1. 디도스 공격은 5:50 부터 9시까지, 그리고 그 뒤로 꾸준히 일정 수준이 있었음
2. 회선은 3개. 2개는 KT, 1개는 LG U+. 각각 155MBps (대략 1.5Gbps)의 대역폭
3. 메모리 100%는 0시부터 이미 존재했다고 자료에 나와있으며 6:52, 6:54에 데몬 재시작으로 통해 해소
(이 메모리 100%는 선관위의 웹서버 프로그램의 버그였다고 선관위가 발표)
4. 선관위는 6:30과 6:50에 각각 IP차단과 회선 증속을 했다고 추가 발표(엊그제)
5. 선관위 내부망은 방어장비와 방화벽, IPS 등에 의해 보호받고 있어 전혀 영향이 없었음
6. 4의 조치를 취해도 디도스 공격이 계속되자 7시에 KT 회선을 차단함 (선관위 결정)
7. 살아있던 LG U+망에는 디도스 공격에 의해 BGP Up/Down 현상 발생으로 30MBps(초기) 이후 10MBps 의 트래픽만 발생함 (선관위 주장)
8. 결국 길 3개 중에서 2개는 선관위가 끊었고, 나머지 1개는 빙판이 얼어서인지 제대로 통행이 안됨
9. 이에 따라 450MBps 회선을 이용해야 할 사용자들이 10MBps에 몰리면서 사이트를 열어본 사람이 거의 없음
이에 대해
1. 사전에 대응 준비는 왜 안했냐?
2. 사전에 준비가 안되었어도 왜 이리 대응이 늦었냐?
선관위의 답은
(순서를 바꿔서)
2. KT망은 클린존이 있지만 선관위는 PUBNET(국가 초고속망)을 이용하는데 여긴 그런거 없다. 그런데 추가 보고서에 보면 7:30까지 해결이 안되서 PUBNET의 사이버대피소로 이동해서 8:32에 열었다고 나옴. 즉, 처음 5:50에 그 조치를 취했으면 늦어도 7시면 해결됐다는 소리
1. 이건 총선이나 대선같은 큰 선거가 아니라서 총선때만큼 대비할 필요가 없다고 생각했다.
------------------------------------
1. 선관위 홈페이지는 KT망과 LG U+망이 병렬로 되어 있어 KT망이 끊어지면 LG U+망이 작동하도록 되어 있지만 당일 이 병렬 대응 체계가 정상 작동하지 않음
2. KT망으로 KT망 용량(약 300MBps)보다 조금 적은 양(약 240MBps)의 디도스 공격이 들어왔음
3. 디도스 공격이 줄어들고 있고 LG U+망으로의 우회가 작동하지 않는 시점이었던 7시경, 선관위는 강제로 KT망을 차단했음
4. KT망을 강제로 차단한지 1시간 32분이 경과한 후에야 KT의 디도스 대응 서비스인 클린존을 통해 들어오도록 조치하여 다시 KT망을 연결함. 이 과정에서 7시 30분경에 KT 회선 중 한 개가 열렸는데 40MBps 정도의 트래픽을 보여주다가 갑자기 다시 차단됨
5. 이후 서비스가 어느 정도 정상화 됨
6. KT망이 차단된 1시간 32분 동안 누구는 됐다고 말하는 이유는 LG U+망이 “부분적으로” 작동하고 있었기 때문인 것으로 보임
7. 결론적으로 선관위는 반드시 KT망을 차단할 이유가 없는 것으로 보이는 상황에서 KT망을 차단했음. 선관위는 그 이유를 납득할 수 있게 설명해야 함