국내 인터넷망 해킹 비상

이번에 강릉 PC방을 거점으로 일어난 해킹사건은 그동안 발생해 온 크고 작은 해킹사례와는 달리 여러 명의 해커가 225개에 달하는 많은 기업과 기관의 서버에 해킹흔적을 남겼다는 점에서 관련업계는 물론 국가적으로도 커다란 파문을 일으키고 있다.

이는 아시아 인터넷시장의 중심이자 세계화를 위한 아시아 중심축으로 자리잡아가고 있는 국내 위상에도 심각한 영향을 미치는 사건이 됐다. 이번 해킹을 비롯해 최근 일어난 해킹 유형 및 문제점, 대처방안을 두 차례에 걸쳐 짚어본다.

인터넷업계는 물론 전국의 대기업.공공기관.대학 등을 충격의 도가니속으로 집어넣은 해킹사건은 일단 마스터서버를 발견하고 이를 차단함으로써 별다른 피해없이 일단락됐지만 어디에 숨어있을지 모를 해커들에 대한 불안요소는 여전히 남아 있다.

한국정보보호센터와 경찰청 사이버범죄수사대.시큐아이닷컴 등이 참여한 공동수사팀이 IP주소를 역추적해 가며 해킹흔적이 있는 서버를 찾아 제거하는 작업을 계속하고 있다.

정보보호센터측은 이번 해킹사건으로 인해 해커들에게 노출된 곳은 총 225개 기관 301개 시스템이라고 밝혔다.이와 함께 정보보호센터는 이들 225개 기관에 해커에 의한 노출 가능성 경보와 함께 시스템 분석 및 조치를 취해야 한다는 공문을 배포했다.

1일 오후까지 총 225개 기관 중 37개 기관이 정보보호센터에 해킹분석 요구를 해왔는데 분석결과 전체의 81%가 리눅스 서버였고 나머지 19%는 솔라리스 서버였던 것으로 나타났다. 이같은 결과를 놓고 볼 때 해커들의 이번 해킹수법은 지난 미국 야후.아마존.바이닷컴.CNN 등의 사이트를 공격했을 때와 유사하면서도 접근이 쉽지만 추적이 곤란한 리눅스 서버를 집중적으로 공격했다는 점이 주목할 만한 대목이다.

◇ 트리누에 대해〓이번 해킹사건에 사용된 수법은 분산서비스거부공격(DDos:Distributed Denial of service)을 할 수 있는 프로그램인 트리누(Trinoo)다. 트리누는 최근에 발견되고 있는 분산환경에서의 대표적인 서비스거부공격 도구다.

트리누 공격은 몇 개의 서버와 수많은 하부서버(클라이언트)로 이루어지는데 해커들이 트리누 마스터서버에 접속해 마스터서버에 하나 혹은 여러개의 IP주소를 대상으로 서비스거부공격을 수행하라고 명령을 내린다. 이럴 경우 트리누 마스터는 특정한 기간에 하나 혹은 여러 개의 IP주소를 공격하도록 하부서버와 통신을 하게 된다.

이는 공격자의 명령에 의해 공격도구가 설치된 대량의 서버들을 제어해 공격목표 시스템에 치명적인 서비스 거부공격을 할 수 있기 때문에 전세계 인터넷을 교란시키려는 해커들에 의해 악용될 수 있다는 게 전문가들의 지적이다. 다행히 이번 사건은 공격명령이 내려지기 전에 발견돼 피해없이 일단락된 상황이다.

해커들의 침입에 노출된 데는 인터넷기업은 물론 대기업.공공기관.대학 등 전산망을 운용하는 모든 기관들의 정보보안 결여 때문이라고 전문가들은 지적한다. 또한 몇 년 전부터 우후죽순으로 생겨난 PC방의 경우 보안시설이 전무하기 때문에 해커들의 주공격 대상이 될 수 있다는 선례를 남겼다.

정보통신부 정보보호기획과 최성준 사무관은 "이번에 해킹을 당한 서버뿐만 아니라 국내에서 전산망을 운용하는 많은 기관들이 보안시설을 제대로 갖추지 않고 있는 상황" 이라고 지적했다.

그는 또 "별다른 보안시설이 없다 하더라도 지난해말 정보보호센터 등이 무료 다운로드 서비스를 하고 있는 K-COPS(KISA-Computer Online Protection Service)나 RTSD(Real Time Scan Detector) 등을 정기적으로만 가동해도 해커들의 침입을 미연에 방지할 수 있다" 고 강조했다.