(한길뉴스 신종식 기자) = 25일 오후2시부터 국내 인터넷이 마비되는 초유의 사태를 불러 일으킨 사태가 컴퓨터 바이러스로 알려진 가운데 국내뿐 아니라 미국, 유럽, 아시아 등 전세계적으로 인터넷이 마비된 것으로 알려졌다.
국내 인터넷 마비사태는 KT 혜화동 전화국의 DNS(도메인네임서버)가 다량의 데이터가 유입되면서 이를 감당하지 못하고 다운되면서 발생하였다.
전국적 인터넷 마비사태가 발생하자 정보통신부, KT(한국통신), 보안전문업체인 안철수연구소, 하우리 등이 급히 사고대책과 원인분석, 그리고 복구에 나섰으나 사고발생 수 시간이 지나 국내 인터넷이 일부 복구되고 26일 오전9시에 국내외 모든 망이 정상적인 복구가 이루어졌다.
사고원인은 신종 웜 바이러스
사고 발생 초기에는 해킹에 의한 사고로 보았으나 보안업체 점검결과 안철수연구소와 하우리는 25일 발생한 인터넷 마비 사태의 주범이 마이크로소프트(MS)의 SQL 서버 취약점을 이용한 신종 웜 바이러스인 것으로 진단했으며 마이크로소프트(MS)는 25일 전세계 인터넷이 마비 상태에 빠진 것은 컴퓨터 바이러스가 웹 페이지를 작동하는 SQL 데이터베이스 소프트웨어를 사용하는 서버를 공격한 때문이라고 공식 발표했다.
MS는 이날 밤 인터넷 마비사태의 주범이 SQL 서버 취약점을 집중 공격한 ‘슬래머 웜(Worm.SQL.Slammer)’ 때문이란 것을 공식 확인했다고 블룸버그가 전했다.
보안전문업체인 안철수연구소와 하우리는 SQL서버를 공격하는 신종 웜 바이러스를 사전 차단하거나 방어, 모니터링 할 수 있는 전용 솔루션을 출시하였으나 사태의 확산을 막는데에는 기여할 수 있지만, 프로그램을 설치하는 것만으로 100% 완치시켜주는 치료툴은 아니라는 것.
| 도메인네임시스템(DNS) 서버 인터넷 사용자가접속을 원하는 사이트로 이어주는 역할을 하는 서버다. 즉 현재 인터넷 망의 통신규약(프로토콜)인 TCP/IP 네트워크상에서 사람이 기억하기 쉽게 문자로 만들어진 도메인을 컴퓨터가 처리할 수 있는 숫자로 된 인터넷주소(IP)로 바꾸는 번역기 역할을 하는 셈이다. 예를 들면 인터넷 접속자가 주소창에 ‘www.yonhapnews.net’이라는 도메인을 입력했다면 이를 ‘211.106.xxx.xxx’’로 바꿔준다. 각 사이트가 운영되는 호스트서버는 고유한 IP를 갖고 있어 DNS 서버를 통해 문자로 된 도메인이 호스트 서버가 인식할 수 있는 IP로 바뀌어 접속되는 원리다. DNS 서버는 각 사이트의 도메인 정보와 IP 정보를 데이터베이스에 보관하고 있다가 해당 사이트 접속을 원하는 신호가 오면 이를 번역해 해당 IP를 가진 사이트의 호스트 서버에 연결시켜 준다. 보통 각 인트라넷 별로 DNS를 보유하고 있으나 대부분 자체 DNS 정보만을 보유하고 있어 접속자가 찾는 사이트의 정보가 없을 경우 상위 DNS 서버로 넘겨 인터넷접속을 가능하게 한다. 따라서 과부하나 해킹 등으로 DNS 서버가 마비될 경우 사이트 주소를 찾을 수없고 e-메일 배달이 지연되는 불편을 겪게 된다. 두 개의 백본망을 쓰는 국내의 경우 KT의 혜화 전화국과 구로 전화국 등 두 곳에서 최상위 DNS 서버가 작동하고 있는 데 이날 문제가 된 DNS 서버는 혜화 전화국에 위치한 것이다. 이 두 곳에서 처리하는 접속신호는 국내 인터넷 접속의 80% 정도를 차지할 정도다. 이날 인터넷 마비 사태는 혜화 전화국의 DNS서버가 다운되자 구로 전화국의 DNS서버로 접속신호가 몰려 이 마저도 과부하가 걸려 발생한 것으로 파악되고 있다. DDoS(분산서비스 거부공격) 해커들이 다수의 컴퓨터에 몰래 해킹 프로그램을 설치한 뒤 이를 원격으로 조정, 공격대상인 특정 서버에 동시 다발적으로 접속해 대량의 트래픽을 유발하는 방법으로 과부하를 발생시켜 서비스 장애 또는 서비스 불능상태에 이르게 하는 해킹수법의 일종이다. |
