• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[1·25 대란 그후 6년①] “그날 한국에 인터넷은 없었다” 2009.01.22

무너진 IT강국의 자존심… 우리가 얻어야 할 교훈은?


2003년 1월 25일은 대한민국 인터넷 역사상 가장 치욕스러운 날로 기록돼있다. 슬래머 웜의 확산으로 9시간이나 인터넷이 완전히 마비된 까닭이다.


이상 징후는 이날 낮 2시10분 초고속인터넷 사업자인 드림라인에서 처음 포착됐다. 인터넷 트래픽이 순간적으로 2~3배 증가하면서 접속 속도가 크게 떨어진 것이다. 드림라인은 지체하지 않고 한국정보보호진흥원(KISA)에 상황보고를 했다.


KISA는 원인분석을 위해 곧바로 침해사고대응팀을 소집했다. 신속한 대응으로 맞선 셈. 허나 상황은 더 악화되고 있었다. 드림라인 외 다른 인터넷서비스 업체에서도 데이터 송수신량이 폭증하며 속도가 느려지는 현상이 목격됐다.


보다 큰 문제는 KT나 데이콤 등이 운영하는 도메인네임시스템(DNS) 서버가 밀려드는 트래픽에 하나씩 무너지기 시작했다는 점이다. 이들은 트래픽을 분산시키는 방법으로 최악의 상황을 막으려고 했지만 이렇다 할 효과는 보지를 못했다.


결국 인터넷 마비현상이 나타났다. 그리고 이 현상은 빠른 속도로 퍼져나갔다. ‘IT 강국’이라는 한국의 자존심이 힘없이 그냥 무너지는 순간이었다.


당국은 이 모든 혼란의 원인으로 ‘슬래머 웜’을 지목했다. 이 웜이 보안패치에서 허점을 보인 마이크로소프트사의 SQL 프로그램을 감염시킨 다음 자신을 대량 복제해 인터넷에 뿌리는 방식으로 문제를 일으켰다는 게 관계당국의 설명이었다.


슬래머의 크기는 376바이트로, 굳이 비교하자면 알파벳 376개 정도의 분량 밖에는 안 된다. ‘이런 하찮은(?) 웜으로 인해 전세계 최고라고 자부하던 한국의 인터넷망이 불능 상태에 빠진 것’이라고 당국이 공식적으로 확인한 것이다.


모든 인터넷 이용자들, 더 나아가 국민 모두가 참담함을 느껴야 했다. 다른 나라의 경우 슬래머 웜으로 인한 피해 정도가 크지 않았다는 점에서 더욱 그랬다.


당시 집계된 피해 현황은 바로 그날의 참상을 있는 그대로 말해준다. 웜이 전파된 지 10분만에 감염된 국내서버는 약 8800여대, 인터넷 마비로 인한 피해규모는 전 세계 피해액 15조4830억원의 10%에 해당하는 1조5378억원이다.


일부에서는 1·25 때 인터넷을 매개로 사업을 해나가던 업체들이 큰 타격을 입었다고 언급하면서 “비공식적인 피해 규모는 더욱 클 것이다”라고 주장한다.


다행히 보안전문가들은 1·25 대란과 같은 일이 다시는 벌어지지 않을 거라고 전망하고 있다. KAIST의 안철수 석좌교수는 지난해 한 행사에서 향후 대규모 사이버사고, 즉 제2의 인터넷대란이 발생할 가능성은 거의 없다고 단언했다.


해킹과 악성코드 제작의 주 목적이 전문적인 돈 벌이로 바뀐 데다가, 이들 범죄의 주체들이 아주 조용하고 은밀한 공격을 선호하기 때문이라고 그는 설명했다.


이유는 다르지만 같은 전망을 하는 전문가도 있다. 노명선 KISA 상황관제팀장은 1·25 이후에 모니터링 체계와 사이버침해 관련 법·제도가 정비됐다며 “그런 큰 사고는 징후를 포착할 수 있기 때문에 예방할 수 있다”고 자신했다.


그리고 나서 노 팀장은 “물론 (방어태세가) 100% 완전하다고 말할 순 없고, 또한 새로운 보안위협이 존재하지 않는다고도 자신할 수 없다”며 “그러므로 1%의 마지막 가능성까지 줄이기 위한 노력을 함께 해나가야 할 것”이라고 강조했다.


물론 상이한 목소리를 내놓는 전문가들도 있다. 이름을 밝히지 말아달라고 요구한 모 보안 관계자는 “대형사고는 발생하지 않고 있지만 각종 침해사고를 모을 경우 피해정도는 1·25 대란의 그것을 훨씬 뛰어넘을 것”이라고 말했다.


뒤이어 그는 “2003년 1월 25일이 우리에게 준 교훈은 아직 유효하다”고 언급한 뒤 “일상화된 위기 속에서 산다고 해 보안의 중요성을 다시 까마득히 잊어버린다면 누구든지 그에 따른 피해자가 될 수밖에 없을 것”이라고 강력 경고했다.

 

■ ‘슬래머 웜’이란 무엇인가?

슬래머 웜은 2003년 1월 우리나라의 인터넷을 완전히 마비시킨 웜으로, MS-SQL 서버에 설치돼있는 윈도 운영체제를 공격 대상으로 삼는다. 보통의 이용자들은 MS-SQL 서버를 쓰지 않기 때문에 슬래머 웜의 공격으로부터 자유롭다고 전문가들은 말한다.

감염된 서버의 메모리 상에만 존재하는 이 웜은 MS-SQL 서버에서 쓰는 1434번 UDP 포트를 통해 네트워크에 과다 트래픽을 발생시키는데, 서버를 재부팅할 경우 메모리에서 사라진다. 허나 패치를 적용하지 않을 경우 다시금 공격을 받게 되므로 시스템을 재부팅한 다음 패치파일과 서비스팩을 반드시 적용해야 한다.

 

[최한성 기자(boan1@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>