[인터넷 대란] 왜 발생했나

웜바이러스의 공격으로 발생한 '1.25 인터넷 대란'은 패치프로그램만 설치했어도 막을 수 있었다.

이번에 문제가 된 마이크로소프트(MS) 'SQL2000'서버의 취약성은 지난해 5월 MS사도 인정한 바 있다. MS는 곧바로 해킹을 막을 수 있는 패치프로그램을 공개하고 사용자들이 내려받기해 쓰도록 조치했다.

정통부도 당시 컴퓨터바이러스 경보를 발령하고 업체 등에 대비를 촉구했다. 하지만 이 서버를 쓰는 대부분의 업체들은 경고를 무시했다. 이런 면에서 이번 참사는 보안의식이 미흡한 정부.민간.시스템 관리자들에 의한 인재(人災)라고 할 수 있다.

◇사고 원인=인터넷 대란이 시작된 것은 25일 오후 2시10분쯤. 인터넷 포털사이트인 드림라인의 홈페이지 관리인이 갑자기 데이터 교환량(트래픽)이 폭증하는 것을 발견하고 정보보호진흥원에 연락했다. 비슷한 시간 KT.하나로통신.두루넷 등 초고속인터넷 서비스업체의 DNS(Domain Name System)서버에도 과부하가 걸리기 시작했다.

DNS서버는 인터넷 사용자가 접속을 원하는 사이트로 이어주는 역할을 하기 때문에 반드시 거쳐야 할 관문이다.

예를 들어 네티즌이 'www.joins.com'을 입력하면 이 서버가 조인스 사이트를 찾아 연결해 주기 때문에 모든 데이터가 최종적으로 DNS서버에 몰릴 수밖에 없다. 이 서버가 마비되면 인터넷 접속은 불가능해진다.

DNS서버에 엄청난 데이터가 몰린 이유는 웜바이러스가 MS의 데이터베이스용 'SQL2000 서버'를 통해 급속히 유포됐기 때문이다.

발원지를 알 수 없는 웜이 SQL2000 서버를 감염시켜 엄청난 양의 데이터를 인터넷을 통해 다른 서버.PC 등에 쏟아부었다. 감염된 대상은 MS의 SQL서버를 쓰는 시스템이나 윈도2000.윈도NT 를 운영체제로 사용하는 PC시스템.

이 웜에 감염된 서버.PC는 3백76바이트 크기의 패킷데이터를 또다른 서버 등 2백56곳에 보낸다. 그러면 데이터를 받은 서버는 또다른 숙주가 돼 2백56곳에 패킷데이터를 보내는 작업이 연속적으로 일어난다. 결국 최종적으로 DNS서버에 데이터가 몰려 이 서버가 작동불능(다운) 상태에 빠지게 됐다.

KT.하나로통신.데이콤.두루넷 등 국내 주요 초고속인터넷서비스업체의 DNS서버는 이날 오후 3시를 전후해 대부분 이 같은 과정을 거쳐 마비되면서 인터넷 접속이 끊겼다.

데이콤 관제센터 성재모 팀장은 "웜바이러스 공격이 최고조에 이르렀던 25일 오후 3시쯤 트래픽이 평소의 수십배로 증가하면서 서버가 견디지 못해 인터넷이 무용지물이 됐다"고 말했다.

◇한국이 최대 피해국=유독 우리나라에서 피해가 컸던 것은 초고속인터넷이 발전했기 때문이다. 정통부 이상철 장관은 "세계 최고 수준의 초고속인터넷을 통해 웜바이러스가 급속히 유포된 것으로 보인다"고 말했다.

인터넷 산업의 발전으로 최근 수년새 SQL서버 판매량이 급증한 것도 원인으로 꼽힌다. MS 측은 "SQL 서버의 국내 판매가 매년 30~80%씩 늘고 있으며, 지금까지 모두 5만개가 팔렸다"고 밝혔다.

웜에 취약한 윈도2000.윈도NT 등의 운영체제 활용이 국내에서 활발했기 때문이라는 분석도 있다. 국내 업체들이 DNS서버에 대한 보안조치를 제대로 안 했다는 지적도 있다.

한 보안업체 관계자는 "DNS서버에 방화벽을 설치했다면 웜바이러스가 공격했더라도 막을 수 있었을 것"이라고 지적했다.

이에 대해 KT 한동훈 팀장은 "DNS 서버에 방화벽을 설치하면 처리속도가 30% 정도 떨어지기 때문에 전 세계 어디에서도 DNS서버에 방화벽을 설치하지 않는다"고 말했다.

한편 웜바이러스의 발원지에 대해 정통부는 "미국에서 먼저 감염돼 들어온 것 같으나 정확한 내용을 파악하기 힘들다"며 "계속 추적하겠다"고 밝혔다. 일부에서는 이번 웜바이러스가 한국을 겨냥했다고 보는 시각도 있다.

김종윤 기자 yoonn@joongang.co.kr