계속되는 불안, 일부 금융권의 현금카드 보안 문제에 이어 이번에는 인터넷이었다.

25일 오후 2시경 국내 인터넷 사용자로부터 통신속도 저하 및 외국사이트 접속불능상태가 발생했고 이후 급격한 트래픽 증가와 국내인터넷서비스공급자(ISP) 전체의 소통장래를 일으켰고, KT 혜화전화국에 있는 메인네임서버(DNS)가 다운되고 그 여파로 드림라인 서버장애가 발생하면서, 전국의 주요 인터넷 서비스가 수시간동안 마비되었다.

	^^^▲ 필자가 뉴스타운을 접속하려고 하자 계속 “페이지를 찾을 수 없습니다”란 화면만 보이고 있다.^^^

이에 정보통신부(이하 정통부)는 오후 2시30분 ISP들로부터 사고경위를 접수하고원인분석을 지시했으며 오후 4시엔 ISP들에게 이상 트래픽이 있는 포트차단을 지시했고 오후 5시엔 혜화전화국 등 문제 발생 ISP에 기술지원요원을 급파했다. 정통부는 ISP와 협의하여 사고원인을 정밀 분석 중에 있으며 정보통신기반보호법 제15조에 의거 정보통신침해사고 대책본부를 구성해 피해 확산 방지와 복구조치 등 대응에 나서기로 했다.

25일 서울경찰청 사이버수사대는 이날 전국 인터넷망 마비가 해커에 의한 조직적인 범죄인지를 살펴보기 위해, 한국전산원과 서울 혜화동 KT 인터넷 집중센터에 수사대를 급파해 해커에 대한 수사에 본격 착수했다고 밝혔다. 사이버수사대는 이상 패킷이 고의적으로 유입됐는지 여부 등 해킹의 흔적을 추적하고 있는 것으로 알려졌다.

그러나 보안 및 바이러스 백신 전문업체 안철수연구소(대표 안철수 www.ahnlab.com)측도 25일 오후9시30분 경 홈페이지를 통해 이번 사건이 해킹에 의한 것이라기 보다는 달리 신종 웜에 의한 것으로 밝혀졌다고 발표했다.

안철수연구소에 따르면, SQL_Overlow 웜이 2003년 1월 25일 오후 2시 30분경(한국시각)에 발견되었으며 이 정보를 작성하고 있는 현재 한국 뿐 아니라 미국, 영국, 호주 등 세계적으로 확산되고 있다고 전했다.

그리고 이 웜은 1434 UDP 포트를 이용하여 SQL 서버가 설치된 서버를 대상으로 공격되고 있으며, 2002년 7월 24일 발견된 "Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution 취약점"을 이용하여 확산되나 아직 이 취약점에 대한 한글버전 패치는 제공되지 있지 않으므로, 오픈되어 있는 1434 UDP 포트를 막아두는 것이 현재로써는 최선의 예방책으로 제시했다. 또한 이 웜은 일반적인 웜과 같이 파일형태로 저장되어 감염되는 것이 아니라 2001년 7월에 발견되었던 코드레드와 같이 메모리상에 상주하는 형식으로 전파되므로, 일반 백신 프로그램으로는 치료할 수 없다고 전했다.

그리고 다음 날인 26일 오전 안철수연구소는 “인터넷 마비사태의 원인으로 추정되는 신종 웜을 방지할 수 있는 솔루션을 자사의 홈페이지를 통해 배포한다”고 26일 밝히고, “신종 웜은 MS의 SQL 서버의 허점을 이용한 것으로 안철수연구소가 배포하는 이 솔루션은 이번 사태를 일으킨 'SQL_Overflow'(또는 Worm.SQL.Slammer)가 SQL 서버를 공격하는 인터넷주소(IP)와 공격 횟수를 탐지해 서버 관리자에게 감염사실을 예고한다”고 밝혔다.

