25일 발생한 사상 초유의 유·무선 인터넷 접속마비 사태는 IT(정보기술)강국의 명성을 무색케 하는 사이버 보안의 후진성을 여실히 보여줬다.
이번 사태는 국내에 최상위 DNS(도메인 네임시스템) 서버가 5개뿐이어서 트래픽을 분산시키는데 어려움이 있는데도 불구,정부나 사업자나 모두 준비를 제대로 하지 않은데서 비롯됐다.
●예견된 인재(人災)
‘인터넷 대란’의 주범은 미국 마이크로소프트(MS)사의 데이터베이스용 서버 프로그램인 MS-SQL 서버의 취약점을 노린 신종 웜 바이러스의 확산 때문이었다.
정보통신부는 물론 전문가들도 이같은 사태가 특정 포트를 이용해 MS-SQL 서버를 공격하는 웜이 급속히 확산된 탓이라고 밝혔다.
안철수연구소측은 “신종 웜 바이러스가 DNS 서버에 접속을 지속적으로 한꺼번에 시도하면서 과부하로 시스템이 다운된 것”이라고 설명했다.
이 웜은 보안 패치를 하지 않은 불특정 다수의 SQL 서버에 감염되며, 해당 서버는 감염되는 순간 한꺼번에 또다른 SQL서버 256개에 전파하기 위해 KT 등 국내 5개 DNS 서버에 위치검색 요청 신호를 발생시키는 방식으로 엄청난 통신량을 유발했다.
이로 인해 결국 국내 5개 DNS서버를 모두 마비상태에 빠뜨리는 대란을 불러왔다.
전문가들은 이 웜은 SQL 서버를 판매한 MS가 이미 6개월 전부터 배포한 보안패치를 업데이트만 했더라도 충분히 막을 수 있다고 지적했다.
따라서 “각 ISP(인터넷 서비스 제공자)나 서버 관리자들이 진작 했어야 할 패치를 하지 않아 피해가 커진 것 아니냐.”는 책임 추궁과 함께 ‘보안 불감증’이 이번 인터넷 대란으로까지 이어진 가장 큰 원인인 것으로 지적됐다.
●국지적 불통사태 장기화 가능성
사태 발생 시각이 인터넷 사용이 비교적 적은 토요일 오후였기 때문에 피해가 예상보다 크지 않았다.
만약 평일에 터졌다면 은행,주식시장은 물론이고 인터넷을 기반으로 한 각종 온·오프라인 서비스가 마비돼 수조원의 피해를 가져왔을 것이라고 전문가들은 내다봤다.
그러나 이번 사태는 국지적으로 상당한 후유증을 불러 올 전망이다.KT·하나로통신·두루넷 등 주요 ISP들은 수시간만에 망을 복구했지만 부분적인 지연 및 접속불능 상태가 이어질 수 있다는 것이다.
이는 기간망의 경우 문제가 해결됐으나 감염된 MS-SQL 서버들이 가입자망 부분에 아직 남아 계속 ‘일방적으로’ 패킷을 뿌리면서 네트워크의 트래픽을 폭증시키기 때문이다.
가입자쪽에 감염된 MS-SQL 서버가 단 한 대라도 있을 경우 해당 게이트웨이나 라우터에 물려 있는 ADSL(비대칭디지털가입자회선),VDSL(초고속디지털가입자회선),케이블 모뎀 혹은 인트라넷 사용자 전원이 폭증하는 트래픽의 영향을 받게 돼 국지적인 불통사태를 맞을 가능성이 여전히 남아 있다.
정기홍기자 hong@kdaily.com
***인터넷 용어풀이
이번 인터넷 접속불능과 관련된 용어를 알아 본다.
●DNS(Domain Name System)
네트워크상에서 도메인 이름을 관리하는 시스템.인터넷 주소의 지정단위인 도메인은 마침표와 알파벳,숫자의 문자열로 이뤄져 있다.
예를 들어 기업체는 com,교육기관은 edu,정부기관은 gov 등이다.국가의 경우 한국은 kr,캐나다는 ca,일본은 jp,영국은 uk로 표시한다.
DNS는 이처럼 문자로 된 도메인이나 호스트명을 컴퓨터가 인식할 수 있는 숫자인 IP주소로 해석해 준다.
예컨대 도메인 네임이 www.kdaily.com인 대한매일의 경우 DNS를 통해 10.242.xxx.xxx같은 IP주소로 전환된다.
●SQL(Structured Query Language)
데이터베이스(DB)의 조작과 관리에 쓰이는 프로그래밍 언어.웹사이트나 시스템을 운영하는데 필요한 수백만,수천만건의 데이터를 저장·관리하고 정보를 쉽게 찾을 수 있도록 한다.
1973년 처음 개발됐다.74년 IBM 새너제이연구소에서 이를 개선,상용화할 수 있도록 했다.초기에는 IBM DB시스템인 DB2에서만 사용됐으나 현재 MS SQL 서버,오라클 9i 등에서도 이용한다.
