경찰청 사이버테러대응센터는 27일 이번 인터넷 접속 마비 사태의 원인이 된 '슬래머'바이러스가 처음 유입된 것은 외국에서 부터였다고 발표했다.
양근원 사이버테러대응센터 수사대장은 "최초의 패킷이 어디에서 왔는지 가장 먼저 시작된 패킷의 소스를 추적한 결과 외국에서 들어왔다는 것을 확인했다"며 "의심가는 인터넷 주소(IP)들을 뽑아 인터폴에 수사를 요청한 상태"라고 말했다.
하지만 그는 "웜의 특징이 무차별적으로 확산되는 것인 만큼, IP 추적만으로 웜 발생의 진원지를 확인하기는 쉽지 않을 것으로 보인다"고 말했다.
그리고 그는 일부에서 제기되고 있는 KT DNS(도메인 네임 시스템)의 해킹가능성에 대해 "처음으로 국내에 유입된 웜이 KT DNS뿐 아니라 다른 인터넷서비스사업자의 DNS에도 무차별적으로 유포된 만큼 KT DNS를 타겟으로 해커가 관리자 권한을 획득, 이를통해 웜을 뿌렸을 가능성은 없다"고 말했다.
문제가 된 KT DNS서버에 대한 로그를 분석한 결과, 해킹 가능성을 발견하지는 못했다는 것이다.
한편 이같은 설명은 일부 보안 전문가들이 제기하는 KT DNS서버 해킹 가능성에 대해 부정하는 것이다.
25일 인터넷 마비 사건이 발생한후 일부 보안전문가들은 "국가 백본망이 마비될 정도로 데이터량이 늘어나려면 특정 사이트를 겨냥해서 웜이 뿌려졌어야 가능하다"며 KT DNS 서버의 해킹 가능성을 강하게 제기해 왔다.
한 보안전문가는 "KT 백본만 죽고 지앤지 등 다른 사업자 백본에는 큰 이상이 없었던 것은 해커가 KT DNS서버를 해킹한 후 권한을 획득해서 슬래머 웜을 뿌렸기 때문"이라며 "이는 지난 해 10월 국제 DNS 서버를 해킹해서 인터넷 마비 사태가 발생할 뻔 했던 수법과 비슷하다"고 말했다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기