사상 초유의 인터넷 불통사고의 원인으로 분산서비스거부(DDoS, Distributed Denial of Service)로 불리는 해킹 공격이 원인으로 지목되고 있다.
DDoS 공격이란 해커가 특정 시스템에 공격도구를 깔아놓고 원격으로 조정해 다량의 패킷을 날리는 것을 의미한다.
이렇게되면 시스템은 과부하가 걸려서 작동을 멈추는 결과를 낳는다.
DDoS 공격은 특정 시스템을 공격하기 위해 다른 시스템을 경유지로 삼는 해킹 방식으로 이번 혜화전화국의 DNS서버 역시 해외의 다른 시스템 공격을 위한 경유지로 활용됐을 가능성이 높다는게 전문가들의 예측이다.
즉 혜화전화국에 있는 DNS(도메인네임시스템) 서버에 악성프로그램이 설치돼 다른나라에 다량의 패킷을 내보내는 DDoS의 경유지로 활용됐다는 것이다.
KT외에도 다른 통신사업자 DNS도 공격당하는 등 인터넷에 접속하는 곳 전반에 걸쳐 국가 백본망에 대한 대규모 공격이 진행됐다는 가능성도 제기되고 있다.
과거 e베이와 야후등의 다운 원인이 바로 DDoS 공격에 의한 것이었다.
이와 관련 안철수연구소와 하우리 등 백신업체들은 25일 2시 15분 경부터 비상근무 체제에 들어갔다.
안철수연구소 관계자는 “아마도 마이크로소프트 IIS서버의 취약점을 이용한 DDos 공격인 것 같다”며 “정확한 사태 파악을 위해 인터넷데이터센터인 데이콤 KIDC에 직원 2명을 파견해서 공격 패턴을 분석하고 있다”고 말했다.
KIDC에 있는 IIS서버들이 공격도구로 이용되고 있는 만큼, 정확한 원인을 파악하기 위해 직원을 파견했다는 설명이다.
권석철 하우리 사장은 “DDoS 공격일 가능성이 높아 비상근무하고 있다”며 “DDoS 공격의 경우 원인이 두가지 정도일 수 있는데, 만약 마이크로소프트 IIS서버의 취약점을 이용했다면 백신업체에서 전용치료툴을 개발하는 것으로 해결이 가능할 수 있지만 그렇지 않고 유닉스 계열의 솔라리스 서버의 문제라면 네트워크 레벨에서 침입탐지시스템(IDS) 등으로 막아야 할 것”이라고 말했다.
이에대해 임재명 한국정보보호진흥원 해킹바이러스상담지원센터장은 “KT에 직원을 파견해서 원인을 알아보고 있는 상황”이라며 “해킹여부에 대해서는 내일쯤 돼야 정확히 알 수 있을 것”이라고 말했다.
한편 정통부와 해킹바이러스상담지원센터는 어제(24일) 보도자료를 내고, 최근 한달 사이 국내 시스템을 경유한 DDoS 공격이 지속적으로 발생하고 있다고 발표한 바 있다.
이에따르면 미국과 오스트리아의 언론기관 및 인터넷서비스업체 등이 우리나라로부터 다수의 DDoS 공격을 받았다는 사실을 신고해 왔다는 것이다.
115개의 국내시스템이 DDoS 공격에 관여했으나, 우리나라에서 고의적으로 공격을 가한 사례는 발견되지 않았고 모든 시스템이 해킹 경유지로 이용됐다고 정통부는 밝혔다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기