텔레그램 디도스 공격자는 아마도 중국?

지난 10일부터 며칠간, 텔레그램(Telegram) 메신저에 접속이 안 되거나 대화가 잘 전달되지 않는 등의 서비스 장애 현상이 보였다. 텔레그램 측은 트위터를 통해 대규모 '디도스 (DDoS)' 공격을 받고 있다고 전했고, 문제를 해결하고 있다는 메시지를 보냈다.

 

결국 며칠이 지나서 해결이 됐지만, 그 사이에 몇 가지 의문과 혼란을 야기하는 메시지를 남겼다. 이걸 한 번 정리해보자.

 

 

(디도스 공격을 받고 있다고 알리는 텔레그램의 트위터 멘션. 출처: 텔레그램 트위터)

 

 

 

디도스 공격과 파블 두로프

 

그냥 디도스 공격만 알렸다면 사람들도 그냥 그렇겠거니 하고 넘겼을 텐데, 텔레그램 CEO '파블 두로프'는 다른 글과 함께 디도스 공격 소식을 전했다.

 

 

(라인 메신저를 언급한 파블 두로프 트위터 멘션. 출처: 파블 두로프 트위터)

 

 

파블 두로프의 트위터 멘션을 대략 해석하면 이렇다. 

 

"오늘 네이버 라인의 행동 때문에 몇 시간 정도 (구글) 플래이 스토어에서 텔레그램이 퇴출당했다. 이제 아시아 쪽에서 엄청난 디도스 공격이 가해지고 있다."

 

 

언뜻 보기엔 라인 메신저와 디도스 공격이 관련이 있는 것 처럼 말 한 것으로 보일 수도 있다. 하지만 '퇴출 어쩌고 했고, 이제는 디도스 어쩌고...'라고 두 문장이 분리된 것으로도 볼 수 있다.

 

그러니까 두 사건이 관련이 있다고 생각했을 수도 있고, 관련 없는 별개의 두 사건을 한꺼번에 언급했을 수도 있다. 무슨 의도였는지는 말 한 사람만 알 테다.

 

 

 

텔레그램 vs 라인, 딱지 싸움

 

 

파블 두로프의 멘션을 보고, 해외 IT 전문지인 '테크 크런치' 쪽에서 취재가 들어왔다(라고 하기엔 좀 거시기하지만).

 

 

 

그리고 테크크런치 쪽에서 기사를 하나 써 냈지만, 거기서도 라인과 디도스를 연관짓진 않았다. 내가 보기에도 그게 합리적으로 보인다. 아무리 라인 쪽에서 빡쳤기로서니, 꽤 알려진 회사가 그런 공격을 한다는 건 상식적으로 있을 수 없는 일이다. 그런 짓을 했다가 알려지면 완전 자폭이나 마찬가지이기도 하고.

 

 

어쨌든 일단 라인과 텔레그램의 스티커 싸움은 대략 이렇다.

 

최근에 텔레그램 쪽에서 사용자들이 자유롭게 스티커를 등록해서 사용할 수 있도록 서비스를 오픈했다. 즉, 자신이 만든 이미지를 텔레그램 스티커로 등록해서 대화중에 짠 하고 상대방에게 보여줄 수 있도록 한 것이다. 물론 별도로 스티커를 팔거나 하지는 않는다.

 

 

(라인 스티커 소개 이미지: 라인 홈페이지) 

 

 

 

문제는 전세계 유저들이 이 기능을 알고는, 라인을 비롯해서 여러 메신저들의 스티커 이미지 파일들을 빼와서 텔레그램에 등록시키기 시작한 것. 자기만 등록해서 쓰는 게 아니라, 아예 스티커 세트 공유 사이트를 열어서 클릭 몇 번으로 스티커를 등록할 수 있도록 만들어놓기도 했다.

 

이러면 당연히 스티커를 만든 쪽에서는 텔레그램에 스티커를 뺏겼다는 생각이 들 수도 있고, 더군다나 그게 유료 스티커라면 많이 껄끄러운 상황이 된다. 아마도 라인 쪽에서는 이 점을 구글과 애플에 항의한 것 아닌가 싶다 (아직 공식적인 입장 표명은 하지 않았다고 한다).

