지난 주말 MS SQL 서버를 강타한 사파이어 웜 때문에 기업 및 정부 지도자들의 관심이 높아지면서 인터넷이 안전해졌다고 생각했던 사람들에게 경종을 울렸다.
2001년 코드 레드와 님다 웜이 서버를 압도한 이후 최대 규모인 이번 사건은 슬래머 혹은 SQLExp로 알려진 사파이어 웜에 의한 것으로, 12만대 이상의 컴퓨터를 감염시켰으며 수많은 기업 네트워크에 혼란을 가져왔다. 한국을 비롯한 아시아 일부 인터넷 사업자도 이번 공격에 큰 피해를 입었다.
소형이지만 악성인 사파이어 웜은 6개월 전에 발견된 MS SQL 서버에 존재하는 결함을 이용해 IT 산업의 지저분한 비밀을 뚜렷이 보여줬다. 즉, 소프트웨어 버그는 흔하며 관리자는 심지어 널리 알려진 문제점도 수정하는데 시일이 오래 걸린다는 사실이라고 보안 정보 사이트인 Incidents.org의 디렉터 조하네스 율리히는 전했다.
그는 “기업들은 이번 웜을 대비했어야만 했다. 패치는 반드시 적용됐어야 했으며, 더군다나 이 패치는 나온지 6개월도 더 됐다”라고 말했다.
이번 웜 공격은 금요일 미서부 시간 오후 9시30분에 확산되기 시작했는데, MS 회장 빌 게이츠가 고객들에게 MS의 신뢰성있는 컴퓨팅 이니셔티브가 첫 해에 “많은 것을 성취했다”고 메모를 보낸 지 단 하루 뒤에 발생했다. 이니셔티브의 첫 해에 MS는 제품의 보안 강화에 집중했다.
또한 미의회의 감사원격인 일반회계국이 미행정부는 2002년 최소한 29억 달러를 ‘국토방위’와 관련된 IT에 지출했다고 발표한지 몇 일 뒤에 이번 일이 발생했다. 올해도 비슷한 비용이 지출될 예정이다.
보안 전문가들은 이번 웜은 이미 오래전에 발견된 결함을 이용했기 때문에 MS에 대한 비난의 강도가 약했으며 대신 소프트웨어 패치를 적용하지 않은 관리자들에게 화살을 돌렸다.
보안 소프트웨어 업체 이아이 디지털 시큐리티의 CHO(chief hacking officer) 마크 메이프렛은 “이번 웜 공격을 MS 탓으로 돌릴 수 있는지 의문이 든다. 비록 MS가 결함있는 소프트웨어를 내놓긴 했지만 그 결함은 수개월 전에 고쳐진 것이다. 고객들은 스스로를 보호할 기회가 있었다”고 말했다. 그의 회사는 이번 웜에 대한 분석을 최초로 내놓은 업체 중 하나이다.
그러나 다양한 이유로 MS SQL 서버를 보유한 업체들은 패치를 적용하지 않았다. 더욱이 이번에 감염된 기업들은 인터넷으로 접근 가능한 취약한 서버들을 보유했기 때문에 재난의 가능성을 안고 있었다.
메이프렛은 “일부 관리자들의 잘못도 있지만 기업 네트워크의 보안을 담당하기 위한 인력 확충이 충분하지 않고, 예산 배정도 부족했으며, IT 인력에게 권한도 충분히 주지 않은 일부 기업 경영진의 잘못이 크다”라고 주장했다.
보안은 더욱 강화돼야 한다. 웜이 코드 레드나 님다의 경우보다 적은 수의 시스템에 영향을 끼쳤지만 이 작은 프로그램은 인터넷에 전파되는데 1분도 걸리지 않았으며 일부 기업 네트워크를 마비시킨 속도는 너무나 빨라 시스템 관리자들은 대처할 수 없었다. 웜은 376바이트의 코드로 이뤄졌을 뿐이며, 이 문단의 길이보다도 짧다.
이번 웜은 MS SQL 서버가 특정한 입력을 다루는데 있어 발생하는 결함을 악용한다. 웜은 인터넷에 특수하게 만들어진 패킷을 전송함으로써 더 많은 시스템을 원격으로 감염시키며 자신의 복제 웜을 전파시킨다. 특히 이 웜이 감염된 컴퓨터에는 파일을 만들지도 데이터를 지우지도 않는 대신 메모리에 상주하며 최대한 신속히 전파된다.
