정보통신부는 '1.25인터넷 대란'의 원인이 일반 서버 관리자들의 소홀한 보안의식 때문이라고 결론 지었다.
또 국내에 루트DNS서버가 없어 닷컴, 닷넷등 루트DNS의 캐쉬가 필요한 경우 국제관문국을 통해 해외 루트DNS에 문의한 뒤 인터넷에 접속해야 하지만 국제관문국이 병목현상을 일으키고 있는 상황에서는 전체 인터넷 접속이 지연될 수 밖에 없었다고 설명했다.
18일 정통부는 그동안 정통부 공무원과 각 ISP, 보안업체 관계자, 검찰등 12명의 전문가로 구성된 합동조사반의 조사 결과 SQL서버의 보안 취약점을 이용한 '슬래머 웜'의 네트워크 공격에 의한 트래픽 급증 때문이었다고 발표했다.
특히 서버들이 모여 있는 IDC(인터넷 데이터 센터)내에 LAN으로 연결돼 있는 서버 가운데 하나의 서버가 웜에 감염된 경우 내부망의 트래픽이 폭주, 해당 IDC에 입주해 있는 인터넷 쇼핑몰이나 포털 전체 서버에 인터넷 접속 장애가 발생했다고 밝혔다.
이와 관련, 정통부는 "국내에 있는 총 47개 IDC가운데 매출액의 83%를 차지하는 24개 시설을 조사한 결과 3천974대의 SQL 서버 가운데 감염 서버가 1천603개에 달해 평소 관리자들이 바이러스 패치를 게을리 하는등 보안 의식 미흡이 드러났다"고 주장했다.
특히 "1월 26일부터 29일까지 사고가 진행되던 4일동안 KT에서는 직접 서버관리자 4천여명에게 전화를 걸어 개별적으로 패치를 안내해야 할 정도로 서버 관리자들의 보안의식이 낮았다"고 밝혔다.
정통부가 밝힌 이번 사고의 경위는 슬래머 웜이 뿌린 대량의 공격 패킷 가운데 93.2%가 해외로 향하도록 돼 있어 국제관문국 라우터에 심각한 병목현상을 유발했으며 이로인해 외국으로의 인터넷 접속 장애 및 국내 DNS서버의 과부하를 초래했다는 것이다.
국내에 루트DNS가 없는 우리나라의 경우 이처럼 국제관문국에 부하가 발생할 경우 인터넷 접속을 위해 닷컴이나 닷넷을 초기화면으로 설정해 놓은 경우에는 인터넷 접속이 지연될 수 밖에 없다는 설명이다. 그러나 일부 인터넷 사이트는 1.25대란에도 불구하고 접속이 원활했다고 정통부는 덧붙였다.
외국에 비해 우리나라가 이번 슬래머 웜에 의한 피해가 컸던 이유에 대해 정통부는 "외국에 비해 우리나라의 SQL서버들이 높은 감염률(일본에 비해 7배, 중국에 비해 2배)을 보였으며 국내에 루트DNS가 없어 해외 망으로 접속을 해야 했기 때문"이라고 설명했다.
다음은 정통부 차양신 정보보호 기획과장과의 일문일답.
- 루트DNS서버를 국내에 유치할 수 있는 가능성은 있는가?
"현재 사용되고 있는 IPv4 인터넷 상황에서는 13개 이상의 루트DNS서버를 운용할 수 없다. 현재는 13개의 루트DNS가 모두 운용중이고 국내에 이를 유치하기 위해서는 다른나라에서 사용되고 있는 루트DNS를 들여와야 하는 어려움이 있다. 그러나 루트DNS서버를 국내에 유치할 수 있는 방안에 대해 추진을 하고는 있다."
- 1.25인터넷 대란의 원인도 중요하지만 책임소재가 더 큰 관심사이다. 이에 대해서는 어떻게 논의되고 있는가?
"이번 합동조사반의 목적은 사고의 원인을 규명하는 것이다. 책임소재 부분에 대해서는 말할 수 있는 위치에 있지 않다."
- 30일 발생한 사고의 경우 원인을 트로이목마의 변형등으로 규정하고 있는데 이는 소비자들에게 책임을 떠넘기려는 것 아닌가?
"트로이목마 주의보를 발령한 것은 소비자들에게 위험을 설명한 것이다. 책임전가가 아니다. 항상 해오던 경보를 발령한 것으로 보면 된다."
