‘1.25’ 인터넷 대란의 진짜 원인은 전화번호부처럼 인터넷 주소를 연결해주는 DNS(도메인네임시스템 서버)가 마비됐기 때문이다.
그렇다면 누가 DNS에 과도한 데이터(리버스쿼리, 역 IP질의)를 보내 마비시킨 것일까. 이를두고 논란이 가열되고 있다.
주범이 누구인가에 따라 손해 배상의 주체와 대응책이 달라질 것이다. 이와 관련 KT와 아이네트호스팅, 그리고 보안전문가들의 입장이 엇갈리고 있다.
KT는 가입자단의 방화벽 등 보안시스템을, 아이네트호스팅은 ISP(인터넷서비스사업자) 시설 내부에 있는 원격로그서버를 범인으로 지목하고 있다. KT는 자사 가입자들에게 책임을, 아이네트호스팅은 DNS서버 관리에 미흡했던 ISP들의 책임론을 주장하고 있는 것.
이런 가운데 네트워크 보안 전문가들은 사고 당시 로그기록이 없어 모든 것은 증거없는 가설에 지나지 않는다고 말한다. 기술적으로 보면 가입자단 방화벽이든, ISP의 원격로그서버든 리버스쿼리(역IP질의)를 발생시킬 가능성이 있는 만큼 누구 혼자 책임으로 밀어부칠수는 없다는 설명이다.
◆멀쩡한 보안제품이 DoS 공격도구로 활용됐다…KT
해킹공격을 막으려고 설치했던 방화벽이 DNS에 서비스거부공격(DoS)을 퍼붓는 도구가 됐다? 어처구니 없는 일이다. 약에 쓰려고 도입한 보안제품이 DNS에 리버스쿼리(역IP질의)를 날려 이를 마비시키는 주범이 됐기 때문.
KT 네트워크본부 인터넷통신팀 이기철 과장은 “NMS 장비 등을 통해 자체 분석한 결과 KT DNS에 리버스쿼리를 날린 것은 가입자단에 설치된 방화벽 등 보안시스템이었다는 게 밝혀졌다”며 “가입자단 보안장비만 문제가 됐을 뿐 KT 내부의 침입탐지시스템이나 라우터 등 기타 장비들은 리버스쿼리를 하나도 발생시키지 않았다”고 말했다.
그는 또 “KT 코넷망에는 원격로그서버가 없으며, NMS(네트워크관리시스템) 장비에 자원관리시스템을 구축해서 라우터나 스위치, 기타 장비들의 IP주소를 저장해두고 있는 만큼, 이 장비들이 DNS에 IP주소를 확인하기 위해 리버스쿼리를 날릴 필요는 없다”고 말했다.
방화벽이나 유해사이트차단솔루션, 침입탐지시스템 등이 특별한 경우(슬래머’ 의 숙주가 된 SQL 서버와 같은 네트워크에 있는 경우) DNS 리버스 쿼리를 날릴 수 있다는 것은 보안 전문가들 사이에서도 지적돼 온 문제다.
김남욱 잉카인터넷 사장은 “방화벽에서 접근 제어 리스트를 만들 때 IP 주소가 아니라, URL(도메인 이름)로 차단과 통과여부를 설정할 경우 문제가 될 수 있다”며 “이 때 방화벽은 수신한 IP주소가 맞는지 여부를 DNS에 물어보게 되는데, 그 때 리버스쿼리가 발생한다”고 말했다.
즉 방화벽에 차단목록을 숫자로 돼 있는 IP주소가 아니라 www.inews24.com식의 도메인 이름으로 설정해 둘 경우, 이번같이 멀티캐스트 패킷의 공격이 있으면 DNS에 리버스쿼리를 날리게 된다는 설명이다.
그렇다면 방화벽 등을 세팅할 때 IP주소로 해두면 되지 않을까.
이에대해 김 사장은 “대기업의 경우 IP별로 차단하는게 귀찮아서 도메인 이름으로 설정해두는 경우가 있으며, 특히 도박사이트 등을 차단하는 유해정보 차단 제품의 경우 대부분 도메인 이름으로 차단한다”고 말했다.
즉 IP나 도메인 이름으로 세팅해두는 것은 보안 제품의 기본적인 특징을 나타내는 것이므로, 이에대한 대안을 보안 제품에서 찾기는 힘들다는 설명이다.
◆ISP 내부에 있는 원격로그 서버가 문제…아이네트호스팅
이에반해 아이네트호스팅은 12일 기자회견을 열고 시연을 통해 이번 인터넷 대란의 주범이 ISP 내부에 있는 원격로그(Syslog)서버였다는 것을 증명했다.
