bps는 초당 1비트를 전송하는 속도며 1바이트는 8비트다) 수준이었고 공격 시작 20여 분 만에 선관위 누리집이 다운돼 KT 사이버대피소로 이전했다. 그러자 좀비PC 수가 증가했고 초반의 4배 정도인 초당 1기가에 달하는 트래픽 공격을 받았다.
요즘은 가정집에서도 100Mbps 속도의 인터넷을 흔히 사용한다. 그런데 선관위가 겨우 가정집 20배 정도의 속도를 감당하지 못해서 20분 만에 다운됐다는 것이다. 선관위가 돈이 없어서 싸구려 서버를 임대했을까? 호스팅 임대업체에 문의하면 무제한 트래픽 보장상품이 월 5만 원도 하지 않는데 참으로 알 수 없는 일이다.
이런 의혹들은 모두 하나로 수렴한다. 선관위 누리집 마비 사태를 디도스 공격으로 꿰어맞추고 있는 것 아니냐는 것이다. 누가 왜 디도스 공격으로 몰아가는 것일까?
내부자의 도움 없이도 해킹 가능할까?
또 하나, 디도스 공격이 주된 원인이 아니라면 대체 진짜 원인은 무엇일까? 전문가들은 쉽게 답을 내놓았다. 염홍열 순천향대학교 정보보학과 교수는 “이론적으로는 (선관위) 내부에 열어주는 방법도 있고, 공격자가 다른 해킹 사건처럼 (선관위 사이트를) 해킹해서 그 안에서 외부 공격자의 길을 틀 수도 있다”고 주장했다. 한국전자부품연구원(KETI)의 한 연구원은 ‘위키프레스’에서 세 가지 시나리오를 제시했다.
1. 서버에 로그파일 등을 변경할 수 있는 root 유저(슈퍼유저라고도 한다)가 접속해 몇몇 기능을 마비시켰다가 자신의 로그파일도 지우고 나갔다. 혹은 디도스 공격인 것처럼 로그파일을 조작하고 나갔다. 이 경우 선관위 정보지원센터의 몇 안 되는 관리자를 조사하면 밝혀낼 수 있다.
2. 누군가 해킹을 통해 root 유저로 로그인 하고 1번 경우처럼 로그파일을 지우고 나가거나 로그파일을 조작해 디도스 공격인 것처럼 꾸미고 나갔다.
3. 디도스 공격이라고 볼 아무런 단서가 없는데 경찰이 ‘우리는 알 수 없는 어떤 이유나 목적을 위해’ 로그파일도 제대로 보지 않고 디도스 공격이라고 발표하고, 발표에 맞춰 수사 내용을 조작하고 있다.
물론 선관위는 이런 주장들을 일축했다. 박혁진 서기관은 “여러 의혹이 제기돼 자체적으로 (로그기록을) 조사 및 분석했다”면서 해킹이나 내부침입 흔적은 없었다고 답했다. 또 DB 서버가 끊기거나 서버 IP가 유출되지 않았냐는 의혹에 대해서는 “그런 주장은 DB 서버가 해킹됐다는 걸 전제로 하는데 그런 것들이 사실이 아니기 때문에 이런 가정 자체가 부적절하다고 본다”고 말했다. 하지만 박 서기관이 전제로 제시한 ‘DB 서버 해킹’ 대신 내부자의 소행이라면 어떨까?
또 신우용 팀장은 “실체적 진실을 애써 외면하고 합리적 근거 없이 선관위에 대해 의혹을 제기하는 행위는 공정한 선거관리를 저해하여 민주적 기본질서를 침해하려는 자기부정”이라며 “상식적으로 생각하더라도 경찰이 집권여당에 엄청난 정치적 부담을 안기면서까지 선관위 직원을 보호할 이유가 있겠느냐, 내부자가 연루됐다면 수사과정에서 그냥 두지 않았을 것”이라고 주장했다. 하지만 신 팀장은 자기주장 속에 모순을 담아버렸다.
신 팀장은 “선관위에 대해 의혹을 제기하는 행위는 민주적 기본질서를 침해”하는 행위라고 하였다. 흔히 민주주의의 꽃이라고 하는 선거를 공정하게 관리해야 할 선관위가 부정을 저지르는 것은 민주적 기본질서를 어긴 심각한 문제라는 것이다. 이렇게 보면 여당 관계자가 부정선거를 자행한 행위와 선관위 관계자가 부정선거를 자행한 행위는 차원이 다르다. 물론 여당의 선관위 업무 방해도 심각한 국기 문란 행위이지만 선관위가 공정선거를 포기하고 특정 정당에 유리한 조작을 한 것은 선거 자체의 신뢰를 무너뜨리는 행위로 민주주의의 근간을 뒤흔든 것이 된다.
이와 관련 나꼼수의 김어준 총수는 “선관위가 개입하지 않았다고 말해야 할 필요가 있었다. 선관위가 개입하는 건 전혀 다른 문제기 때문이다. 지금은 한나라당의 한 비서가 충성심에 혈기에 했다고 하고 있다. 그들이 피하고 싶었던 것은 선거를 관리하는 선관위가 이 일에 개입했다고 이야기가 번지는 걸 막고 싶었던 거다”고 주장했다.
27살의 청년, 10년 동안 돈 모아 사이버테러를 결심하다?
두 번째 의혹은 과연 최구식 한나라당 의원 수행비서 공씨의 개인행동이냐는 것이다.
공씨는 대학을 막 졸업한 27살의 사회 초년생으로 국가기관을 공격하는 중대한 범죄를 단독으로 저지를 이유가 없다. 물론 공씨가 평범한 인물은 아니다. 공씨는 고교시절 성폭행 혐의, 특수절도 혐의 등으로 입건된 전과 4범이다. 이 때문에 국가공무원법에 따라 공무원이 될 수 없지만 공씨는 아무런 제지 없이 국회의원 수행비서가 되었다. 백원우 민주당 의원은 “공씨의 형이 최구식 의원의 4급 비서관”이었다며 형 소개로 공씨가 최 의원의 수행비서가 된 것이라고 주장했다. 하지만 공씨의 전과는 개인 범죄에 불과할 뿐 국가를 상대로 한 범죄와는 차원이 다르다.
이번 사건은 많은 시간과 비용이 투입된 치밀한 범죄다. KTB 솔루션의 김영혁 이사는 “웹 방화벽, 침입 탐지 이런 것들이 다 있기 때문에, 그런 것들에 대해서 어디가 취약한지 사전에 정찰하는 게 필수 요소”라고 설명했다. 권석철 큐브피아 대표는 “특정 DB 서버만 차단시킨 점, 범행 수개월 전부터 1500대 이상의 좀비PC를 준비했던 점 등으로 미뤄 아마추어의 소행은 아닌 것으로 보인다”고 주장했다. 이석현 민주당 의원도 “공씨와 강씨가 (사건발생) 6~7개월 전부터 통화했던 기록이 있다”고 주장했다.