 

하지만 텔레그램 쪽에서도 할 말은 있다. 텔레그램 회사 차원에서 스티커를 빼 온 것도 아니고, 유저들이 스스로 스티커를 등록한 것이다. 그래서 좀 애매한 상황이 됐다. 일단 텔레그램은 다시 앱스토어에서 다운로드 받을 수 있는 상태가 됐지만, 이 문제는 또 언제 다시 불거져 나올지 알 수 없다.

 

스티커 문제는 대충 그렇게 요약할 수 있다.

 

 

 

디도스 공격은 아마도 중국?

 

 

테크크런치 기사에서는 이번 텔레그램 디도스 공격자가 중국이 아닐까라는 의혹을 제기했다. 

 

 

(테크크런치의 텔레그램 디도스 보도 기사: 홈페이지 캡처)

 

 

텔레그램 측은 약 200Gbps 정도의 디도스 공격을 받았다고 했다. 200기가비트면, 대략 25기가바이트 정도 될 테다. 1초에 1비트를 전송하는 것을 1bps 라고 하니까, 대략 1초에 25기가 바이트 정도의 공격을 받았다는 말이다. 아마 웬만한 하드디스크에서 파일 카피를 해도 이정도는 안 나올 테다.

 

일개 메신저 회사가 이런 디도스 공격을 했다는 건 상식적으로 납득할 수가 없고, 그렇다고 한국 정부가 공격을 했다는 것도 딱히 말이 안 된다. 최근에는 별로 그럴만 한 이슈도 없었지 않나. 자국 회사의 스티커 때문에 그런 짓을 했을리도 없고.

 

 

그런데 중국은 나름 의심할만 한 이유가 있다. 최근에 국내 뉴스에서도 작게 보도됐지만, 중국 본토에서는 언론 통제를 하고 있는 것으로 보이는 사건이 있기 때문이다. 인권운동가, 변호사 등의 인물 100여명이 연행된 사건이다.

 

중국 정부가 지난 9일(현지시간)부터 인권운동가ㆍ변호사들에 대해 전례 없는 단속에 나선 이후 실종되거나 연행된 사람이 100명을 넘어섰다.

 

(중국의 대표적 인권변호사 100여명 오리무중, 중앙일보, 2015.07.13.)

 

 

14일 교도통신과 산케이(産經)신문 등에 따르면 전날 중국에서 NHK 국제방송 낮 뉴스 프로그램이 방영되던 도중에 약 2분가량 화면이 검게 나오며 제대로 송출되지 않았다.

 

일본 언론은 중국 인권 변호사 등 100명 이상이 연행된 사태를 다룬 보도를 당국이 검열해 차단하면서 생긴 일이라고 분석했다.

 

(중국서 NHK뉴스 일시 차단.."인권 변호사 연행 보도 검열", 연합뉴스, 2015.07.14.)

 

 

테크크런치를 비롯한 여러 외신들에 따르면 최근에 연행된 사람들이 텔레그램을 사용했다고 한다.

 

중국은 이미 작년에 텔레그램을 비롯해서 카카오톡, 라인 등을 사용할 수 없게 막았다는 보도가 있었지만, 텔레그램 웹 버전을 사용하는 사람들이 있었다고 한다. 그리고 홍콩의 한 언론사는, 최근 사이버 공격과 함께 텔레그램 웹 버전도 본토에서 사용이 막혔다고 전했다. 

 

아마도 연행 소식 등을 전파하지 못하게 하기 위해 텔레그램을 못 쓰게 만들지 않았나라고 의심해 볼 수 있다.

 

 

 

https://en.greatfire.org/)

 

 

 

다른 사이트에 이 비슷한 공격이 올해 초에도 있었기 때문에 더욱 의심을 하는 상황이기도 하다. 중국이 차단하고 있는 인터넷 사이트나 서비스들 상황을 보여주는 GreatFire.org 라는 사이트가 있는데, 이곳이 올해 3월에 대규모 디도스 공격을 당했다.

