작성자: 정보통신위원회 위원장 문영성

 

왜 마비되었나?

 

PC 사용자가 인터넷망을 통하여 웹을 사용할 시 두번의 주소 변환이 발생하게 된다. 첫번째는 URL주소로부터 인터넷 프로토콜 주소(IP Address)로의 변환이고, 두번째로는 이렇게 얻어진 인터넷 프로토콜 주소로부터 기계주소로의 변환이다. 기계주소란 하드웨어 장비에 고착된 주소로 하드웨어를 만드는 회사에서 하드웨어 제작시 주소를 부여하게 된다. 예를 들면 LAN card 에 붙은 주소가 기계주소의 일종이다.

 

반면에 인터넷 프로토콜 주소나 URL주소는 기계장치의 제작시에 부여되는 주소가 아니고 사용자가 임의로 부여하거나 부여를 취소할 수 있으므로, 일종의 가상 주소라 할 수 있겠다. 이 두가지의 변환 중 어느 한가지에라도 문제가 발생하면, 웹을 또는 인터넷을 사용할 수 없게 되는 것이다. 예를 들어 두 가지 변환중 한가지만 안되어도 여러분이 원하는 인터넷(웹) 싸이트를 볼 수가 없게 되는 것이다.

 

 

DNS서버는?

 

인터넷 프로토콜 주소만을 사용하지 않고 URL주소를 사용하는 이유는 인터넷 프로토콜 주소는 긴 번호로 구성되어 있어 사람이 기억하기가 어렵기 때문에, 영문자 등으로 이루어져 기억하기 쉽도록 의미를 부여한 주소를 사용하려는 의도이다.  URL주소로부터 인터넷 프로토콜 주소로 변환하기 위해서는 이 변환기능만 담당하는 별도의 서버들이 존재하게 된다. 이렇게 변환하는 기능을 DNS(Domain Name Service)라 부르며, 이 변환기능을 담당한 서버들을 DNS 서버라 부른다. DNS 서버들은 전 세계적으로 tree 형태의 계층적 구조를 가지고 구성되어 있다. 따라서 이 DNS 서버가 제 기능을 하지 못하게 되면 사용자가 웹을 사용할 때 입력하는 URL 주소가 인터넷 프로토콜 주소로 변환되지 못한다는 것을 의미하며 결과적으로 인터넷(웹) 싸이트를 볼 수가 없게 된다.

 

이번 2003년 1월 25일부터 3일간의 인터넷 마비사태에서 문제가 된 것은 KT 등의 회사에서 이 DNS서버들을 다수 보유하고 있는데, 이 서버들에 과부하가 걸려 제 기능을 상실했기 때문이다. 과부하가 걸렸다는 말은 URL 주소를 인터넷 프로토콜 주소로 변환시켜 달라는 요청이 이 서버들이 처리할 수 있는 것보다 훨씬 많이 유입되었다는 것이다.

 

과부하가 걸리게 된 원인중의 한가지는 슬래머 웜이라는 바이러스에 감염된 Microsoft SQL 서버들이 평소보다 많은 주소변환 요청을 DNS 서버로 발송하였다고 하우리 등의 백신업체에 의해 일차적으로 밝혀졌다.

 

또한 슬래머 웜에 감염된 Microsoft SQL 서버는 자신과 동일한 LAN상에 있는 일반 PC들에게도 DNS 요청을 발송하게 유발시킴으로 DNS 서버에 과부하게 걸리게 하는데 일조 할 수 있다는 사실도 밝혀졌다. 그러나, 슬래머 웜이 DNS 서버에 미치는 영향, 이번 사태를 불러온 근원지 발송자 등 자세한 사항은 아직도 분석이 안된 상태이다.

 

 

1월30일, 초고속인턴넷 서비스의 중단사태는 다르다

 

2003년 1월 30일의 KT의 전국 11개 지역에서 4시간여의 초고속인터넷서비스 중단사태는 지난 25일의 사태와는 달리, KT의 초고속인터넷 라우터인 기가스위치라는 장비에 과부하가 걸린 것이 그 이유로 밝혀지고 있다. 여기서 과부하란 특정 포트에 이상 데이터가 과도하게 유입된 것을 의미한다. 라우터 등 네트웍 장비는 PC나 서버와 달리 보안에 상당히 강한것으로 보이지만, 이번 사태에서 보듯이 의외로 많은 보안취약성을 가지고 있다. 과도한 데이터가 유입된 원인은 다른 웜 바이러스나 트로이 목마 변종의 영향, 또는 네트웍 장비 자체의 결함, 운용자의 잘못 등 여러가 가능성이 제기되고 있는 가운데 아직 밝혀지지 않고 있다.   