이번 사건에 사용된 것으로 지목된 ‘카스’ 툴은 좀비PC는 1대당 1.3Mbps가량의 트래픽을 유발한다. 디도스 공격으로 11기가의 트래픽이 나타났으므로 최대 8500대의 좀비PC가 동원됐다고 봐야 한다. 참고로 좀비PC 1500대가 동원됐다는 주장은 2기가 트래픽으로 계산한 것이다. 문제는 동원된 좀비PC보다 훨씬 많은 컴퓨터가 바이러스에 감염되어야 한다는 점이다. 왜냐면 디도스 공격이 이뤄진 시간에 컴퓨터가 꺼져 있거나, 중간에 백신프로그램으로 치료가 되었을 확률도 있기 때문이다. 이렇게 따지면 수만 대에서 수십만 대의 컴퓨터가 바이러스에 감염되었다고 봐야 한다. 실로 어마어마한 규모다.
이처럼 이번 사건은 경찰이 주장하듯 맹목적인 충성심에서 출발한 즉흥적 돌출행동이 결코 아니다.
이번 사건이 공씨의 개인행동이라고 보기 어려운 정황은 여러 가지로 포착된다.
첫째, 비용 문제다. 문용식 민주당 인터넷소통위원장은 “해커나 이쪽 업체들을 만나서 확인한 바에 의하면 최소 억대 이상의 대가를 주고받았을 것으로 보인다”면서 “간단한 쇼핑몰 디도스 공격 의뢰에도 500만~1000만 원이 드는데 정부 기관 공격이 중벌에 해당한다는 점을 해커들이 알기 때문에 금전적 대가를 받지 않고 일을 할 수가 없다”고 주장했다.
공씨와 공모한 강씨 일행은 해킹은 물론 신분증 위조, 불법 도박사이트 운영 등 각종 범죄를 저질러온 이들로 반년 정도 만나 온 고향 선배에게 개인적인 부탁을 받고 아무런 대가도 없이 이런 중대 범죄를 저지를 리 만무하다. 이들은 공식 수입도 없이 억대가 넘는 외제차를 몰고 강남에 사무실을 운영해왔다. 그런데 공씨는 9급 비서로 월급이 많아야 200만 원밖에 되지 않는다. 이번 범죄를 위해 10년 동안 숨만 쉬고 살았다는 말인가? 누군가 자금지원을 하지 않고서는 불가능한 일이다.
둘째, 최구식 의원의 역할이 원래 스핀닥터였다는 점이다. 최 의원은 작년 7월 한나라당 홍보기획본부장에 임명되었다. 홍준표 한나라당 대표는 신임 당직자 회의에서 최 의원에게 “한나라당의 부자정당, 특권정당, 웰빙정당 이미지를 바꾸기 위해 ‘스핀닥터’의 역할을 해 달라”고 했다. 스핀닥터란 홍보전문가로 흔히 당이나 정치인에게 유리한 여론을 조성하고 나쁜 여론은 최소화하는 대 언론 자문관을 일컫는 말이다.
우연의 일치인지 스핀닥터라는 역할은 이번 사건과 절묘하게 맞아떨어진다. 이 때문에 한나라당 내에서도 ‘하필이면 스핀닥터 비서가 이런 일을’이란 탄식이 나오고 있다. 이에 대해 박주선 민주당 최고위원은 “한나라당 홍보기획본부장은 당 대표의 직접 지시를 받는 3대 핵심당직 중 하나”라며 “선관위 디도스 공격에 한나라당이 개입됐다”고 주장했다.
셋째, 공씨가 원래 정보통신 분야 지식이 별로 없는 ‘컴맹’ 수준이라는 점이다. 한나라당 의원실 관계자는 지난 2일 뉴스1 기자와 만나 “개인적으로 조금 아는 사이인데 이런 일을 꾸밀만한 역량이 있는 사람이 아니다”라고 말했다 한다. 해당 분야를 잘 모르는 사람이 독자행동으로 범행을 지시했다면 당연히 일반인에게도 널리 알려진 디도스 공격을 해달라고 부탁했을 것이다. 그러면 실제 범행을 저지른 강씨 일행은 일반적인 디도스 공격을 통해 선관위 누리집을 다운시켰을 것이다.
그런데 실제로는 선관위 누리집은 건드리지 않고 절묘하게 DB 서버만 마비시켰다. 애초에 정교한 지시를 하지 않고서는 불가능하다. 컴맹 수준의 인물이 독자적 판단으로 이런 정교한 지시를 할 수는 없고 결국 누군가의 지시를 받고 중간다리 역할만 한 것으로 보는 것이 합리적이다.
넷째, 실제 공씨의 행적에 수상쩍은 부분이 나타났다. 백원우 민주당 의원은 “공씨가 필리핀에 있는 강씨와 (사건 발생 전날인) 지난달 25일 밤부터 26일 새벽까지 총 30여 차례에 걸쳐 통화를 했는데, 이 중 한나라당 관계자와도 통화한 기록이 있다”고 주장했다. 민주당은 이 관계자가 누구인지 밝혀야 한다고 주장했다. 또 공씨가 강씨에게 선관위 홈페이지를 공격하라고 한 시점에 박희태 국회의장실 의전비서 K씨와 술자리를 한 것도 의문이다. 공씨와 K씨는 이전부터 친분이 있었다고 한다. 경찰은 K씨를 소환조사하기로 했다.
이처럼 여러 정황을 종합해보면 공씨가 윗선의 개입 없이 혼자 판단으로 단독범행을 저질렀을 가능성은 매우 낮다고 할 수 있다.
투표소 변경을 어떻게 미리 알고 해킹을 준비했을까?
세 번째 의혹은, 사실 이게 핵심인데 왜 선관위가 투표소 위치를 바꿨느냐는 것이다.
이 문제가 핵심인 이유는 선관위가 투표소 위치를 바꾸지 않았으면 투표 당일 사람들이 선관위 누리집에 접속할 일도 없고 디도스 공격도 무의미해지기 때문이다. 즉, 이번 사건은 선관위의 투표소 위치 변경 -> 선관위 DB 공격 -> 투표소 위치 확인 불가 -> 투표율 하락으로 이어지며 모든 출발이 바로 투표소 위치 변경에 있는 것이다.
그렇다면 실제 투표소 위치는 얼마나 바뀌었을까? 지난 8.24 주민투표 당시의 투표소와 바뀐 곳이 서울 전역에서 332곳으로 15%에 달한다. 특히 야권 지지가 높은 지역에서 변경이 심해 서대문구는 무려 48%, 금천구는 43%가 바뀌었다. 물론 선관위는 투표일이 휴일이나 방학이 아니어서 학교 등의 투표소는 바뀔 수밖에 없었다고 주장했다. 하지만 아파트 관리사무소였던 투표소가 멀리 떨어진 초등학교로 바뀌거나, 투표소는 그대로인데 투표소 관할 구역을 바꾼 사례도 많아 선관위 주장을 무색게 한다.
지난 12월 5일자 미디어 오늘에 실린 ‘나꼼수 예언 적중… 선관위 뻥치지 마세요’라는 기사를 보면 투표소 변경이 상당히 치밀하게 진행됐음을 알 수 있다. 8.24 주민투표 때는 투표율을 높이기 위해 유권자 주거지 근처로 투표소를 옮겼다가 이번 재보궐선거 때는 걸어서 가기 힘들 정도로 멀리 옮겨버린 사례, 연희동의 경우 단 한 곳도 투표소가 그대로 유지되지 않고 모조리 바꿔버린 사례, 투표소 수를 줄여 투표하기 힘들게 만든 사례 등 다양하다. 이처럼 투표소 위치를 대대적으로 바꿨지만 이에 대한 홍보는 거의 없었다. 선관위가 의도적으로 투표율을 낮추려 했다는 의혹을 받는 이유다.
