총선 투표지 분류기의 외부 통신 가능성에 대한 약간의 고찰 (가짜 DNS 서버 문제)

반달가면 이글루에서 백업 - http://bahndal.egloos.com/638012 (2020.5.13)

 

민경욱 "사전투표용지 무더기 발견…조작증거"

 

5월 11일자 연합뉴스 기사다. 민경욱 의원이 이번 총선과 관련하여 사전투표가 조작되었다고 여러 가지 의혹을 제기했다는 내용이다. 기사 본문에서는 주로 투표용지에 관한 내용을 다루고 있는데, 내 입장에서 가장 관심이 간 부분은 아래의 한 문장이다.


개표에 쓰인 투표지 분류기가 외부와 통신할 수 있다는 취지의 익명 음성 녹취를 공개하며 분류기 기기 검증도 촉구했다.


다른 언론사의 기사들도 몇개 살펴보았는데, 인문계와 이공계의 관점 차이인지 아니면 무슨 이유인지 다들 투표용지에 대한 내용만 길게 쓰고 분류기의 외부 통신 가능성에 대해서는 아예 언급하지 않거나 그냥 저렇게 한 문장 정도로 언급만 하고 넘어갔다.

이전에 쓴 게시물에도 언급했듯이(여기에), 투표 결과에 뭔가 문제가 있다면 아마도 IT 측면에서 문제가 발생했을 가능성이 크다고 생각하고 있었는데 언론 기사에는 관련 부분이 너무 간단하게만 나와 있었다. 그래서, 결국 해당 발표 내용을 직접 찾아보기로 했다.

유튜브에서 검색을 해 보니 "가로세로연구소"라는 유튜브 채널에서 발표장에 가서 전체를 녹화해 놓은 것이 있다.

 

https://youtu.be/qKRodmPQSgE 

 

(백업하는 현 시점에 확인해 보니, 해당 동영상은 이제 볼 수 없게 된 듯하다.)

 

1시간 35분 정도 되는 동영상인데, 민경욱 의원은 후반부에서 등장한다. 동영상 시작후 약 53분 정도 지난 시점부터다.  

발표한 내용에 의하면, 비례투표용지는 계수기라는 기기를 거치고 지역구 투표용지는 분류기를 거치는 것으로 보인다.

계수기는 "(주)프러스 상사"라는 업체의 제품인데 해당 업체의 특허 자료에 의하면 외부 통신 기능을 갖추고 있을 것으로 의심되고, 투표지 분류기는 "한틀 시스템"이라는 업체의 제품인데 윈도우가 탑재된 제어용 노트북과 연결되어 있었다고 한다.

민경욱 의원은 둘 다 외부와의 통신 가능성이 있다는 의혹을 제기했다.

연합뉴스 기사에 언급된 "익명 음성 녹취"는 분류기와 연결된 제어용 노트북에 관한 것이다.

윈도우 명령 프롬프트(cmd)를 열고 ipconfig 명령을 입력해 보니 DNS 서버 항목에 IP주소가 설정되어 있었는데 그것이 가짜값이라는 식이다. 모르는 사람에게 구체적으로 설명하는 것이 아니라 상황을 아는 사람끼리 특정 부분만 얘기한 것 같고 그렇다 보니 대화 내용만 가지고는 정확히 어떤 상황인지 100% 이해가 되지는 않았다.

어쨌든, 이 사람들이 나눈 대화가 사실이라고 가정하고 최대한 끼워 맞춰서 생각을 해 보자면 대강 아래와 같다.   

그냥 ipconfig만 입력해서는 DNS 서버 정보가 나오지 않고 DNS 접미사(connection specific DNS suffix)가 나온다. DNS 서버 정보를 보려면 /all 옵션을 추가해 주어야 한다. 나중에 IP주소를 언급하는 것으로 보아 DNS 접미사 얘기는 아닌듯하고 /all 옵션으로 DNS 서버 주소를 확인한 것으로 보이므로, DNS 서버 주소가 유효하지 않았다는 가정으로 생각해 보기로 한다.

분류기와 연결된 윈도우 노트북에서 ipconfig 명령을 입력했더니 와이파이가 연결된 것으로 나왔다. 뭔가 이상하다. 만약 외부 통신망과 연결되지 않았다면 DNS고 뭐고 아예 IP주소 같은 정보가 출력되지 않아야 정상이기 때문이다.