 

그 사이트와 함께, 오픈소스 커뮤니티로 유명한 깃헙(GitHub)도 함께 디도스 공격을 당했다. 깃헙은 그래이트파이어가 운영하고 있는 두 페이지만 공격을 당했다고 한다. 그리고 공격을 당한 시점은 이 사이트가 해외 언론에 소개된 시점과 거의 일치했다.

 

 

 

the Great Cannon

 

 

이제 흥미로운 부분이다 (안타깝게도 아직 분석을 덜 해서 그리 많은 설명은 못 하겠지만).

 

중국이 소위 '만리방화벽 (the Great Wall)'을 설치해서 운영하고 있다는 것을 아는 사람은 꽤 있을 테다. 국가 차원에서 인터넷을 통제하기 위해 방화벽을 설치하고, 허락되지 않은 서비스 접속을 차단하는 것이다. 이미 한국 기업들도 이 방화벽에 막힌 것들이 꽤 있다.

 

토종 메신저 라인과 카카오톡이 중국에서 1년간 '먹통' 상태다... 이 같은 현상은 1년 전인 지난해 7월부터 시작됐다. 당시 중국은 라인과 카카오톡의 신규 이용자 가입이나 중국 내 메시지 전송 등 일부 기능을 차단했다. 이른바 '만리방화벽'(만리장성+방화벽)으로 차단한 것이다.

 

('만리방화벽'에 막힌 카톡·라인 중국서 1년째 먹통, 디지털타임스, 2015.07.08.)

 

 

그런데 앞서 소개한 '그래이트 파이어' 사이트 디도스 공격 사건이 일어난 후에, 캐나다의 시민단체 '시티즌 랩'에서 흥미로운 분석 기사를 하나 내놨다.

 

중국이 '만리방화벽 (Great Wall)'으로 수동적인 방어만 하는 것이 아니라, '만리대포 (Great Cannon)'로 공격도 한다는 것이다 (번역을 하다보니 한국말로는 좀 적절치가 않은데, Great를 따서 캐논에 붙인 것이라 이해하면 된다).

 

 

(Great Wall 과 Great Cannon 개념도: 시티즌랩)

 

 

시티즌랩 측은, 이 '큰 대포 (Great Cannon)'로 엄청난 규모의 디도스 공격을 할 수 있는 것으로 분석했다. 아직은 시티즌랩과 일부의 주장이 불과하지만, 중국이라면 할 수 있을 것 같지 않은가.

 

그런데 현실의 물리적인 대포라면 어떤 타격을 줘서 오랜기간 회복 불가능한 상태로 만들 수 있지만, 이런 온라인 상의 디도스 공격으로 뭘 얻을 수 있을까. 방화벽으로 완전히 차단하지 못한 서비스를 일시적으로 마비시킬 목적일 뿐인 걸까, 아니면 더 무서운 어떤 것을 준비하고 있는 걸까.

 

아직 나도 잘 모르는 부분이고, 확실히 밝혀진 것이 별로 없는 상황이라 의문만 있을 뿐이다. 이 바턴을 넘겨받아서 누군가 좀 더 많은 정보를 캐 내기 바란다. (급 졸려서 이만)

 

 

 

p.s.

...그러니까, 중국을 상대로 웹 서비스 하려는 분들은 정말 진지하고 심각하게 고민해보시기 바란다. 기껏 구축해봐야 잘못하면 한 방에 훅 간다.

 

 

p.s. 참고자료

* Telegram Suffers DDOS Following Criticism For Enabling Human Rights Lawyers In China (TechCrunch)

* ‘Great Cannon’ Is China’s New Weapon That Shoots Down Internet Sites (TC)

* China blocks Telegram messenger, blamed for aiding human rights lawyers (HKFP)

* Blocked in china

* China’s Great Cannon (CitizenLab)

* Internet messenger Telegram becomes unavailable in China (Tass)

* GreatFire

* A cyber attack struck messaging app Telegram just as China was cracking down on human rights lawyers (quartz)