[단독] “선관위 디도스 공격은 연습게임, 총선이 메인 타깃”
  • 조해수·조유빈 기자 (chs900@sisapress.com)
  • 승인 2017.01.16 11:33
  • 호수 1422
이 기사를 공유합니다

“여당 수뇌부가 조직적으로 지시”

2011년 10월26일 서울시장 보궐선거가 치러졌다. 그런데 선거 당일 아침, 중앙선거관리위원회(선관위) 홈페이지와 박원순 후보의 공식 사이트인 ‘원순닷컴’이 사이버 공격을 받았다. 특히 선관위 홈페이지의 경우 투표소 위치를 검색하는 기능이 마비됐다. 이른바 ‘선관위 디도스 공격’ 사건이 발생한 것이다. 전국의 대학에서 시국선언이 줄을 이었고, 참여연대를 비롯한 시민단체는 이 사건을 ‘10·26 부정선거’로 규정하며 진상규명을 촉구했다.

 

이후 경찰과 검찰은 물론 특검 수사까지 진행됐다. 그러나 결과는 허무했다. 수사기관은 “선관위 디도스 공격의 윗선은 없다”면서 “서울시장 보궐선거에서 공적을 세우기 위한 한나라당(현 새누리당) 비서관들의 우발적 범행”이라고 결론 내렸다. 또한 선관위 홈페이지 사이버 공격은 디도스(DDoS·분산 서비스 거부)뿐이라고 못 박았다.

 

그러나 국민들의 반응은 냉담했다. 특히 특검이 90일간 수사팀 100여 명으로 20억원의 예산을 사용하고도 기존의 검·경 수사 결과를 벗어나지 못하자 ‘특검 무용론’까지 제기됐다. 또한 ‘한나라당 배후설’이 확산되면서, 결국 한나라당은 당명을 새누리당으로 변경할 수밖에 없었다.

 

시사저널은 사건 발생 후 5년여가 흐른 지금까지, 선관위 디도스 공격의 ‘윗선’과 ‘목적’이라는, 여전히 풀리지 않은 의혹에 중점을 두고 취재를 이어 왔다. 수감 중인 주범들을 면회하고 이들의 가족을 만나고 사건 관계자들을 다각도로 접촉하며 증언을 모았다.

 

© 시사저널 이종현·시사저널 미술팀

전문가를 통해 선관위 홈페이지에 가해진 사이버 공격에 대해서도 분석했다. 당시 참여연대가 접근기록 등의 데이터를 공개할 것을 선관위에 청구했으나 선관위가 공개한 자료는 극히 일부에 불과했다. 상세한 접근 기록 등에 관련된 정보도 들어있지 않았다. 사건과 관련해 서버를 분석했던 한 교수는  “더 이상 기술적인 분석은 의미가 없다. 로그 파일이 이미 조작됐을 수 있기 때문이다”면서 “결국 당시 선관위 공격에 참여했던 관계자의 결정적인 증언이 나와야만 한다”고 지적했다.

 

이런 와중에 시사저널은 선관위 디도스 공격에 참여한 핵심 관계자를 만날 수 있었다. 신변 보호를 위해 익명을 요구한 이 관계자(A씨)는 선관위 디도스 사건의 실체를 낱낱이 증언했다. 시사저널은 지금까지 진행한 취재 내용과 A씨의 증언을 바탕으로 선관위 디도스 사건의 진상을 파헤쳤다.

 

 

“윗선은 박희태 의장을 비롯한 여당 수뇌부”

 

당시 특검은 “최구식 전 의원의 비서인 공아무개씨와 박희태 전 국회의장의 비서 김아무개씨가 공모해 정보기술(IT) 업체 대표 강아무개씨에게 디도스 공격을 지시했고, 강씨가 이를 실행했다”고 발표했다. 공씨와 김씨가 공(功)을 세우기 위해 즉흥적인 기분으로 선거 전날 술자리에서 디도스 공격을 지시했고, 강씨는 정치권에 있는 공씨와 김씨가 온라인 도박 합법화를 추진하는 데 도움을 줄 수 있을 것이라는 기대감 때문에 디도스 공격을 실행했다는 것이다. 이와 관련해 검찰은 “배후를 밝히는 것은 ‘신의 영역’”이라고 말하기도 했다.