투표소의 설치와 관련된 공직선거법 제147조 2항을 보면 투표소는 선거인이 투표하기 편리한 곳에 설치하도록 되어 있다. 위의 사례는 이번 재보궐선거에서 공직선거법이 무시되었음을 보여준다. 또한 4항에는 부득이한 경우가 아니면 종교시설 안에 투표소를 설치하지 못한다는 내용이 있다. 그런데 이번 재보궐선거에는 특별한 이유 없이 교회로 투표소를 옮긴 경우도 있었다. 선관위가 공직선거법을 얼마나 지켰는지 의문이다.
사실 선관위가 투표소 위치를 이처럼 대대적으로 변경할 특별한 이유는 없다. 투표소 위치를 변경하자면 필요한 장소를 물색하고 해당 장소의 협조를 얻고 투표소 관리를 위해 관련 부처에도 통보하고 공고도 내야 해야 한다. 공무원들이 특별한 이유도 없이 굳이 이런 번거로운 행정처리를 하지는 않았을 것이다. 선관위는 독립된 헌법기관이다. 그 누구의 지시도 받지 않는다. 그렇다면 선관위가 자발적으로 이런 행동을 했을까? 누가 선관위에 영향을 줄 수 있을까?
투표소 위치 변경 문제가 심각한 것은 단순히 선관위가 투표율을 낮추려 했다는 의혹 때문만은 아니다. 선관위 DB를 공격하기 위해서는 상당한 준비가 필요하다. 디도스 공격이든 다른 방식의 해킹이든 마찬가지며 한두 달 준비로는 어림도 없으며 최소 수 개월 전부터 준비를 했을 것으로 추정된다. 그런데 선관위의 투표소 위치 변경 공지는 투표 직전에 이뤄졌다. 공직선거법에는 선거일 전 10일까지 투표소 명칭과 소재지를 공고하도록 되어 있다. 어떻게 투표소 위치가 대량 바뀔 것을 예상하고 해킹을 준비했을까? 이번 사건은 오래전부터 선관위가 투표소 위치 변경을 준비했고 이 내용이 극비리에 외부로 새어나가지 않고서는 성립할 수 없다.
선관위가 개입했나, 청와대가 개입했나, 한나라당이 개입했나?
이제 모든 의혹들을 종합해보자.
먼저 선관위는 무슨 이유에서인지 선거를 한참 앞두고 투표소 위치를 대대적으로 바꾸기로 하였다. 그것도 야당 성향이 강한 지역을 집중적으로. 그리고 이 결정이 외부에 유출되었다. 이 정보를 얻은 누군가는 선관위 누리집을 해킹해 투표소 위치를 유권자들이 파악하기 어렵게 하기로 결정한다. 그리고 여당 국회의원 수행비서에게 디도스 공격을 주문한다. 아니 어쩌면 누군가 선관위를 움직여 투표소 위치를 바꾸게 하고 해킹도 준비시켰을 수 있다. 이게 더 설득력 있다. 이렇게 대략 반년 전부터 치밀하게 준비를 하였다.
드디어 재보궐선거일이 되었다. 예정대로 선관위 누리집에서 투표소 위치 검색이 안 됐다. 디도스 공격은 미끼에 불과하고 실제로는 정체불명의 해킹에 의해 선관위 DB가 마비되었다. 선관위 누리집 로그파일은 국정원이 보관하고 있으므로 아무 문제 없다. 누리집 다운은 흔히 있는 일이므로 국민들도 크게 신경 쓰지 않을 것이다. 혹시 문제가 되더라도 디도스 공격이 있었다고 얼버무리면 그만이다. 디도스 공격은 범인을 찾기가 쉽지 않아서 좋다. 혹시 모르니 박원순 후보 누리집도 디도스 공격을 해서 분위기를 디도스로 몰아간다.
이 정도 시나리오는 누구나 예측 가능하다. 나꼼수의 정봉주 전 의원은 “디도스 공격이 있었던 건 분명한 것 같다”며 “공격하면서 동시에 DB 서버를 공격할 수 있는 또 다른 공격이 있었다”고 주장했다. 김어준 총수도 “박원순 홈페이지를 공격한 건 디도스가 맞다. 그렇기 때문에 선관위도 디도스로 여기기 바랐던 거다”며 “설혹 좀비가 동원되었다고 한들 그것은 진짜 원인을 숨기기 위한 페인트일 뿐이다. 이 사건의 진짜 원인은 디도스가 아니다”고 주장했다. 박영선 민주당 정책위의장도 “디도스 공격 당시 국정원 사이버안전센터가 이를 막을 충분한 능력과 시간이 있었음에도 두 시간 넘게 방치했다”며 선관위 및 국정원과 관계된 의혹을 제기했다.
위의 시나리오가 사실이라면 이번 사건은 정말 심각한 문제다. 일단 선관위가 중립성을 버렸기 때문이다. 선관위는 국회, 정부, 법원, 헌법재판소와 같은 지위를 갖는 독립된 합의제 헌법기관이다. 민주주의의 꽃이라 부르는 선거의 중립을 책임져야 할 선관위가 흔들리면 민주주의 전반이 흔들리게 된다. 이런 선관위 아래에서 내년 총선, 대선을 치를 수는 없다. 전면 교체가 불가피하다.
또한 국정원이 개입했다면 이는 청와대 최상층부가 이번 사건에 연루됐음을 의미한다. 국정원은 대통령 직속 기구로 국정원을 좌지우지하는 것은 대통령뿐이다. 각하께서 그럴 리는 없겠지만 만약 청와대가 이번 일에 관여했다면 당연히 탄핵될 것이다.
설사 청와대는 개입하지 않았다 하더라도 최소한 한나라당의 개입은 정황상 가능성이 높다. 선관위와 공모했다면 당연하고 하지 않았다 해도 선관위 누리집을 공격했으므로 당연히 해산되어야 한다. 우리 헌법에는 민주적 기본질서를 인정하지 않는 정당은 해산시키도록 규정되어 있다. 따라서 정부가 헌법재판소에 정당해산심판을 요청해야 한다. 한나라당 스스로도 이런 운명을 잘 아는 듯하다. 원희룡 최고위원은 “당 해체 수준까지 각오하고 있다”고 했으며 정두언 전 최고위원도 “이제는 당이 수명을 다한 것 같다”고 했고, 권영세 의원 역시 “당이 해산당할 수 있는 일”이라고 했다.
물론 위와 같은 예측이 사실이 아니기를 바란다. 어찌 이승만 독재정권 시절의 부정선거 같은 일이 21세기에 재현될 수 있겠는가. 하지만 안타깝게도 속속 드러나는 정황은 이번 사건이 단순한 개인의 디도스 공격이 아님을 보여주고 있다.
