이번 인터넷 대란의 근본 원인은 정상적인 LAN(근거리통신망) 환경의 인터넷 통신 규약(TCP/IP)에 의해 유발된 인터넷 트래픽 과부화 때문인 것으로 밝혀졌다.
인터넷 교신을 담당하는 통신업체 DNS가 슬래머에 감염돼 마비된 것이 아니라, 이 웜으로 인해 '정상' 데이터가 과도하게 발생하면서 DNS 작동 불능 사태를 불러왔다는 설명이다.
백신업체 하우리와 PC보안 서비스 업체 잉카인터넷은 28일 기자회견을 열고 정상적인 인터넷 프로토콜(TCP/IP)을 이용한 웜의 공격 때문에 인터넷 대란이 발생했다고 발표했다.
이더넷이나 SMB(서버메시지블럭), DNS(도메인 네임 시스템)서버 등 정상적인 인터넷 통신에 쓰이는 규약들이 한순간에 국가 전체의 인터넷을 마비시키는 무기로 돌변했다는 설명이다.
양사는 27일 밤 KT와 공동으로 이번 사건에 대해 원인 분석에 착수한 바 있다.
◆왜 통신사 DNS에 트래픽이 집중됐는가
그동안 많은 전문가들은 DNS서버에 왜 트래픽이 집중됐는지 해명하지 못했다. ‘슬래머’의 구조상 SQL 서버를 감염시킬 수는 있지만, SQL서버가 통신사업자의 DNS서버를 직접 공격한다는 가설은 설득력이 떨어졌기 때문이다.
특히 우리나라에서 팔린 마이크로소프트 SQL서버가 2만여대에 불과했던 것으로 알려지면서, 그것만으로 생긴 트래픽이 통신업체 DNS를 못쓰게 만들었다는 사실이 이해되지 않았다.
게다가 통신업체들이 이번 웜의 공격루트가 된 1434포트를 막은 후에도, DNS에 상당한 량의 서버콜이 몰려들었다. 혜화전화국의 경우 27일 오후 2시 경 DNS서버에 초당 6만콜이 유입, 평소 초당 건수인 2만6천~2만9천콜의 2배 수준을 웃돌았다.
이에 따라 일부에서는 무작위로 웜에 감염된 것이 아니라, 해커가 KT DNS를 타깃으로 백도어를 심고, KT내부에서 웜을 유포하기 시작했을 것이란 주장도 제기됐다.
점령한 DNS서버의 엔트리 목록 리스트에서 국내 백본에 직접 붙어있는 다른 DNS 서버목록(데이콤 KIDC. 하나로 등)을 꺼내 가져가, 자신의 집(?)에서 갖고 있는 공격툴(Slammer Worm, Sapphire Worm) 소스에 취득한 서버 목록을 입력했을 것이란 설명이다.
해커는 혜화 DNS가 정상적으로 상위 해외 DNS로 쿼리(질의신호) 결과를 가져오는 시점에서 하위 서버를 공격하도록 25일 2시경에 동작시켰다는 것이다.
하지만 이같은 가정은 현실성이 없는 것으로 나타났다. SQL서버의 취약성을 이용한 '슬래머'웜 외에 또다른 원인이 있었다는 게 규명됐기 때문이다.
◆SQL 서버에 당한 윈도시스템, DNS 과도한 트래픽 유발
KT와 하우리, 잉카인터넷이 밝혀낸 원인은 다음과 같다.
우선 최초로 ‘슬래머’ 웜의 숙주가 된 SQL 서버가 같은 네트워크(LAN, 근거리통신망)에 있는 다른 윈도시스템(윈도 2000,윈도 98계열 서버와 PC)에 대량의 트래픽을 쏜다.
그후 자신의 인터넷 주소가 아닌 것을 감지한 윈도시스템들은 통신업체 DNS에 다량의 데이터(Reverse Name Resolution 질의 신호)를 날리게 된다. 이 때 통신사 DNS는 53번 포트를 통해 이를 정상적인 신호로 인식하고, 모두 받아들이게 된다. 과도한 양이긴 하지만 불법적인 데이터는 아니기 때문이다. 하지만 한꺼번에 너무 많은 데이터가 몰려 결국 다운되게 된다.
백석철 하우리 연구소장은 “최초의 원인은 슬래머란 웜에 불과했지만, 이 웜에 감염된 숙주서버가 다른 윈도 시스템들에게 다량의 데이터를 보내고 이를 윈도 서버들이 다시 DNS에 묻는 정상적인 과정에서 DNS가 마비된 것"이라고 말했다.
그는 또 "슬래머를 만든 해커가 자신도 모르는 사이에 인터넷을 마비시키는 공격도구가 되는 공격의 루트까지 알고 설계했다면 정말로 큰 문제"라고 말했다.
◆ 완벽한 해결책 없다…제2의 국가대란 우려
처음 알려진 것과 달리 SQL서버 외에 다른 서버들(SQL서버와 같은 네트워크에 있는 윈도시스템)도 공격도구로 이용되는 것으로 밝혀졌다.
그렇다면 앞으로도 한 해커가 공개된 해킹 프로그램으로 해킹툴이나 웜을 만들어 서버 한대에 감염시키기만 하면 스스로 대량의 데이터를 날려, 국가 전체의 인터넷을 마비시킬 수 있지 않을까.
이에대해 전문가들은 기본적인 인터넷 통신에 필요한 통신규약을 이용한 서비스거부 공격(DoS)이 언제든지 일어날 수 있으며, 이는 기존 보안 제품으로는 막기 힘들다고 보고 있다.
김남욱 잉카인터넷 사장은 “취약점이 발견된 SQL서버나 MSDE(데스크탑 엔진이 포함된 응용 프로그램)가 없어도 DNS서버에 타격을 가할 수 있다는 사실이 발견됐다"고 말했다.
그는 또 "통신사업자들의 DNS로 들어오는 트래픽중 정상적인 신호라고 하더라도 호스트 정보가 없다면 차단해야 하는데, 데이터의 내용을 들여다 봐서 이런 UDP 패킷을 선별적으로 차단할 수 있는 보안 솔루션은 현재로선 없다"고 말했다.
이어서 "만약 기존의 방화벽대로 53번 포트를 다 막아버릴 경우 정상적인 서비스마저 이뤄지지 않을 수 있다"고 말했다.
따라서 통신사업자의 네트워크단에서 문제를 완벽하게 해결하는 것은 어려우며, 결국 각 기업이나 개인이 취약점이 제시된 내용에 대해 지속적으로 보안패치를 할 수 밖에 없다는 것이다.
하지만 이에 대해 국민과 개인에게만 보안의식을 강요하는 것이어서, 최소한의 대책에 불과하다는 지적도 일고 있다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기