[이병철] 대안은 '시큐어OS'다.

이번 한국에서 발생한 사상 초유의 네트워크 마비 사태로 인하여 전세계가 놀라고 있습니다.

전 세계적으로 가장 우수한 네트웍 인프라를 자랑하는 한국에서 이러한 '대란'이 발생하였다는 점에서 전세계에 더 큰 경각심을 울리는 사건이라고 할 수 있습니다.

이번 사건은 376Byte 크기의 작은 패킷 하나가 MS-SQL Server 2000이 사용하는 UDP 1434 포트로 유입되면서 시작되었습니다. 그 작은 패킷 하나로 한국의 기간망이 순식간에 무릅을 꿇은 것입니다.

그럼 그 376Byte 크기의 작은 네트웍 패킷 하나가 어떻게 그런 파괴력을 갖을 수 있었을까요? 근본적인 문제점은 MS SQL Server 2000의 BOF(Buffer Overflow) 취약점에 있습니다.

자료를 정리하고 사람들에게 이로움을 주어오던 SQL Server 2000이라는 어플리케이션에 내포되어있던 취약점에 의해 유용한 도구가 회사의 전체 사업을 마비시키고 나아가 국가 전체의 인터넷망을 마비시켜 엄청난 손실을 유발하는 흉기로 돌변한 것입니다.

아직까지는 사건의 정확한 시발점이 밝혀지지않아 많은 추측만이 난무하고 있지만, 이번 사건은 사실은 처음 접하는 사건만은 아닙니다.

2001년 경험한 코드레드(CodeRed), 님다(Nimda) 등 네트워크 패킷 공격으로 인해 사회 각 분야에 걸쳐 큰 피해를 입어왔지만, 이번에 또 다시 슬레머 웜(Worm.SQL.Slammer)으로 인해 전에 없이 큰 피해를 입은 것입니다.

공격에 사용된 도구만 IIS(Internet Information Server)에서 SQL Server로 바뀌었다는 것뿐 인데 동일한 방법에 대한 대책을 여전히 마련하지 못하고 있었던 것입니다.

이는 관리자가 게으르다거나 어플리케이션 개발사가 부도덕하다거나 하는 문제로만 설명되기 부족한, 근본적인 대응책이 미비했다고밖에 할 수 없습니다.

이번에 문제를 일으킨 SQL Server의 BOF 취약점을 이용하면 웜의 형태로 네트웍을 마비시키는 것 뿐만 아니라, Backdoor의 형태로 Database의 관리권한을 획득하고 자료를 마음대로 빼내가는 것도 가능한 것으로 알려져 있습니다.

악의적 사용자가 취약점을 응용하기에 따라 변형된 형태의 다양한 피해를 발생시킬 수 있는 것입니다. 하지만, 이런 문제는 비단 SQL Server나 MS-Windows뿐만 아니라 모든 응용프로그램, 모든 운영체제에서 같은 문제가 발생할 수 있다는 점을 간과해서는 안됩니다.

또한 그 형태가 어떻게 발전해갈 것인지는 아무도 모르는 일입니다.

한국의 정통부 장관이 같은 취약점이 하루에도 수십수백가지가 발표되고 있다면서 사전 대책이 소홀했다는 지적을 피해갈 수 있는 것도 아직 알려지지않은 많은 취약점들이 날마다 새롭게 발견되고 있고, 그 모든 취약점은 위력적 피해를 발생시킬 수 있는 똑같은 가능성을 지니고 있다는 지적이기도 합니다.

그럼 이런 위협으로부터 자유로워질 수는 없을까요?

웜도 바이러스의 일종이고 Anti-Virus 솔루션을 우선적으로 생각할 수 있지만, 근본적으로 Anti-Virus 솔루션들은 항상 사건이 난 다음에 사태를 수습하는 차원으로만 활용될 수 있습니다. 사전에 막을 수는 없는 것이지요.

일시적으로 네트웍 포트를 막는 방법도 있지만, 이 또한 사후약방문이 될 수 있습니다.

미래에 일어날 수도 있는 사태를 미리 막는 방법이라면, 이번에 문제가 된 BOF와 같은 취약점이 악용되는 것을 서버단에서 근본적으로 막는 방법이 유일하다고 할 수 있습니다.

즉, 어떤 어플리케이션이 아직 발견되지않은 BOF 취약점을 갖고 있다고 하여도, 이를 이용한 침투시도가 감지될 때 즉각적으로 차단하는 방법으로 알려지지않은 웜, 해킹에도 대응할 수 있게 됩니다.

시큐브레인의 SecureOS 제품인 하이자드에는 BOF를 탐지하고 즉각적인 차단을 하는 기능이 포함되어있습니다. 즉, 하이자드가 설치된 서버에는 BOF 취약점을 이용한 로칼에서의 해킹 시도나 웜과 같은 원격에서의 침입시도등이 근본적으로 차단되도록 되어있습니다.

이는 서버 자체를 보호하는 방법일뿐만 아니라 주변시스템으로 피해가 전파되는 것을 막는 가장 적극적인 대안이라고 할 수 있습니다.

해킹이나 웜의 기술은 날로 발전하고 있습니다. 앞으로 같은 사건이 발생한다면 아마도 그 피해는 지금과는 비교도 안될 정도로 커질 것입니다.

개별 취약점에 대한 대응책 마련이 아닌 근본적인 해결책을 찾기 위해 연구하고, 적극적으로 투자하는 국가적인 대책을 마련해야 할 시점이라 생각됩니다.

/이병철 시큐브레인 사장 bclee@secubrain.com