 

서버관리자, MS, 회사의 공동책임

MS SQL 서버의 슬래머 웜에 대한 감염에 대해서는 MS SQL 서버의 보안취약성이 내재된 문제라 하겠으나, MS사는 이미 이에 대한 보안패치를 발표한바 있다. 즉, 이번의 사태는 이러한 보안 패치를 하지 않은 서버관리자 및 회사와 MS사의 공동책임이라 하겠다. 즉, 이번 사태는 불가항력적이라기 보다는 보안문제가 있는 것을 패치로만 해결하려한 MS사와 이러한 보안패치를 제때에 설치하지 않은 인재라 할 수 있겠다. 기업체의 서버 관리자가 MS SQL을 사용하는 서버에 대한 보안 패치만 제때 시행하여 왔으면 막을 수 있는 사태였다.

 

특히 KT 등 통신망까지 보유하고 있는 사업자는 이와 더불어 라우터 등 통신망장비의 보안에 대한 관심을 기울여왔다면 1월 30일의 두번째 사태도 미연에 차단할 수 있는 사태였다. 라우터 등 네트웍장비는 통신망의 핵심요소이나 보기와는 달리 보안에 상당히 취약한 장비라는 점을 인식하고 중점적으로 관리해왔다면 30일의 사태는 막을 수 있었을 것이다. 즉, 이번 25일과 30일의 사태는 막을 수 없었던 천재지변이 아니라, 인재라 할 수 있는 것이다. Microsoft사도 보안 패치를 만들고 이에 대한 설치를 권고했다는 것 만으로 책임을 면할 수는 없을 것이다.  보안 패치의 설치가 번거로우며, 패치의 설치로 인해 시스템에 다른 문제점이 발생하여 왔다는 점이 관리자가 패치 설치를 하지 않는 한가지 중요한 원인이 되어 왔기 때문이다.

 

 

보안에 대한 법정비가 필수

 

이러한 사태의 재발을 막기위해서는 보안에 대한 법정비가 필수적이다. 인터넷은 전화망과 달리 자생적인 생물체와 같아서 끊임없이 변화하고 따라서 정부의 인력으로 인터넷을 구성하는 망 및 서버등을 통제한다는 것은 불가능하다. 즉, 정부가 구상하고 있는 사이버 방위팀등의 제한된 연합인력으로 작금의 사태와 같은 현상을 미리 감지하거나 방지한다는 것은 불가능하다. 따라서 통신망이나 서버를 운용하는 기업들이 자발적으로 보안에 대해 높은 관심을 가질 수 있도록 할 수 있는 법적인 정비가 필수적이라 하겠다. 즉, KT 등 대형 ISP의 보안 관리요원에 대한 의무규정이나 법에 정한 보안 수칙을 어길시에 대한 강력한 처벌, 소비자에 대한 배상 등에 대한 법적인 정비를 한다면 정부가 나서지 않더라도 기업체들이 스스로 자신이 보유한 통신망 장비 및 서버에 대한 보안 관리에 철저를 기하게 될 것이다. 

 

 

이번사태로 인한 개인 및 기업 소비자에 대한 보상이 이루어져야 할 것이며, 정부는 “이번사태는 보안업체가 아닌 네트웍사업자가 막았다”는 등 KT 등의 대형업체를 두둔만 할 것이 아니라 엄정히 책임을 물음으로써 향 후 이와 같은 사태의 재발을 막을 수 있음을 명심해야 할 것이다.

 

또한 바이러스 분야를 제외한 국내의 보안 연구 및 진단 기능이 선진국에 비하여 취약하다. 특히 전통적인 보안분야인 시스템보안, 암호 등은 그래도 나은 편이나, 이번 사태에서도 보았듯이 네트웍 분야의 보안은 점점 중요성이 증대되나 국내의 수준은 매우 낮은 상태이다. 보안 연구 및 진단 기능의 수준 향상을 위해서는 네트웍 분야의 보안을 비롯하여 보안 연구 및 인력양성에 과감한 투자와 더불어 경쟁체제를 도입하여야 할 것이다. 보안 연구의 경쟁을 심화시킬 수 있도록 정보보호진흥원, ETRI 등 기존의 연구조직들을 재편하는 것도 검토해야 할 것이다.