사상초유 불통사태 21시간만에 복구 "MS SQL서버 보안허점 원인" 분석


전국 인터넷서비스가 반나절 이상 중단된 `125 인터넷 마비사태'와 관련, 정보통신부와 KT 등 관련기관들의 늑장 대응이 피해를 확산시키고 복구를 지연시켰다는 지적이 제기되고 있다. 또 이번 인터넷 마비사태는 마이크로소프트(MS)의 데이터베이스관리서버(DBMS)인 SQL서버의 보안상 허점에서 비롯된 것으로 파악됐다.

정보통신부 이상철 장관은 26일 오전 11시30분 "웜 프로그램이 확산된 통로로 파악된 포트를 차단, 25일 오후 11시쯤 인터넷 접속이 정상상태로 회복돼 오늘(26일) 아침 완전 복구됐다"고 공식 발표했다. 이같은 발표는 사고발생 시간으로 추정되는 25일 오후 2시 이후 무려 21시간이 지난 시점에서 이뤄진 것이다.

특히 정보통신부와 산하 한국정보보호진흥원(KISA), KT 등은 이번 인터넷마비 사태의 대응과정에서 우왕좌왕했다는 지적이 높다.

우선 웜 프로그램의 경로로 지목된 포트를 차단한 시점과 관련, 정통부는 "문제가 발생한 ISP(KT 등)에 KISA의 기술요원을 급파했다"고 밝혔지만, KISA는 "KT측 담당자와 연락이 이뤄지지 않아 25일 오후 6시쯤 직원 5명을 보냈다"고 설명했다. 이는 사고발생 4시간 가까이 정부 기관과 국가 기간통신사업자가 서로 연락이 두절됐던 사실을 보여주는 것이어서 충격적이다.

또 정통부와 KISA, KT 등은 보안전문업체인 안철수연구소가 이날 오후 9시30분, 하우리가 같은 날 오후 10시 MS SQL서버에 원인이 있어다는 분석결과를 발표할 때까지 원인파악을 하지 못했던 것으로 전해지고 있다.

이에 따라 이번 사태는 정부기관과 통신사업자간 의사소통의 부재와 대응능력 부재로 인해 피해가 확산된 것이라고 전문가들은 입을 모았다.

이에 앞서 25일 오후 2시쯤부터 웜 프로그램의 급속한 전파로 인해 유무선 인터넷 접속이 전국적으로 한꺼번에 마비되는 사상 초유의 인터넷 대란이 발생, 국민들이 큰 피해와 불편을 겪었다.

이번 사건은 MS의 SQL서버 메모리에 상주한 웜 프로그램이 급속도로 증식돼 다른 SQL서버로 전송되면서 네트워크상에 부하를 발생시켰고, 이 부하로 인해 DNS서버의 작동이 느려지면서 인터넷 서비스가 끊기거나 마비되는 사태로 이어졌다.

DNS서버 다운현상은 KT외에도 드림라인데이콤하나로통신 등 국내 주요 ISP들에 있어서 공통적으로 일어난 것으로 파악되고 있다. 이에 따라 25일 저녁 늦게까지 유선인터넷은 물론 SK텔레콤KTFLG텔레콤 등의 무선인터넷 망도 급속한 트래픽 증가를 겪으며 모두 마비상태에 빠져 이날 밤까지 인터넷 불통현상이 계속됐다.

이와 관련, 경찰청 사이버테러대응센터는 KT, 하나로통신, 두루넷 등 주요 네트워크 관리업체 7∼8곳의 DNS 서버 접속자료 등을 검토함으로써 문제가 된 웜 프로그램의 감염경로를 추적하고 있다. 경찰은 이번 사건의 범인이 외국의 해커일 가능성도 있다고 판단, 국제경찰기구인 인터폴에 공조수사를 요청했다.

특별취재팀 = 박서기(skpark)박창신(heri)임윤규(yklim)안길섭(seobi)한민옥(mohan)김승룡(srkim)엄현경(yogirl)채윤정(echo)윤달련기자(dry00)