뉴스 트렌드 생활정보 International edition 매체

[클릭! 현장21]'정통부사이트 마비사건' 경찰 수사결과

입력 | 2000-10-12 19:20:00


서비스 거부공격이란 '원격지에서 기타의 기술을 사용해 타인의 전산망이 정상적인 서비스가 되지 못하도록 하는 공격행위'를 말한다.

이 때 △과다 접속시도가 지속적으로 나타나는 경우 △많은 양의 데이터를 짧은 시간에 집중적으로 보내는 경우 △인터넷 주소를 속여 비정상적인 인터넷 주소로 다량의 접속시도를 하는 경우 △초당 200~1000회 이상의 접속시도 기록이 남는 경우가 발견되면 서비스 거부공격이 있었다고 판단한다.

이에 대해 경찰이 발표한 수사내용은 다음과 같다.

▼과다 접속시도에 대한 수사▼

△프로그램 분석

진보네트워크 홈페이지에 게시된 mic.html 실행파일은 분석결과지속적으로 정통부 홈페이지에 초당 2~5회 정도씩 정상적인 접속시도를 하게 돼있는 프로그램이었다.

이 파일은 진보네트워크 홈페이지 게시판에 '정보통신부 공격용 프로그램'이라는 제목으로 161번 자료(8월22일자)에 등록돼있었으며 이 자료를 조회한 사람은 22일부터 26일까지 5일간 총79명이나 이 프로그램을 다운받은 사람이나 실제 사용한 사람은 진보네트워크에 대한 압수수색 결과 일체의 접속자료를 남겨놓지 않아 확인 불가능했다.

△프로그램 관련 접속자료 및 접속자 조사

mic.html 프로그램을 이용, 실제 테스트를 해본 결과 이를 이용한 경우 일정한 패턴이 시스템에 접속자료로 남았다. 그러나 정통부 방화벽 시스템의 자료를 정밀분석한 결과 장시간동안 이와 동일한 패턴을 보이며 접속한 사례는 발견하지 못했다.

또한 실제 프로그램 사용자의 IP가 그대로 남는 특성을 고려, 1분 이상의 공격을 계속했을 것으로 판단되는 200회이상 접속시도자 및 초당 수 회이상 접속시도자 20여명을 조사한 결과 대부분 여러사람이 공유해서 사용하는 인터넷 주소로 판명되거나 사건 당일 접속이 잘 되지 않는 정통부 홈페이지에 계속 접속시도를 했었던 사람으로 판명되었다.

이 중 일부는 정통부에 항의하는 뜻에서 키보드상에서 재접속신호를 계속 보냈지만 그 회수나 데이터량이 서비스에 부하를 줄 정도는 아니었던 것으로 판단된다.

△결론

mic.html 프로그램은 정상적 접속시도를 초당 수 회이상 보내는 프로그램으로 당초 정통부 및 한국정보보호센터에서 분석했던 것처럼 정통부 홈페이지 서비스를 마비시킬 만큼 사용된 증거자료를 찾을 수 없어 이 프로그램으로 정통부 홈페이지가 공격을 당한 것으로는 볼 수 없다.

▼정통부 방화벽 접속자료 분석결과▼

△일일 접속시도 및 초당 최대 접속건수 비교

방화벽의 접속기록을 토대로 21일과 26일의 접속시도 건수를 1분단위로 오전12시부터 오후12시까지 비교, 분석한 결과 26일에는 오히려 정상서비스일과 비교하여 최대 접속시도 건수, 지속적인 접속시도로 인한 부하량이 적은 것으로 나타나 있으며 과다 접속시도로 인한 공격은 없었던 것으로 판단된다.

△서비스 거부공격 프로그램 이용 실험 결과분석

4시간 7분동안의 실제 공격용 프로그램을 이용한 공격실험에도 웹서비스가 중단되는 경우는 없었다. 이것으로 보아 통상적인 서비스 거부공격 프로그램을 이용한 공격이 있었던 것으로 판단하기 어렵다.

△데이터량 비교분석

사건당일의 데이터량이 오히려 평균치를 밑돌아 데이터량의 폭주가 서비스 마비의 원인이 될 수 없었다.

△결론

방화벽 자료의 정밀분석 결과 보통 서비스 거부공격에 사용되는 시스템의 처리한계를 넘어서는 다수의 접속시도와 다량의 데이터량은 찾아볼 수 없어 이것이 서비스 마비의 원인은 될 수 없는 것으로 판단된다.

▼서비스 거부공격 경고메세지 분석결과▼

△정통부 관리자의 기술에 의하면 웹서버상에 서비스 거부공격 경고인 'Syn Flooding Attack'이라는 메세지가 발생해 mic.html 공격에 의한 웹서비스 장애로 판단, 신고했다고 함에 따라 이에 대한 정밀분석을 했다.

△접속기록 분석

경고 메시지가 기록된 10차례 시간대의 직전 3분간 방화벽 자료를 분석한 결과 통상 외부공격시 사용되기 마련인 다량의 가상 인터넷 주소를 발생시킨 흔적은 발견하지 못했다.

또한 접속요청을 하고 처리대기 형태로 남아있는 인터넷 주소를 확인한 결과 대부분 공격용 프로그램에 의해 생성된 허위의 주소가 아니라 실제로 사용중인 정상적인 주소였다.

▼결론▼

이상의 수사결과를 종합해 볼 때 정통부 홈페이지 시스템은 사건당일 일부 지속적인 접속시도는 있었으나 정통부, 한국정보보호센터의 판단과 같이 집단 서비스 거부공격을 받았다는 증거를 발견할 수 없었으며 범죄혐의를 인정할 수 없으므로 수사를 종결한다.