디도스 관련 수사 결과 자료 전문 1 - 범죄 비용은 고작 30~40만원

<디도스 관련 수사 결과 자료 전문 1 - 범죄 비용은 고작 30~40만원>

<디도스 관련 수사 결과 자료 전문 2 - 디도스 공격 성공률 0.3%에 불과>

<디도스 관련 수사 결과 자료 전문 3 - 평가>

 

* 검정색 註는 검찰측 부연 설명

* 초록색 註는 알타이하우스의 개인적인 설명. 나는 이 사건이 난 뒤 최구식 의원이 없는 사무실에 나가 사건 초기 진실을 알아보기 위해 노력한 바 있다. 말하자면 경찰청 수사 자료 등을 보고 분석하고, 변호인을 통해 사건 전개 과정을 살피고, 사무실 수색 과정을 지켜보았다. 한편 야권에서 제기하는 의혹에 대해 전면에서 알아보고 물어보고 진실과 대조해보는 노력을 했다. 국회의장 비서 김모씨도 한번 보았는데, 이 친구가 진실과 너무 먼 얘기를 해서 초기에는 나도 무언가 다른 음모가 있지 않나 의심한 적이 있다. 김모 비서 덕분에 초기 진실 규명에 실패한 측면이 있다.

* 이 검찰 수사 자료는 2012년 1월 6일 금요일 오후 3시에 발표한 것이며, 범죄사실은 재판에 의해 확정된 것이 아니라는 전제가 붙어 있다.

* 보도자료 작성자 / 서울중앙지검 첨단범죄수사2부 부장 검사 김봉석 전화 02-530-4304

 

제 목	『중앙선관위 DDoS 공격 사건』수사 결과

 

차례 / 요지

         수사 경과

         1. 사건 개요

         2. 수사 결과

         3. 각조 의혹에 대한 수사 결과

         4. 마치며

 

요지 /

서울중앙지방검찰청 특별수사팀(팀장 부장검사 김봉석)은

❍ 2011. 10. 26. 중앙선거관리위원회 홈페이지 DDoS 공격 사건에 대하여 수사한 결과,

❍ 국회의원 최구식의 운전기사 공OO(27세), 도박사이트 운영업체 직원 차OO(27세), 국회의장 의전비서 김OO(30세) 등 총 7명을 정보통신기반보호법위반·공직선거법위반죄 등으로 구속 기소하였음

 

수사 경과 /

 

❍ 서울중앙지검 특별수사팀은 국회 의원회관 등 압수․수색, 계좌추적, 통화내역 분석, 모바일․컴퓨터 분석 및 최구식 의원을 비롯한 62회의 참고인조사 등 철저히 수사한 결과,

- 선거 전날 공OO이 차OO에게 DDoS 공격에 대해 문의하고 위 2명이 술자리가 시작된 22:00경 이전에 선관위 홈페이지에 접속해 보는 등 미리 범행을 계획한 사실을 새롭게 밝혀내고,

- 10. 20. 김OO이 공OO에게 송금한 1,000만원이 차용금이 아니라 범행대가라는 사실 및 김OO과 공OO의 사전모의 사실을 입증할 수 있는 정황증거 등을 추가로 확보하여

❍ 구속 송치된 공OO 등 5명 외에 순차적으로 범행을 사전모의한 김OO 등 2명을 추가로 구속하였음

 

? 피고인들의 관계 및 성향, 범행방법

 

❍ 김OO, 공OO 및 범행을 실행한 도박사이트 운영업체 관계자 강OO(25세) 등은 모두 같은 지역 출신으로서 학교 선후배 등 관계로 얽혀있음

❍ 도박사이트 운영업체 ㄱ社 대표 강OO 등은 모두 20대로 특수절도, 공문서위조 등 범죄 전력이 다수 있고, 불법 도박사이트 운영으로 쉽게 돈을 벌어 외제차 구입, 유흥비 등으로 사용하였고, 강OO, 황OO(25세)는 필로폰 투약자들임

* 사건 초기 경찰 수사 중에, 범인들 중 강씨, 황씨 등이 필로폰 투약 사실이 발각되면 더 무거운 벌을 받을까봐 거짓 진술을 하고 있다는 공모 비서의 증언이 있었다.