 

그러나 A씨는 지시를 내린 인물로 정확히 박희태 전 국회의장(현 새누리당 상임고문)을 지목했다. A씨는 당시 박 전 의장을 만나게 된 구체적인 경위를 밝히며 박 전 의장을 직접 만나 지시를 받았다고 밝혔다. A씨는 박 전 의장의 비서 김씨는 연결고리 역할에 불과했다고 설명했다.

 

“C어르신의 소개로 박희태 의장님을 만나게 됐다. 어르신과 박 의장님의 경우 술자리에서 인사를 했고 당시 오더(디도스 공격)로 인해서 더욱 자주 만남을 가졌다. 박 의장님은 다이렉트로 연락이 없어도 대부분 저에게 오더가 오던 라인이 의장님 라인이어서 그렇게(박 의장의 오더라고) 알고 있었다.”

이와 관련해 박 전 의장은 “당시는 내가 국회의장으로 재직할 때다. 국회의장은 정치적 중립을 지키기 위해서 당적도 없어진다. 내가 무엇 때문에 서울시장 보궐선거에 개입하겠는가? 전혀 사실무근이다”면서 “C씨의 이름조차 들어보지 못했다. 단 한 번도 만난 적이 없다”고 밝혔다. 그는 다만 “오래된 일이라 100% 확신할 수는 없다. 추가로 확인되는 사실이 있으면 다시 연락 달라”고 말했다.

 

선관위 디도스 사건의 윗선으로 지목된 박희태 前 국회의장 © 시사저널 포토

A씨는 박 전 의장뿐만 아니라 여당(한나라당) 지도부의 조직적인 개입이 있었다고 밝혔다.

 

“당시 서울시장 선거를 앞두고 당(한나라당) 전체 차원에서 나경원 후보를 밀어야 한다는 분위기가 형성된 것으로 알고 있다. 박 의장님 외에도 당 수뇌부는 당연히 알고 있었을 거라고 생각한다. 왜냐하면 먼저 당에서 지지율 조사를 거쳐 SNS 작업이 들어가고 마지막으로 선관위 공격을 들어가는 순서였기 때문이다.”

실제로 윗선을 의심할 만한 정황들이 시사저널 취재 결과 포착되기도 했다. 먼저 사건 초기 디도스 공격을 실제 실행한 강아무개씨와의 옥중편지를 통해 “선관위 공격 전 문화체육관광부 장관을 만나기로 돼 있었다”는 진술을 확보했다(2012년 5월6일자 “디도스 핵심인물 강씨 ‘사건 전 문화부장관과 약속도 잡혀 있었다’” 참조). 강씨는 불법 온라인 도박 사이트를 운영하던 인물로, 윗선 없이는 문화부 장관을 만날 수 있는 위치에 있지 않았다. 또한 재판 도중 강씨의 변호인이 대형 로펌 변호사들로 교체된 사실도 확인했다(2012년 8월19일자 “‘디도스’ 피의자, 막강 변호사 붙었다” 참조). 강씨의 항소심부터 법무법인 ‘바른’ 소속 10여 명의 변호인이 참여해 매머드급 변호인단을 꾸렸는데, 당시 강씨는 1심 변호사 수임료 중 2500만원을 내지 못해 지인이 대신 납부하기도 하는 등 재정적으로 굉장히 어려운 상황에 있었다. 더구나 법무법인 ‘바른’은 나경원 후보가 서울시장에 출마하기 직전까지 고문변호사로 활동하는 등 당시 여당의 법률 대리인 역할을 자처했던 곳이다.

 

 

“4·11 총선이 메인 타깃…어느 선거든 가능”

 

당시 선거는 범야권 박원순 후보(무소속)와 여당 나경원 후보(한나라당) 간 초박빙 승부가 펼쳐졌다. 선거 전 여론조사에서 두 후보는 오차범위 내에서 치열한 경쟁을 펼치고 있었는데, 젊은 층의 투표율에 따라 승부가 갈릴 것이라는 관측이 지배적이었다. 젊은 층의 투표율이 낮으면 나경원 후보가 유리하고, 반대로 높을 경우 박원순 후보가 유리하다는 분석이었다. 그런데 선거 당일 선관위 홈페이지의 투표소 위치를 검색하는 기능이 마비됐다. 사이버테러를 받은 시간은 오전 6시15분부터 8시32분이었다. 보궐선거의 경우 선거일이 휴일이 아니기 때문에 출근 전 투표를 마치려던 2040 젊은 유권자들이 큰 혼란을 겪을 수밖에 없었다. 공교롭게도 서울시장 보궐선거 투표소는 그 직전에 치러진 ‘서울시 무상급식 지원범위에 관한 주민투표’ 때와 322곳이나 달라져 있었다.

