“DNS 로그가 부족한 상황에서 완벽한 원인규명은 불가능하다"
정통부가 2주 넘게 합동조사단을 만들어, 이번 인터넷대란의 원인에 대해 조사한 결과를 발표했지만, 증거부족으로 실체적인 진실을 밝히지는 못했다는 지적이다.
정통부는 현장조사와 함께 당시 로그자료(DNS, 침입탐지시스템)와 트래픽자료를 토대로 정밀분석했다고 밝혔다. 하지만 사고당시 KT 등 통신사 DNS 서버에 대한 전체 로그 데이터가 없는 이상, 발표내용이 한계적일 수 밖에 없다.
KT 혜화전화국만 해도 원격로그서버를 두고 있지 않다. 이는 1초당 수만건 이상의 패킷을 처리하는 DNS의 특성상 통신업체들은 오가는 데이터에 대한 전체 로그기록은 남기지 않고 있기 때문.
따라서 18일 정통부가 야심차게 발표한 사고원인 발표도 통신업체가 다른 장비(침입탐지시스템, 네트워크관리시스템 등)에서 선별적으로 수집한 자료에 근거할 수 밖에 없었다.
즉 조사결과의 공정성과 객관성을 보장해주는 기준이 되는 조사내용과 방법에 있어, 근본적인 한계를 가질 수 밖에 없다는 지적이다.
합동조사단이 발표한 자료에 따르면 KT DNS(도메인 네임 시스템)서버에 리버스쿼리(IP확인 역질의)가 25일 오히려 줄어들다가 26일부터 늘어나게 돼 있는데, "이 때 가입자단의 서버나 방화벽외에 KT 내부 장비는 어떤 영향을 미쳤는가”에 대해 제대로 설명하지 못한 것을 봐도 알 수 있다.
이에대해 차양신 정보보호기획과장은 “평상시에도 3~5%의 리버스쿼리는 있기 마련인데, 1초에도 2~3천건씩 쌓이는 DNS 로그 자료를 통신사업자가 모두 보관하지 않기 때문에 완벽한 설명은 불가능하다”고 말했다.
통신사업자가 수집한 일부 로그데이터를 분석한 결과, 망관리 장비와 방화벽 등에서 리버스쿼리가 발생하는 것으로 추측됐지만, 완벽하게 원인을 설명할 수 는 없다는 것을 시인한 것이다.
한동훈 KT팀장은 “DNS에 오가는 패킷을 전부 기록하고 있지 않다는 것으로 인해 이번 발표가 조작됐다거나 한계적이라고는 볼 수 없다”고 말했다.
하지만 그는 합동조사단이 발표한 자료에 나와있는 ‘1월 25일 KT DNS 재시도 질의량 변화추이’와 ‘1월 25일 KT DNS 정방향/역방향 질의량 변화추이’그래프는 어떤 장비에서 어떻게 만들어진 것인 지 묻는 질문에 대해서는 대답을 회피, 의혹을 증폭시켰다.
DNS 로그서버가 없는 상황에서 어떤 데이터를 근거로 그래프를 만들고, 원인을 규명했는지 전혀 설명하지 않은 것이다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기