❍ 김OO, 공OO은 DDoS 공격으로 중앙선관위 홈페이지의 투표소 찾기 기능을 마비시키면 투표율을 낮추게 되어 특정 후보자에게 유리하게 되리라는 무모하고 막연한 기대로 이 사건을 모의한 것으로 보임

* 이런 황당한 생각을 이해하지 못해 혼선이 빚어짐. 그러나 국회의장 김모 비서가 신분 상승을 꾀하기 위해 이 범죄를 기획했다는 수사 결과를 보고서야 일부 수긍이 감. 공 비서 단독 범행이라고 할 때는 공 비서를 잘 아는 사람들 모두 그럴 만한 위인이 못된다는, 컴퓨터도 모르고, 해킹이 뭔지도 모르는 아이라 사건 자체가 해석이 안되었음. 이때는 야권에서 제기하는 윗선 지시설을 우리도 긍정했음. 우리도 모르는 더 윗선을. 그러나 사실무근으로 밝혀짐.

❍ 한편, 강OO 등은 불법 도박사이트 운영에 그치지 않고 국회의원 운전기사인 고향선배 공OO을 통하여 온라인 도박사이트 합법화 방안을 모색하던 중 공OO으로부터 범행 부탁을 받고는 평소 경쟁 도박사이트를 DDoS 공격하던 방법 그대로 범행을 실행함

* 초기 내가 조사한 바에 따르면 이 정도 규모의 디도스 공격은 도박사이트 등 불법 사이트 운영자간에는 수시로 이루어지는 상시 범죄였음. 야권 일부 기술자들은 이런 사실을 알면서도 대한민국이 무너진 사건인 듯 침소봉대하였음.

❍ 또한, DDoS 공격을 실행한 ㄱ社 직원 김△△(27세)이 공격에 필요한 좀비PC 500여대를 확보하는데 소요된 비용은 30~40만원이고, 공격지시를 할 수 있는 프로그램 ‘OO툴’은 인터넷 검색을 통해 무료로 다운로드한 것으로 공격 준비에 소액의 비용만이 필요하였음

* 일부 음모론자들은 디도스 공격하려면 최소한 2년 정도 준비해야 하고, 최소 2억원 정도의 자금이 필요하다고 거짓말했음. 실제 모든 도박 사이트 운영자들은 이 툴을 다 가지고 있다고 함.

 

? 관련 의혹에 대한 수사 결과

 

❍ 이 사건과 관련하여 국회 의원 등 여타 정치인이나 단체의 범행 개입, 중앙선관위 내부자의 공모 또는 고의적 장애 방치, 투표소 고의 변경 등 의혹이 제기되었으나,

❍ 컴퓨터 로그기록․휴대전화기 복원 및 정밀분석, 광범위한 압수수색 및 분석, 계좌추적, 통화내역 분석, 관련 참고인들에 대한 조사, 외부 전문기관인 KISA(한국인터넷진흥원) 등과의 공동 검증 결과 위와 같은 의혹들을 뒷받침할 수 있는 증거는 발견되지 않았음

 

Ⅰ. 사건 개요

 

? 사건의 성격

❍ 이 사건은 민주주의의 근간을 이루는 선거에 있어 특정 후보자에게 유리하게 할 목적으로 헌법기관인 중앙선관위의 홈페이지를 불법적인 방법으로 공격한 헌정 사상 초유의 사건임

❍ 검찰은 이 사건에 대한 국민적 의혹을 남김없이 해소하기 위해 성역 없이 수사한다는 각오로 임하였고, 보유하고 있는 모든 과학수사 역량을 동원하였음

- 다만, 사건의 성격상 은밀하게 진행된 공모 과정을 규명하기 위해서는 관련자들의 진술이 가장 중요한 증거인데, 주모자인 국회의장 의전비서 김OO과 최구식 의원 운전기사 공OO이 공모 혐의를 부인함에 따라 수사에 난항

❍ 수사한 결과, 불법 도박사이트 운영자들이 별다른 전문지식 없이도 평소 경쟁관계에 있는 도박사이트를 공격하던 방법으로 중앙선관위 홈페이지의 정상적인 작동을 방해할 수 있었고,

