2003년 1월 25일 국내 인터넷망을 마비시킨 악성코드 `슬래머 웜`이 귀환했다.
체크포인트 연구진은 슬래머 웜이 세계에 노후화한 SQL 서버를 노리며 재출현했다고 경고했다. 슬래머 웜은 1·25 인터넷 대란을 일으킨 주범이다. 당시 감염된 PC가 대량의 데이터를 KT 혜화전화국 DNS 서버에 보내 전국 인터넷을 마비시켰다. 국내 인터넷은 당시 오후 2시부터 3시 45분까지 2시간여 동안 마비됐다. 당시 한국은 슬래머 웜 최대 피해국이었다.
체크포인트는 위협 클라우드(Threat Cloud)에서 수집한 데이터를 분석한 결과, 지난해 말부터 SQL 슬래머로 인한 대량 공격 시도 증가를 탐지했다. 마이크로소프트는 인터넷 대란이 일어나기 전 2002년 7월과 12월 관련 취약점을 업데이트했다. 14년이 지나고 보안 업데이트도 나왔지만 여전히 슬래머 웜에 감염되는 기기는 존재한다.
발견된 슬래머 웜은 14년 전 것과 동일하다. 슬래머 웜은 마이크로소프트 SQL 서버와 데스크톱 엔진 취약점을 이용해 감염되며 분산서비스거부(DDoS) 공격을 유발한다. 슬래머 웜은 한개 서버를 감염시킨 후 스스로 복제하며 다른 공격 목표를 찾아낸다. 수 초 만에 감염된 시스템을 늘리며 인터넷 망을 마비시킨다. 376~404 바이트의 작은 코드를 가진 웜 바이러스다.
귀환한 슬래머 웜은 172개 국가를 표적으로 한다. 미국이 26%로 가장 높으며 이스라엘, 영국, 독일, 인도, 이탈리아 순이다.
한국인터넷진흥원 관계자는 “한국은 지난 2003년 1·25 인터넷 대란 당시 SQL 서버 취약점을 집중 업데이트했다”면서 “귀환한 슬래머 웜이 한국을 주요 공격 국가로 삼지는 않았지만 침해 사고 발생에 대비해 예의주시한다”고 말했다.
슬래머 웜이 많이 감염된 국가는 중국, 베트남, 멕시코, 우크라이나 등이다. 14년 된 SQL 서버 보안 업데이트를 하지 않는 기업이나 기관은 피해를 입을 수 있다.
김인순 보안 전문기자 insoon@etnews.com
