[인터넷 대란] 인터넷 대란의 주범은 컴퓨터 바이러스

◆신종 웜과 코드레드의 유사점과 차이점

25일 오후 2시경부터 7시간여 동안 국내 인터넷을 마비시킨 주범은 바로 컴퓨터 바이러스다.

'슬래머(Worm.SQL.Slammer)' 또는 'SQL_Overflow'로 불리는 신종 웜이 원인인 것.

이 웜은 마이크로소프트사의 데이터베이스 소프트웨어인 SQL 서버의 취약점을 이용해 감염시키고, 감염후에는 다른 서버에 과도한 데이터를 날려 시스템을 다운시킨다.

간단한 보안 프로그램을 설치하는 것으로 예방이 가능했지만, 국내 전산관리자들은 보안패치를 제대로 하지 않았다.

그래서 국내 인터넷을 전화번호부처럼 이어주는 대형서버인 KT DNS(도메인 네임 시스템) 서버가 다운되기에 이른 것이다. 국가 전체의 신경망이 마비되는 초유의 사태가 발생한 것.

특히 이번 사태는 지난 2001년 7월부터 2달이상 전세계를 공포로 몰아넣었던 코드레드(CodeRed) 웜과 증상이 비슷하다. 2001년 7월 말 현재 우리나라의 코드레드 피해규모는 서버 3만7천여대로 미국에 이어 세계 2위를 차지, 세계 최고의 인터넷 선진국이란 명예에 먹칠을 하기도 했다.

당시에도 정부당국과 보안업계에서는 대책마련에 분주했다. 보안패치를 권고하고, 새로운 제품을 내놓는 등 부산을 떨었다.

하지만 불과 2년도 되지 않아 또다른 웜 바이러스로 인해 국가 기간망이 마비되는 사태가 발생했다. 바로 전산관리자들의 무관심때문이다.

◆신종 웜과 코드레드의 유사점

한국 시각으로 1월 25일 오후 2시 30분경에 발표된 '슬래머(Worm.SQL.Slammer, 또는 SQL_Overflow)'는 지난 해 7월 발견된 MS-SQL 서버의 보안 취약점을 노리는 웜이다.

이웜에 감염된 MS-SQL 서버는 무작위로 다른 서버를 공격하기 위해 대량의 데이터를 생성하며, 이로 인해 네트웍 트래픽을 과도하게 증가시킨다.

주변 네트웍의 모든 서버가 영향을 받는데 이번 사건의 경우, 인터넷 사용시 중요 역할을 하는 DNS(도메인 네임 시스템) 서버 접속에 장애가 발생했기 때문에 사회적 파장이 더욱 컸다.

2001년 7월부터 2개월이 넘게 인터넷을 어지럽힌 코드레드(CodeRed)는 MS- IIS 서버의 취약점을 이용했다. 윈도NT(IIS 4.0)와 윈도2000(IIS 5.0) 웹 서버를 경유지로 이용해 100개의 인터넷 주소(IP)를 대상으로 서비스거부공격(DoS)을 감행한 것. 파일을 손상시키지는 않지만 시스템의 속도를 급격하게 저하시킨다.

이 코드레드로 인해 기업이나 PC방 등이 대거 감염되면서, KT의 국제 캐시서버가 다운되는 등 피해가 컸다.

'슬래머(Worm.SQL.Slammer, 또는 SQL_Overflow)'와 '코드레드(CodeRed)'는 모두 MS 윈도우(Windows)의 보안 취약점을 이용해서 전파되고, 대량의 데이터를 보내 시스템을 다운시킨다는 점에서 비슷하다.

또 파일 형태로 존재하지 않아, 분석을 어렵게 만든다는 점도 유사하다.

◆신종 웜과 코드레드의 차이점

'슬래머(Worm.SQL.Slammer, 또는 SQL_Overflow)'와 '코드레드(CodeRed)'는 MS 윈도우(Windows)의 보안 취약점을 이용하지만, 대상 서비스가 다르다.

'슬래머'는 데이터베이스(1434 포트)가, 그리고 '코드레드'는 웹(80 포트)이 감염 대상이다. 즉 '슬래머'는 마이크로소프트의 데이터베이스 소프트웨어인 SQL 서버의 취약점을, '코드레드'는 윈도NT(IIS 4.0)와 윈도2000(IIS 5.0) 웹 서버의 취약점을 이용한 것이다.

또한 '슬래머'는 마이크로소프트가 보안패치를 권고한 지 6개월이 지난 후에야 실제 공격이 이뤄졌지만, 코드레드는 예방 조치 정보가 공개된 후 실제 공격이 있기까지 1달이 채 걸리지 않았다.

'슬래머'는 방화벽으로 차단이 가능하지만, '코드레드'는 불가능했으며, 주요 공격 프로토콜도 '슬래머'는 UDP(사용자데이터그램프로토콜)를 이용하는 반면, '코드레드'는 TCP(전송제어절차)를 이용한다.

인터넷에 접속하려면 우리는 TCP나 UDP중 어느 하나를 조합해서 데이터를 주고받아야 한다. TCP에서는 세션(접속)을 설정한 후 통신을 시작하지만, UDP에선 세션을 설정하지 않고 데이터를 상대 주소로 보낸다.

UDP의 특징은 프로토콜 처리가 고속이라는 점. 그러나 TCP와 같이 오류 정정이나 재송신 기능은 없다. 그래서 신뢰성보다 고속성이 요구되는 멀티미디어 응용에 사용된다.

또한 '슬래머'는 백도어를 형성하지 않지만, '코드레드'는 백도어를 형성해서 나중에 해커가 마음만 먹으면 해당 서버의 정보를 가져갈 수 있다는 점이 다르다.