- 또한, 하위직 공무원인 국회 운전기사 등의 무분별한 범행 모의에서 비롯되어 소수의 인원으로 감행된 범행이 국가 전체에 혼란과 국력소모를 초래하였다는 점에서 국민적 경각심을 불러일으킴

 

? 범행 개요

❍ 범행 모의

- 제17대 국회의원 선거를 앞두고 2003년 국회의원 운전기사로 들어와 2010. 6.경부터 국회의장 의전비서로 근무했던 김OO과 그의 추천으로 국회의원 운전기사로 근무했던 공OO이

- 2011. 10.경 중앙선관위에 대한 DDoS 공격을 모의하면서 10. 20. 김OO이 공OO에게 범행대가로 1,000만원을 송금

* 1000만원이 범행대가라는 수사결과는 검찰측이 여론 압박에 못이겨 엮어 넣은 듯하다는 느낌이 강하게 듬. 근거라고는 차용증을 요구하는 김모 비서에게 공비서가 "차용증ㅋㅋㅋ"라는 문자메시지를 보냈다는 것인데, 재판과정에서 논란이 있을 것임.

❍ 범행 실행

- 10. 25. 21:00~23:30경 공OO은 ㄱ社 직원이자 고향 친구인 차OO 및 ㄱ社 대표이자 고향 후배인 강OO에게 전화로 중앙선관위에 대한 DDoS 공격 가능성을 타진한 후 범행을 부탁하고,

- 강OO은 ㄱ社 직원으로서 평소 경쟁 도박사이트 등에 대한 DDoS 공격을 담당한 김△△에게 범행을 지시, 김△△은 10. 26. 01:01~01:43경 테스트 공격에 이어 05:53~08:54경 DDoS 공격 감행

? 주요 수사 내용

❍ 총 547개 금융계좌 추적, 총 353개 전화번호 통화내역 조회, 국회 의원회관을 비롯한 7개소 대상 압수수색, 모바일 및 컴퓨터 분석 111건, 최구식 의원을 비롯한 참고인 44명에 대하여 총 62회에 걸친 참고인조사 등 광범위하고 성역 없는 수사를 전개

❍ 특히, 김OO의 컴퓨터 및 공OO의 노트북 컴퓨터를 추가 압수하여 면밀히 복구․분석하였으며, 스마트폰 문자메시지 복원, 광범위한 통화내역 분석 및 추가 제출받은 선거일 前 선관위 홈페이지 접속 기록 대조․분석 등 치밀한 수사 진행

❍ 그 결과, 선거일 전날 공OO이 차OO에게 DDoS 공격에 대해 문의하고 위 2명이 술자리가 시작된 22:00경 이전에 중앙선관위 홈페이지에 접속한 로그기록을 확인하는 등 술자리 이전에 범행을 계획한 사실을 새롭게 밝혀내고,

❍ 10. 20. 김OO이 공OO에게 송금한 1,000만원이 그들의 주장과는 달리 차용금이 아니라 범행대가라는 사실과 김OO과의 사전모의 사실을 입증할 수 있는 정황증거 등을 추가로 확보

 

Ⅱ. 수사 결과

? 피고인들 간의 관계

❍ 김OO과 공OO

- 김OO과 공OO은 같은 지역 출신에 고교 선후배 관계일 뿐만 아니라 2003년 김OO이 운영하던 샐러드 배달 업체에서 공OO이 근무하면서 업주와 종업원의 관계로 각자 사회생활 시작

- 김OO이 2003. 11.부터 약 8년 동안 정치권에서 일하면서 수회에 걸쳐 공OO을 도의원 선거캠프와 국회의원 선거캠프로 이끈 후 2010. 6. 국회의장 비서실로 갈 때 다시 자신의 후임 운전기사로 추천

- 따라서, 공OO의 입장에서 김OO은 사회생활의 바탕을 마련해준 은인이자 후견인의 위치에 있었음

❍ 공OO과 강OO 등 ㄱ社 관계자들

- 공OO과 ㄱ社 직원 차OO은 중학교 동기동창이자 2006년 도의원 선거캠프에서 함께 선거운동원으로 활동하였고, 차OO의 소개로 공OO과 ㄱ社 대표 강OO이 알게 됨