안철수연구소는 따라서 “MS의 SQL서버를 사용하는 기업, 학교, 관공서 등의 시스템 관리자는 이같은 웜감염 여부를 점검해 시스템이 웜이 생성하는 과도한 패킷에 의해 중단되거나 지연되는 것을 막아야 한다”고 조언했다. 또한 안철수연구측은 "이번 웜이 지난해 7월 발생해 보안패치가 이미 배포됐기 때문에 이번 사태는 사전에 충분히 막을 수 있었던 것"이라며 "많은 기업이나 관공서등이 이같은 사전예방 조치를 소홀히 해 사태가 커졌다"고 덧붙였다.

이와 같이 인터넷 접속 불능 사태는 전세계적인 현상이었던 것으로 나타났다. “이번 사건은 우리나라뿐 아니라 미국, 호주, 캐나다 등지에서도 나타나고 있는 현상"이라며 "MS-SQL 서버에 신종 웜이 감염되어 DNS에 계속 접속을 시도하기 때문에 과부하로 인해 DNS가 다운되는 것"이라는 국내발표에 이어, 25일 AP 통신은 급속히 확산되는 바이러스로 인해 전세계 주요 인터넷망 접속이 장애를 받아 웹 브라우징, 이메일 전송 등 인터넷 관련 모든 활동이 심각한 타격을 받았다고 전했다.

조지 부시 미국대통령의 사이버보안 자문역을 맡고 있는 하워드 슈미트는 "모든 사람들이 이번 사태의 영향을 받고 있는 것으로 보인다"고 말했으며, “FBI의 국가인프라보호센터(NIPC)와 CERT의 전문가들이 이번 공격을 모니터링하고 있다”고 밝혔다. 또한 이아이 디지털 시큐리티(eEye Digital Security)의 마크 매프레트에 따르면, "이번 공격은 코드레드와 흡사하다"면서 "광범위한 지역에서 수많은 공격이 행해져 정상적인 작동이 불가능한 상태에 직면했다"고 설명했다.

AP 통신에 따르면, 이번 문제점은 해커들이 마이크로소프트(MS)의 데이터베이스 소프트웨어인 SQL서버의 보안 허점을 공격한 것으로, 이번 공격은 지난 2002년 7월 기업 데이터베이스 서버를 감염시켰던 소프트웨어 결함을 이용한 것으로 나타났다. 당시 MS는 이같은 문제를 '심각한 상태'로 간주, 보안패치를 배포했다.

여하튼 이에 따른 여파로 설 대목을 앞둔 국내 인터넷 관련 업체의 엄청난 피해가 발생했다. 사건 발생 5시간이 지난 오후7시까지 지역적인 불통사태가 이어지면서 이 같은 상태가 이어질 경우 전국적인 피해액이 천문학적인 숫자에 달할 수도 있는 상태다. 인터넷에 의존하는 쇼핑몰은 이와 같은 문제에 따른 매출 감소 등 피해상황 여부가 명확해 ISP 업체의 관리 소홀이 드러날 경우 피해손해배상 등으로 이어질 가능성도 있는 것으로 전해졌다. 그밖에 전국 PC방이나 인터넷폰, 인터넷 기반 예약 시스템이나 기타 인터넷 뱅킹 시스템 기반 사업들도 큰 타격을 입을 정말이다.

한편, 25일 오후10시경 정통부는 인터넷망에 대한 통신사업자들의 조치가 완료됐다고 밝힌 가운데, 26일 오전 9시 인터넷장애 사태와관련, 원인분석과 진행상황 및 향후대책을 논의하는 대책회의를 개최하기로 했다. 이 대책회의에는 이상철 정통부장관과 김태현 차관을 비롯해 정통부 전간부들이 참석하며 정보보호진흥원장과 한국전산원장, 인터넷정보센터장등 산하기관장과 담당자들과 KT, 하나로통신, 데이콤, 두루넷, SK텔레콤, KTF, LG텔레콤, 마이크로소프트(MS), 시스코(Cisco)의 관계자 등이 참석할 것으로 전해졌다.