 

젊은 층의 투표율을 하락시켜 박원순 후보를 떨어트리려는 고의적인 공격이었다는 의혹이 제기됐다. 실제로 서울시장 보궐선거의 7시대 투표율은 2010년 6·2 지방선거와 비교해 평균 투표율이 0.2% 낮아졌고, 투표소가 30% 이상 바뀌었던 지역의 투표율은 많게는 1.2%까지 떨어졌다는 통계치가 나왔다.

 

선관위 디도스 사건이 발생하자 야당은 ‘한나라당 부정선거 사이버테러 진상조사위원회’를 발족시켰다. © 연합뉴스

A씨는 이와 관련해 “특정지역의 투표율 하락이 (선관위 공격의) 목표였다”고 밝혔다. A씨는 또 “서울시장 보궐선거가 확정되기 이전에 2~3차례 디도스 공격 제안을 받았다”면서 “(왜냐하면) 2012년 4·11 총선이 메인 타깃이었기 때문이다”고 설명했다.

 

“원래 타깃은 서울시장 보궐선거가 아니고, (이듬해인) 2012년 4·11 총선이 메인 타깃이었다. 서울시장 보궐선거는 총선을 앞둔 연습게임이었다. 첫 제안 때부터 총선이 메인 타깃이라고 들었다. 그 사이 서울시장 보궐선거에서 진주팀(당시 선관위 디도스 공격을 실제 실행한 팀)이 디도스 공격을 실행할 때 일부분 같이 테스트가 들어갔던 것이다.”

A씨는 “선거 때마다 이런 팀들이 만들어지곤 한다. 선거마다 이런 팀들은 항상 존재한다고 보면 된다”면서 “이런 사이버 공격은 어느 선거에서든 가능하다”고 지적했다. 이는 올해 치러질 19대 대선 역시 사이버 공격으로부터 안전하지 않다는 의미다.

 

 

“디도스 외에 다른 공격 있었다”

 

당시 선관위에 가해진 사이버테러가 디도스 공격이 아닐 것이라는 의혹도 제기됐다. 디도스 공격을 당할 경우 선관위 홈페이지 서버 전체가 다운돼야 한다. 그러나 선거일 아침 선관위 홈페이지는 접속이 가능했다. ‘투표소 검색’ 페이지만 열리지 않았다. 이런 ‘부분 마비’는 디도스 공격의 결과로 볼 수 없고, 투표 장소가 저장된 데이터베이스(DB)를 마비시켰거나 서버와 DB의 연결에 공격을 가한 경우라는 것이다. 디도스 공격은 직접적인 공격을 가리는 ‘연막’에 불과했다는 의혹이 제기되는 배경이다.

 

A씨의 증언은 당시 의혹과 일치한다.

 

“투표소가 검색이 되지 않은 부분은 절대 디도스 공격 하나만이 아니다. 결과 값이 다르게 나오고 하는 것은 일차적으로 서버의 DB(데이터베이스) 연결을 바꿨기 때문이고, 디도스 공격으로 트래픽이 발생해 검색이 되지 않는 것처럼 보이게 만든 것이다.”

선관위 디도스 사건이 발생하자 전국의 대학과 시민사회는 일제히 시국선언을 발표했다. © 시사저널 포토

이와 관련해 IT보안 업체인 큐브피아의 권석철 대표는 “디도스 공격에 플러스알파(+α) 공격이 있었을 가능성이 크다. 결과 값이 다르게 나오는 것은 디도스 공격으로 가능한 것이 아니다. 데이터 변조가 있었다면 그것은 다른 공격이 있었다는 것이다. 결국 디도스로 위장해 과부하처럼 보이게 하고 제3의 공격자가 다른 작업을 했던 것이다”고 설명했다.

