경찰은 10·26 재·보선 당시 중앙선거관리위원회와 박원순 서울시장 후보 홈페이지에 대한 분산 서비스 거부 공격(DDoS; 디도스) 사건을 지난 12월9일 검찰에 송치하면서 공 아무개씨(최구식 한나라당 의원의 전 수행비서)의 우발적인 단독 범행으로 결론지었다.
경찰이 수사에 착수한 것은 공격을 받은 선관위가 선거 당일 수사를 의뢰하면서부터였다. 먼저 경찰은 선관위 사무실에서 홈페이지 기록을 통해 디도스 공격에 사용된 좀비 PC를 확보했다. 이후 경찰은 한 달여 간의 탐문 수사를 통해 지난 11월30일 선관위 홈페이지에 사이버 테러를 지시한 강 아무개씨와 실질적으로 공격을 수행한 김 아무개씨, 사후 과정을 관리한 황 아무개씨를 강씨의 집에서 검거했다. 경찰은 이들을 심문하는 과정에서 공씨의 존재를 밝혀냈고 다음 날인 12월1일 공씨를 체포할 수 있었다. 경찰청 사이버테러대응센터 관계자는 “범인들이 추적을 피하기 위해 노트북 무선인터넷을 사용하다 보니 탐문 수사에 오랜 시간이 걸렸다”라고 설명했다.
“추적 따돌릴 장치 없이 진행해 허점 노출”
디도스 공격을 주도한 해커를 잡는 것은 결코 쉬운 일이 아니라는 것이 이 분야 수사에 정통한 관계자들의 설명이다. 사이버테러에 정통한 한 경찰 관계자는 “요즘 해커들은 직접 좀비 PC를 원격 조종하지 않고 이미 악성코드에 감염된 개별 좀비 PC가 자동적으로 특정 사이트를 공격하도록 한다. 이런 경우 해커와 좀비 PC가 단절된 상태이기 때문에 역추적이 사실상 불가능하다. 또한 해커들은 추적을 따돌리기 위해 외국의 프록시 서버(접속하려는 PC와 서버 사이에서 데이터 중계 역할을 하는 서버)를 이용하는 경우가 많다. 이번 디도스 공격은 급작스럽게 진행되다 보니 이런 장치들이 없었기 때문에 그나마 수사가 가능했다. 범인들은 추적을 피하기 위해 무선 노트북을 사용하기도 하는 등 나름으로 공을 들였으나, 요행히 검거에 성공할 수 있었던 것으로 보인다”라고 밝혔다. 그만큼 디도스 공격에 대한 수사가 결코 쉽지 않다는 뜻으로, 공씨와 강씨 등은 나름으로 완전 범죄를 자신했던 것으로 보인다.
경찰은 이번 사건에 가담한 피의자를 검거하는 나름의 성과를 올렸지만, 한편으로는 부실 수사라는 비난에 시달리고 있다. 이번 사건이 경찰의 주장과 달리 ‘공씨 혼자서 절대 저지를 수 없는 일이다’라는 의혹이 계속 제기되고 있기 때문이다.
민주당과 일부 IT 전문가들은 이번 사건과 같은 규모로 디도스 공격을 감행하기 위해서는 수개월간의 사전 작업이 필요하다고 주장하고 있다. 경찰에 따르면 이번에 사용된 좀비 PC는 무려 1천5백여 대인 것으로 밝혀졌다. 익명을 요구한 한 IT 전문가는 “좀비 PC가 1천5백대 동원되었다면 실제로 감염된 PC는 수만 대에 달한다고 보아야 한다. 범행 몇 시간 전에 확보할 수 있는 규모가 절대 아니다. 이 정도를 확보하려면 최소 6개월은 걸린다. 특정 시간에 특정 사이트를 공격하기 위해서는 좀비 PC를 관리해줄 필요가 있는데, 이 역시 상당한 시간과 기술이 필요한 작업이다”라고 말했다.
이와 관련해 경찰은 강씨가 온라인 도박 사이트를 운영할 준비를 하면서 다른 도박 사이트에 디도스 공격을 할 목적으로 지난 8월부터 미리 좀비 PC를 확보했다고 설명했다. 경찰 관계자는 “도박 사이트의 경우 경쟁자를 제거하기 위해 자기네들끼리 디도스 공격을 주고받고 한다. 이를 위해 미리 좀비 PC를 확보해 두는 것은 이 업계의 관행이다”라고 설명했다.
