인터넷대란 원인, "DNS 관리잘못"

[edaily 지영한기자] 지난달 25일 전국의 인터넷이 마비된 사고의 원인이 통신사업자가 평소 도메인네임시스템(DNS)서버를 잘못 관리했기 때문이란 주장이 제기됐다. 이에 따라 정부와 관련업체가 1·25 인터넷대란을 신종 웜바이러스만으로 발생한 천재(天災)로 축소하려는것이 아니냐는 의혹이 제기되고 있다. 인터넷호스팅업체인 아이네트호스팅은 9일 인터넷 대란이 웜에 의해 촉발된 것은 사실이나 실질적 원인은 서버관리에 있었다고 주장했다. 부연하면 도메인을 인터넷주소로 연결하는 DNS서버가, 반대로 인터넷주소를 도메인으로 연결해주는 이른바 PTR정보는 일부만 갖고 있었기 때문에 이번 마비사태가 발생했다는 설명이다. 아이네트호시팅은 사고의 1차 원인은 웜에 감염된 서버가 대량 트래픽을 발생시켰기 때문이지만, 2차적으로 급증한 PTR정보 요청에 대해 정보가 부족한 DNS서버가 정상 대응하지 못한 것이 마비의 정확한 원인이라고 밝혔다. 다음은 아이네트호스팅이 주장한 인터넷 대란 흐름도 1.특정 SQL 서버에 웜 바이러스 침입 2.동일 혹은 근교 네트워크 내의 모든 SQL 서버에 웜 바이러스 감염 3.SQL 서버에 의한 인터넷 트래픽 증가 -- 인터넷 접속 속도 저하 및 SQL 서버 성능 저하. 4.이상 트래픽 증가로 인한 스위치들의 이상 징후 감지 보고 체제와 방어체제 동작. 5.스위치들이 자신의 IP주소와 함께 이상 감지 보고를 로그 서버로 발송 7.DNS 서버는 해당 IP 주소에 대한 PTR자료(IP주소로 스위치나 호스트의 이름을 찾기 위한 자료)를 검색하여 해당 자료와 함께 로그 서버로 응답. 정상적으로 관리 운영되는 DNS라면 해당 자료를 즉시 찾아내어 응답할 수 있으나, 그렇지 아니한 경우 해당 IP 주소에 대한 스위치 장비의 자료를 검색하지 못하여 로그 서버에게 자료 없음으로 응답함. 8.로그 서버는 DNS 서버로 부터 응답된 호스트 이름과 함께 스위치의 보고 내용을 하드디스크에 기록 보관. DNS에서 자료없음으로 응답이 온 경우에도 보고 내용은 하드디스크에 기록되나, 향후 다른 보고가 스위치에서 들어올 경우 해당 자료를 유지하고 있지 않으므로 또 다시 DNS 서버로 Reverse Query를 발송하게 됨. 9.폭증하는 웜 트래픽에 의해 6번-8번의 상황이 계속 반복됨 10.DNS 서버가 폭증한 Reverse Query Packert을 감당하지 못하고 마비됨