2012.02.26 11:35
10.26 선관위 홈페이지 공격 사건에 대해 상황을 좀 파악해 보려고 합니다.
LG엔시스라는 곳에서 나온 "2011년 10월 26일 재보궐선거 서비스 장애 분석 보고서"라는 것을 읽어 보았는데요,
저 나름대로 정리를 해 보았는데 이해에 부족한 점이 있어서, 이 분야에 대해 잘 알고 있는 듀게 분들께 질문을 드리려고 합니다.
보고서 내용을 정리하면 이렇습니다.
1. 10월 26일 새벽 5시 50분에서 8시 32분까지 외부에서 디도스 공격이 발생하였다.
2. 그런데 이중 실제 장애가 발생한 것은 7시부터 8시 30분 사이의 시간이다.
3. 방화벽 등 다른 장비에는 전혀 문제가 없었고, 장애가 발생한 원인은 '라우터(Router : 서로 다른 네트워크를 중계해주는 장치) 장비'에 있었다.
4. 선관위가 이 날 사용한 라우터 장비는 4개였는데, 편의상 KT1, KT2, KT3, LG1로 구분해 보자면,
디도스 공격이 발생한 당시엔 원래 KT1과 KT2가 작동을 하고 있었는데, 대략 6시부터 7시까지 대량의 트래픽이 유입되자 이 두 라우터를 다운시켰다.(장비를 껐다는 뜻인 듯)
5. 대신 7시부터 8시 42분까지는 LG1을 라우터 장비로 사용했다. 바로 이 시기, LG1을 사용하고 있을 때 서비스 장애가 발생했다.
6. 장애가 발생한 이유는 라우터와 LG망과의 'BGP Down'으로 인한 것이다. 나머지 장비에서는 전혀 문제가 없었다.
7. WAS 상세 분석에 따르면 선거정보 웹서버와 홈페이지 웹서버의 DB(데이터베이스)와의 세션이 끊긴 흔적은 없다.
제가 궁금한 것은 네 가지 입니다.
첫째, 제가 이해한 바에 따르면 디도스 공격 자체는 선관위측 홈페이지 서버에 별다른 피해를 주지 못했습니다. 다만 디도스 공격에 대응하는 과정에서 선관위 측에서
라우터 장비를 바꾸었는데, 이때 'BGP Down'이라는 현상 때문에 1시간 30분 가량 서비스에 장애가 생겼습니다. 이 'BGP Down'이라는 게 대체 무엇인지 궁금합니다. 이것이
'내부 공모자'의 인위적 조작으로 발생할 수 있는 것인지, 그냥 발생할 수 있는 성격의 에러인지 그 성격을 알고 싶습니다.
둘째, 디도스 공격을 받을 때 방어를 위해 다른 라우터로 교체하는 것은 일상적으로 일어날 수 있는 일입니까. 즉, 디도스를 방어하는 입장에서 행위의 타당성이 있습니까?
셋째, 반대로 라우터 교체가 내부 공모자의 소행이라면, 이것이 디도스 공격의 효과를 극대화하기 위한 행위로서 타당성이 있습니까? 라우터를 교체했더라도 서비스 장애가
발생한 것은 BGP Down 때문이었지, 디도스 공격 자체의 성공을 이끌어낸 것은 아닌 것 같은데, 전문가가 이런 방식으로 공격 작전을 짜는 것이 상식적이고 합당합니까?
넷째, 보고서에 따르면 선거정보 DB와의 연동이 끊어진 흔적은 없다고 합니다. 그렇다면 이 보고서의 내용은 김어준의 '선관위 홈피에는 접속이 되는데, 검색이 안 된 것은 선거자료 데이터 베이스만
끊은 것이다. 디도스 공격은 페이크고 진짜 중요한 것은 내부의 누군가가 선거자료 데이터 베이스를 끊은 것이다'라는 주장이 오류임을 나타내는 것은 아닌지요.
2012.02.26 11:55
2012.02.26 12:06
2012.02.26 12:59
2012.02.26 13:34
2012.02.26 16:06
2012.02.26 17:39
2012.02.26 17:58
https://plus.google.com/u/0/103964357561720361859/posts/6GUGfSm2oX3
요 글 참고로 이해한 바는,
첫째, 라우터 - 디도스 방어장비 - 침입방지 장비 - 방화벽 - 웹서버 - 디비서버 등등으로 이어지는 구간중 장애가 난 부분은 라우터 부분인 듯 합니다. BGP down은 라우터들끼리 살아있다는 신호를 주고 받다가 응답이 없으면 그쪽 라우터로 아예 트래픽을 안 보내는걸 말하는 것 같습니다.
이게 장애가 난 이유는 초과 트래픽이 유입되는 디도스 상황에서 발생할 수 있는 얘기입니다.
둘째, KT사이버대피소로 우회시킨 조치가 라우터 교체나 망 교체 조치일 듯 합니다.
어짜피 KT1, KT2 둘다 먹통될 트래픽이 들어오면 LG1으로 바꿔도 별 소용이 없었지만,
KT사이버대피소 쪽으로 돌리려면 KT1, KT2는 중단시킬 것 같습니다.
셋째, 디도스로 먹통이 된 부분이 LG엔씨스가 관리하는 장비들이 아니라 바깥쪽 망이라는 얘기고, BGP down도 디도스로 가능합니다.
넷째, 저 보고서 내용에 따르면 내부 웹서버나 디비서버 등등에 오류는 없습니다.