인터넷대란, "슬래머웜과 안전불감증의 합작품"(상보)

[edaily 지영한기자] ´1·25 인터넷대란´의 발생원인이 ´슬래머웜´의 공격과 이에 따른 네트워크 트래픽급증 때문이었던 것으로 최종 결론났다. 그러나 낮은 인터넷 보안의식이 사태를 더욱 확산시켰다는 지적이다. 정보통신침해사고 합동조사단(이하 합동조사단)은 18일 " 지난달 25일 사상 초유이 인터넷대란이 발생한 것은 윈도우서버(Microsoft SQL서버 2000)의 취약점을 이용하는 슬래머웜의 공격으로 네트워크 트래픽(정보소통량) 급증했기 때문"이라고 최종 결론을 내렸다. 합동조사단은 인터넷대란 직후 정보통신부와 수사기관, 주요 인터넷서비스공급자(ISP), 정보보호업체, 연구기관(ETRI,KISA) 등 민·관전문가 12명으로 구성돼 지난 19일 동안 주요 ISP와 IDC 등에 대한 현장조사와 로그 및 트래픽자료 분석을 실시해왔다. 합동조사단의 조사결과에 따르면 인터넷대란을 촉발시킨 슬래머웜은 불과 수십분만에 전세계적으로 7만5000개의 시스템을 감염시켰고 국내에는 지난 1월 25일 오후 2시10분경 미국과 호주 등으로 유입, 전세계 감염대수의 11.8%에 해당하는 8천800여개가 감염되는 피해가 발생했다. ◇1·25 인터넷대란 원인,"슬래머웜 공격에 따른 트래픽 급증" 우선 슬래머 웜은 취약점이 있는 윈도우 서버(Microsoft SQL서버 2000)를 감염시켰고 감염된 서버는 다시 자동으로 불특정 다수의 다른 컴퓨터를 공격(초당 1만∼5만개의 공격패킷을 생성)하여 네트워크 트래픽을 폭발적으로 증가시켜 감염서버가 있는 대학, 연구소, 기업은 물론 주변지역의 이용자들도 인터넷 접속경로가 차단되는 결과를 초래한 것으로 분석됐다. 또한 감염된 서버가 있는 인터넷 사이트인 경우 서비스 제공이 불가능해 접속경로에 장애가 없는 이용자들도 인터넷 서비스를 이용할 수 없는 상황이 발생했다. 특히 정보통신시설이 집적돼 있는 IDC에서 LAN으로 연결되어 있는 서버중의 하나가 감염된 경우 내부망 트래픽이 폭주하여 연결된 서버전체(포탈, 쇼핑몰, 게임 등)에 인터넷 접속장애가 발생했다. 주요 24개 IDC를 조사한 결과 IDC내에 있는 전체 MS-SQL서버(3,974개)중 40.3%인 1603개가 감염된 것으로 나타났다. 이렇게 감염된 서버로부터 발생한 공격패킷의 목적지 IP주소는 임의로 부여되는데, 국제 인터넷 주소할당 분포상 확률적으로 93.2%의 패킷은 국제관문국에 집중되므로 각 ISP의 국제관문국에서 심한 병목현상이 발생했다. 물론 이로 인해 해외 루트(Root) DNS에 접속할 수 없어 재접속 시도를 하는 과정에서 각 ISP들의 DNS에 과부하가 발생했고 이에 따라 국내 인터넷 소통에도 지장을 초래한 것으로 분석됐다. ◇낮은 보안의식도 사태 키워..1·30 장애는 트로이목마로 추정 외국에 비해 우리가 1·25 인터넷대란이 피해가 컸던 이유는 ▲외국에 비해 많은 MS-SQL서버가 감염(일본의 약 7배, 중국의 약 2배)되었고, ▲국내에 Root DNS가 없어 국제 회선의 포화에 따른 국내 DNS과부하 현상이 상대적으로 심각했기 때문이다. 또한 초고속통신망 및 IDC를 통해 급속히 확산된 것도 한 원인으로 지적됐다. 그리고 무엇보다도 일반 이용자들이 보안패치 및 백신업데이트를 잘하지 않는 낮은 보안의식도 문제였다고 합동조사단은 지목했다. 한편 지난 1월30일 새벽 KT ADSL망에서 이상 패킷이 발생해 일부 지역에서 인터넷장애가 발생한 것은 1월25일 대란을 촉발한 슬래머웜과 무관하고 트로이목마의 이종·변형 또는 새로운 형태의 공격 등일 것으로 추정됐다. ◇부분의 문제가 전체 문제로 확산..정부·기업·개인 총체적 대응요구 합동조사반은 이번 1·25 인터넷 침해사고는 ▲네트워크 자체의 트래픽을 증가시켜 인터넷접속 장애를 발생시켰으며, ▲감염 피해자가 자신도 모르게 자동적으로 가해자가 되면서 대규모 피해를 야기했고, 부분의 문제가 전체의 문제로 급속히 확산되기 때문에 정부와 기업, 국민이 총체적으로 공조해야만 효과적인 대응이 가능하다는 특징을 남겼다고 밝혔다. 또한 정책적으로 정보보호 인식제고와 Root DNS의 국내 유치, 인터넷 트래픽 관리를 통한 조기 예·경보체제 확립, IDC에 대한 긴급조치 권한 부여 등 침해사고 대응 관련 제도 개선 등을 지적했다. 이에 대해 정보통신부는 "인터넷대란 원인분석 과정에서 나타난 시사점을 토대로 국가적 차원에서 종합적인 ´정보보호 강화대책´을 조속히 수립하겠다"고 밝혔다.