문제의 MS SQL 서버는 MS에서 개발,판매하는 데이터베이스 저장·관리 시스템.KT의 MS-SQL 서버를 DNS와 연결해 문자로 된 도메인과 IP주소를 짝지어 놓은 데이터를 입력해 놨다.이 SQL 서버가 웜에 감염되면서 불특정 IP주소로 이상 패킷(데이터묶음)을 보내 결국 사이트를 마비시키게 된 것이다.
최여경기자 kid@kdaily.com “”MS프로그램 취약성 노출””
세계 각국의 유·무선 인터넷 서비스가 중단되자 리눅스는 25일(현지시간) 마이크로소프트(MS)의 SQL서버가 가진 취약성 때문에 발생한 사고라며 MS를 비난했다.
리눅스는 자사 홈페이지에 게재한 글을 통해 이같이 비난하고 이번 인터넷 마비사태는 MS의 SQL서버인 ‘서버 2000소프트웨어’의 결함을 이용한 웜 바이러스가 침투해 발생했다고 주장했다.
리눅스는 이 점을 지적하며 ‘사파이어’ 또는 ‘슬래머’로 명명된 웜 바이러스가 지난해 7월 MS SQL서버에서 발견된 보안상 허점을 이용해 인터넷 사이트를 마비상태로 몰아가고 있다고 설명했다.
리눅스는 또 “웜 바이러스는 MS SQL서버2000에서 약점을 찾기 위해 버퍼 오버플로 현상을 이용한다.”면서 “SQL2000 서버의 약점은 지난해 7월 넥스트 제너레이션 시큐리티 소프트웨어에 의해 이미 발견됐다.”고 강조했다.
MS는 ‘서버2000소프트웨어’에서 취약성이 발견되자 즉시 사용자들에게 패치를 무료로 제공했지만 MS 서버를 사용하는 모든 컴퓨터가 이 패치를 실행시킨 것은 아니었다.리눅스도 칼럼에서 얼마나 많은시스템 관리자들이 이 패치를 적용했는지 알 수 없다고 주장하며 메일 박스에 인터넷 블록포트 1434를 파괴하는 MS SQL 웜바이러스에 대한 보고들로 가득찼다고 전했다.
사태가 확산되자 MS도 이날 컴퓨터 바이러스가 자사 SQL 데이터베이스 소프트웨어를 사용하는 서버를 공격,일부 인터넷 사이트 접속이 늦어졌다고 공식 발표했다.
MS의 매트 필라 대변인은 “슬래머(Slammer)라고 불리는 웜 바이러스가 인터넷 과부하를 일으켜 인터넷 접속 문제를 야기시켰다.”면서 이번 바이러스를 확산시킨 근원을 찾기 위해 노력하고 있다고 밝혔다.
강혜승기자 1fineday@
이번 사태는 국내에 최상위 DNS(도메인 네임시스템) 서버가 5개뿐이어서 트래픽을 분산시키는데 어려움이 있는데도 불구,정부나 사업자나 모두 준비를 제대로 하지 않은데서 비롯됐다.
●예견된 인재(人災)
‘인터넷 대란’의 주범은 미국 마이크로소프트(MS)사의 데이터베이스용 서버 프로그램인 MS-SQL 서버의 취약점을 노린 신종 웜 바이러스의 확산 때문이었다.
정보통신부는 물론 전문가들도 이같은 사태가 특정 포트를 이용해 MS-SQL 서버를 공격하는 웜이 급속히 확산된 탓이라고 밝혔다.
안철수연구소측은 “신종 웜 바이러스가 DNS 서버에 접속을 지속적으로 한꺼번에 시도하면서 과부하로 시스템이 다운된 것”이라고 설명했다.
이 웜은 보안 패치를 하지 않은 불특정 다수의 SQL 서버에 감염되며, 해당 서버는 감염되는 순간 한꺼번에 또다른 SQL서버 256개에 전파하기 위해 KT 등 국내 5개 DNS 서버에 위치검색 요청 신호를 발생시키는 방식으로 엄청난 통신량을 유발했다.
이로 인해 결국 국내 5개 DNS서버를 모두 마비상태에 빠뜨리는 대란을 불러왔다.
전문가들은 이 웜은 SQL 서버를 판매한 MS가 이미 6개월 전부터 배포한 보안패치를 업데이트만 했더라도 충분히 막을 수 있다고 지적했다.
따라서 “각 ISP(인터넷 서비스 제공자)나 서버 관리자들이 진작 했어야 할 패치를 하지 않아 피해가 커진 것 아니냐.”는 책임 추궁과 함께 ‘보안 불감증’이 이번 인터넷 대란으로까지 이어진 가장 큰 원인인 것으로 지적됐다.
●국지적 불통사태 장기화 가능성
사태 발생 시각이 인터넷 사용이 비교적 적은 토요일 오후였기 때문에 피해가 예상보다 크지 않았다.
만약 평일에 터졌다면 은행,주식시장은 물론이고 인터넷을 기반으로 한 각종 온·오프라인 서비스가 마비돼 수조원의 피해를 가져왔을 것이라고 전문가들은 내다봤다.
