인터넷대란이 발생한 지 닷새째인 2003년 1월 30일 오전 11시.
이상철 정보통신부 장관(현 LG유플러스 부회장)이 정통부 기자실에서 1·25 인터넷대란 대책을 발표했다.
이 장관은 “1·25 인터넷대란이 오늘 새벽을 기해 완전 정상화됐다. 그러나 당분간 긴급 상황실을 지속 운용, 원인 파악과 향후 대처 방안 논의를 계속할 것”이라고 밝혔다.
이 장관은 “현재 400바이트에 불과한 웜이 어떻게 전국적인 인터넷 망에 이렇게 큰 피해를 줄 수 있었는지 정확한 원인을 파악하기 위해 정부와 네트워크사업자, 보안전문가들이 참여하는 원인규명팀을 구성, 향후 2주간 원인 규명 작업을 벌이기로 했다”고 덧붙였다.
정통부는 이에 따라 주요 인터넷서비스제공업체(ISP), 정보호호업체와 연구기관, 전문가, 수사기관 관계자 등 12명으로 침해사고 합동조사단을 구성했다. 단장은 차양신 정통부 정보보호기획과장(현 한국전파진흥협회 부회장)이 맡았다. 부단장은 최성준 정보보호기획과 사무관(현 국가기술표준원 전자정보통신표준과장), 간사는 노병규 한국정보보호진흥원 팀장(현 한국인터넷진흥원 정보보호본부장)이 담당했다.
단원은 정태수 한국전자통신연구원(ETRI) 인터넷트래픽연구실장(현 책임연구원)과 장창성 KT 부장, 성재모 데이콤 팀장(현 금융보안연구원 정보보안본부장), 이희조 안철수연구소 실장(현 고려대 교수), 조현혁 하우리 전략기획팀장, 최우형 시스코 과장(현 수석컨설턴트), 김진용 마이크로소프트 차장(현 기술본부 상무), 김휘강 A3시큐리티컨설팅 연구소장(현 고려대 교수) 등이었다. 이들 외에 기관별로 필요할 때에 1~5명씩 실무자를 지원받았다.
차양신 단장의 말.
“낮에는 대책을 마련하고 밤에는 원인 분석작업을 했습니다. 당시는 통신과 컴퓨터 네트워크를 다 아는 전문가가 없었습니다. 각각 자기 입장에서만 이야기를 했습니다. 이를 총괄해 조사하는 일이 쉽지 않았습니다. 이상철 장관이 2주 안에 인터넷대란 원인 규명 작업을 하겠다고 밝혔지만 현실은 그렇지 못했습니다. 도저히 기간 안에 조사를 끝낼 수 없어 이 장관에게 1주일만 조사기간을 더 연장해 달라고 건의했습니다.”
합동조사단은 정통부 14층에 칸막이를 설치해 사무실로 사용했다.
합동조사단 간사로 활동한 노병규 팀장의 증언.
“인터넷대란 후 기술지원을 위해 정통부에 나갔다가 합동조사단 간사를 맡았습니다. 처음에는 단장인 차양신 과장, 정태수 실장 등과 조사를 시작했습니다. 그러다가 차츰 조사단 인력이 늘어나 모두 12명이 됐습니다.”
1월 30일 정통부로 출근해 조사단에 합류한 정태수 실장의 회고.
“원장 지시를 받고 곧장 정통부로 출근했습니다. 원인을 규명해야 대책을 마련할 수 있는 일이었습니다. 해결책은 네트워크에서 찾아야 한다고 해서 참여한 것입니다.”
조사단은 밤낮없이 강행군을 했다. 이 사고 원인을 밝히기 위해 해당 업체들로부터 로그와 트래픽 자료를 제출받아 분석하고 이를 토대로 낮에는 KT와 데이콤, 하나로통신 등 주요 ISP와 IDC 등에 대한 현장조사를 실시했다.
노병규 간사의 말.
