정통부 1.25인터넷 대란 원인과 대책 발표

 정보통신부는 1·25 인터넷 대란과 관련, 정보통신부·수사기관·통신업계·정보보호업계·연구기관 등의 보안전문가 12명으로 ‘정보통신망 침해사고 합동조사단’을 구성, 18일간 각 인터넷서비스제공업체(ISP) 등의 DNS로그, IDS로그, 네트워크 장비현황, 트래픽에 대한 자료조사와 현장조사를 벌인 결과 슬래머웜에 의한 네트워크 트래픽 증가가 직접적인 원인으로 파악됐다고 18일 발표했다.

 ◇발표내용=정통부는 지난 1월 25일 오후 미국·호주 등 해외로부터 유입된 슬래머 웜이 초당 1만∼5만개의 패킷을 대량 생성해 불과 수분만에 전세계 감영대수의 11.8%에 해당하는 국내 8800여개의 시스템을 감염시켜 전국적으로 확산됐다고 밝혔다. 정통부는 특히 이번 슬래머 웜의 경우 UDP(User Datagram Protocol) 1434포트를 통해 전파되는 404바이트 크기의 메모리 상주형 웜으로 마이크로소프트 SQL서버 2000 및 MSDE2000 시스템의 버퍼오버플로의 취약점을 이용해 공격을 감행하므로 확산속도가 매우 빨랐다고 설명했다.

 이에 따라 국내 인터넷 장애는 크게 3가지 유형으로 진행됐다고 정통부는 밝혔다.

 우선 슬래머 웜은 취약점을 갖고 있는 SQL서버를 감염시켰고, 감염된 서버를 이용하는 대학·연구소·기업 등 이용자의 인터넷 접속경로가 차단됐다는 설명이다. 감염서버가 자동으로 불특정 다수의 다른 컴퓨터를 공격해 네트워크 트래픽을 폭발적으로 증가시켜 감염된 서버 주변지역의 이용자들도 인터넷 접속경로가 차단되는 결과를 초래했다는 것이다.

 또 감염된 서버가 있는 인터넷 사이트의 경우 서비스를 할 수 없어 접속경로에 장애가 없는 이용자들도 해당 사이트를 이용할 수 없었고, 특히 인터넷데이터센터(IDC)에서 근거리통신망(LAN)에 연결된 서버중 하나가 감염될 경우 내부망 트래픽이 폭주해 LAN에 연결된 포털·쇼핑몰·게임 등 다른 서버에도 접속이 불가능했다고 밝혔다.

 이와 함께 슬래머 웜에 감염된 SQL서버가 생성한 대량의 패킷은 대다수(확률적으로 93.2%)가 해외를 목적지 주소로 두고 있어 각 ISP의 국제관문국에 심한 병목현상을 유발했으며, 해외 루트 도메인네임시스템(DNS)에 재접속을 시도하는 과정에서 각 ISP들의 DNS에 과부하가 발생해 국내 인터넷 소통에 지장을 초래했다고 정통부는 설명했다.

 정통부는 슬래머 웜 바이러스가 전세계적으로 확산됐는데도 외국에 비해 우리나라에 피해가 큰 이유는 상대적으로 많은 SQL서버 감염(일본의 7배, 중국의 2배), 국내 루트 DNS서버가 없어 국제회선 포화에 따른 국내 DNS서버 과부하, 초고속통신망 및 IDC를 통한 급속한 확산, 일반 이용자들의 보안불감증 등을 지적했다. 하지만 정통부는 주요 IDC의 경우 전체 3974개의 SQL서버 중 무려 40.3%인 1603개의 서버에 보안패치를 안하는 바람에 국내 피해가 컸다며 IDC의 책임론을 제기했다.

 ◇1·30 인터넷 침해사고=정통부는 지난 1월 30일 발생한 KT의 구로·대전 등 11개지역 ADSL 가입자망의 접속장애와 관련해서는 트로이목마의 이종·변형 또는 새로운 형태의 바이러스 공격으로 추정된다고 밝혔다. KT의 ADSL망은 특히 타 ISP사업자와 달리 L2스위치 1대당 1만∼7만명의 가입자 컴퓨터들이 직접 연결되는 망 구성상의 특성을 가지고 있기 때문이라고 설명했다. 따라서 대량의 멀티캐스트 패킷이 ADSL망의 L2스위치에 유입돼 성능저하를 초래했다는 설명이다. 즉, 멀티캐스트 사용자를 관리하는 기능을 의미하는 IGMP(Internet Group Management Protocol) 스누핑 기능이 활성화됨에 따라 멀티캐스트를 처리하는 내부 테이블이 포화되면서 L2 스위치 CPU의 부하를 증가시켰다는 것이다.

 ◇정부대책=정통부는 이번 원인조사 결과를 바탕으로 정보보호 인식 제고에 나서 보안패치와 백신업데이트 등 정보보호 활동을 생활화할 방침이라고 밝혔다. 또 국제회선 장애로 인한 국내 DNS서버의 장애를 예방하기 위해 루트DNS의 국내 유치에 나설 예정이다. 특히 이상 트래픽의 발생을 조기에 모니터링해 이를 예·경보할 수 있는 조기대응체계를 구축키로 했다. 이와 함께 IDC 안전기준을 강화하는 한편 통신망 침해사고 발생시 긴급대응 및 효과적인 사후처리를 위해 동원가능한 산·학·연 전문가를 중심으로 전문가 풀을 구성, 운영할 방침이다. 특히 이달말께 이와 관련, 임시TFT를 구성해 혹시라도 있을 사태에 대비키로 했다. 나아가 정부 각 부처와 업계, 연구계, 학계 인사가 협력해 국가적인 차원의 종합적인 정보보호 강화대책을 마련할 예정이다.

 <박승정기자 sjpark@etnews.co.kr>