'1.25 인터넷 대란'의 진짜 원인은 관행처럼 굳어온 국내 DNS서버의 잘못된 관리체계 때문이라는 분석이 나왔다.
인터넷 및 호스팅 서비스 전문회사인 아이네트호스팅(대표 신중현 www.inet.co.kr)은 9일 DNS서버에서 로그기록서버나 스위치의 주소인 PTR(Pointer)를 관리하지하지 않은 것이 1.25 인터넷 대란의 결정적인 원인이라고 발표했다.
이같은 지적은 인터넷 대란의 사고 결정적인 원인이 'SQL 슬래머 웜' 때문이 아니라 국내 네트워크 관리구조에 있었음을 인정하는 것이어서 향후 배상문제 등에 상당한 영향을 미칠 것으로 보인다.
아이네트호스팅은 '지난 1월 25일 전국을 인터넷 불통사태로 만든 인터넷 대란의 일차적인 원인이 웜 바이러스에 의해 촉발된 것은 사실이나 실제적 원인은 잘못된 DNS서버의 관리 관행에 있다'고 지적했다.
아이네트호스팅이 밝힌 사고의 과정은 이렇다.
웜에 감염된 SQL서버들에 의해 유발된 대량의 비정상 트래픽을 스위치 장비들이 감지하고 이를 관리자용 로그기록서버로 전송했는데 로그 서버는 정보를 제공한 스위치의 주소를 파악하기 위해 DNS에 Reverse Query(역질의)를 전송하게 된다. 이 때 국내 관행상 DNS서버에는 스위치나 로그분석 서버의 PTR(Pointer-IP주소를 스위치 이름으로 바꿔줌)정보를 파악하지 않고 있기 때문에 DNS서버는 로그 서버로 다시 '자료 없음'이라는 응답을 주게 되고 이는 다시 로그서버로 하여금 DNS에 주소를 묻는 Query를 보내게 만드는 과정이 반복되면서 패킷이 폭증했다는 것이다.
미국 등 해외에서 이번 사고의 피해가 적었던 것도 외국은 DNS서버가 PTR정보를 관리하기 때문이었다는 것이 아이네트호스팅 측의 분석이다.
이 회사의 기술운영팀 신승민 팀장은 "인터넷 웜의 감염에 의한 전형적인 현상은 트래픽의 비정상적인 증가이며, 이 증가는 ISP(인터넷서비스제공업체)혹은 IDC(인터넷 데이터센터)에서 사용하는 스위치 등의 장비에 의해서 모두 감지될 수 있고 그 내역을 자동으로 보고되도록 돼 있다. 또 감염시에는 그 보고 횟수가 현격히 증가하게 돼 로그서버로 전송되는 트래픽의 양이 커지며 최악의 경우 로그 서버가 마비되는 현상이 올 수 있다. 그러나 이 경우에도 인터넷이 마비되는 극한 상황은 절대로 발생하지 않는다. 문제는 로그 서버가 문의하게 되는 Reverse Query에 대한 응답이 제대로 나와줘야 하는데 이번 사고에서는 그렇지 못해 Reverse Query가 반복적으로 발생하게 되고 이러한 Query의 증가로 인해 오히려 DNS 서버가 마비되는 현상이 발생한 것"이라고 설명했다.
따라서 DNS에 각 스위치 장비에 대한 PTR 자료가 관리됐다면 한 스위치당 한번의 Reverse Query만을 전송해 DNS서버를 마비시킨 패킷의 폭증은 발생하지 않았을 것이라는 주장이다.
이 회사 위의석 이사는 "PTR정보는 관리자가 아니면 알 필요가 없는 정보이기 때문에 국내에서는 10여년동안 DNS서버가 이를 관리하지 않는 것이 관례였다."고 말하고 "따라서 이번 사고의 책임론이 거론되고 있는 KT를 비난하기는 어려운 실정"이라고 덧붙였다.
그는 그러나 "지난해 부터 DNS서버를 공격하는 웜이 나타났었던 만큼 필터링 시스템 설치 등의 조치를 취했어야 한다고 생각한다."고 지적했다.
한편 위의석 이사는 "이같은 자체 파악한 원인을 KT에 간접 통보했지만 KT는 이를 100% 인정하지는 않고 있는 것 같다."고 전했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기