이번 사건의 진상을 규명하기 위해서는 경찰 조사에만 맡겨둬서는 안 된다. 사건 조사도 너무 느리고 당연히 예상되는 돈의 흐름이나 윗선은 전혀 수사하지 않았다. 강씨가 운영 중인 유령 IT회사에 대한 계좌추적이나 압수수색 등 가장 기초적인 수사도 방기했다. 소극적인 자세로 일관한 것이다. 조배숙 민주당 최고위원도 “디도스 공격의 수위를 낮추는 방식으로 조직적 테러 가능성을 사전에 차단하기 위한 축소수사로 의심된다”고 주장했다.
따라서 진상 규명을 위한 국회 청문회와 국정조사를 실시하고 특별검사제를 도입해야 한다. 한나라당은 자신들의 잘못이 없다면 당연히 여기에 응해야 한다. 민주당 일각에서는 한나라당에게 공격의 초점을 맞추기 위해 선관위 개입 의혹을 차단하려고 하는데 지금은 당리당략을 따질 때가 아니다. 민주주의의 운명을 지키고 국가의 미래를 보장하느냐의 중대한 문제 앞에서 빨리 정신을 차려야 한다. 통합진보당은 아직 이 문제를 크게 다루지 못하고 있는데 사태의 심중함을 파악하고 한미 FTA 날치기 문제와 함께 이 문제에 힘을 쏟아야 한다.
한미 FTA 날치기에 이어 선관위 사태까지 터지면서 정국은 극도의 혼란 속에 빠져들었다. 하지만 이제 시작일 뿐이다. 선관위 사태의 진실이 어느 정도의 위력을 가진 폭탄인지는 지금 가늠할 수 없다. 여당 해산을 불러올지, 대통령 탄핵까지 나아갈지, 그래서 이 사태가 내년 총선과 대선에 어느 정도 영향을 미칠지 아무도 모른다. 중요한 것은 진실을 밝히는 것이다. 그리고 민주주의를 파괴한 범죄자는 그 대가를 톡톡히 치러야 한다.
선관위 사태로 정국은 극도의 혼란 속에 빠져들었다. 선관위 사태가 여당 해산을 불러올지, 대통령 탄핵까지 나아갈지, 그래서 이 사태가 내년 총선과 대선에 어느 정도 영향을 미칠지 아무도 모른다. 중요한 것은 진실을 밝히는 것이다.
이명박 정부의 목표는 전 국민의 인텔리화?
이명박 정권은 집권 첫해부터 광우병 사태로 전 국민의 의학 지식수준을 한 단계 끌어올리더니 천안함 사태로 전 국민을 군사 전문가로, 한미 FTA 날치기로 전 국민을 경제학 박사로, 이제 선관위 디도스 공격 사태로 전 국민을 첨단 정보통신 전문가로 키울 셈일까?
10.26 재보궐선거 당시 선거관리위원회 누리집(홈페이지)이 공격당한 사건의 충격이 일파만파 확산되고 있다. 경찰은 한나라당 최구식 의원 수행비서 공모씨가 몇 명의 사람들을 동원, 디도스 공격을 했다고 밝혔지만 의혹은 오히려 증폭되는 양상이다. 애초에 이 사건을 부각시켰던 팟캐스트 ‘나는 꼼수다(나꼼수)’ 출연진들은 계속해서 선관위 개입설을 주장하고 있으며 많은 전문가들 역시 수행비서 개인의 소행일 수 없다는 의견을 보이고 있다.
▲ 선관위 의혹을 끈질기게 제기한 나꼼수 |
이승만 정부 시절 3.15 부정선거에 비유될 만큼 심각한 선관위 공격 사건의 발단은 아주 단순하다. 재보궐선거 당일이었던 10월 26일 오전에 두 시간 이상 선관위 누리집에서 투표소 위치 찾기 기능이 마비되는 일이 발생했다. 이 때문에 출근길에 투표를 하기 위해 투표소 위치를 검색하던 시민들이 큰 불편을 겪었다. 하지만 당시에는 별 대수롭지 않은 일로 치부되었고 조선일보는 북한의 해킹 가능성을 주장했다. 그런데 나꼼수에서 이 사건을 선관위 내부 음모라고 주장했고 뭔가 수상하다는 여론이 확산되자 경찰은 사건 발생 한 달이 지나고 나서야 디도스 공격이 있었다는 조사 결과를 발표했다. 그런데 여기에 풀리지 않는 의혹이 무수히 제기되고 있다.
먼저 디도스 공격이 과연 사실이냐는 의혹이 있다.
사건의 실체는 디도스 공격이 아니다?
디도스(DDoS:Distributed Denial of Service) 공격이란 분산 서비스거부 공격의 약자로 쉽게 말해 특정 사이트에 여러 컴퓨터가 접속해서 그 사이트를 마비시키는 방식이다. 우리가 컴퓨터에서 특정 사이트에 접속하면 서버에서 우리 컴퓨터에 자료를 전송해준다. 그런데 그 서버는 용량(트래픽) 제한이 있어서 한꺼번에 많은 컴퓨터가 접속을 하면 더 이상 연결이 되지 않는다. 이런 약점을 이용해 엄청나게 많은 컴퓨터가 한꺼번에 접속을 시도해서 서버를 마비시키는 공격을 디도스 공격이라고 한다.
▲ 좀비PC를 이용한 DDos 공격 개요도. 사진 : KISA |
경찰은 선관위 대표 주소(URL)가 디도스 공격을 당했다고 발표했다. 쉽게 말해 수많은 컴퓨터가 선관위 대표 주소에 접속을 시도했다는 얘기다. 이런 경우 선관위 누리집은 다운되고 접속이 불가능해진다. 그런데 문제의 26일 오전에 선관위 사이트는 접속이 가능한 상태였다. 다만 투표 장소가 검색되지 않았을 뿐이다. 투표 장소 검색이 마비된 것은 투표 장소가 저장된 데이터베이스(DB)가 마비되었기 때문이다. 즉, 선관위 사이트는 정상이었으나 투표 장소가 저장된 DB만 마비되었거나, 선관위 사이트가 저장된 서버와 DB 사이의 연결에 문제가 생긴 경우라고 할 수 있다. DB가 저장된 서버가 공격당했다는 주장이 있을 수 있지만 이 서버의 다른 서비스는 정상 작동했다.
따라서 이번 사건은 디도스 공격의 결과가 아니다. 원래 디도스 공격은 사이트 전체를 다운시키려는 목적에 사용된다. 전문가들도 디도스 공격을 통한 부분 마비는 불가능하다고 주장한다. IT보안기술 전문가인 권석철 큐브피아 대표는 “통상 디도스 공격을 당하면 서버 전체가 다운되고 홈페이지에 접속조차 안 되는데, 이번 범행 때는 투표소 검색 페이지만 열리지 않았다”며 단순한 디도스 공격이 아님을 시사했다.
이와 관련해서 여러 의문점이 추가로 제기된다.
첫째, 나꼼수에서 김어준 총수가 지적한 것처럼 선관위 서버가 있는 KT의 모 상무가 보안컨퍼런스에서 2기가의 트래픽이 발생했다고 공개했는데 나중에 선관위가 11기가로 발표한 점이다. 선거 당일이므로 2기가 트래픽 정도는 디도스 공격이 아니라도 충분히 발생할 수 있다는 전문가들의 지적을 받고 선관위에서 11기가라고 수정한 것이 아니냐는 것이다.
