2003년 1월 25일 오후 2시 10분께 사소한 트래픽 징후에 국내 관제시스템 보안담당자들은 고개를 갸우뚱했다. 그로부터 50분 후인 3시 30분부터 인터넷 접속장애를 호소하는 신고가 쏟아져 들어오기 시작했다. 미국 혹은 호주 등을 거쳐 한국으로 유입된 것으로 추정되는 `SQL_Overflow(슬래머)` 웜이 주범이었다.
![[100대 사건_065] IT강국 자존심 뭉갠 1·25대란 <2003년 1월>](https://img.etnews.com/cms/uploadfiles/afieldfile/2012/09/11/314688_20120911173519_665_T0001_550.png)
역사상 가장 확산 속도가 빠른 인터넷 웜으로 기록된 슬래머 웜은 마이크로소프트(MS)의 데이터베이스용 소프트웨어인 `SQL 서버`의 취약점을 공격하기 시작해 8.5초마다 두 배로 확산되며 세계 인터넷을 마비시켰다. 이 웜은 수십분 만에 취약한 호스트의 90%를 감염시켰고 세계적으로는 7만5000개의 시스템이 슬래머에 감염됐다.
특히 이 웜으로 인한 피해는 한국에서 가장 심각했다. 한국에서는 미국, 호주 등지로부터 유입된 슬래머가 8800여개의 서버를 공격하면서 사상 초유의 `인터넷 대란`이 발생했다. 전자상거래가 불가능해지고 전자 메일을 통한 정보교류가 차단되는 등 국가적 혼란은 `대란`을 방불케 하는 수준이었다. 곳곳에서 국제회선 및 ISP의 주요 DNS 서버와 인터넷데이터센터(IDC) 내부망에 과부하 현상이 발생했다. 인터넷 이상 징후는 곧장 당시 정보통신부로 보고됐다.
정보통신부는 정보보호심의관을 긴급대책반으로 구성, 정부 대책기구를 통한 사고대응 및 원인분석에 나섰다. 이미 대부분의 ISP에서 1433, 1434 포트의 트래픽이 증가하고 있음을 확인하고 인터넷 지연 원인이 MS SQL 관련 웜으로 추정했다.
정부는 MS SQL 관련 포트인 1433, 1434 포트 차단을 ISP에 권고했다. 각 ISP는 15시 40분에서 17시 사이 긴급조치를 실시, 백본라우터의 UDP 1433, 1434 포트를 차단시켰다.
정부는 이 사실을 토대로 인터넷 관련 사고를 공식 발표하고 후속대응 및 국제협력을 요청했다. 이날 밤 8시 정보통신부 장관은 언론과 긴급인터뷰를 가졌다. 사고원인을 신종 웜 바이러스로 추정, 발표했다.
25일 밤 9시 정부는 웜 경고 발송을 하면서 MS-SQL 서버에 보안패치를 적용하고 라우터나 방화벽에 1434 포트를 차단할 것을 통보했다. 당일 밤 9시 30분 `국제 침해사고대응협의회`로부터 MS SQL 취약점을 이용한 공격 툴 소스 코드를 입수해 분석한 결과 신종 바이러스임이 재확인됐다.
원인을 알게 되면서 대응조치가 신속해졌다. 정부는 가입자 수용 라우터에서 슬래머 웜 관련 포트를 차단시키고 사건 발생 24시간 만인 26일 오후 2시 30분, KT 및 하나로통신을 통해 가입자 수용 라우터의 1433, 1434 포트를 차단했다.
정보통신부 비상대책반과 금감원 등 기관별로 대응조치 점검을 이행해줄 것을 요청, 사고확산 방지를 위해 긴급조치를 알렸다.
1·25대란의 원인을 제공한 슬래머 웜은 수십분 만에 세계적으로 7만5000여개의 시스템을 감염시켰다. 국내에서는 세계 감염대수의 11.8%에 해당되는 8800여대가 감염되는 등 큰 피해가 발생했다.
해외에 비해 국내 1·25대란 피해가 집중된 이유는 외국에 비해 많은 MS SQL 서버가 감염됐고(일본의 7배, 중국의 2배) 국내에 루트 DNS가 없어 국제 회선 포화에 따른 국내 DNS 과부하 현상이 상대적으로 심각해서였다. 초고속통신망 및 IDC를 거쳐 급속히 확산된 것도 원인 중 하나로 지적됐다.
하지만 가장 큰 피해 원인은 KT 등 통신사업자의 보안의식 부재였다. 이 사건의 주요 원인은 특정 시스템을 노린 해커의 침입이 아니라 데이터베이스 관리 시스템인 MS SQL 서버에 대한 웜 공격 접속량 증가였기 때문이다. 전문가들은 이 웜은 SQL 서버를 판매한 MS가 이미 6개월 전에 배포한 보안패치를 업데이트만 했더라도 충분히 막을 수 있는 사건이었다고 지적했다.
1·25대란의 가장 큰 원인으로는 초고속통신망 사업자의 보안의식 결여와 근무 소홀, 백신 미적용 등이 꼽혔다. 1·25대란 이후 패치 업데이트 중요성이 강조됐고 정부, 기업, 국민 등 총체적인 정보보호 의식 강화가 촉구됐다.
[표] 슬래머 웜으로 인한 나라별 감염시스템 수
※슬래머 웜 발생 후 30분간 전 세계적으로 약 7만5000대 감염
[표] 1·25대란 사건 일지
25일 오후 2시 : 1000만 전국 인터넷 사용자 접속속도 느려짐. 원하는 사이트 접속 불가.