그러나 이번 사태는 국지적으로 상당한 후유증을 불러 올 전망이다.KT·하나로통신·두루넷 등 주요 ISP들은 수시간만에 망을 복구했지만 부분적인 지연 및 접속불능 상태가 이어질 수 있다는 것이다.
이는 기간망의 경우 문제가 해결됐으나 감염된 MS-SQL 서버들이 가입자망 부분에 아직 남아 계속 ‘일방적으로’ 패킷을 뿌리면서 네트워크의 트래픽을 폭증시키기 때문이다.
가입자쪽에 감염된 MS-SQL 서버가 단 한 대라도 있을 경우 해당 게이트웨이나 라우터에 물려 있는 ADSL(비대칭디지털가입자회선),VDSL(초고속디지털가입자회선),케이블 모뎀 혹은 인트라넷 사용자 전원이 폭증하는 트래픽의 영향을 받게 돼 국지적인 불통사태를 맞을 가능성이 여전히 남아 있다.
정기홍기자 hong@kdaily.com
***인터넷 용어풀이
이번 인터넷 접속불능과 관련된 용어를 알아 본다.
●DNS(Domain Name System)
네트워크상에서 도메인 이름을 관리하는 시스템.인터넷 주소의 지정단위인 도메인은 마침표와 알파벳,숫자의 문자열로 이뤄져 있다.
예를 들어 기업체는 com,교육기관은 edu,정부기관은 gov 등이다.국가의 경우 한국은 kr,캐나다는 ca,일본은 jp,영국은 uk로 표시한다.
DNS는 이처럼 문자로 된 도메인이나 호스트명을 컴퓨터가 인식할 수 있는 숫자인 IP주소로 해석해 준다.
예컨대 도메인 네임이 www.kdaily.com인 대한매일의 경우 DNS를 통해 10.242.xxx.xxx같은 IP주소로 전환된다.
●SQL(Structured Query Language)
데이터베이스(DB)의 조작과 관리에 쓰이는 프로그래밍 언어.웹사이트나 시스템을 운영하는데 필요한 수백만,수천만건의 데이터를 저장·관리하고 정보를 쉽게 찾을 수 있도록 한다.
1973년 처음 개발됐다.74년 IBM 새너제이연구소에서 이를 개선,상용화할 수 있도록 했다.초기에는 IBM DB시스템인 DB2에서만 사용됐으나 현재 MS SQL 서버,오라클 9i 등에서도 이용한다.
문제의 MS SQL 서버는 MS에서 개발,판매하는 데이터베이스 저장·관리 시스템.KT의 MS-SQL 서버를 DNS와 연결해 문자로 된 도메인과 IP주소를 짝지어 놓은 데이터를 입력해 놨다.이 SQL 서버가 웜에 감염되면서 불특정 IP주소로 이상 패킷(데이터묶음)을 보내 결국 사이트를 마비시키게 된 것이다.
최여경기자 kid@kdaily.com “”MS프로그램 취약성 노출””
세계 각국의 유·무선 인터넷 서비스가 중단되자 리눅스는 25일(현지시간) 마이크로소프트(MS)의 SQL서버가 가진 취약성 때문에 발생한 사고라며 MS를 비난했다.
리눅스는 자사 홈페이지에 게재한 글을 통해 이같이 비난하고 이번 인터넷 마비사태는 MS의 SQL서버인 ‘서버 2000소프트웨어’의 결함을 이용한 웜 바이러스가 침투해 발생했다고 주장했다.
리눅스는 이 점을 지적하며 ‘사파이어’ 또는 ‘슬래머’로 명명된 웜 바이러스가 지난해 7월 MS SQL서버에서 발견된 보안상 허점을 이용해 인터넷 사이트를 마비상태로 몰아가고 있다고 설명했다.
리눅스는 또 “웜 바이러스는 MS SQL서버2000에서 약점을 찾기 위해 버퍼 오버플로 현상을 이용한다.”면서 “SQL2000 서버의 약점은 지난해 7월 넥스트 제너레이션 시큐리티 소프트웨어에 의해 이미 발견됐다.”고 강조했다.
MS는 ‘서버2000소프트웨어’에서 취약성이 발견되자 즉시 사용자들에게 패치를 무료로 제공했지만 MS 서버를 사용하는 모든 컴퓨터가 이 패치를 실행시킨 것은 아니었다.리눅스도 칼럼에서 얼마나 많은시스템 관리자들이 이 패치를 적용했는지 알 수 없다고 주장하며 메일 박스에 인터넷 블록포트 1434를 파괴하는 MS SQL 웜바이러스에 대한 보고들로 가득찼다고 전했다.
사태가 확산되자 MS도 이날 컴퓨터 바이러스가 자사 SQL 데이터베이스 소프트웨어를 사용하는 서버를 공격,일부 인터넷 사이트 접속이 늦어졌다고 공식 발표했다.
MS의 매트 필라 대변인은 “슬래머(Slammer)라고 불리는 웜 바이러스가 인터넷 과부하를 일으켜 인터넷 접속 문제를 야기시켰다.”면서 이번 바이러스를 확산시킨 근원을 찾기 위해 노력하고 있다고 밝혔다.
강혜승기자 1fineday@
2003-01-27 4면
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