 

“내가 전공으로 하던 부분이 서버 해킹이었고, 서버의 트래픽을 올려서 마비시키는 디도스와는 달리 SQL(DB에 접근할 수 있는 DB 하부 언어) 정보를 원하는 입맛에 맞게 변경을 하고 서버의 자료를 통으로 날리는 것까지 가능하다. 백업서버의 연결 및 자료 역시 변경을 해 둔다. 직접 공격수로 뛰라는 제안에 대해서는 거절을 했다. 해킹에 필요한 패킷 변경 툴을 만드는 것을 도왔다. 바로 투입할 수 없으니까 테스트도 몇 번 해 봐야 하는데, 여름부터 테스트하고 결과 보고 피드백 보고 수정해 주고 그런 역할을 했다.”

권 대표는 “실제로 (A씨가 만들었다는) 패킷 변경 툴은 해킹에 많이 쓰인다”며 “A씨가 말한 SQL이라는 것은 SQL인젝션(주입)이다”고 설명했다. 권 대표에 따르면, SQL은 ‘질의어’다. 쉽게 말해 만약 은행에서 예금 조회를 요청할 경우 은행원이 입력하는 명령어다. 이 SQL이 서버로 전달되는데, 관리자 권한이 있으면 이 명령을 바꿀 수 있다. 돈을 ‘조회’하는 것이 아니라 ‘이체’하는 것으로 결과를 바꿀 수도 있다는 것이다. 그는 “DB서버를 장악해 서버에 대한 명령어를 조작한 경우 다른 영역(당시 투표소 검색 페이지)을 보이지 않도록 하는 것이 가능하다”며 “A씨의 얘기는 (기술적으로) 다 맞는 얘기다. 관리자 권한을 갖는 것은 거기 있는 어떤 것도 조작이 가능하다는 것이다. 관리자 권한을 갖게 되면 그 안에 있는 다른 정보(투표율 등 보일 수 있는 정보)를 조작하는 것도 가능하다”고 설명했다.

 

그러나 검·경 및 특검 수사에서는 디도스 외 어떤 공격도 찾아내지 못했다.

 

“당시 경찰 사이버테러대응센터와 KISA (한국인터넷진흥원)에서 첫 대응을 했던 것으로 기억하는데, 디도스 공격만 찾아내고 로그 분석에서는 이상이 없다고 나온 것으로 기억한다. 선관위 서버의 감염 또한 찾아내지 못했고, 스크립트로 검색되는 기본적인 것 역시 왜 변경이 됐는지도 못 찾은 것으로 알고 있다. ‘경찰은 뭘 한 거지?’라는 생각이 상당히 들게 만드는 부분이었다.”

민주당은 선관위 디도스 공격과 관련해 경찰 수사결과를 신뢰할 수 없다며 3대 요구, 5대 쟁점, 10대 의혹을 제기했다. © 시사저널 이종현

野 “전면적인 재수사 필요”

 

이에 대해 권 대표는 “단순히 디도스 공격일 경우에는 즉흥적으로 하는 것이 가능하다. 이미 불법 사이트 등을 운영하고 있었다면 좀비 PC들을 확보하고 있었을 것이기 때문이다”며 “DB 공격은 오랜 준비가 필요한 공격이고, 위험성과 기밀성이라는 부분이 첨부된다. 들키지 않도록 전략적 계획을 세우고 실행했을 것이다”고 말했다. 그는 또 “A씨가 말한 대로라면 당시 우리가 예상했던 내용이 맞아떨어진다. 경찰과 검찰이 의문점을 가지지 않은 이유는 모르겠지만, 다른 공격에 대해 의문점을 가졌다면 서버의 악성코드 발견은 할 수 있었을 것이다”며 “경찰과 검찰이 디도스로 마무리하려고 했던 것 같다”고 지적했다.

 

더불어민주당과 정의당은 시사저널의 보도가 있은 후 일제히 논평을 발표하며 재수사를 비롯한 관련 기관의 추가적인 진상규명을 요구했다. 한창민 정의당 대변인은 “시사저널이 당시 핵심 인물과의 인터뷰를 통해 밝힌 바에 따르면, 선관위 디도스 사건이 당시 여권의 지도부에 의해 조직적으로 자행됐다는 것이 밝혀졌다. 당시 권력 핵심과의 커넥션을 깊게 의심할 수밖에 없다”면서 “핵심적인 증언이 등장한 만큼 당시 사건에 대한 전면적인 재수사가 진행돼야 한다”고 강조했다.