“관련 업체들이 제출한 로그와 트래픽 데이터를 분석해 사고 단서를 찾아야 하는데 이 일이 굉장히 힘들었습니다. 며칠 분석을 해도 단 하나의 단서조차 못 찾는 경우도 있었습니다. 단서를 가지고 조사를 진행하는 한편 가상으로 현장을 재현해 원인을 분석했습니다. 당시 데이터 자료는 방대한 분량이었습니다. 관련 ISP업체들은 정통부의 관련자료 제출 요구에 이런 저런 핑계를 대며 응하지 않았습니다.”
정통부는 이에 따라 명호서 서울지검 수사관을 조사단에 참여시켰다. 그는 한국정보보호원에 파견근무를 한 적이 있어 보안업무를 잘 알았다. 조사단은 관련업체에 대한 압수수색영장을 미리 발급받아 현장조사를 진행했다.
정태수 실장의 말.
“관련 업체들의 시스템로그를 보면 초기 대응을 어떻게 했는지 추정이 가능합니다. 피해보상 문제가 발생할 수도 있어 업체들이 자료 제출을 거부했습니다. 검찰 수사관과 동행해 필요한 데이터를 넘겨받았습니다.”
이들 중 네댓 명은 조사가 끝날 때까지 정통부에서 숙식을 했다. 심지어 화장실 좌변기에 앉아 졸기도 했다. 집에는 19일 동안 서너 번 가서 옷만 갈아입고 나왔다.
그해 2월 18일 오전 10시. 정통부 기자실.
정통부는 그동안 조사 분석한 인터넷대란 사고 원인을 발표했다.
발표장에는 김창곤 정통부 정보화기획실장(정통부 차관 역임, 현 한국케이블연구원장)과 조사단장인 차양신 과장, 노병규 간사, 정태수 실장 등이 참석했다.
먼저 김창곤 실장이 개괄적인 설명을 하고 차양신 단장이 구체적인 조사결과를 발표했다.
조사단은 이날 1·25 인터넷대란의 원인은 윈도 서버 취약점을 이용하는 슬래머웜 공격으로 네트워크 트래픽이 급증했기 때문이라고 발표했다. 이로 인해 상당수 인터넷의 서비스가 중단됨으로써 웜바이러스에 의한 트래픽 증가에 따른 이용자의 접속장애와 겹쳐 인터넷대란이 발생했다는 것이다.
차양신 단장은 “이 같은 결과는 서버관리자들이 평소 바이러스 패치를 게을리했기 때문”이라며 “자신의 귀책사유기 때문에 IDC에 대한 책임 추궁도 불가능할 것”이라고 설명했다.
또 슬래머웜이 뿌린 대량의 공격 패킷 중 93.2%가 해외로 향하도록 돼 있어 국제관문국 라우터에 심각한 병목현상을 유발했으며 이로 인해 외국으로의 인터넷 접속 장애 및 국내 DNS서버의 과부하를 초래한 것도 원인으로 나타났다.
차 단장은 “국내에 루트DNS가 없는 현실이 빚은 현상으로 재발 방지를 위해 세계 12개 루트DNS 중 일부의 국내 유치를 추진하겠다”고 덧붙였다.
정통부는 이번 인터넷대란은 △네트워크 자체의 트래픽을 유발해 인터넷 접속 장애를 일으켰고 △감염자가 자신도 모르게 가해자가 되면서 대규모 피해를 준 점이 특징이라고 밝혔다.
정통부는 조사 결과를 바탕으로 조기 예·경보체제 확립, IDC 안전기준 강화, 인터넷서비스제공자에 대한 자료제출 요구권 및 현장조사권 도입 등을 포함한 종합 정보보호 강화 대책을 수립, 시행하겠다고 밝혔다.
차양신 단장은 기자들과 일문일답도 했다.
-1·25 인터넷대란의 원인도 중요하지만 책임소재도 관심사다.
▲이번 합동조사단의 목적은 사고 원인을 규명하는 것이다. 책임소재 부분에 대해서는 말할 수 있는 위치에 있지 않다.
-각 IDC의 슬래머웜 감염 현황은.