25일 오후 발생한 인터넷 마비사태는 국내 주요 인터넷 서비스 업체들이 밤새 긴급 복구를 마치면서 26일 오전을 지나면서 많은 사이트들이 소통이 가능한 수준으로 회복되고 있다. 그러나 이번 사태를 유발한 웜 바이러스에 감염된 서버가 아직도 남아있는 것으로 파악되면서 일부 사이트에서 속도가 느려지거나 불통되는 일이 반복되고 있다. 감염된 서버를 치료하지 않을 경우, 그로 인한 혼란이 다시 올 수 있어 완전 정상화는 시간이 다소 걸릴 것으로 전망이다. 이와 함께 SQL서버를 운영하는 업체들이 감염여부를 확인하고, 보안에 더욱 주의해 줄것을 당부되었다.

아울러 26일 이상철 정통부장관은 인터넷망 대란의원인이 MS-SQL 서버의 취약점을 이용한 웜바이러스라고 공식 발표했다. 또한 이 장관이 행동요령을 직접 발표했다. 윈도우 2000, NT를 탑재한 PC또는 서버사용자는 컴퓨터를 끄고 다시 켠다, MS사한국홈페이지(www.microsoft.com/korea/sql/downloads/2000/sp3.asp)에 접속한다. (3) 접속이 되면 MS-SQL 취약점 보안을 위한 프로그램을 다운로드받아설치한다. 그리고 설치하고 난 다음 컴퓨터를 껐다가 다시 켠 후 사용한다고 밝혔다.

한편 이러한 인터넷 마비현상은 27일에 토,일요일 동안 꺼져있던 컴퓨터들이 켜지면서 다시 위기를 맞을 것으로 보인다.

<응급대응 방법>

안철수연구소는 26일 오전 SQL_Overflow 감염 취약성 진단 툴과 SQL_Overflow 모니터링 툴 등 보안솔루션 2종을 개발 SQL 서버에 대한 공격횟수와 서버의 감염가능성 여부 등을 진단해 안전대처할 수 있도록 도왔다.

SQL_Overflow 모니터링 툴(SQL_Overflow Detector)은 SQL 서버에 대해 공격을 시도하는 IP 및 공격 횟수를 탐지하고, 공격받고 있는 또다른 서버의 IP 및 공격 횟수를 탐지해 서버관리자가 신종 웜의 위험에 대해 신속하게 대처할 수 있도록 한다.

SQL_Overflow 감염 취약성 진단 툴(AhnlabScanner for SQL_Overflow)은 서버가 신종 웜에 공격당할 수 있는 상태인지를 진단해 보안패치 방법에 대한 정보를 주고, 신종 웜 의 공격으로부터 위험 상태에 있으면 즉각 서버의 서비스를 중단시켜 서버 관리자가 사후 안전대책을 수행하게 해준다.

응급대처방법으로는 우선 MS-SQL 서버의 포트(1434포트)를 차단하고, MS-SQL 서버 SP2가 설치되어 있는 경우, 이 취약점에 대한 패치 파일(영문 버전 : 패치번호 MS02-039)을 설치한다. MS-SQL 서버 SP가 설치되어 있지 않은 경우에는 MS 홈페이지들을 통해 SP3를 설치한다.

용어 설명

<스피다 웜바이러스>는 윈도우에 탑재된 SQL(Structured QueryLangage)서버의 관리계정에 패스워드가 설정되지 않는 점을 이용하여 전파되며 트래픽을 증가시키고 해당시스템의 사용자 권한을 획득하는 컴퓨터 바이러스이다. 이러한 <스피다 웜 바이러스>는 일반 컴퓨터에 감염돼 있다가 취약점을 가진 공격대상의 컴퓨터를 찾으려고 DNS 서버에 지속적으로 접속, 위치검색을 시도하는 방식으로 접속량을 증가시키고 스스로를 복제하면서 대량의 데이터를 유발해 결국 네트워크나 해당 서버에 과부하를 발생시켜 서비스불능 상태에 이르게 한다.