경찰 발표도 이상하다. 처음에는 좀비PC 200대가 동원됐다고 했다가 하루 사이 1500대로 말을 바꾼 것이다. 좀비PC란 디도스 공격자를 위해 바이러스에 감염시켜 정해진 시간에 특정 사이트를 접속하는 컴퓨터를 말한다. 겨우 200대의 디도스 공격에 선관위 사이트가 마비되는 게 말이 안 된다는 지적 때문에 경찰이 말을 바꾼 것 아니냐는 의혹이 쉽게 제기될 수 있다.
둘째, 선관위가 로그파일을 공개하지 않고 있다는 점이다. 로그파일에는 선관위 사이트에 접속한 모든 기록이 나온다. 따라서 디도스 공격이 맞는지, 누가 공격했는지, 당시 트래픽이 2기가인지 11기가인지 로그파일을 통해 모두 확인할 수 있다. 그런데 선관위는 서버 보안을 이유로 로그파일 공개를 거부했다가 로그파일에 기록된 트래픽 기록은 보안과 무관하다는 주장이 나오자 로그파일을 국가정보원이 관리하고 있기 때문에 공개할 수 없다, 수사 중이라서 공개할 수 없다, 관련법 때문에 공개할 수 없다는 등 말을 바꿔가며 계속 로그파일을 공개하지 않았다.
문제는 사건 발생 한 달이 지난 지금 로그파일은 이미 조작됐을 수 있다는 점이다. 로그파일은 단순한 텍스트 파일이기 때문에 저장된 장소를 모두 찾아서 디도스 공격처럼 보이게 조작하는 게 충분히 가능하다. 한국전자부품연구원(KETI)의 한 연구원은 언론에서 이런 작업은 전문가들이 2, 3일이면 완벽하게 꾸며낼 수 있다고 하였다.
선관위는 얼마짜리 웹호스팅을 쓰나?
셋째, 경찰이 발표한 한 차원 높은 수준의 기술이 무엇인가 하는 점이다. 경찰은 이번 공격에 기존 디도스 공격과는 다른, 한 차원 높은 수준의 기술이 동원됐다고 밝혔다. 그런데 그 기술이 무엇인지 자세한 설명이 없다. 기존 디도스 공격과 다른 한 차원 높은 기술을 과연 디도스 공격이라고 할 수 있을까? 아예 다른 종류의 해킹 아니었을까? 그런데 문제는 정작 디도스 공격에 사용된 것으로 지목된 툴(tool)은 ‘카스’라는 흔한 해킹 툴이라는 점이다.
김태봉 KTB솔루션 사장은 “카스를 시연한 결과 여느 DDoS 공격 툴처럼 대상 웹 페이지가 통째로 다운되는 결과가 나왔다”며 “일부 서비스만 선택적으로 중단하려면 전문가를 동원한 별도의 해킹기법이 사용됐을 것”이라고 설명했다. 즉, 디도스 공격 외에 별도의 해킹이 있지 않고서는 선관위 사태가 불가능하다는 말이다.
넷째, 선관위 누리집의 보안 수준이 과연 디도스 공격에 마비될 만큼 허술한가라는 점이다. 문용식 민주당 인터넷소통위원장은 “작년 6.2지방선거 당시 선관위는 ‘트래픽 폭주나 디도스 공격, 해킹에 대비해 선관위가 완벽한 보안대책을 갖췄다’고 밝혔을 뿐만 아니라 디도스 공격을 우회시킬 수 있는 ‘클린존 서비스’를 이용하고 있었다”면서 “길어야 10~20분이면 디도스 공격을 무력화할 수 있는 서비스를 받으면서도 2시간 넘게 장애가 지속된 것은 석연치 않다”고 주장했다. 박혁진 중앙선관위 정보화담당관실 서기관은 CBS 라디오에 출연해 디도스 방어장비가 디도스 공격을 차단하고 있었음을 밝혔다.
▲ 클린존 서비스 광고 팝업창 |
그런데 MBC 라디오에 출연한 선관위 신우용 공보팀장은 “선관위가 열악한 예산 사정상 충분하게 여유 있는 보안시스템을 갖추진 못”했다고 주장했다. 애초에 디도스 공격에 대한 완벽한 보안대책을 갖췄다고 자랑해놓고 이제 와서 예산 부족으로 보안시스템이 부족했다고 주장한 것이다. 하지만 보안시스템이 아예 없었다고 해도 말이 안 된다.
경찰 발표에 따르면 지난 10월 26일 새벽 6시 직전에 좀비PC 200여 대가 중앙선관위 누리집과 박원순 후보 누리집을 공격했다고 한다. 당시 좀비PC로 인한 선관위 누리집의 트래픽은 초당 263메가바이트(= 2104Mbps = 약 2Gbps : 1bps는 초당 1비트를 전송하는 속도며 1바이트는 8비트다) 수준이었고 공격 시작 20여 분 만에 선관위 누리집이 다운돼 KT 사이버대피소로 이전했다. 그러자 좀비PC 수가 증가했고 초반의 4배 정도인 초당 1기가에 달하는 트래픽 공격을 받았다.
요즘은 가정집에서도 100Mbps 속도의 인터넷을 흔히 사용한다. 그런데 선관위가 겨우 가정집 20배 정도의 속도를 감당하지 못해서 20분 만에 다운됐다는 것이다. 선관위가 돈이 없어서 싸구려 서버를 임대했을까? 호스팅 임대업체에 문의하면 무제한 트래픽 보장상품이 월 5만 원도 하지 않는데 참으로 알 수 없는 일이다.
이런 의혹들은 모두 하나로 수렴한다. 선관위 누리집 마비 사태를 디도스 공격으로 꿰어맞추고 있는 것 아니냐는 것이다. 누가 왜 디도스 공격으로 몰아가는 것일까?
내부자의 도움 없이도 해킹 가능할까?
또 하나, 디도스 공격이 주된 원인이 아니라면 대체 진짜 원인은 무엇일까? 전문가들은 쉽게 답을 내놓았다. 염홍열 순천향대학교 정보보학과 교수는 “이론적으로는 (선관위) 내부에 열어주는 방법도 있고, 공격자가 다른 해킹 사건처럼 (선관위 사이트를) 해킹해서 그 안에서 외부 공격자의 길을 틀 수도 있다”고 주장했다. 한국전자부품연구원(KETI)의 한 연구원은 ‘위키프레스’에서 세 가지 시나리오를 제시했다.
1. 서버에 로그파일 등을 변경할 수 있는 root 유저(슈퍼유저라고도 한다)가 접속해 몇몇 기능을 마비시켰다가 자신의 로그파일도 지우고 나갔다. 혹은 디도스 공격인 것처럼 로그파일을 조작하고 나갔다. 이 경우 선관위 정보지원센터의 몇 안 되는 관리자를 조사하면 밝혀낼 수 있다.