▲책임이 IDC에 있다는 것이 아니라 서버가 집중돼 있는 IDC에서 웜이 확산된 것이라는 얘기다. 개별 IDC의 감염 현황을 발표하기는 어렵다.
-1·25 대란의 책임은 누구에게 있는가.
▲모두의 잘못이다. 보안패치를 하지 않아 슬래머웜에 감염된 것이다. 패치를 잘 했어야 한다.
-KT의 자체 LAN 내에서 감염된 슬래머웜이 패킷 발생량을 높였다는 지적이 있는데.
▲KT의 내부 감염은 없었다고 봐야 한다. KT의 네트워크 장비 중에는 SQL서버가 없다. 또 일부 IDC 내에 서비스를 위한 SQL서버가 있기는 하지만 이는 내부적으로 패치 명령이 내려오면 바로 시행하도록 돼 있어 내부 인트라넷에도 문제가 없었다.
-1·25 대란이 인터넷 불통인가. 지연인가.
▲인터넷 지연이라고 봐야 한다. 일부 사용자가 불통으로 느꼈을 수는 있으나 우정사업본부에서 운용하는 e-POST는 전혀 민원이 발생하지 않았으며 특정 사이트에 접속하지 않고 인터넷 속도를 시험하는 사이트들에서는 시험결과가 사고 시간에도 지속적으로 체크됐다. 결국 인터넷 불통은 아니라는 것이다.
-정통부는 어떤 대책이 있는가.
▲법·제도 정비 이전에 유사사고 재발에 대응하기 위해 TF를 구성, ISP와 정통부 간에 핫라인 체제를 유지할 것이다.
열띤 기자회견이 진행되던 10시 30분께 갑자기 기자실이 술렁거렸다.
일부 기자는 회사의 연락을 받고 다급하게 기자실을 빠져나갔다. 이유는 잠시 뒤에 밝혀졌다. 그날 오전 9시 53분 대구 지하철에서 화재사고가 발생한 것이다. 192명이 사망하고 148명이 부상당한 대형 참사였다.
감사원은 그해 6월께 인터넷대란에 대한 감사를 실시했다.
노병규 간사의 말.
“한 달간 감사원 감사관 3명으로부터 인터넷대란 발생 대응 등에 대한 집중 감사를 받았습니다. 감사원 지적사항에 해명 자료를 제출하고 다시 지적을 하면 재해명 자료를 냈습니다. 감사 후 별다른 지적을 받지 않았습니다. 감사원도 대응이 적절했다고 본 모양입니다.”
정부는 그해 12월 17일 한국인터넷진흥원(KISA)에 인터넷침해사고대응지원센터를 설치했다. 대응센터는 2009년 7월 인터넷침해대응센터로 명칭을 변경했다.
센터는 KISA 인터넷대응본부 내 조직으로 365일 24시간 낮에는 5명, 밤에는 3명이 모니터링을 하면서 인터넷 보안관 역할을 하고 있다. 대응본부는 침해사고대응단과 침해사고분석단, 인프라보호단을 두고 있다.
이처럼 철벽수비를 하고 있음에도 2009년 7·7 분산서비스거부(DDoS) 공격과 2011년 3·4 DDoS 공격, 2013년 3·20 사이버테러 등 대형 사고가 잇따랐다.
정경호 인터넷대응본부장의 말.
“아무리 대비를 해도 인터넷 사고를 완전히 막기는 어렵습니다. 문명의 이기인 인터넷을 사용 안 할 수는 없지 않습니까. 정부는 사후대책이 아닌 예방에 역점을 두고 있습니다. 사용자들도 보안의식을 생활화해야 합니다.”
1·25 인터넷 대란은 인터넷의 휘발성을 국민에게 보여준 공개 경고장이었다. 이는 정보화시대 새로운 국가 재앙의 등장을 의미했다. 그 재앙은 휴화산처럼 우리 생활 속에 잠복해 고개를 내밀 기회만 엿보고 있다.
IT칼럼니스트