중앙선거관리위원회 홈페이지에 대한 분산서비스거부(DDoSㆍ디도스) 공격 사건의 범인이 체포된 지 닷새가 넘었지만 경찰은 "누가, 왜 공격했나"를 정확히 설명하지 못하고 있다. 홈페이지 제작업체 사장 강모(25)씨 등 공범 3명은 범행을 시인했지만, 주범인 한나라당 최구식 의원실 비서 공모(27)씨는 혐의를 부인하고 있기 때문이다. 경찰은 범행 전후 공씨의 통화 내역과 금전거래 내역 등 분석을 통해 범행 목적과 배후를 밝힌다는 계획이다.
배후 있나 없나
4일까지 확인된 사실을 종합하면 공씨의 범행은 '선거 당일 투표소 검색 방해'가 목적이었다는 데는 이견이 없다. 하지만 20대 나이에 의원실 말단 9급 직원인 공씨의 단독 범행으로 보기에는 어렵다는 지적이 많다.
우선 통화 기록 문제다. 경찰은 공씨가 강씨에게 중앙선관위 홈페이지 공격 요청을 하던 날 의원실 측과 전화 통화를 했다고 밝혔다. 공씨가 의원실 직원이고, 투표를 앞두고 분주했을 의원실 분위기를 감안하면 업무상 통화였을 가능성도 있다. 하지만 이때 범행과 관련된 대화 내용이 오갔을 가능성도 배제할 수 없다. 민주당은 "공씨와 강씨가 6, 7개월 전부터 통화를 해온 것은 범행을 장기간 준비했다는 얘기"라고 주장했다.
또 공씨가 타인명의 휴대폰으로 공범들과 통화를 한 사실이나 강씨 등 공범들이 선거 2주 전이던 10월 11일 대구에서 서울로 거처를 옮긴 사실도 이번 사건과의 연관성을 높이는 대목이다. 하지만 경찰 관계자는 "대구서도 해킹은 얼마든지 가능해 사업 확장을 위한 이사로 파악하고 있으며, 휴대폰도 생면부지의 사람이 아닌 지인 앞으로 등록된 휴대폰"이라며 "단정적으로 연관성을 부여하기는 힘들다"고 말했다.
공씨의 배후 존재 가능성이 제기되는 또 다른 이유는 해킹에 드는 적지 않은 비용. 인터넷업체 나우콤 창업자인 문용식 민주당 인터넷소통위원장은 "다른 해커들과 관련 업체에 확인한 결과 (이 정도 일의 경우) 최소 억대의 돈이 오간다"고 말했다. 금전거래 내역 조사로 배후 존재 여부를 가릴 수 있지만 경찰은 이날 "(휴일이라) 은행들이 문을 열지 않아 이 분야에 대한 수사는 진척되지 않고 있다"고 해명했다. 이에 대해 기본적으로 경찰이 범인 체포 직후 금전거래 내역을 조사할 압수수색영장을 즉시 신청하지 않아 발생한 문제라는 비판도 나온다.
치밀했던 범행
강씨 등의 치밀한 범행도 사전 계획 가능성을 높이는 대목이다. 서버에 부하를 걸어 홈페이지를 마비시키는 디도스 공격의 경우 일반인들도 준비만 하면 감행할 수 있다. 하지만 이들이 경찰의 추적을 따돌린 수법은 수준급이었다.
강씨의 지시를 받아 공격을 감행한 업체 직원 김모(25)씨는 다른 서버를 경유해 IP 주소를 세탁하는가 하면 와이브로 등 휴대용 무선모뎀 10대를 번갈아 사용하면서 좀비 PC에 공격 명령을 내렸다. 경찰 관계자는 "이 경우 계속 이동하면서 공격 명령을 내린 효과를 보여 추적이 어려워진다"고 설명했다.
공격에 동원된 좀비 PC의 규모도 '사전 준비설'을 뒷받침하는 부분이다. 당초 200여대의 좀비 PC로 공격한 것으로 알려졌지만 이날 경찰 발표에 따르면 선거일이던 10월 26일 오전 출근 시간에 맞춰 악성 코드를 심어 놓은 좀비 PC에 전원이 공급되자 1,500대 가량이 선관위 홈페이지를 공격했다. 경찰 관계자는 "200여대로 초당 260MB의 부하를 걸었지만 출근 시간 전후로는 최고 2GB의 부하가 걸렸다"고 말했다. 이 정도 규모의 좀비 PC를 확보하는 데는 적지 않은 시간과 노력이 든다.
"우발적 범행" 반론도
물론 우발적인 사건이며 배후 가능성은 낮다는 주장도 있다. 공씨는 투표일 직전이던 10월 25일 오후 9시와 11시에 필리핀에 있던 강씨에게 두 차례 전화를 걸었다. 그는 이 통화에서 '연습 공격'을 부탁했고, 다음날 새벽에 연습 공격 성공 사실이 확인되자 '본 공격'을 요청했다. 경찰 관계자는 "디도스 공격을 주도면밀하게 계획했다면 좀비PC로 사전에 공격해보고 실패할 경우 더 많은 좀비PC를 확보하는 등 준비 절차가 필요한데 이번 사건은 그런 준비 과정이 하룻밤 사이에 급하게 이뤄졌다"고 밝혔다. 사전에 계획된 범행이 아닐 수 있다는 것이다.
일각에서는 이번 공격이 디도스 공격이 아니라 선관위 등 내부 소행이라는 주장도 제기된다. 하지만 경찰은 "홈페이지 과부하 상태 등을 볼 때 명백한 디도스 공격"이라며 그 가능성을 일축했다.
정민승 기자 @hk.co.kr
기사 URL이 복사되었습니다.
댓글0