이혁로 KISTI 초고속망사업실 선임연구원

이번 인터넷 대란은 네트워크 서비스의 특정 포트를 이용해 MS SQL서버를 공격하는 웜이 급속히 확산되면서 생긴 것으로 보고 있다.

물론 이로 인해 우리 나라 루트 도메인네임서버가 속한 KT혜화전화국이나 기타 거의 모든 ISP(인터넷 접속 서비스 사업자)의 네트워크에 과부하를 발생시킴으로써 실질적인 인터넷 통신을 마비시킨 결과를 초래했다.

보안전문가들에 따르면 이 웜은 MS(마이크로 소프트)의 데이터 베이스용 소프트웨어인 'SQL Server 2000'의 보안 취약점을 이용한 것으로, 지난 2001년 여름 전 세계를 강타한 '코드 레드(Code Red)'와 마찬가지로 메모리에만 상주하는 악성 코드다. 파일 형태로 저장돼 감염되는 것이 아니라는 점이 일반적인 웜이나 컴퓨터 바이러스와는 다른 점이다.

이 웜에 감염된 서버는 무작위 IP주소로 376바이트 크기의 패킷을 보내며 패킷은 한번 보내지면 무한 루프를 돌아 서버가 종료될 때까지 무한정 계속 보내지도록 되어 있어 실질적으로 DDoS(분산 서비스 거부) 공격과 동일한 효과를 보게 된다.

각 기관의 서버 관리자는 이 웜으로 피해를 입은 서버를 바이러스 백신을 제공하는 업체의 홈페이지에서 백신을 다운받아 치료하고 마이크로소프트사의 홈페이지에서 해당 패치파일을 설치해야 한다.

단지 이 웜의 문제가 피해를 입은 서버뿐 아니라 국내 및 국외의 인터넷에 심각한 과부하를 주기 때문에 빠른 조치가 필요하다. 그렇지 않을 경우 어제와 같은 비상사태가 상시 인터넷상에 존재해 막대한 예산과 이로 인한 네트워크의 자원낭비가 계속될 것이다. 그래서 각 ISP 및 서비스 제공업체는 일단 UDP 1434, 1433번 포트를 차단해 일시적으로 공격을 차단해야 하며 추가로 감염시키는 경로를 차단해야 한다.

어제 발생된 각 ISP는 이러한 초동적인 조치를 해당라우터에 적용함으로써 인터넷 대란을 극복할 수 있었다. 향후 대책은 각 기관은 해당 패치를 설치해 다시 재 감염되는 경로를 원천적으로 차단해야 하며 방화벽, 침입탐지 시스템 등의 보안장비를 확충함으로써 근본적인 보안 인프라를 강화해야 할 것이다.

해당 ISP 및 이러한 DDoS공격 등을 탐지할 수 있는 24시간 실시간 모니터링이 가능하도록 보안강화에 힘써야 할 것이며, 이러한 일련에 사건들에서 경험했듯이 이제 인터넷은 우리 주변에 없어서는 안될 중요한 자원이다. 국가 또는 네트워크를 사용하는 각 기관에서는 네트워크와 보안강화에 심각성을 고려해 관리에 신중을 기해야 할 것으로 보인다.
저작권자 © 충청투데이 무단전재 및 재배포 금지