만약 메인보드에 붙은 와이파이 칩셋을 납땜을 녹여서 제거한 노트북이라면 ipconfig 해봐야 아예 네트워크 아답터 정보조차 안 나올 것이고, 만약 와이파이 칩셋이 장착된 상태라면 네트워크 아답터 정보는 나오지만 "미디어 연결 끊김(media disconnected)"이라고 표시되고 IP주소나 DNS 관련 정보 자체가 없어야 한다. 그런데 와이파이가 연결이 되어 있고, DNS 서버의 IP주소는 확인해 보니 "가짜값"이라는 것이다.

노트북은 IP주소/서브넷마스크/게이트웨이/DNS서버 정보를 와이파이 중계기(AP)로부터 DHCP를 통해 받았을 것이므로, 해당 와이파이 중계기에서 DNS 서버에 유효하지 않은 주소를 설정해 두었다는 얘기가 된다.

자, 그러면 DNS 서버가 유효하지 않으면 어떤 일이 벌어지는가에 대해 잠깐 생각해 보자.

우리가 이글루스에 접속할 때 통상 www.egloos.com이라는 도메인 이름으로 접속을 시도한다. 이글루스 웹서버의 IP주소를 외워서 입력하지는 않는다. 하지만 실제로 통신을 하려면 IP주소를 알아야만 하는데, DNS 서버에게 이글루스 웹서버의 IP주소를 물어보면 답을 받을 수 있다.

그런데, 이 DNS 서버의 IP주소가 유효하지 않은 상태다. 누군가 이 와이파이 중계기에 접속을 해서 네이버나 다음이나 이글루스 같은 웹사이트에 접속을 해 본다면, DNS 서버와 통신이 되지 않으므로 접속이 되지 않는다. 인터넷에 대해 잘 모르는 사람이면 이 와이파이 중계기는 인터넷과 연결되어 있지 않았다고 착각할 수 있다. 그러나 실제로 이 중계기가 인터넷에 연결되어 있는지 아닌지 확인하려면 DNS 서버를 거치지 않고 이미 알고 있는 IP주소에 대해 통신을 시도해 봐야만 한다.

만약 이 중계기가 인터넷에 연결되어 있는 상태에서 DNS 설정만 문제라면, 노트북에 모종의 소프트웨어가 탑재되어 있고 도메인 이름이 아니라 미리 알고 있는 IP주소를 가지고 통신을 시도할 경우 아무런 문제 없이 통신할 수 있을 것이다. 또는 해당 노트북의 hosts 파일에 특정 서버의 이름과 IP주소가 들어가 있다면 - hosts 파일 조회가 DNS 조회보다 먼저 이루어지므로 - 그 서버와는 문제 없이 통신할 수 있다.

결론적으로, 누군가 아주 나쁜놈들이 개표소에 개표사무원/참관인 등으로 섞여 들어가서 노트북에 장난을 치고 스마트폰을 모바일 핫스팟으로 설정한 후에 이 노트북을 테더링하여 외부와 통신하게 만든다는 식의 상상이 가능하다.

SSID를 숨기지 않았다면 다른 사람들도 여기에 접속할 수도 있었겠지만 DNS 서버 정보가 유효하지 않으므로 "웹 접속이 되지 않으니 이 중계기는 인터넷에 연결되지 않았다"고 대수롭지 않게 생각했을 것이다.

물론 실제로 그런 일이 벌어졌느냐는 별개의 문제겠지만 말이다.

이 문제를 규명하기 위해서는 해당 노트북을 조사해서 와이파이 칩셋이 제거되어 있는지, hosts 파일에 수상한 항목이 추가되어 있지 않은지, DNS 서버를 조회하지 않고 외부와 통신하는 프로그램이 있는지 등을 확인하는 작업이 필요할 것으로 보인다.  

민경욱 의원의 발표에 의하면 분류기가 군포 물류센터 F-1 창고에 보관되어 있다는데, 아마 제어용 노트북도 같이 보관되어 있지 않을까 싶다. 그런데, 우연의 일치인지 모르겠지만 공교롭게도 4월 21일에 군포 물류창고에서 큰 화재가 발생했다.

 

군포 부곡동 물류센터 화재…"대응3단계 격상 발령 진화중"

 

21일 오전 10시 35분께 경기 군포시 부곡동 군포물류센터에서 불이나 소방당국이 대응 3단계를 발령, 진화작업을 벌이고 있다.

불은 10층짜리 물류터미널 F동 인근 쓰레기 소각장에서 시작된 것으로 당국은 추정했다.