일자 무식인 비전공자의 디도스 관련 질문

저도 잘 모르는 부분이 있지만,
https://plus.google.com/u/0/103964357561720361859/posts/6GUGfSm2oX3
요 글 참고로 이해한 바는,

첫째, 라우터 - 디도스 방어장비 - 침입방지 장비 - 방화벽 - 웹서버 - 디비서버 등등으로 이어지는 구간중 장애가 난 부분은 라우터 부분인 듯 합니다. BGP down은 라우터들끼리 살아있다는 신호를 주고 받다가 응답이 없으면 그쪽 라우터로 아예 트래픽을 안 보내는걸 말하는 것 같습니다.
이게 장애가 난 이유는 초과 트래픽이 유입되는 디도스 상황에서 발생할 수 있는 얘기입니다.

둘째, KT사이버대피소로 우회시킨 조치가 라우터 교체나 망 교체 조치일 듯 합니다.
어짜피 KT1, KT2 둘다 먹통될 트래픽이 들어오면 LG1으로 바꿔도 별 소용이 없었지만,
KT사이버대피소 쪽으로 돌리려면 KT1, KT2는 중단시킬 것 같습니다.

셋째, 디도스로 먹통이 된 부분이 LG엔씨스가 관리하는 장비들이 아니라 바깥쪽 망이라는 얘기고, BGP down도 디도스로 가능합니다.

넷째, 저 보고서 내용에 따르면 내부 웹서버나 디비서버 등등에 오류는 없습니다.

디도스 공격이 부분적으로 성공을 거두었다는 이야기가 될 수 있는 것인가요. 더 지켜봐야겠지만, 어째 '선관위의 공모'라기보다 제대로 방어 시스템을 못갖춘
'선관위의 무능'쪽으로 정리될 가능성이 있어 보입니다.

엔시즈 보고서는 기본적으로 네트워크 담당업체에서 선관위 내부 네트워크 구성 및 서버가 디도스 공격의 영향으로 인해 비정상적으로 작동하지 않았다는 것이 기본 골자입니다. 그렇기 때문에 장애의 원인은 대역폭을 넘어선 대량 트래픽이 망을 통해 유입되었기 때문이며 이를 확인하기 위해서는 KT와 LG의 BGP UP DOWN 관련 로그를 받아서 분석하라고 되었습니다.

BGP는 기본적으로 서로 다른 망에서 최적화를 시켜주는 셋팅이라고 이해하면 될 듯 싶습니다. 선관위의 망은 KT망 2개와 LG 망 1개로 구성되어 있는데 KT망이 더 효율적이므로 트래픽이 정상범위일 때는 BGP의 설정에 의해서 LG망을 활용하지 않고 KT망을 통해 트래픽이 유입되도록 셋팅이 되어 있었는데 10월 26일 당시에는 KT망으로부터 디도스 공격이 들어와서 제대로 망을 활용하지 못하므로 LG망으로 트래픽이 들어오도록 KT망을 끊어버린 것 같습니다. 다만 이 때 트래픽이 나중에 선관위에서 배포한 MRTG 자료에 의하면 200메가가 넘는 트래픽이 들어왔으므로 정상적으로 작동이 되지 않았던 것이네요. 그래서 실제로 LG망의 라우터로 처리된 트래픽은 30메가 정도이므로 정상적인 서비스가 되지 않았던 것 같습니다.

칸막이님이 질문하신 사항에 대해서 간단한 제 의견을 말한다면

1. 디도스 공격이 홈페이지 서버에 별다른 피해를 주지 못한 것은 맞습니다. 엔시즈 보고서에는 라우터 장비를 바꾸었다는 내용은 없으며 원래는 BGP에 의해서 KT망으로 들어오도록 셋팅된 트래픽이 KT망을 끊어버렸으므로 LG망으로 들어와야 하는데 이때 정상적으로 BGP가 되지 않아서 LG망의 라우터로 트래픽이 정상적으로 유입되지 않았던 것으로 보입니다. 기본적으로 IT 관리자는 세가지로 분류되는데 웹어플리케이션 관리자, 서버 관리자, 네트워크 관리자로 구분되어 있습니다. 이 경우 정상적인 네트워크 담당자의 판단이라면 내부의 네트워크 장비에는 이상이 없고 과다한 트래픽으로 인해 (250메가 정도의 트래픽) 장애이므로 네트워크 회선을 단절하는 황당한 조치보다는 KT망과 LG망의 BGP를 변경하여 기존에 455메가에서 KT망 300메가만 사용하도록 되어 있는 셋팅을 455메가 전체를 활용할 수 있도록 변경했을 것 같은데 이런 조치가 미흡했던 것으로 보입니다. 하여튼 장비의 이상이 아닌 트래픽의 증대에 의한 이상현상이므로 2개의 회선을 차단하는 것은 상식적인 대응은 아닙니다.

