유선 인터넷은 물론 무선인터넷, 행정전산망이 완전히 불통되는 사상 초유의 재난이 25일 전국을 강타했다.
특히 이번 인터넷 마비 사태는 국내 뿐 아니라 미국, 유럽 등 전세계적으로 발생한 것으로 알려져 엄청난 피해가 예상되고 있다.
전문가들은 이번 불통사태가 마이크로소프트(MS) SQL 서버를 공격하는 신종 웜에 의한 것으로 분석하고 있다. 특히 이번 사태는 지난 2001년 전세계를 공포로 몰아넣었던 코드레드(CodeRed)와 증상이 비슷한 것으로 알려졌다.
◆ 오후 2시 혜화전화국 DNS 부하 걸리며 '다운'
인터넷 불통 사태가 처음 발생한 것은 이날 오후 2시경.
KT 서울 혜화전화국의 DNS(도메인 네임 서버)에 해외로 가는 이상 데이터가 다량으로 유입되면서 전국의 인터넷 서비스가 완전히 다운됐다.
이 사고로 인해 KT의 인터넷 뿐 아니라 하나로통신, 두루넷 등 여타 회사의 인터넷 서비스도 동시 다발적으로 다운됐다. 특히 유선인터넷 뿐 아니라 무선인터넷, 행정전산망까지 다운돼 '인터넷 먹통' 상태를 초래했다.
KT측은 사고 발생 2시간 여 만인 이날 오후 3시 45분경 '인터넷을 복구했다'고 발표했다. 하지만 일부 지역에서는 여전히 인터넷 접속이 원활하지 못한 상태인 것으로 알려졌다.
KT는 이번 사고에 대해 "DNS서버는 인터넷 접속을 위해 사이트 이름을 적어넣으면 이를 IP주소로 변환해 주는 것"이라고 밝히고 "KT는 전국에 5개 DNS서버를 운용하고 있으며 혜화전화국 DNS서버가 메인 서버여서 전국적으로 인터넷 불통 현상이 발생한 것"이라고 설명했다.
◆ 보안업계 "신종 웜 때문"
보안업계에서는 이번 사건이 신종 웜의 공격 때문인 것으로 분석하고 있다.
안철수연구소(대표 안철수 www.ahnlab.com)는 이날 오후 9시40분 경 보도자료를 내고 이번 사건이 해킹에 의한 것이라는 초기 추측과 달리 신종 웜에 의한 것으로 보인다고 주장했다.
또 "이번 사건은 우리나라 뿐 아니라 미국, 호주, 캐나다 등지에서도 나타나고 있는 현상"이라며 "MS-SQL 서버에 신종 웜이 감염되어 DNS에 계속 접속을 시도하기 때문에 과부하로 인해 DNS가 다운되는 것"이라고 밝혔다.
안연구소 측은 DNS 서버가 직접 공격받은 것이 아니라 MS-SQL 서버 공격으로 인해 간접적으로 DNS 서버가 다운된 것으로 드러났다고 강조했다.
또 이 웜은 파일 형태로 존재하지 않고 코드레드처럼 메모리에 상주하는 형태로 전파되는 것으로 추정된다고 밝혔다.
하우리(대표 권석철, www.hauri.co.kr) 역시 국내 인터넷 서비스를 마비시킨 주범은 분산서비스거부 공격(DDos) 공격이 아니라 SQL 서버를 공격하는 신종 웜 '슬래머(Worm.SQL.Slammer)'로 확인됐다고 발표했다.
하우리 기술연구소 측은 "이 신종 웜은 SQL 서버의 취약점을 이용해 1434포트로 유입되는 형태로 전파된다"면서 "일단 감염되면 무작위로 서버 IP 주소를 선정, 초당 1MB이상의 과도한 패킷을 날려보냄으로써 서버 부하를 일으켜 시스템을 다운시킨다"고 설명했다.
