인터넷 마비의 시발점인 도메인네임서버(DNS) 마비의 원인을 둘러싸고 여러가지 추측이 난무하는 가운데 이는 불가항력적인 인터넷의 구조적 한계라는 주장이 제기됐다.
이 주장대로라면 현재보다 훨씬 많은 수의 DNS를 증설하고 차세대 보안솔루션이 개발되기 전까지 인터넷 마비현상은 재현될 가능성을 배제할 수 없다.
하우리와 잉카인터넷은 28일 기자회견을 열고 이번 인터넷 대란의 원인은 정상적인 인터넷 프로토콜(TCP/IP)을 이용한 바이러스의 공격 때문이라고 밝혔다. 정상적인 인터넷 환경이 국가 전체의 인터넷을 마비시키는 무기로 돌변했다는 설명이다.
◇DNS에 공격이 집중된 이유=DNS서버에 공격이 집중된 이유에 대해서는 많은 예측이 있었다. 일부에서는 바이러스로 인한 데이터 공격뿐 아니라 해킹에 의한 공격이 함께 나타났다는 분석을 내놓기도 했다.
KT의 경우 바이러스의 공격 통로인 1434포트를 막은 후에도 DNS에 대량의 데이터가 폭주했다. KT는 27일 오후 2시경 DNS서버에 초당 6만콜이 들어와 평소의 2만6000∼2만9000콜의 2배 수준을 웃돌았다고 밝힌 바 있다. 이에 따라 많은 수의 컴퓨터가 무작위로 바이러스에 감염된 것이 아니라 해커가 KT의 DNS에 해킹 프로그램을 설치하고 KT 내부에서 바이러스를 유포했다는 주장도 제기됐다.
이에 대해 하우리와 잉카인터넷은 “슬래머 바이러스에 감염된 컴퓨터는 다른 불특정 다수의 컴퓨터에 바이러스와 함께 대량의 데이터를 보내는데 이 과정에서 보안패치 파일을 설치한 컴퓨터나 반대로 설치하지 않은 컴퓨터나 받은 데이터에 대해 DNS에 이 데이터의 내용을 물어보는 문의(reverse name resolution)를 보낸다”며 “이 문의는 컴퓨터 한 대가 바이러스에 감염될 때마다 2배 가량 늘어나기 때문에 순식간에 기하급수적으로 늘어나 DNS가 이를 견디지 못해 다운된 것”이라고 분석했다.
◇아직 완벽한 해결책 없다=문제는 인터넷 대란의 가능성을 어떻게 방지할 수 있는가에 달려 있다. 하지만 아직 뾰족한 수단은 없다는 것이 하우리와 잉카인터넷의 설명이다.
슬래머 바이러스와 마찬가지로 많은 사람이 사용하는 소프트웨어의 취약점을 이용해 확산되는 바이러스를 만들 경우 이번과 같은 인터넷 대란이 가능하다는 말이다. 권석철 하우리 사장은 “사실 이번 인터넷 마비는 인터넷이 갖고 있는 구조적 문제점을 이용한 불가항력적인 사건”이라며 “슬래머 바이러스를 만든 제작자가 이 점을 이용해 인터넷을 마비시키는 공격도구를 만드는 방법까지 알고 만들었다면 앞으로도 인터넷 대란의 재발 가능성은 배제할 수 없다”고 설명했다.
김남욱 잉카인터넷 사장은 “DNS로 들어오는 데이터 중 정상적인 신호라고 하더라도 호스트 정보가 없다면 차단해야 하는데 데이터의 내용을 분석해 이를 선별적으로 차단할 수 있는 보안솔루션은 아직 없다”고 말했다.
권석철 사장은 “DNS의 수를 늘리고 분산배치해 문의 폭주에도 견딜 수 있는 방안을 마련하는 방법이 있지만 이는 어디까지나 단기적인 미봉책”이라며 “DNS에 들어오는 문의 가운데 정상적인 문의와 비정상적인 문의를 구분할 수 있는 지능형 방화벽 같은 차세대 보안제품이 개발되기 전까지 인터넷 대란이라는 시한폭탄이 작동하고 있는 셈”이라고 밝혔다.
<장동준기자 djjang@etnews.co.kr>
관련 통계자료 다운로드 도메인네임서버 공격 개요