30일 오전 5시40분경부터 5시간 동안 국내 최대기간망업체인 KT(구 한국통신)의 초고속인터넷망의 서비스가 불통되는 사태가 또다시 발생해 ‘인터넷 대란’ 공포가 확산되고 있다.
지난 ‘1.25 인터넷 대란’ 사태가 지금까지 알려진 것과는 달리 마이크로소프트 윈도 운영시스템의 구조적 취약점에 따른 것임이 밝혀지면서, 하나의 서버만 바이러스에 감염돼도 인터넷 전체가 마비되는 사태가 올 수 있는 위기감이 빠르게 확산되며 30일 KT 불통사태도 이같은 위기감이 현실로 나타난 게 아니냐는 우려 때문이다.
***KT, 30일 5시간동안 불통**
이번 KT 초고속망 불통사태는 KT ADSL집중국에 설치된 인터넷접속장치 (기가스위치)에 트래픽 폭주가 일어난 데 따른 것이다.
KT에 따르면 수원, 구로, 제주, 하당, 서광주, 북전주, 대전, 부천, 북대구, 전주, 익산 등 11개 지역에서 산발적인 접속지연 현상이 일어났으나 긴급복구반을 투입, 6시30분부터 단계적으로 복구돼 오전 9시30분경 정상화되었다.
그러나 정보통신부와 바이러스백신업체 전문가들의 합동회의에서도 트래픽 폭주 현상만 확인됐을 뿐 원인 바이러스에 대해서는 아직 단정하지 못한 상태다.
트래픽 폭주현상은 KT 라우터의 6667번 포트로 다량의 데이터가 유입되면서 일어났다. 6667번 포트는 Mirc라고 하는 채팅 프로그램이 교신하는 통로이지만 6667포트와 관련된 바이러스 중 처음에 의심됐던 MirC 팩(트로이목마의 일종)인 지는 단정할 수 없다는 것이다.
안철수 연구소의 한 관계자는 이와 관련, "KT 라우터 6667번 포트로 대량의 데이터가 유입됐다는 사실은 확인됐지만, 이것이 트로이목마(MirC 팩)에 감염된 개인 사용자 PC에서부터 대량의 데이터가 발생해 문제가 된 것인지에 대해서는 확신할 수 없다"고 말했다.
그러나 이번 사건으로 바이러스에 감염된 개인 PC가 대량의 데이터가 발생해 트래픽 폭주로 인터넷이 마비될 수 있다는 것을 보여줘 이제 인터넷 대란은 기업들이나 보안관계자의 손을 넘어 일상적인 사고가 될 우려가 커졌다.
***"현재 바이러스 오염상태 심각, 한꺼번에 작동하면 심각"**
한 백신업체 한 관계자는 “신종바이러스나 변종바이러스가 아무리 센 것이 출현한다고 해도 결국은 평소 보안을 철저하게 한다면 큰 문제가 될 수 없다”면서 “기업의 서버를 비롯해 개인 PC 등에 바이러스가 널리 퍼져 이것이 한꺼번에 작동하면서 집중 공격하는 것이 가장 우려되는 사태”라고 말했다.
그러나 지난 25일 전국의 인터넷을 마비시킨 슬래머 웜 바이러스 사건에 대한 원인규명을 하고 있는 백신전문가들에 따르면, 마이크로 소프트 윈도 운영시스템이 가지고 있는 약점을 노린 악성바이러스라면 일부 서버가 감염된 것만으로도 인터넷 마비 사태를 가져올 수 있다고 경고했다.
실제로 PC바이러스 백신개발업체인 하우리(대표 권석철)와 잉카인터넷(대표 김남욱)은 지난 28일 공동 기자회견을 열고, 사상 초유의 인터넷 대란을 야기시킨 주범은 MS SQL서버의 취약점을 이용한 슬래머 웜 자체뿐 아니라 근거리네트워크(LAN) 환경에서 윈도98.XP.NT.2000 등 PC 및 서버 운영체제가 상위 도메인네임시스템(DNS) 서버로 대량의 역 IP 확인요청을 했기 때문이라고 주장했다.
인터넷 대란은 윈도 운영시스템이 가지고 있는 `인터넷주소(IP)의 DNS서버 역 확인요청'(Reverse Name Resolution Query)이라는 특성 때문에 발생했다는 주장이다.
이들 전문가들에 따르면 1차 SQL서버에 슬래머 웜이 감염되면 다량의 무작위 IP를 생성해 초당 2백56개의 웜 IP 패킷을 윈도 PC 및 서버로 전송하게 되고, 이를 받은 윈도 시스템들은 감염된 패킷을 확인할 수 없어 상위 DNS서버로 역 IP 확인 요청(Query)을 하게 된다는 것. 이 과정에서 같은 LAN 환경에 묶여있는 여러 개의 윈도 OS를 탑재한 시스템들이 동시에 DNS 서버로 초당 2백56개의 IP확인요청을 하기 때문에 DNS서버에 트래픽이 집중됐다는 설명이다.
***"정통부 발표 못 믿겠다"**
사실 일부 보안 전문가들은 SQL서버가 통신사업자의 DNS서버를 직접 공격한다고 알려진 최초의 원인 분석에 대해 의문을 품어왔다. 슬래머의 구조상 SQL 서버를 감염시킬 수는 있지만, 우리나라에서 팔린 MS SQL서버가 2만여대에 불과해 여기서 생긴 트래픽만으로 통신업체 DNS 서버를 마비시킬 정도가 되기 힘들다는 것이다.
게다가 통신업체들이 이번 웜의 공격루트가 된 1434포트를 막은 후에도, DNS 서버에 평소 수준을 2배나 웃도는 서버콜이 몰려들은 것도 이를 반증한다는 것이다. 사고를 일으킨 혜화전화국의 경우 27일 오후 2시 경 DNS서버에 초당 6만콜이 유입, 평소 초당 건수인 2만6천~2만9천 콜의 2배 수준을 웃돌았던 것이다.
백신업체 전문가들은 슬래머 웜에 감염된 SQL서버끼리 1434포트를 통해 웜 패킷을 서로 주고받는 과정에서 발생한 네트워크 트래픽이 DNS서버 트래픽에 영향을 미쳤다는 최초의 분석에 대해 “1434포트만이 문제가 된 것이 아니라 윈도시스템이 53포트를 통해 DNS서버에 대량의 IP 확인요청을 했기 때문이라는 점을 확인했다”고 밝혔다.
최초의 원인은 슬래머란 웜에 불과했지만, 이 웜에 감염된 숙주서버가 다른 윈도시스템들에게 다량의 데이터를 보내고 이를 윈도 서버들이 다시 DNS 서버에 확인을 요청하는 정상적인 과정에서 DNS가 마비된 것이란 설명이다.
이에 따라 전문가들은 “슬래머를 만든 해커가 자신도 모르는 사이에 인터넷을 마비시키는 공격도구가 되는 공격의 루트까지 알고 설계했다면 정말로 큰 문제"라고 이에 대한 대비책이 시급하다고 입을 모으고 있다.
한마디로 "더 센 놈이 곧 올 것"이니 모두가 한시도 긴장을 풀지 말고 일상적으로 비상을 걸고 상황에 대처해야 한다는 게 전문가들의 일치된 지적인 것이다.
전체댓글 0