이번 대란의 실질적인 원인은 정상적인 인터넷 통신 규약(TCP/IP)을 이용한 웜의 공격때문이다.
사건은 마이크로소프트의 데이터베이스관리 소프트웨어인 SQL서버의 보안 취약점을 이용한 '슬래머'란 웜이 활동을 시작하면서 부터 시작됐다.
▲ 최초로 '슬래머'의 숙주가 된 MS SQL서버는 다량의 데이터(TCP/1434)를 불특정한 인터넷주소에 전송하게 되며 ▲ 이때 같은 네트워크(근거리통신망, LAN)에 연결된 다른 윈도 시스템들(윈도NT, 윈도2000 및 윈도 XP 등)은 전송된 다량의 데이터(멀티캐스트 패킷)를 수신한다.
그후 ▲ 각각의 윈도시스템들은 데이터의 내용을 물어보는 문의(수신자로 설정된 인터넷 주소를 reverse lookup하는 패킷)를 DNS(도메인 네임 시스템)서버로 동시에 전송한다. ▲그런데 이 문의는 컴퓨터 한 대가 바이러스에 감염될 때마다 2배 가량 늘어나기 때문에 순식간에 기하급수적으로 늘어나 DNS가 이를 견디지 못한다.
DNS 서버를 마비시키는 분산서비스거부공격(DDOS) 형태의 공격이 발생한 것이다.
이번 사건은 해커(웜 제작자)가 대상 시스템(SQL서버) 뿐 아니라, 이 서버와 같은 네트워크(LAN)에 있는 다른 시스템(윈도시스템)까지도 공격도구로 활용할 수 있다는 것을 증명했다.
게다가 다른 시스템들이 정상적으로 날리는 데이터들이 국가 인터넷 심장부인 DNS(도메인 네임 시스템)을 마비시킬 수 있다는 것을 보여줬다. 자신도 모르는 사이에 내 컴퓨터가 통신업체의 DNS 서버를 공격하는 도구로 활용될 수 있는 것이다.
하지만 '슬래머'의 제작자를 잡기는 쉽지 않을 것으로 보인다. 국제 수사기관들이 바이러스 제작에 기여한 기술문서(블루프린트, blueprints)나 공격 진원지 추적 작업을 통해 웜 작성자를 쫓고 있지만 거의 불가능하다는 게 중론이다.
또한 왜 한국만 국가 인터넷 전체가 다운됐는 가에 대해, 일각에서는 KT DNS 해킹후 그곳부터 웜을 뿌렸을 가능성도 여전히 제기하고 있다.
김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기