 

 

선관위 디도스 사건 5년 추적…디도스 공격 핵심관계자 단독 인터뷰

 

2011년 10월26일 서울시장 보궐선거 당시 중앙선거관리위원회 홈페이지가 디도스 공격을 받은 사건이 있었다. 검·경을 비롯한 특검 수사까지 이어졌지만 각종 의혹은 밝혀지지 않았다.

 

“얼마 지나지 않은 사건이라고 생각했는데 벌써 5년이나 지났다. 선관위 디도스 사건이 당시 별 내용 없이 당사자 몇 명만 옥살이를 하고 직접적인 오더를 내렸던 분들은 아직도 정계에서 활동을 하는 것을 보고 확실히 힘이 강하구나 느끼게 됐다.”

 

 

선관위 디도스 사건에 어떻게 개입하게 됐나.

 

“(2011년) 당시 네트워크 업체인 A회사에 보안 장비를 판매하는 일을 했다. 이 업체에 언제 어디를 해킹하겠다고 알려준 다음 직접 이 곳을 해킹해 보안이 허술하다는 것을 입증한 후 우리 회사 장비를 파는 식이었다. 내가 해킹과 관련한 일을 한다는 것을 알고 친구 아버지인 B의원이 ‘서버를 터지게 할 수 있느냐’며 디도스 공격을 제안해 왔다. 정치적 일에 개입하기 싫어서 거절했다.”

 

 

또 다른 제안이 있었던 것인가.

 

“있었다.”

 

 

누구였나.

 

“박희태 의장님(당시 국회의장)이었다.”

 

 

박 전 의장을 어떻게 만나게 된 것인가.

 

“C어르신의 소개로 박희태 의장님을 만나게 됐다. 어르신과 박 의장님의 경우 술자리에서 인사를 했고 당시 오더(디도스 공격)로 인해서 더욱 자주 만남을 가졌다. 박 의장님은 다이렉트로 연락이 없어도 대부분 저에게 오더가 오던 라인이 의장님 라인이어서 그렇게(박 의장의 오더라고) 알고 있었다.

 

C어르신은 당시 소망교회 집사셨는데, 다니던 술집에서 소개를 받게 됐고 덕분에 정계분들을 많이 소개받았다. 삼성동 자택과 D호텔 피트니스 센터에서 소개를 받기도 했다. D호텔 피트니스 센터는 당시 정계 및 대기업 임원들의 교류장소로 ‘핫 플레이스’(hot place)였다. C어르신께서 E기업의 수주권한을 주셔서 상당히 가까워지게 됐고, 그러다보니 자연스럽게 새누리당(당시 한나라당) 의원님들과도 인사를 하게 됐다.”

 

 

박희태 전 의장은 소개를 시켜줬다는 C씨에 대해 “이름조차 들어보지 못했다. 단 한 번도 만난 적이 없다”면서도 “오래된 일이라 100% 확신할 수는 없다”고 밝혔다. 

 

 

제안이 온 시점은 언제인가.

 

“첫 제안이 들어온 건 (2011년) 여름쯤이다.”

 

 

서울시 무상급식 주민투표가 있었던 날은 2011년 8월24일이고, 주민투표가 무산되면서 8월26일 오세훈 서울시장이 사퇴했다. 서울시장 보궐선거가 결정된 후에 선관위 디도스 공격을 제안받은 것인가.

 

“아니다. 8월24일 이전이다.”

 

 

그렇다면 서울시장 보궐선거가 결정되기도 전에 선관위 디도스 공격을 제안받았다는 것인가.

 

“그렇다. 왜냐하면 원래 타깃은 서울시장 보궐선거가 아니고, (이듬해인) 2012년 4․11 총선이 메인 타깃이었기 때문이다. 서울시장 보궐선거는 총선을 앞둔 연습게임이었다. 첫 제안 때부터 총선이 메인타깃이라고 들었다. 그 사이 서울시장 보궐선거에서 진주팀(당시 선관위 디도스 공격을 실제 실행한 팀)이 디도스 공격을 실행할 때 일부분 같이 테스트가 들어갔던 것이고, 사건화가 되면서 문제가 생겨 올스톱 시켰던 상황이다. 특정 지역의 투표율 하락이 목표였다.”