2. 누군가 해킹을 통해 root 유저로 로그인 하고 1번 경우처럼 로그파일을 지우고 나가거나 로그파일을 조작해 디도스 공격인 것처럼 꾸미고 나갔다.
3. 디도스 공격이라고 볼 아무런 단서가 없는데 경찰이 ‘우리는 알 수 없는 어떤 이유나 목적을 위해’ 로그파일도 제대로 보지 않고 디도스 공격이라고 발표하고, 발표에 맞춰 수사 내용을 조작하고 있다.
물론 선관위는 이런 주장들을 일축했다. 박혁진 서기관은 “여러 의혹이 제기돼 자체적으로 (로그기록을) 조사 및 분석했다”면서 해킹이나 내부침입 흔적은 없었다고 답했다. 또 DB 서버가 끊기거나 서버 IP가 유출되지 않았냐는 의혹에 대해서는 “그런 주장은 DB 서버가 해킹됐다는 걸 전제로 하는데 그런 것들이 사실이 아니기 때문에 이런 가정 자체가 부적절하다고 본다”고 말했다. 하지만 박 서기관이 전제로 제시한 ‘DB 서버 해킹’ 대신 내부자의 소행이라면 어떨까?
또 신우용 팀장은 “실체적 진실을 애써 외면하고 합리적 근거 없이 선관위에 대해 의혹을 제기하는 행위는 공정한 선거관리를 저해하여 민주적 기본질서를 침해하려는 자기부정”이라며 “상식적으로 생각하더라도 경찰이 집권여당에 엄청난 정치적 부담을 안기면서까지 선관위 직원을 보호할 이유가 있겠느냐, 내부자가 연루됐다면 수사과정에서 그냥 두지 않았을 것”이라고 주장했다. 하지만 신 팀장은 자기주장 속에 모순을 담아버렸다.
신 팀장은 “선관위에 대해 의혹을 제기하는 행위는 민주적 기본질서를 침해”하는 행위라고 하였다. 흔히 민주주의의 꽃이라고 하는 선거를 공정하게 관리해야 할 선관위가 부정을 저지르는 것은 민주적 기본질서를 어긴 심각한 문제라는 것이다. 이렇게 보면 여당 관계자가 부정선거를 자행한 행위와 선관위 관계자가 부정선거를 자행한 행위는 차원이 다르다. 물론 여당의 선관위 업무 방해도 심각한 국기 문란 행위이지만 선관위가 공정선거를 포기하고 특정 정당에 유리한 조작을 한 것은 선거 자체의 신뢰를 무너뜨리는 행위로 민주주의의 근간을 뒤흔든 것이 된다.
이와 관련 나꼼수의 김어준 총수는 “선관위가 개입하지 않았다고 말해야 할 필요가 있었다. 선관위가 개입하는 건 전혀 다른 문제기 때문이다. 지금은 한나라당의 한 비서가 충성심에 혈기에 했다고 하고 있다. 그들이 피하고 싶었던 것은 선거를 관리하는 선관위가 이 일에 개입했다고 이야기가 번지는 걸 막고 싶었던 거다”고 주장했다.
27살의 청년, 10년 동안 돈 모아 사이버테러를 결심하다?
두 번째 의혹은 과연 최구식 한나라당 의원 수행비서 공씨의 개인행동이냐는 것이다.
공씨는 대학을 막 졸업한 27살의 사회 초년생으로 국가기관을 공격하는 중대한 범죄를 단독으로 저지를 이유가 없다. 물론 공씨가 평범한 인물은 아니다. 공씨는 고교시절 성폭행 혐의, 특수절도 혐의 등으로 입건된 전과 4범이다. 이 때문에 국가공무원법에 따라 공무원이 될 수 없지만 공씨는 아무런 제지 없이 국회의원 수행비서가 되었다. 백원우 민주당 의원은 “공씨의 형이 최구식 의원의 4급 비서관”이었다며 형 소개로 공씨가 최 의원의 수행비서가 된 것이라고 주장했다. 하지만 공씨의 전과는 개인 범죄에 불과할 뿐 국가를 상대로 한 범죄와는 차원이 다르다.
이번 사건은 많은 시간과 비용이 투입된 치밀한 범죄다. KTB 솔루션의 김영혁 이사는 “웹 방화벽, 침입 탐지 이런 것들이 다 있기 때문에, 그런 것들에 대해서 어디가 취약한지 사전에 정찰하는 게 필수 요소”라고 설명했다. 권석철 큐브피아 대표는 “특정 DB 서버만 차단시킨 점, 범행 수개월 전부터 1500대 이상의 좀비PC를 준비했던 점 등으로 미뤄 아마추어의 소행은 아닌 것으로 보인다”고 주장했다. 이석현 민주당 의원도 “공씨와 강씨가 (사건발생) 6~7개월 전부터 통화했던 기록이 있다”고 주장했다.
▲ 카스 2012 한글판 실행화면 |
이번 사건에 사용된 것으로 지목된 ‘카스’ 툴은 좀비PC는 1대당 1.3Mbps가량의 트래픽을 유발한다. 디도스 공격으로 11기가의 트래픽이 나타났으므로 최대 8500대의 좀비PC가 동원됐다고 봐야 한다. 참고로 좀비PC 1500대가 동원됐다는 주장은 2기가 트래픽으로 계산한 것이다. 문제는 동원된 좀비PC보다 훨씬 많은 컴퓨터가 바이러스에 감염되어야 한다는 점이다. 왜냐면 디도스 공격이 이뤄진 시간에 컴퓨터가 꺼져 있거나, 중간에 백신프로그램으로 치료가 되었을 확률도 있기 때문이다. 이렇게 따지면 수만 대에서 수십만 대의 컴퓨터가 바이러스에 감염되었다고 봐야 한다. 실로 어마어마한 규모다.
이처럼 이번 사건은 경찰이 주장하듯 맹목적인 충성심에서 출발한 즉흥적 돌출행동이 결코 아니다.
이번 사건이 공씨의 개인행동이라고 보기 어려운 정황은 여러 가지로 포착된다.
첫째, 비용 문제다. 문용식 민주당 인터넷소통위원장은 “해커나 이쪽 업체들을 만나서 확인한 바에 의하면 최소 억대 이상의 대가를 주고받았을 것으로 보인다”면서 “간단한 쇼핑몰 디도스 공격 의뢰에도 500만~1000만 원이 드는데 정부 기관 공격이 중벌에 해당한다는 점을 해커들이 알기 때문에 금전적 대가를 받지 않고 일을 할 수가 없다”고 주장했다.
공씨와 공모한 강씨 일행은 해킹은 물론 신분증 위조, 불법 도박사이트 운영 등 각종 범죄를 저질러온 이들로 반년 정도 만나 온 고향 선배에게 개인적인 부탁을 받고 아무런 대가도 없이 이런 중대 범죄를 저지를 리 만무하다. 이들은 공식 수입도 없이 억대가 넘는 외제차를 몰고 강남에 사무실을 운영해왔다. 그런데 공씨는 9급 비서로 월급이 많아야 200만 원밖에 되지 않는다. 이번 범죄를 위해 10년 동안 숨만 쉬고 살았다는 말인가? 누군가 자금지원을 하지 않고서는 불가능한 일이다.
