국내 인터넷망 세계 해커들의 놀이터로

「국내 인터넷망은 세계 해커들의 놀이터인가.」

지난 4월 국내를 떠들썩하게 했던 인터넷데이터센터(IDC) 해킹사건의 기억이 채 잊혀지기도 전에 국내 굴지의 기업은 물론 IDC, 대학, 공공기관 등 전국 250여개 서버가 다수의 해외 해커들에게 노출된 사실이 뒤늦게 알려져 충격을 던져주고 있다. 해커들에게 공격을 당한 곳은 기업체가 200여곳으로 가장 많았고 대학이 30여곳으로 드러났다. 특히 200여개 업체 중 IDC에 서버를 보관했다가 해킹을 당한 곳이 34곳이나 되는 것으로 나타나 인터넷 보안의 중요성을 다시 한번 되새기게 한 계기가 됐다. 해킹당한 서버수가 250여개에 이르는 것은 세계적으로도 처음이거니와 마스터서버가 공개된 것도 처음 있는 일이다.

특히 이번 사건은 그동안 소문으로만 나돌던 「국내 전산망의 국제 해커 경유지설」이 사실로 드러나는 실제적인 증거를 제공했다.

◇사건개요 =해킹사건이 알려진 것은 지난 25일 인터넷 보안업체인 시큐아이닷컴(대표 오경수)이 고객사로부터 컨설팅의뢰를 받아 취약점을 분석하는 과정에서 서버에 백도어가 설치돼 있는 것을 확인하고 한국정보보호센터와 경찰청 사이버범죄수사대에 알리면서다. 28일 경찰청 등이 서버에 남겨진 IP주소를 역추적한 결과 강릉 소재 모 PC방의 서버가 마스터서버인 것으로 확인됐다. 해커들이 조직적으로 공격한 것으로 보이는 이번 해킹사건은 미국 버지니아주에 위치한 한 인터넷접속서비스(ISP)업체에 접속, 강릉 소재 모 PC방의 리눅스 서버를 해킹한 후 250여개 국내 사이트에 대한 공격을 시도해 서버에 침입한 것으로 알려졌다.

◇해킹에 사용된 기법 =이번 해킹사건은 역추적을 피하기 위해 일차적으로 모뎀을 통해 접속했고 침입에 성공한 사이트를 언제든지 재침입할 수 있도록 백도어를 설치했다. 특히 지난 2월 미국 야후를 공격했던 방식인 「스머프」와 사이트관리자들이 해커가 침입했는지조차 발견할 수 없도록 하는 「루트 키트」라는 지능적인 프로그램을 설치해 250여개 서버를 자유자재로 드나들 수 있게 했다. 또한 해커들이 강릉 PC방 서버를 마스터서버로 만들어놓고 250여개 하위 서버에 해킹 공격명령을 내리는 「트리누」를 설치했다. 트리누는 「분산서비스거부공격(DDos)」의 공격용 프로그램이다.

◇예상되는 피해 상황 =일단 한국정보보호센터와 경찰청 사이버범죄수사대 등이 조기에 조사에 착수, 마스터서버를 차단함으로써 대규모 사고가 발생하는 것은 막았다. 하지만 250여개 서버에 어떤 프로그램이 깔렸는지 확인하는 데는 시간이 좀 걸린다. 특히 트리누는 마스터서버에 수많은 하위서버를 통해 해킹명령을 내리면 하나의 타깃을 집중 공략, 대량의 트래픽을 유발하기 때문에 순식간에 네트워크나 서비스를 마비시킬 수 있다. 따라서 해커들이 마음만 먹으면 금융기관은 물론 공공기관 등 국가 주요 기간망도 불능사태로 연결될 수 있다는 지적이다.

◇대응방안 =해킹당했다고 의심되는 곳은 네트워크를 즉시 중단시키고 취약점을 제거한 뒤 서비스를 시작해야 한다. 또 해커의 침입이 의심될 경우 한국정보보호센터(02-3488-4119)나 경찰청 사이버범죄수사대(02-392-0330), 대검찰청 정보범죄수사센터(02-3480-2480) 등에 신고하면 된다.

보안업계의 한 전문가는 『「총탄없는 테러」라 불릴 정도로 위협적인 사이버테러에 대비하기 위해서는 먼저 국가적인 차원에서 보안을 의무화하는 등 법, 제도적인 대책을 마련하는 것이 시급하다』고 지적했다.

<주문정기자 mjjoo@etnews.co.kr>