◆ 정통부, 26일 비상대책회의
이상철 정보통신부 장관을 비롯한 차관 등 관련 공무원들은 인터넷 불통사태 발생 직후 상황실을 설치하고 혜화 전화국 현장을 확인하고 대책을 마련하는 등 대책 마련에 본격적으로 나섰다.
이상철 정통부 장관은 사고발생 직후 정통부 정보화기획실과 정보보호진흥원 등 30명 규모의 긴급 대책반을 구성했다. 정통부는 26일 오전 9시 종합 회의를 통해 이번 사고의 원인과 피해상황, 향후 대책등을 논의할 계획이다.
KT 역시 분당 본사에 상황실을 설치하고 혜화전화국과 이원적으로 사고처리에 적극 나섰다.
KT 측은 다보스 포럼 참석차 해외 출장중인 이용경 사장에게 이번 사건을 보고하는 한편, 정태원 부사장이 중심이 돼 상황 파악과 사고 복구에 적극 나서고 있다.
◆ 보안관제업체들도 비상 상태
코코넛, 해커스랩, 넷시큐어테크놀러지 등 보안 관제서비스 업체들이 비상상태에 들어갔다.
이들은 고객사인 인터넷데이터센터(IDC)에 직원을 파견하거나, 24시간 원격 관제시스템을 비상체제로 가동시키는 등 본격적인 원인분석과 사고 대응에 착수했다.
코코넛(대표 조석일 www.coconut.co.kr)은 주주사인 안철수연구소와 함께 25일 오후 데이콤 KIDC에 직원을 파견, 패킷 분석에 들어갔다.
해커스랩(대표 김창범 www.hackerslab.com)도 KT IDC 등 고객사에 대한 관제서비스를 강화하기 위해 비상체제에 들어갔다. 해커스랩 관계자는 "25일 오후 7시 현재까지 코넷망 일부가 죽어있는 상태"라며 "관제팀 비상 근무를 통해 대응방안을 찾고 있다"고 말했다.
넷시큐어테크놀러지(대표 안용우 www.netsecuretech.com) 역시 하나로, 온세통신, 시스원, 엠플러스텍, 필라민트네트웍스 등 고객사에 대한 비상 서비스에 들어갔다.
한편 경찰청 사이버테러대응센터와 서울경찰청 사이버범죄수사대가 사이버 테러 및 해킹 가능성에 대한 수사에 본격 착수했다.
경찰은 국가기간 전산망을 마비시키는 사이버테러에 대해서는 철저히 조사한다는 방침이다.
◆ 전세계로 피해 확산
이번 인터넷 불통사태는 한국 뿐 아니라 미국, 유럽 등 전세계적으로 확산되고 있는 것으로 알려져 앞으로 엄청난 피해가 예상되고 있다.
현재 심각한 인터넷 불통 사태를 겪고 있는 곳은 미국, 한국을 비롯, 태국, 일본, 캄보디아 등인 것으로 알려졌다.
핀란드의 통신사업자인 텔리아소네라는 핀란드, 스웨덴 외부 지역에서 마이크로소프트(MS)의 SQL을 사용하는 서버들이 접속 불능 사태를 겪고 있다고 밝혔다. 태국은 국내 서버는 정상적으로 가동되고 있지만 국제 서버 접속 장애현상이 계속되고 있다.
일본 역시 갑작스런 인터넷 접속 폭주로 일부 사이트가 마비 상태에 빠졌다고 NHK가 보도했다. NHK에 따르면 일부 대학 컴퓨터가 시간당 20만 히트가 몰리면서 보안회사들이 긴급 조사에 착수했다.
대만도 비슷한 상황을 겪고 있다. 대만 최대 인터넷 사업자인 중화텔레콤은 자사 서비스가 심각한 장애를 겪고 있으며, 일부 고객들의 인터넷 접속이 여전히 불가능하다고 밝혔다.
이구순기자 cafe9@inews24.com, 김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기