둘째, 최구식 의원의 역할이 원래 스핀닥터였다는 점이다. 최 의원은 작년 7월 한나라당 홍보기획본부장에 임명되었다. 홍준표 한나라당 대표는 신임 당직자 회의에서 최 의원에게 “한나라당의 부자정당, 특권정당, 웰빙정당 이미지를 바꾸기 위해 ‘스핀닥터’의 역할을 해 달라”고 했다. 스핀닥터란 홍보전문가로 흔히 당이나 정치인에게 유리한 여론을 조성하고 나쁜 여론은 최소화하는 대 언론 자문관을 일컫는 말이다.
우연의 일치인지 스핀닥터라는 역할은 이번 사건과 절묘하게 맞아떨어진다. 이 때문에 한나라당 내에서도 ‘하필이면 스핀닥터 비서가 이런 일을’이란 탄식이 나오고 있다. 이에 대해 박주선 민주당 최고위원은 “한나라당 홍보기획본부장은 당 대표의 직접 지시를 받는 3대 핵심당직 중 하나”라며 “선관위 디도스 공격에 한나라당이 개입됐다”고 주장했다.
▲ 논란에 휘말린 최구식 의원 |
셋째, 공씨가 원래 정보통신 분야 지식이 별로 없는 ‘컴맹’ 수준이라는 점이다. 한나라당 의원실 관계자는 지난 2일 뉴스1 기자와 만나 “개인적으로 조금 아는 사이인데 이런 일을 꾸밀만한 역량이 있는 사람이 아니다”라고 말했다 한다. 해당 분야를 잘 모르는 사람이 독자행동으로 범행을 지시했다면 당연히 일반인에게도 널리 알려진 디도스 공격을 해달라고 부탁했을 것이다. 그러면 실제 범행을 저지른 강씨 일행은 일반적인 디도스 공격을 통해 선관위 누리집을 다운시켰을 것이다.
그런데 실제로는 선관위 누리집은 건드리지 않고 절묘하게 DB 서버만 마비시켰다. 애초에 정교한 지시를 하지 않고서는 불가능하다. 컴맹 수준의 인물이 독자적 판단으로 이런 정교한 지시를 할 수는 없고 결국 누군가의 지시를 받고 중간다리 역할만 한 것으로 보는 것이 합리적이다.
넷째, 실제 공씨의 행적에 수상쩍은 부분이 나타났다. 백원우 민주당 의원은 “공씨가 필리핀에 있는 강씨와 (사건 발생 전날인) 지난달 25일 밤부터 26일 새벽까지 총 30여 차례에 걸쳐 통화를 했는데, 이 중 한나라당 관계자와도 통화한 기록이 있다”고 주장했다. 민주당은 이 관계자가 누구인지 밝혀야 한다고 주장했다. 또 공씨가 강씨에게 선관위 홈페이지를 공격하라고 한 시점에 박희태 국회의장실 의전비서 K씨와 술자리를 한 것도 의문이다. 공씨와 K씨는 이전부터 친분이 있었다고 한다. 경찰은 K씨를 소환조사하기로 했다.
이처럼 여러 정황을 종합해보면 공씨가 윗선의 개입 없이 혼자 판단으로 단독범행을 저질렀을 가능성은 매우 낮다고 할 수 있다.
투표소 변경을 어떻게 미리 알고 해킹을 준비했을까?
세 번째 의혹은, 사실 이게 핵심인데 왜 선관위가 투표소 위치를 바꿨느냐는 것이다.
이 문제가 핵심인 이유는 선관위가 투표소 위치를 바꾸지 않았으면 투표 당일 사람들이 선관위 누리집에 접속할 일도 없고 디도스 공격도 무의미해지기 때문이다. 즉, 이번 사건은 선관위의 투표소 위치 변경 -> 선관위 DB 공격 -> 투표소 위치 확인 불가 -> 투표율 하락으로 이어지며 모든 출발이 바로 투표소 위치 변경에 있는 것이다.
그렇다면 실제 투표소 위치는 얼마나 바뀌었을까? 지난 8.24 주민투표 당시의 투표소와 바뀐 곳이 서울 전역에서 332곳으로 15%에 달한다. 특히 야권 지지가 높은 지역에서 변경이 심해 서대문구는 무려 48%, 금천구는 43%가 바뀌었다. 물론 선관위는 투표일이 휴일이나 방학이 아니어서 학교 등의 투표소는 바뀔 수밖에 없었다고 주장했다. 하지만 아파트 관리사무소였던 투표소가 멀리 떨어진 초등학교로 바뀌거나, 투표소는 그대로인데 투표소 관할 구역을 바꾼 사례도 많아 선관위 주장을 무색게 한다.
지난 12월 5일자 미디어 오늘에 실린 ‘나꼼수 예언 적중… 선관위 뻥치지 마세요’라는 기사를 보면 투표소 변경이 상당히 치밀하게 진행됐음을 알 수 있다. 8.24 주민투표 때는 투표율을 높이기 위해 유권자 주거지 근처로 투표소를 옮겼다가 이번 재보궐선거 때는 걸어서 가기 힘들 정도로 멀리 옮겨버린 사례, 연희동의 경우 단 한 곳도 투표소가 그대로 유지되지 않고 모조리 바꿔버린 사례, 투표소 수를 줄여 투표하기 힘들게 만든 사례 등 다양하다. 이처럼 투표소 위치를 대대적으로 바꿨지만 이에 대한 홍보는 거의 없었다. 선관위가 의도적으로 투표율을 낮추려 했다는 의혹을 받는 이유다.
투표소의 설치와 관련된 공직선거법 제147조 2항을 보면 투표소는 선거인이 투표하기 편리한 곳에 설치하도록 되어 있다. 위의 사례는 이번 재보궐선거에서 공직선거법이 무시되었음을 보여준다. 또한 4항에는 부득이한 경우가 아니면 종교시설 안에 투표소를 설치하지 못한다는 내용이 있다. 그런데 이번 재보궐선거에는 특별한 이유 없이 교회로 투표소를 옮긴 경우도 있었다. 선관위가 공직선거법을 얼마나 지켰는지 의문이다.
▲ 중앙선거관리위원회 |
사실 선관위가 투표소 위치를 이처럼 대대적으로 변경할 특별한 이유는 없다. 투표소 위치를 변경하자면 필요한 장소를 물색하고 해당 장소의 협조를 얻고 투표소 관리를 위해 관련 부처에도 통보하고 공고도 내야 해야 한다. 공무원들이 특별한 이유도 없이 굳이 이런 번거로운 행정처리를 하지는 않았을 것이다. 선관위는 독립된 헌법기관이다. 그 누구의 지시도 받지 않는다. 그렇다면 선관위가 자발적으로 이런 행동을 했을까? 누가 선관위에 영향을 줄 수 있을까?