- 각 IDC들의 슬래머 웜 감염현황을 세부적으로 밝혀달라
"책임이 IDC에 있다는 것이 아니라 서버가 집중돼 있는 IDC에서 웜이 확산된 것이라는 얘기이다. 개별 IDC들의 감염현황을 발표하기는 어렵다."
- 1.25대란과 30일 인터넷 불통의 책임은 누구에게 있는가?
"결국 모두의 잘못이다. 보안패치를 하지 않아 슬래머 웜에 감염된 것이다. 패치를 잘 했어야 한다."
- DNS서버에 방화벽을 설치했어야 한다는 지적이 나왔다. 보안관리에 허술함이 있었던 것은 아닌가?
"루트DNS서버는 방화벽을 둔다. 그러나 일반 DNS는 방화벽을 두지 않아도 문제는 없다."
- 리버스쿼리(Reverse Query:역질의)에 대한 궁금증이 높아져 있다. 이에 대해 설명해 달라.
"1.25사고 초기에는 리버스쿼리가 실제 발생해 사고의 원인일 수 있다고 판단했다. 그러나 실제 시연을 해 본 결과 DNS를 다운시킬 정도의 영향은 아니라고 판단됐다. 정확히 알기 위해서는 로그자료가 있어야 하는데 이를 확보하지 못했다. 그러나 리버스쿼리가 사고의 원인은 아니라고 보인다. 일부 리버스쿼리가 발생한 것은 사고 수습 이후 보안장비나 모니터링 장비에서 발생시킨 것으로 보고 있다."
- 국제회선에서 리트라이쿼리(재질의)가 많았다고 했는데 이는 무엇인가?
"인터넷 사용자가 자신이 원하는 사이트에 접속하기 위해 사이트명을 쳐 넣으면 이에 대해서 DNS서버에서 주소를 지정해 준다. 그런데 DNS에 부하가 걸리면서 이에 응답하지 못할 경우 75초동안 계속해서 리트라이쿼리가 들어오는 것이다. 이로 인해 DNS부가가 더 높아지고 다운까지 가게 되는 것이다."
- KT의 자체 LAN 내에서 감염된 SQL이 패킷 발생량을 높였다는 지적이 있는데
"KT의 내부 감염은 없었다고 봐야 한다. KT의 네트워크 장비 중에는 SQL서버가 없다. 또 일부 IDC내에 서비스를 위한 SQL서버가 있기는 하지만 이는 내부적으로 패치 명령이 내려오면 바로 시행하도록 돼 있어 내부 인트라넷에도 문제가 없었다."
- 1.25 대란이 인터넷 불통인가? 지연인가?
"인터넷 지연이라고 봐야 한다. 일부 사용자들이 불통으로 느꼈을 수는 있으나 우정사업본부에서 운용하는 e-POST는 전혀 민원이 발생하지 않았으며 특정 사이트에 접속하지 않고 인터넷 속도를 시험하는 사이트 들에서는 시험결과가 사고 시간에도 지속적으로 체크됐다. 결국 인터넷 불통은 아니라는 것이다."
- 루트DNS 서버 국내 유치나 조기 예.경보 체계 발동등 외에 획기적인 사고 재발방지책이 있는가?
"정통부의 책임 강화등 획기적인 대책을 마련하고 있다. 그러나 이 문제는 다른 관계부처의 협조가 필요한 부분이다. 이에 대해서는 관계부처 협의를 거쳐 차후에 다시 발표하겠다."
- 획기적인 대책 마련 이전에 유사사고가 발생할 경우 정통부는 어떤 대책이 있는가?
"법제도 정비 이전에 유사사고의 재발에 대응하기 위해 TF팀을 구성, ISP와 정통부 간에 핫라인 체제를 유지할 것이다. 이달 말이면 핫라인이 구축될 것이다."
"KT 혜화전화국에 DNS백업 시스템이 모두 있는 것은 사실이다. 그러나 물리적으로 이를 분리할 경우 사고 대처가 더 지연될 수 있다는 지적도 있다. 따라서 DNS의 용량 부족에 대해서는 인정할 수 있으나 분산에 대해서는 반드시 물리적 분산이 옳다고 보지는 않는다." 이구순기자 cafe9@inews24.com포토뉴스
| ||||||||
--comment--
첫 번째 댓글을 작성해 보세요.