정통부, 인터넷 대란 원인 발표 .. "서버관리자 보안불감증이 피해키워"

지난 1월 25일 발생한 인터넷 대란의 원인은 당초 예상한대로 마이크로소프트(MS) SQL서버를 공격하는 "슬래머(일명 오버플로)"웜 때문인 것으로 최종 결론이 났다. 정보통신부 정보통신망 침해사고 합동조사단은 18일 미국과 호주 등 해외로부터 유입된 슬래머 웜이 급속히 국내 8천8백여 서버를 감염시킴으로써 지난달 25일 인터넷 접속이 중단되는 사고가 일어났다고 공식 발표했다. ◆사고 원인=사고는 크게 세 가지 경로로 진행됐다. 우선 슬래머 웜은 취약점이 있는 MS의 SQL서버 및 MS 데스크톱엔진(MSDE)2000 시스템을 감염시켰다. 감염된 서버는 초당 1만∼5만개의 패킷(4백4바이트)을 생성,무작위 인터넷주소(IP)로 보냄으로써 네트워크 트래픽을 폭발적으로 증가시켜 기업 등의 인터넷 접속경로를 차단했다. 또 이렇게 감염된 서버로부터 나온 공격 패킷의 93%가 인터넷서비스사업자(ISP)의 국제관문국에 집중,심한 병목현상이 빚어졌다. 그 결과 '.com'등 인터넷사이트 주소를 관리하는 루트 도메인네임시스템(DNS) 서버에 접속할 수 없어 해외 인터넷 접속이 불가능하게 됐다. 이밖에 서버를 대량으로 관리하는 인터넷데이터센터(IDC)에서 랜(근거리통신망)으로 연결된 서버 중 하나가 감염돼 내부망 트래픽이 폭주,포털 쇼핑몰 게임 등 다른 서버에도 접속이 불가능한 상황이 발생했다. 조사단은 한국이 다른 나라보다 피해가 컸던 이유로 △서버 관리자의 보안의식 취약으로 외국보다 많은 SQL서버가 감염됐고 △국내에 루트 DNS서버가 한 대도 없었으며 △초고속인터넷 보급률이 높았기 때문으로 분석했다. 한편 지난달 30일 전국 11곳에서 발생한 KT 인터넷장애는 슬래머 웜과는 무관하며 트로이목마의 변종이나 이종으로 추정된다고 조사단은 밝혔다. ◆피해보상은 어떻게=조사단은 누가 사고 피해를 보상할 것인가에 대해선 "세심한 법률적 검토를 거쳐야 한다"는 원론적 입장을 피력했다. 정통부 차양신 정보보호기획과장은 "24개 주요 IDC가 관리하는 SQL서버 3천9백74개 중 40.3%인 1천6백3개가 감염됐다"며 "보안패치만 제대로 했어도 막을 수 있었던 일"이라고 설명했다. 이는 서버 관리업체에 어느 정도 책임이 있음을 간접적으로 시사하는 것이다. ◆정부 대책=정통부는 서버 관리자나 일반 PC사용자들의 정보보안 인식을 높이고 보안패치나 백신을 수시로 업데이트하도록 캠페인을 벌일 예정이다. 또 이상 인터넷 트래픽 발생시 조기 예·경보 시스템을 확립하는 한편 통신사업자들에 대한 현장조사를 할 수 있도록 제도를 고칠 계획이다. 강현철 기자 hckang@hankyung.com