투표소 위치 변경 문제가 심각한 것은 단순히 선관위가 투표율을 낮추려 했다는 의혹 때문만은 아니다. 선관위 DB를 공격하기 위해서는 상당한 준비가 필요하다. 디도스 공격이든 다른 방식의 해킹이든 마찬가지며 한두 달 준비로는 어림도 없으며 최소 수 개월 전부터 준비를 했을 것으로 추정된다. 그런데 선관위의 투표소 위치 변경 공지는 투표 직전에 이뤄졌다. 공직선거법에는 선거일 전 10일까지 투표소 명칭과 소재지를 공고하도록 되어 있다. 어떻게 투표소 위치가 대량 바뀔 것을 예상하고 해킹을 준비했을까? 이번 사건은 오래전부터 선관위가 투표소 위치 변경을 준비했고 이 내용이 극비리에 외부로 새어나가지 않고서는 성립할 수 없다.
선관위가 개입했나, 청와대가 개입했나, 한나라당이 개입했나?
이제 모든 의혹들을 종합해보자.
먼저 선관위는 무슨 이유에서인지 선거를 한참 앞두고 투표소 위치를 대대적으로 바꾸기로 하였다. 그것도 야당 성향이 강한 지역을 집중적으로. 그리고 이 결정이 외부에 유출되었다. 이 정보를 얻은 누군가는 선관위 누리집을 해킹해 투표소 위치를 유권자들이 파악하기 어렵게 하기로 결정한다. 그리고 여당 국회의원 수행비서에게 디도스 공격을 주문한다. 아니 어쩌면 누군가 선관위를 움직여 투표소 위치를 바꾸게 하고 해킹도 준비시켰을 수 있다. 이게 더 설득력 있다. 이렇게 대략 반년 전부터 치밀하게 준비를 하였다.
드디어 재보궐선거일이 되었다. 예정대로 선관위 누리집에서 투표소 위치 검색이 안 됐다. 디도스 공격은 미끼에 불과하고 실제로는 정체불명의 해킹에 의해 선관위 DB가 마비되었다. 선관위 누리집 로그파일은 국정원이 보관하고 있으므로 아무 문제 없다. 누리집 다운은 흔히 있는 일이므로 국민들도 크게 신경 쓰지 않을 것이다. 혹시 문제가 되더라도 디도스 공격이 있었다고 얼버무리면 그만이다. 디도스 공격은 범인을 찾기가 쉽지 않아서 좋다. 혹시 모르니 박원순 후보 누리집도 디도스 공격을 해서 분위기를 디도스로 몰아간다.
이 정도 시나리오는 누구나 예측 가능하다. 나꼼수의 정봉주 전 의원은 “디도스 공격이 있었던 건 분명한 것 같다”며 “공격하면서 동시에 DB 서버를 공격할 수 있는 또 다른 공격이 있었다”고 주장했다. 김어준 총수도 “박원순 홈페이지를 공격한 건 디도스가 맞다. 그렇기 때문에 선관위도 디도스로 여기기 바랐던 거다”며 “설혹 좀비가 동원되었다고 한들 그것은 진짜 원인을 숨기기 위한 페인트일 뿐이다. 이 사건의 진짜 원인은 디도스가 아니다”고 주장했다. 박영선 민주당 정책위의장도 “디도스 공격 당시 국정원 사이버안전센터가 이를 막을 충분한 능력과 시간이 있었음에도 두 시간 넘게 방치했다”며 선관위 및 국정원과 관계된 의혹을 제기했다.
위의 시나리오가 사실이라면 이번 사건은 정말 심각한 문제다. 일단 선관위가 중립성을 버렸기 때문이다. 선관위는 국회, 정부, 법원, 헌법재판소와 같은 지위를 갖는 독립된 합의제 헌법기관이다. 민주주의의 꽃이라 부르는 선거의 중립을 책임져야 할 선관위가 흔들리면 민주주의 전반이 흔들리게 된다. 이런 선관위 아래에서 내년 총선, 대선을 치를 수는 없다. 전면 교체가 불가피하다.
▲ 원세훈 국가정보원장 |
또한 국정원이 개입했다면 이는 청와대 최상층부가 이번 사건에 연루됐음을 의미한다. 국정원은 대통령 직속 기구로 국정원을 좌지우지하는 것은 대통령뿐이다. 각하께서 그럴 리는 없겠지만 만약 청와대가 이번 일에 관여했다면 당연히 탄핵될 것이다.
설사 청와대는 개입하지 않았다 하더라도 최소한 한나라당의 개입은 정황상 가능성이 높다. 선관위와 공모했다면 당연하고 하지 않았다 해도 선관위 누리집을 공격했으므로 당연히 해산되어야 한다. 우리 헌법에는 민주적 기본질서를 인정하지 않는 정당은 해산시키도록 규정되어 있다. 따라서 정부가 헌법재판소에 정당해산심판을 요청해야 한다. 한나라당 스스로도 이런 운명을 잘 아는 듯하다. 원희룡 최고위원은 “당 해체 수준까지 각오하고 있다”고 했으며 정두언 전 최고위원도 “이제는 당이 수명을 다한 것 같다”고 했고, 권영세 의원 역시 “당이 해산당할 수 있는 일”이라고 했다.
물론 위와 같은 예측이 사실이 아니기를 바란다. 어찌 이승만 독재정권 시절의 부정선거 같은 일이 21세기에 재현될 수 있겠는가. 하지만 안타깝게도 속속 드러나는 정황은 이번 사건이 단순한 개인의 디도스 공격이 아님을 보여주고 있다.
이번 사건의 진상을 규명하기 위해서는 경찰 조사에만 맡겨둬서는 안 된다. 사건 조사도 너무 느리고 당연히 예상되는 돈의 흐름이나 윗선은 전혀 수사하지 않았다. 강씨가 운영 중인 유령 IT회사에 대한 계좌추적이나 압수수색 등 가장 기초적인 수사도 방기했다. 소극적인 자세로 일관한 것이다. 조배숙 민주당 최고위원도 “디도스 공격의 수위를 낮추는 방식으로 조직적 테러 가능성을 사전에 차단하기 위한 축소수사로 의심된다”고 주장했다.
따라서 진상 규명을 위한 국회 청문회와 국정조사를 실시하고 특별검사제를 도입해야 한다. 한나라당은 자신들의 잘못이 없다면 당연히 여기에 응해야 한다. 민주당 일각에서는 한나라당에게 공격의 초점을 맞추기 위해 선관위 개입 의혹을 차단하려고 하는데 지금은 당리당략을 따질 때가 아니다. 민주주의의 운명을 지키고 국가의 미래를 보장하느냐의 중대한 문제 앞에서 빨리 정신을 차려야 한다. 통합진보당은 아직 이 문제를 크게 다루지 못하고 있는데 사태의 심중함을 파악하고 한미 FTA 날치기 문제와 함께 이 문제에 힘을 쏟아야 한다.
한미 FTA 날치기에 이어 선관위 사태까지 터지면서 정국은 극도의 혼란 속에 빠져들었다. 하지만 이제 시작일 뿐이다. 선관위 사태의 진실이 어느 정도의 위력을 가진 폭탄인지는 지금 가늠할 수 없다. 여당 해산을 불러올지, 대통령 탄핵까지 나아갈지, 그래서 이 사태가 내년 총선과 대선에 어느 정도 영향을 미칠지 아무도 모른다. 중요한 것은 진실을 밝히는 것이다. 그리고 민주주의를 파괴한 범죄자는 그 대가를 톡톡히 치러야 한다.
동북아의 문
No comments:
Post a Comment