신승민 기술운영팀장은 “이번 인터넷 대란에서 DNS에 리버스쿼리를 보낸 주범은 원격로그서버였다고 보고 있다”며 “슬래머에 감염되면 ISP에서 쓰는 스위치 등의 장비에 의해 로그의 보고 횟수가 현저하게 늘어나게 되고, 이 때 로그서버는 DNS서버로 문의하는 리버스쿼리를 과도하게 발생시키게 돼 결국 DNS서버에 대한 공격이 시작된다”고 말했다.
아이네트호스팅은 1월 25일 인터넷 대란 당시 로그데이터를 공개하며, 테스트 환경을 구축, 직접 시연해 보였다.
그렇다면 아이네트 호스팅은 KT가 말한 가입자단 방화벽이 리버스쿼리를 일으킨 주범이란 사실에 대해서는 어떻게 생각하고 있을까.
위의석 이사는 “KT의 로그기록이나 네트워크 구성도를 정확히 알지 못해 명쾌한 답변을 불가능하다”고 전제한뒤 “하지만 우리의 경우 가입자단 방화벽에서 리버스쿼리를 일으켰다는 사실을 전혀 감지하지 못했으며, 오히려 가능성이 있다면 KT 내부에 있는 침입탐지시스템 등 보안 시스템이 1434 포트에 대한 대처를 시작한 후 이를 리포트하는 과정에서 리버스쿼리를 발생시켰을 가능성이 있다고 본다”고 말했다.
즉 굳이 보안시스템이 문제였다면, 가입자단이라기 보다 KT 내부 시스템일 가능성이 높다는 설명이다.
하지만 그는 “우리 고객의 경우 대부분이 IDC와 다이얼업 고객이고, KT는 ADSL을 포함한 인터넷서비스 고객도 있는 만큼, 직접 비교는 불가능할 수 있다”고 물러섰다.
◆증거 부족으로 정통부도 원인규명 힘들 듯…보안전문가
이처럼 같은 ISP(인터넷서비스사업자)라도 원인분석이 다른 가운데, 정통부는 이번주 14일께까지 원인규명반 활동을 마무리하게 된다.
정통부는 장관 지시아래 정보보호기획과를 중심으로 KT, 데이콤, 시스코, MS, 안철수연구소, 하우리, 에이쓰리시큐리티컨설팅 등 전문가를 모아 2주동안 이번 인터넷 대란의 원인을 밝혀내는 ‘원인규명반’을 구성해서 활동하고 있다.
그렇다면 이 원인규명반에서는 정확한 로그기록을 갖고, 원인을 규명해냈을까. 아쉽게도 현재까지는 몇가지 중요한 가설들이 기술적으로 제시됐을 뿐 증거확보에는 애를먹고 있는 것으로 나타났다.
원인규명반에 참여하고 있는 한 관계자는 “이번 주 월요일 1차 보고서가 장관에게 제출됐지만 당시 로그기록이 부족해서 정확한 사실 규명이 어려운 상황”이라며 “1차 보고서에서는 가입자단의 방화벽 등의 장비가 리버스쿼리를 일으킬 수 있다는 이야기는 들어갔지만 그렇다고 KT 내부 시스템은 리버스쿼리를 일으키지 않았다는 것을 증명할 수도 없는 것이어서 고민이다”라고 말했다.
즉 KT 등 통신사 DNS 서버에 대한 로그 데이터가 없는 이상, 증거없는 가설만 가능하다는 설명이다. 1초당 수만껀 이상의 패킷을 처리하는 DNS의 특성상 로그기록을 남기기 어려운 만큼, 사고의 원인규명에도 한계가 있을 수 밖에 없다는 것이다.
이에 따라 전문가들은 증거부족으로 인해 이번 사건의 실체적 원인 규명이 어려워질 것으로 우려하고 있다. 또 시민단체와 통신사업자간에 손배소송과 관련된 공방이 있을 경우, 법적인 논란 역시 가열될 것으로 보고 있다.
하지만 네트워크 보안 전문가들은 설사 이번 사건의 정확한 원인이 규명되지 못하더라도 ▲ 가입자는 보안패치를 열심히 하고 ▲ ISP들의 기업고객들은 방화벽과 침입탐지시스템으로 자신에게 이상징후가 없는지 감시해야 한다고 보고 있다.
또한 ISP 역시 네트워크 관리에 노력해야 하는데 ▲ 대고객 서비스 전용 DNS와 내부 관리를 위한 DNS를 분산해서 운영한다던지 ▲ ISP끼리 DNS를 상호분산한다던지 하는 노력이 필요하며 ▲ DNS 상위에 능동적이고 지능적인 방화벽을 설치해서 일상적으로 데이터가 유입되는 임계치를 설정하고, 감시한다던지 하는 것도 대안이 될 수 있다고 보고 있다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기