IT 전문가들이 제기하고 있는 또 다른 의혹은 “선관위 홈페이지 마비 사태가 디도스 공격 때문이 아니다”라는 것이다. 선관위 홈페이지는 10·26 재·보선 당일 오전 6시15분부터 8시32분까지 두 시간가량 마비되었다. 문제는 홈페이지 전체가 아니라 투표 장소와 투표율 검색 기능만이 마비되었다는 점이다. IT 전문가들은 디도스 공격을 통한 부분 마비는 불가능하다고 주장하고 있다. 세계 3대 해커로 유명한 홍민표 쉬프트웍스 대표는 “디도스 공격은 사이트 전체를 마비시키는 것이 목적이다. 따라서 디도스 공격을 받으면 접속조차 되지 않는다. 그런데 이번 사건에서 선관위의 홈페이지는 접속이 가능했으며, 특정 페이지를 제외하곤 정상적으로 작동했다. 특정 기능만을 노린 디도스 공격은 불가능하다”라고 말했다. 이와 관련해 경찰은 “이번 디도스 공격에 기존과 다른 한 차원 높은 수준의 기술이 사용되었다”라고 밝혔을 뿐 자세한 설명을 내놓지 못하고 있다.
“좀비 PC 접속 기록 밝히면 의문 해소될 것”
물론 선관위와 경찰은 이같은 의혹이 전혀 사실무근이라고 일축하고 있다. 경찰 관계자는 “말도 안 되는 소리이다. 이번 사건에 대해 전 국민적인 관심이 쏠리고 있는데 경찰이 선관위를 보호하면서 위험을 자처할 이유가 뭐가 있나. 이번 사건은 충분한 물질적 증거를 갖고 공씨를 체포한 것이 아니라 증언에 따라 공씨를 긴급 체포한 후 증거를 수집했다. 긴급 체포 시한인 10일 만에 계좌를 추적하고 통화 내역을 조사하는 데는 현실적으로 어려움이 있었다”라고 말했다.
민주당과 IT 전문가들은 이번 사건과 관련한 각종 의혹을 씻어내기 위해서는 선관위가 좀비 PC들의 접속 내역이 기록된 ‘로그파일’을 공개해야 한다고 강조하고 있다. 홍대표는 “로그파일은 ‘블랙박스’와 같은 개념으로, 이를 공개하면 모든 의혹이 사라질 것이다. 물론 로그파일 자체도 조작이 가능하다. 의혹을 해소하기 위해서는 서버 내부에 날짜가 변경되지 않은 무결성 로그파일을 공개해야 할 것이다”라고 지적했다. 지금까지 선관위는 법률상의 문제로 로그파일 공개를 거부해왔다.
또 하나의 문제점은 선관위 홈페이지가 너무나 쉽게 뚫렸다는 점이다. 경찰에 따르면 재·보선 당일 오전 6시께 좀비 PC로 인한 선관위 트래픽은 초당 2백63메가바이트(MB)였다. 일반 가정집에서 사용하는 인터넷보다 고작 20배 정도 빠른 속도에 무너져 내린 것이다. 이와 관련해 문용식 민주당 인터넷소통위원장은 “지난해 6·2 지방선거 당시 선관위는 디도스 공격에 대한 완벽한 보안 대책을 갖추었으며 디도스 공격을 우회시킬 수 있는 ‘클린존 서비스’를 이용하고 있었다. (이번 사건의 경우) 길어야 10~20분이면 디도스 공격을 무력화시킬 수 있는 서비스를 받으면서도 2시간 넘게 장애가 지속된 것은 석연치 않다”라고 말했다.
공은 이제 검찰로 넘어갔다. 검찰은 이번 사건을 위해 서울중앙지검 첨단범죄수사 2부를 주축으로 한 특별수사팀을 꾸렸다. 경찰의 축소·은폐 수사 논란이 일고 있는 가운데 검찰이 이 사건을 얼마나 명명백백하게 밝힐 수 있을지 주목된다.
