경찰청 사이버테러대응센터가 창설된 지 13년이 지났다. 2003년 전국 대부분의 인터넷망을 불통으로 만들었던 1.25 인터넷 대란에서부터 2009년 수십만대의 좀비PC가 동원돼 청와대 등 주요 정부사이트를 마비시킨 7.7 분산서비스거부(DDoS) 사태까지 사이버테러대응센터는 현장에서 해킹범을 검거하기 위한 사이버범죄수사에 분투해왔다. 사이버범죄수사 13년을 맞아 인터넷 공간을 떠들썩하게 했던 '그 때 그 사건'을 돌아보고 현재 시점에서 주는 의미를 반면교사 해본다. [편집자주]
시작은 KT혜화전화국이었다. 이곳의 도메인네임시스템(DNS) 서버에 대량의 데이터가 전송되기 시작했다. 오후 2시부터 발생한 사고는 7시간이 지나도 원인조차 제대로 파악되지 않았다. 모든 홈페이지가 접속불가. 하나로통신, 두루넷, 데이콤 등 주요 인터넷 서비스가 마치 대규모 정전 사태를 맞은 것처럼 어둠에 휩싸였다.
2003년 1월 25일. 국내 보안전문가 1세대들에게는 악몽과 같았던 날로 기억된다. 200자 원고지 한 장 분량의 웜바이러스가 세계 최고속이라고 인정 받던 한국의 인터넷망의 자존심을 짓밟았기 때문이다.
문제를 일으킨 주범은 376~404바이트의 작은 코드를 가진 웜바이러스 '슬래머웜'이다. 이는 마이크로소프트(MS)의 SQL 서버 2000에 침투해 서버 간 통신을 위해 열려 있는 UDP 1434 포트를 통해 정상인 양 위장한 패킷을 보냈다. 침투에 성공한 슬래머웜은 MS의 SQL 서버의 메모리(램)에 상주하며 무작위로 IP주소를 생성해 DNS서버로 보냈다. 평소 초당 1천~2천건의 요청을 처리하는 이 서버에 초당 10만 건 이상의 요청이 보내진 것이다. DNS서버는 웹브라우저에 'naver.com'와 같은 도메인을 입력하면 해당 내용을 IP주소로 변환시켜 사이트와 연결시켜주는 역할을 한다.
당시 경찰청 사이버테러대응센터는 사고 이틀 뒤 슬래머웜의 진원지로 미국 등 해외 3개국에서 들어온 11개 IP주소를 확인했다고 밝혔다. 전 세계적으로 MS의 SQL 서버를 마비시킨 이 웜이 유포되는데 걸린 시간은 15분이었다.
경찰은 슬래머웜을 분석한 결과 시스템 메모리의 한계를 넘어 데이터를 제공하는 '스택오버플로(stack overflow)'라는 공격기법이 이용됐다고 밝혔다. 대량 트래픽을 불러 전산망을 마비시키는 분산서비스(DDoS) 공격과 다른 점은 좀비PC 대신에 웜바이러스라는 악성코드가 자체적으로 문제를 일으켰다는 것이다.
경찰측은 슬래머웜이 일단 1개 시스템에 침입하면 자동적으로 다른 시스템을 공격하는 자가증식 기능을 갖고 있어 전 세계 IP주소에 대해 무차별적으로 공격을 감행했다고 밝혔다.
문제는 MS가 이미 2002년 7월, 12월에 보안패치를 발표했었다는 것이다. 이 패치를 사전에 설치한 서버들은 피해를 입지 않았으나 업데이트를 하지 않았던 국내 DNS서버들이 대량의 피해를 받게 된 것이다.
당시 정보통신부는 우리나라의 SQL서버 감염률이 일본의 7배, 중국의 2배에 달했다고 발표했다. 초고속 인터넷 망을 사용하고 있음에도 불구하고, 보안불감증이 화를 키웠다는 지적이다.
관련기사
- [사이버수사대]⑥대기업 전자입찰시스템 해킹2013.04.15
- [사이버수사대]⑤외국서 '한국=사이버블랙홀' 오명2013.04.15
- [사이버수사대]④여대생 해킹 사건2013.04.15
- [사이버수사대]③도박사이트들, DDoS로 치고받고2013.04.15
최근 발생한 3.20 사이버 테러에 대해 책임 있는 관계자들은 장시간 특정 목표를 상대로 이뤄진 지능형지속가능위협(APT) 공격이라 어쩔 수 없었다고 말한다.
그러나 이미 10년 전 발생한 인터넷 대란은 보안사고는 곧 관리주의 소홀때문에 벌어진 '인재(人災)'라고 꼬집는다. 주기적인 보안 업데이트, 여러 구간에 대한 보안조치, 보안전문가들을 통한 분석과 이에 대한 대응책 마련, 사고 초기 신속한 대응이 이뤄졌다면 3.20 사고가 사이버 테러로까지 이어지진 않았을 확률이 높다. 보안사고는 이미 10년 전부터 인재였다.