둘째, 라우터는 장비이지 망이 아니므로 라우터의 장비이상이 아닌 이상 교체할 이유가 없습니다. 엔시즈 보고서에는 모든 네트워크 장비에는 이상이 없었다고 되어 있으므로 라우터 장비를 교체한 것이 아니라 망을 교체한 것으로 보이는데요. 일반적으로 기업체의 경우 디도스의 공격이라면 일차적으로 디도스로 의심되는 IP를 차단하는 것을 우선으로 할 것이고 네트워크 회선 대역폭을 늘리는 것을 그 다음 대응으로 할 것입니다. 네트워크 차단은 디도스 공격에 의해 서버의 작동에 해를 끼칠 것으로 판단되지 않는 이상 하지 않는 최후의 방편이기는 한데 엔시즈 보고서에 의하면 방화벽이나 서버의 상황에서는 문제가 없었으므로 그다지 타당성 있는 대응은 아닙니다.

셋째. 선관위의 내부관련자가 있다면 네트워크를 통한 서비스 다운보다는 웹어플리케이션 담당자를 포섭하는 것이 가장 합리적이고 가장 저렴하고 위험부담도 없습니다. 듀나게시판이 자주 다운되는 원인은 웹어플리케이션 담당자가 없기 때문이고 웹어플리케이션의 설정을 변경하는 것은 모두 로그에 남아 있지 않고 간단하게 제한이나 버그를 발생시킬 수 있으므로 굳이 디도스처럼 흔적이 남는 공격에 비상시적인 대응을 하는 것으로 조율을 하는 것은 너무나 비합리적인 공모작전입니다.

넷째, 웹서버는 여러개의 서버로 구성되어 있고 서버당 보여주는 섹션 및 페이지는 따로 있으므로 선관위 메인 홈피에는 접근이 되더라도 투표소 찾기 페이지는 오픈이 안될 수 있습니다. DB를 차단하는 것은 로그에 남는 것이므로 그러 것을 공모할리는 없습니다. 엔시즈 보고서에도 DB 커넥션 부분에서는 이상이 없다고 되어 있습니다.

사실 네트워크 망 크기나 웹데몬에 버그가 있었음에도 불구하고 대수롭지 않게 생각하는 선관위의 태도를 볼 때 애초에 선관위의 전산관리에 능력도 의지가 없었기 때문에 초보적인 사이버 테러에도 쉽게 무력화 될 수 있었다고 봅니다. 이런 허술함을 알았기에 쉽게 여권에서는 디도스 공격이라는 방편을 생각했던 것이라고 판단되네요. 굳이 선관위의 내부 공모자를 찾을 필요도 없이 외부에서도 충분히 공격 가능한 허술함이라고 여겨지는 군요. 그런데 선관위는 왜 이리 떳떳한 걸까요. -_-

뭐 길게 설명하면 더 복잡하니까 간단히 얘기하자면 BGP라는건 네트워크를 도로망으로 비교해 볼 때 신호등 또는 길 안내판에 해당하는겁니다. 실제 신호등이나 표지판은 천천히 바뀌거나 바꾸기 힘들지만 통신장비는 컴퓨터의 일종이기 때문에 그걸 굉장히 자주 바꿀 수 있거든요. 그게 막 켜졌다 꺼졌다 해서 차가 막혔다... 라고 설명하는 거라고 보시면 됩니다.

그러니까 평상시에는 왜 BGP가 정상이다가 왜 그때만 미쳐난리쳤냐고요? 그게 일부러 어디선가 명령어로 조작하지않는 한 그럴 일은 없거든요? 계속 '원인불명의 BGP 설정 이상' 이러는게 얼버무린다는거지요. 그게 원인이 없긴 왜 없어요. 물리적 회선을 꺾어놓거나 (보통 광케이블임) 그러면 그런 일이 생기기 때문에 전부 다 원인을 추적 가능하죠.

질문맨 / 일이 있어서 나갔다 오느라 댓글이 늦었습니다. 친절한 설명에 감사드립니다. 많은 참고가 되었습니다.

데메킨/ 혹 물리적 회선을 꺾었다는 것도 의혹 중 하나로 제기되고 있는 것인가요.

그 보고서를 읽었는데도 도통 무슨 소리인지 몰라서 답답해 하던 차였는데 칸막이님과 답변해주신 님들 덕분에 조금은 상황이 이해가 되네요. 감사합니다.

네번째, 누군가 디비연결을 끊었다는 건 잘못된 말이 맞는데 나꼼수에서는 그게 글자그대로 끊었다라는 말이 아니었다고 변명(?)하고 있구요.

나머지는... 고의로 그런거라기 보다는 실수든 무능이든 판단을 잘못한 게 맞는 거 같아요. 만약 내부 공모자가 있었던 거라면 그런 식으로 시나리오를 짜진 않았을거고, 디도스 공격은 계획된게 맞지만 나머지는 그냥 담당팀의 뻘짓인 거 같네요.
그리고 설명할 수 없는 장애라는 건 생각보다 매우 자주 일어납니다 ㅡ_ㅡ