 

 

어느 선거든 사이버테러 공격이 가능하다는 건가.

 

“그렇다. 선거 때마다 이런 팀들이 만들어지곤 한다. 선거마다 이런 팀들은 항상 존재한다고 보면 된다.”

 

 

이 계획을 세운 최고 윗선이 누구였나.

 

“당시 서울시장 선거를 앞두고 당(한나라당) 전체 차원에서 나경원 후보를 밀어야 한다는 분위기가 형성된 것으로 알고 있다. 당 전체가 힘을 모아서 하는 분위기였고, 나에게는 박 의장님이 주도적으로 제의를 했다. 박 의장님 외에도 당 수뇌부는 당연히 알고 있었을 거라고 생각한다. 왜냐하면 먼저 당에서 지지율 조사를 거쳐 SNS 작업이 들어가고 마지막으로 선관위 공격을 들어가는 순서였기 때문이다. 당시 어르신들 라인을 잘 조합해보면 대략적인 그림은 보일 것이다.”

 

 

선관위 디도스 공격은 실제로 어떻게 실행된 것인가.

 

“투표소가 검색이 되지 않은 부분은 절대 디도스 공격 하나만이 아니다. 결과 값이 다르게 나오고 하는 것은 일차적으로 서버의 DB(데이터베이스) 연결을 바꿨기 때문이고, 디도스 공격으로 트래픽이 발생해 검색이 되지 않는 것처럼 보이게 만든 것이다.”

 

 

디도스 공격 외에 다른 공격이 있었다는 것인가.

 

“그렇다. 실제 선관위 디도스 공격을 실행한 진주팀 외에 다른 팀이 존재했다. 디도스 공격 외에 다른 해커들의 해킹이 있었던 것은 100%다. 진주팀이 디도스 공격을 한 것이고 나머지 공격은 다른 팀이 한 것이다. 나에게 제안이 온 뒤 다른 여러 팀들에게도 제안이 갔고, 진주팀을 포함해 3~4팀이 운영됐다. 

 

당시 경찰 사이버테러대응센터와 KISA(한국인터넷진흥원)에서 첫 대응을 했던 것으로 기억하는데, 디도스 공격만 찾아내고 로그 분석에서는 이상이 없다고 나온 것으로 기억한다. 선관위 서버의 감염 또한 찾아내지 못했고, 스크립트로 검색되는 기본적인 것 역시 왜 변경이 됐는지도 못 찾은 것으로 알고 있다. ‘경찰은 뭘 한 거지?’라는 생각이 상당히 들게 만드는 부분이었다.”

 

 

본인은 어떤 역할을 했나.

 

“내가 전공으로 하던 부분이 서버 해킹이었고, 서버의 트래픽을 올려서 마비시키는 디도스와는 달리 SQL(DB에 접근할 수 있는 DB 하부 언어) 정보를 원하는 입맛에 맞게 변경을 하고 서버의 자료를 통으로 날리는 것까지 가능하다. 백업서버의 연결 및 자료 역시 변경을 해둔다.

 

직접 공격수로 뛰라는 제안에 대해서는 거절을 했다. 해킹에 필요한 패킷 변경 툴을 만드는 것을 도왔다. 바로 투입할 수 없으니까 테스트도 몇 번 해봐야 하는데, 여름부터 테스트하고 결과 보고 피드백 보고 수정해 주고 그런 역할을 했다. 당시 진주팀과 일 관련해서 컨택이 됐던 사람은 강 실장(선관위 디도스 공격을 실행해 실형을 선고받은 강아무개씨)이었다. 진주팀 외에 다른 팀에도 친분이 있는 사람이 있어서 상황을 알고 있었다.”

 

 

선관위 공격에 대한 대가는 무엇이었나.

 

“내 경우 정부기관에 컴퓨터 관련 장비를 납품하는 계약을 수주하는 조건이었다. 선관위 디도스 사건이 적발되면서 진행이 되지 못했다. 진주팀의 경우 불법 도박 사이트를 운영하고 있었는데, 양지에 나와서 큰 사업을 하는 것에 대한 사업 기회를 주는 조건으로 알고 있다.”​  

 

이 기사에 댓글쓰기펼치기