- 강OO은 국회 소속 하위직 공무원인 공OO에게 온라인 도박사이트의 합법화 가능 여부를 타진하고, 이에 공OO은 국회에서 관련 자료를 찾아주는 등으로 친분을 쌓아왔음

- 그 외 ㄱ社 직원으로서 범행에 가담한 황OO, 김△△, 강△△(24세)는 모두 진주 출신 선후배 관계로서 상호 초등학교 동기 또는 고교 선후배임

❍ 김OO과 ㄱ社 관계자들

- 2011. 9. ㄱ社 직원 강△△이 교통사고로 입건되자 공OO의 부탁으로 김OO이 담당 경찰관을 통해 수사상황을 확인해주었고, 이에 ㄱ社 대표 강OO이 김OO에게 답례로 식사를 제공하며 인사

- 김OO도 강OO을 위해 스포츠토토 복권사업을 운영하는 국민체육진흥공단 관계자를 만나 온라인 카지노 사업 합법화 가능성 등을 논의

? 범행동기

❍ 김OO

- 김OO이 국회의장 비서실 소속으로서 제18대 국회 종료시 거취가 불분명한 상태에서 최근 주변에 행정부 등 타직역으로의 진출을 희망하였다는 참고인 진술 확보

- 결국 국회의원 비서에 비해 신분이 보다 안정적인 행정부 등 타직역으로의 진출을 희망하던 김OO이 이를 위해 공적을 세우려는 무모한 의도에서 비롯된 것으로 보임

❍ 공OO

- 공OO은 2006년 도의원 선거캠프에서 일한 것을 시작으로 국회의원 지역구 운전기사로 일하다가 2010. 9.경 상경하여 비로소 국회 공무원으로 임용, 9급 운전기사로 근무

- 후견인이라 할 수 있는 김OO와 함께 선거에서 공적을 세워 단순 운전원기사에서 정식 보좌관 등으로의 신분상승을 모색하며 무모하게 범행에 가담한 것으로 보임

* 공모 비서는 9급 비서였다. 그가 보좌관이 되려면 4급이 돼야 하는데 5계단이나 올라가야 함. 따라서 공모 비서는 평소 '형님으로 모시는' 김모 비서의 지시를 단순하게 받아 실행한 것으로 보는 게 맞을 듯.

❍ ㄱ社 대표 강OO

- 최근 불법 도박사이트 운영, 마약 투약 뿐만 아니라 특수절도, 공문서위조, 사기 등 범죄 전력이 다수임

- 공OO을 통해 온라인 도박사이트 합법화를 모색하던 상황에서 경쟁 도박사이트 공격을 위해 평소 DDoS 공격 툴과 다수의 좀비PC를 확보하고 있었어서 공OO의 부탁에 쉽게 응함

? 범행방법

❍ 범행 지시 및 실행행위

- 공OO의 범행부탁을 ㄱ社 대표 강OO이 ㄱ社 직원들에게 지시하여 김△△이 DDoS 공격을 실행하고 황OO, 차OO, 강△△이 홈페이지 정상 접속 여부를 확인한 사실은 5명 모두 자백

- 범행에 사용된 컴퓨터, 공격 실행 장소에 설치된 인터넷 회선의 로그기록, 중앙선관위와 박원순 후보 홈페이지의 로그기록 및 피고인들간 통화내역 분석 결과 등 객관적 증거 확보

- 김△△은 2011. 초 경쟁 도박사이트에 대한 DDoS 공격을 위해 공격지시를 할 수 있는 프로그램 ‘OO툴’을 인터넷에서 무료로 다운로드하고 공격에 필요한 좀비PC 500여대를 확보해둔 상태

- 공격에는 위 ‘OO툴’을 사용하였고, 동원된 좀비PC는 229대이며, 공격방식은 OO툴에서 제공하는 ICMP Flooding, UDP Flooding, GET Flooding, CC공격 등을 혼합 사용

- 공격에는 2011. 초 인터넷에서 다운받은 DDoS 공격 프로그램 ‘OO툴’을 사용하였고, 동원된 좀비PC는 229대이며, 공격방식은 OO툴에서 제공하는 ICMP Flooding, UDP Flooding, GET Flooding, CC공격 등을 혼합 사용

