초동 대응 미흡을 가장 큰 이유로 꼽을 수 있다. 최초 트래픽 과다 현상을 발견 한 시간이 25일 오후 2시 10분 드림라인에 의해서다. 그로부터 30분이나 지나서 문제가 발생했던 KT혜화전화국 DNS 서버에 트래픽이 급증하면서 인터넷 접속 장애가 발생하기 시작했다. 그동안 누구도 사태의 심각성을 파악하지 못하고 있었던 셈이다.
사태 진압의 첫 조치는 오후 4시였다. 정보보호진흥원(KISA)이 ISP들에게 관련 포트인 1433, 1434 포트 차단을 지시한 것.
결국 이상 징후 발견후 1시간 50분이나 지나서 구체적인 첫 조치를 내린 것이다. 광속으로 퍼지는 바이러스를 잡는 데는 너무 긴 시간이었다. 당연히 이때는 이미 전국 인터넷 대부분이 마비된 후였다. 사후약방문인 격이 된 셈이다.
사고 당일이 주말 오후였다는 점을 감안하더라도 비상 사태에 대한 대응시스템으로는 허술하기 짝이 없었다는 비난을 면키 어렵다. 국가 비상사태를 야기할 수 도 있을 대형 사고에 대한 대응이라고 보기에는 신속성 면에서 분명 문제가 있었다.
드림라인은 불행히도 이상 징후를 정통부나 KISA에 보고하지 않았고 뒤 늦게 자체적으로 이상을 파악한 KISA가 전국 주요 ISP들을 대상으로 상황 파악에 나섰으나 토요일 오후라 대부분 연락조차 되지 않았던 것으로 밝혀졌다.
모든 ISP들은 자체적으로 항상 트래픽에 대해 감시하는 체제를 갖추고 있다. 만약 2시 10분 첫 이상 징후를 발견하고 바로 원인 분석과 함께 포트 차단에 들어갔다면 사상 초유의 대란은 막을 수 있었다. ISP들은 그동안에도 크고 작은 사고가 발생해도 이를 쉬쉬하고 내부적으로만 수습하려 한 것이 관행이었다. 앞으로의 과제가 여기에 있다.
또 초기에 해킹이 원인인지 바이러스가 원인지를 파악하지 못해 1시간을 허비했다. 만약 관련 전문가 풀이 구성돼 있어 이상징후 발생 직후 전문가들이 신속하게 원인을 파악했다면 좀 더 빨리 포트를 닫을 수 있었고 그랬다면 사고는 훨씬 축소됐을 것이다.
백재현기자 brian@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기