[1.25 인터넷 대란]바이러스 35분 공격에 무너진 IT한국

  • 입력 2003년 1월 26일 19시 05분


25일 오후 2시10분, 처음으로 이상징후가 발견된 것은 초고속 인터넷서비스(ISP) 업체 드림라인에서였다. 사용자들의 인터넷 접속건수(트래픽)가 순간적으로 2∼3배 증가하면서 처리 시간이 수십배로 늘어날 만큼 접속 속도가 느려졌다. ISP업체 케이알라인에서도 특정 포트(1433, 1434 udp포트)를 통한 데이터 송수신량이 급증하는 것을 발견했다.

드림라인측은 한국정보보호진흥원에 보고했고 진흥원측은 즉시 ‘서트(CERT·Computer Emergency Response Team·컴퓨터비상사고대응팀)’를 소집해 원인을 분석했다.

2시45분경 KT가 운영하는 국제관문국(해외로 통하는 인터넷 트래픽을 통제하는 곳)인 서울 혜화전화국의 도메인네임시스템(DNS) 서버가 밀려드는 트래픽을 이기지 못하고 처리 속도가 급격히 떨어졌다. 서울 강남구 논현동 KIDC 등 데이콤과 한국전산원이 운영하는 국제관문국의 DNS 서버와 업체별 서버도 영향을 받아 처리속도가 급격히 느려지며 인터넷 마비현상은 전국적으로 옮아가기 시작했다.

▼관련기사▼

- [용어풀이]바이러스와 웜, DNS 등

이때부터 ISP 업체와 각 인터넷 쇼핑몰 업체에는 고객들의 민원이 빗발치기 시작했고, 인터넷망을 이용해 지점간 결제시스템을 운영하는 외식업체 유통업체들도 큰 불편을 겪었다. 전국 PC방들은 이때부터 손님이 10분의 1로 줄어들었고, 온라인 게임 업체들도 업체당 수천만원의 잠재 수익을 놓치기 시작했다. SK텔레콤 KTF 등의 무선인터넷망도 영향을 받아 마비상태에 빠져들었다.

3시45분경, KT가 혜화전화국으로 몰려드는 트래픽을 구로전화국으로 우회시키는 등 통신사업자들은 트래픽 분산을 시도했다. 그러나 한번에 2000개의 트래픽을 처리할 수 있는 서버의 용량보다 무려 50배 이상 많은 10만개 이상의 트래픽이 몰려들자 다른 서버들 역시 다운되기 시작했다.

오후 4시, 정보보호진흥원의 ‘서트’는 마이크로소프트(MS)사의 데이터베이스(DB) 관리 운영체제인 MS-SQL 서버에 허점이 있었음을 발견했다. 모종의 웜(PC나 서버의 메모리에 상주하며 자기 자신을 복제해 다른 PC에 전송하는 바이러스)이 MS-SQL의 결함으로 인해 서버의 특정 포트(1433, 1434)를 통해 다른 사람의 PC나 서버에 무한정 정보를 보내고 있었던 것.

사태 발생 직후 긴급대책반을 구성한 정보통신부는 “이미 국내에 많이 퍼져 있는 ‘스피타 웜’의 변종으로 보이지만 해킹일 가능성도 있다”고 발표했다.

비슷한 시간, 안철수연구소 등 보안업체에서는 웜의 정체를 파악하기 시작했고 이날 저녁 백신을 개발했다. 안철수연구소는 엄청난 양의 트래픽을 발생시키는 웜의 성격을 따 이 웜 바이러스를 ‘SQL 오버플로(overflow)’로 명명했다.

이날 처음 발견된 ‘SQL 오버플로’는 서버의 메모리에 상주하면서 스스로 자신을 복제, 256개의 다른 서버에 복제된 자신을 전송하는 특징을 갖고 있다. 복제된 웜을 전송하기 전에 인터넷상에서 웜을 전송 받을 적당한 컴퓨터를 검색(스캐닝)하는데, 이 과정에서 컴퓨터들이 서로를 감염시키고 감염된 컴퓨터들도 각자 256개의 컴퓨터를 대상으로 스캐닝을 하면서 ‘256×256×256…’개의 트래픽을 일으킨 것이다. 오후 7시경부터 사업자별로 복구작업이 활기를 띠면서 DNS 서버가 정상적으로 작동하기 시작했다. 오후 11시가 넘자 대부분의 DNS 서버가 복구됐으나 26일 오후까지도 미처 복구가 되지 않은 서버가 남아 있어 일부 인터넷 사이트는 접속이 되지 않았다. 공종식기자 kong@donga.com

나성엽기자 cpu@donga.com


  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0

댓글 0

지금 뜨는 뉴스

  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0