그러나 너무나 신속하게 데이터 전송을 하기 때문에 많은 네트워크에 과부하가 걸렸으며 많은 종류의 네트워크 하드웨어가 이번 공격에 압도돼 일부 기업은 인터넷에서 사실상 마비됐다.
보안기업 네오햅시스의 컨설팅 디렉터인 그레그 쉬플리는 “메모리에 상주하기 때문에 매우 효율적이다. 따라서 감염된 호스트 수는 적을지 모르지만 전송량이 매우 많아 접속을 금새 포화상태로 만들어 버린다”고 말했다.
이번 웜은 1만 3000개 이상의 뱅크오브아메리카 현금자동지급기를 다운시켰으며 토요일 늦게까지도 이 은행은 고객들에게 계좌 접속이 느려질 수 있다고 경고했다. 이 공지사항을 통해 "평소 때보다 온라인 뱅킹이 느려지는 문제를 생겼다”고 전했다. 뱅크오브아메리카로부터 일요일 상황에 대한 언급은 들을 수 없었다.
인터넷 감시업체 넷크래프트(Netcraft.org)의 자료에 따르면 지난 25일 네트워크 문제가 발생한 포춘 100대 기업 중에는 피플소프트도 끼어있다.
MS의 보안 확립 디렉터 스티브 리프너는 “문제는 이번 웜이 매우 악성이었다는 것이다. 하나의 기계만 장악하면 네트워크에 마구 공격을 퍼부어댔다. 큰 조직에서 모든 접근 경로가 안전하다고 확신할 수 없는 상태다”라고 언급했다.
또한 MS의 데이터 엔진 1.0과 MS의 데스크톱 엔진 2000을 사용하는 개발자들은 이번 웜에 취약하다는 사실을 몰랐을 가능성이 있다. 이 소프트웨어는 비주얼 스튜디오 닷넷, ASP닷넷 웹 매트릭스 툴, 오피스 XP 디벨롭퍼 에디션, MSDN 유니버설 앤 엔터프라이즈 가입판, 그리고 MS 액세스에 포함돼 있다. MSDE는 또한 MS 애플리케이션 센터 2000에도 포함돼 있다.
일부 기업은 이번 문제에 직면했지만 대부분의 고객들은 영향을 받지 않았다.
보안 소프트웨어 업체인 시만텍의 수석 관리자인 올리버 프리드릭스는 “고객들은 길어진 응답 시간과 늦어진 접속 시간을 경험했을지도 모른다. 그러나 그 밖의 다른 문제는 없었다”고 말했다.
일요일 오후가 되자 웜에 의해 증가된 트래픽은 공격 후 최초 몇 시간 동안 보였던 최대 수준의 10분의 1로 떨어졌다고 프리드릭스는 밝혔다.
그는 “최초 두 시간의 트래픽 양이 가장 엄청났다. 웜의 공격은 더할 수도 있었다. 파일을 삭제할 수도 있었다. 그러나 단지 이번 웜은 엄청난 양의 대역폭만 잡아먹었다”고 말했다.
이번 공격의 예봉은 인터넷으로의 데이터베이스 접속을 폐쇄한 기업 내부에 존재할 가능성이 있지만 이들 기업들은 내부적으로 감염을 다루고 있을 것이라고 그는 덧붙였다.
일부 보안 전문가들은 웜이 감염된 컴퓨터 자체에는 거의 피해를 주지 않았다는 사실을 고려할 때(리부팅을 하면 웜은 제거된다) 이번 공격으로 인해 궁극적으로 긍정적인 결과로 작용할 것으로 전망했다.
인시던트(Incidents.org)의 율리히는 “많은 사람들은 이번 사건을 경종으로 해석한다. 그러나 감염된 기계들은 지난 6개월 동안 열린 채 방치돼 있었다”라고 전했다.
웜에 취약한 어떠한 데이터베이스도 데이터를 훔치려는 해커들에게 공격당할 수 있었다. 많은 SQL 데이터베이스는 고객 데이터를 저장하고 있으며 이번 웜은 이러한 데이터들이 안전하지 않다는 사실을 극명히 보여준다고 율리히는 강조했다.
그는 “취약한 서버를 보유하고 있다면 지난 6개월간 공격을 받았을 가능성이 있다”고 덧붙였다.
문제는 포춘 100대 기업과 온라인 소매업체들이 자신들의 시스템에서 이런 종류의 웜을 청소하고 있을 때, 과연 데이터가 유출됐는가의 여부가 아닌, 얼마나 많이 유출됐는가 하는 것이다.
자료제공 : ZDNet Korea