* 공격에 사용된 좀비PC 개수는 좀비PC 선정기준 및 대상 로그 자료에 따라 분석 주체별로 상이한 결과를 보이고 있는바, 경찰은 196대, KISA는 275대, 검찰은 229대로 분석

 

- 외부 전문기관인 KISA에서 실제 DDoS 공격 트래픽량을 확인하기 위해 김△△이 실제 사용한 공격도구로 시연한 결과, 좀비PC 1대당 최대 37.5Mbps DDoS 공격 확인됨(229대의 좀비PC가 동시에 UDP flooding 공격할 경우 산술적으로 최대 8.3Gbps까지 트래픽 발생 가능)

? 피고인들 간의 금전거래

❍ 피고인들들 간 금전거래는 범행 전 1,000만원과 범행 후 9,000만원 합계 1억원으로 확인

❍ 첫 번째 1,000만원에 대해 피고인들은 단순 차용관계라고 주장하지만, 이자 약정의 유무, 돈의 전달 시점, 중간에 강△△ 명의 계좌를 사용하여 자금추적 회피를 시도하였던 정황, 송금 당시 김OO과 공OO 사이의 문자메시지 내용 등을 종합하면, 공OO이 보관하다가 범행 완료 후 전달한 범행대가로 판단

- 1,000만원의 수수 경위 및 명목에 대하여 강OO, 차OO, 공OO의 진술이 불일치

- 김OO과 공OO 사이에는 월 25만원 이자 약정하였다면서 공OO와 강OO 사이에는 이자약정 없음

- 1,000만원이 ㄱ社 직원들의 급여로 사용되었는데, 당시 강OO의 개인계좌와 ㄱ社 법인계좌상 급여지급액 상당 잔고 존재

- 김OO이 공OO에게 인터넷뱅킹으로 1,000만원 송금 당시 송금적요란에 ‘차용증’이라고 입력하였는데, 송금 직후 공OO이 김OO에게 ‘차용증 ㅋㅋㅋ’라는 문자메시지 발송

- 1,000만원과 관련하여 김OO이 제3자를 통해 공OO의 진술조작 시도 등

❍ 두 번째 9,000만원은, 돈의 사용처와 반환 경위 등에 비추어 ㄱ社의 도박사업에 김OO이 개인적으로 투자한 돈일 뿐 범행대가는 아닌 것으로 보이나, ㄱ社의 범행관련성을 알고 있던 김OO이 거액을 투자한 사실은 그들 간의 공범관계를 입증하는 유력한 증거

- 도박사업에 자금 투자하면 3~4일 후 30% 이익 남겨주겠다는 강OO과 차OO의 제의에 따라 김OO이 투자하였다는 점에 대해 진술 일치

- 강OO과 차OO이 9,000만원 중 8,000만원을 도박사이트에서 탕진한 후 김OO에게는 차OO이 돈을 갖고 잠적한 것처럼 둘러대자 김OO이 차OO의 행방을 추적한 사실이 확인되는 등 정황증거에 비추어 범행대가로 보기는 어려움

- 그러나, 강OO 등이 DDoS 공격 감행한 사실을 이미 알고 있는 상황에서(11월 초순 김OO으로부터 ‘DDoS 공격한 범인이 누군지 알고 있다’는 말을 들었다는 참고인 진술 확보하였고, 김OO도 10. 26. 아침 공OO으로부터 들어 강OO 등이 범인임을 알고 있었다고 진술) 강OO 등에게 국회의장 의전비서가 거액을 투자한 것은 범행이 절대 발각되지 않으리라는 공범 사이의 믿음 없이는 불가능

- 강OO은 김OO으로부터 9,000만원의 반환 독촉을 받고 모친의 전세보증금 및 자신의 벤츠 차량을 담보로 금원을 대출받아 변제

❍ 1억원의 자금 출처는 김OO이 그 무렵 서울 성수동에서 일산으로 이사하면서 반환받은 전세금 일부와 2011. 6. 사업체를 운영하는 친구에게 빌려주었던 9,000만원 중 일부 반환금 및 마이너스 대출금의 일부로 확인되었고, 김OO 외 제3자와의 관련성은 없음 <다음으로 계속>