오후 2시 10분 : 사용자 17만명인 ISP 드림라인이 정보보호진흥원에 네트워크 트래픽 급증 이상 징후 보고. CERT 위기대책팀 가동돼 원인 분석 시작.
오후 2시 44분: 컴팩서버 10대, IBM 서버 두 대로 구성된 KT 혜화전화국 DNS 서버에 해외로 전송되는 이상 패킷 다량 유입. KT를 시작으로 민원 접수 폭증. 하나로, SK텔레콤, KTF, LG텔레콤 등 무선사업자도 급속한 트래픽 증가 겪으며 모두 마비됨.
오후 3시 : 국제 관문국 혜화전화국 DNS 서버 사실상 다운.
오후 3시 44분 : KT는 혜화전화국 DNS 서버 대신 구로전화국 DNS로 우회조치. 정보통신부 이상철 장관 보고받고 정통부 직원들 비상근무체제 돌입.
오후 4시 : 구로전화국도 과부하 시작, 접속성공률 10% 이하로 하락. MS-SQL 서버 보안 취약성 원인으로 지목.
오후 7시 : 하나로통신, 두루넷 등 서버 복구. 하지만 접속시간 초과에 따른 불통현상 여전.
오후 11시: 트래픽 다소 줄어들었지만 부분적인 망 접속장애 지속.
26일 오전 9시 : 정통부 장관, ISP 대표 긴급회의 열고 `대국민 행동요령` 채택.
오전 11시 20분: 이상철 장관 기자회견 통해 대국민 사과 발표. 방지대책 수립 약속.
◆ 원유재 한국인터넷진흥원 단장
지난 2003년 1월 25일 오후 2시께 미국·호주 등 해외로부터 유입된 슬래머 웜은 순식간에 대한민국에 인터넷 접속을 마비시켰다. 장장 7시간 동안 인터넷이 두절되는 사고가 발생한 한국은 다른 나라에 비해 피해가 더 컸다.
당시 1·25대란의 원인 파악과 해결에 앞장섰던 원유재 한국인터넷진흥원 단장은 “1·25 당시 전국적인 인터넷장애가 발생하는 심각한 상황이었다”며 “1·25대란 발생 전까지는 신종 바이러스나 해킹에 의한 피해가 기업 단위로 발생했지만 국가 단위 피해가 발생한 첫 사고였다”고 회상했다.
당시 현재와 같은 사이버 침해사고의 경보단계가 없었지만 현 경보기준으로 본다면 1·25대란은 `심각` 단계에 해당할 정도로 대형 사고였다.
특히 원 단장은 “당시에는 대규모 인터넷 침해사고를 총괄 컨트롤할 수 있는 체계가 부족해 사고 여파가 더욱 컸다”고 설명했다. ISP 간 IDC 간 신속한 상호공조도 미흡했다. 1·25대란과 같은 대규모 침해사고에 대비한 훈련이 미흡한 상태에서 당한 대형 사고였다.
또 전체적인 네트워크 이상 트래픽에 대한 체계적인 모니터링 시스템이 부족했고 IDC, ISP, 정보보호 업체 등 개별적으로만 침해사고 정보관리를 해와 전체적인 상황을 한눈에 파악하기도 힘들었다. 예·경보 전달 기능 미약으로 침해사고 관련 정보를 전달하는 데 전화를 이용했기 때문에 신속한 경보 전달도 안 됐다.
원 단장은 “인터넷 마비 사태가 발생할 수 있다는 예측 자체가 부족했고 최신 보안 업데이트 적용 및 백신 사용 등과 같은 정보보호 실천이 미흡했다”며 “1·25 대란은 정부, 기업, 국민 등 총체적인 정보보호 인식 부족이 낳은 보안사고”라고 말했다.
1·25대란을 계기로 정보보호의 중요성이 부각됐다. 원 단장은 “네트워크 트래픽을 제대로 관리하지 못하게 되면 인터넷이 마비될 수 있음을 깨달았고 감염 피해자가 자신도 모르는 사이 자동으로 가해자가 되며 대규모 피해를 야기할 수 있다는 점을 알게 됐다”고 말했다. 또 그는 “이로 인해 네트워크 과제 및 제어의 중요성과 대국민 정보보호 인식이 제고될 수 있었다”고 강조했다.
원 단장은 1·25 이후 인터넷 이상 징후를 모니터링하고 대응할 수 있는 `인터넷침해대응센터(KISC)`가 설립돼 모니터링 체계가 구축된 것을 큰 성과로 꼽았다. 또 인터넷 침해사고 예방 및 대응을 위한 `정보통신망법 개정` 등 법체계가 정비됐다. 무엇보다 정부, 기업 및 일반 국민까지 정보보호의 중요성을 인식하게 된 것이 가장 큰 변화라고 강조했다.
원 단장은 “사이버공격이 단순 금전적 이득 형태를 벗어나 사회혼란 야기 등과 같은 사이버테러 형태로 변화하고 있는 현실을 감안할 때 정보보호 기술개발 투자 확대 및 침해사고 대응체계를 강화해야 한다”고 목소리를 높였다.
그는 “스턱스넷 듀큐, 플레임 등 국가 기반시설을 공격하는 악성코드가 출현, 사이버전으로 비화되는 양상”이라며 “악성코드로 인한 피해가 민·관·군 등 특정영역을 구분하고 있지 않아 모든 분야를 아우르는 총괄적 신속 대응체계가 필요하다”고 설명했다.
원 단장은 “기업 내부 주요 시스템 및 정보자산 보호를 위한 투자를 확대하고 일반 국민은 악성코드에 감염돼 좀비PC가 되지 않도록 백신 사용 및 최신 보안업데이트 적용을 생활화해야 한다”고 당부했다.
장윤정기자 linda@etnews.com
