구독상품안내
지난 1월 25일 전세계를 강타한 인터넷 불통 사태로 나라 전체가 패닉상태에 빠졌다. 세계 최고의 인터넷 강국인 한국에게는 체감 충격이 더욱 컸다. 정부업무와 금융권이 휴무상태였던 토요일 오후였기에 망정이지 평일이었다면 상상하기조차 힘든 심각한 상태로 이어졌을 것이다.
세계적으로 실추한 이미지 손실도 컸다. 2002년 월드컵으로 국제무대에서 한껏 높아진 한국의 IT산업 인지도가 한순간에 무너진 것이다. 전국민이 일치단결해 높였던 국가브랜드 가치를 한순간에 잃어버렸다는데 망연자실할 뿐이다.
이번 사고는 생활의 일부가 돼버린 ‘인터넷’의 실체를 다시 생각하게 만든다. 보이지 않는 네트워크로 거미줄처럼 엮인 가상의 세계가 더이상 가상 속에만 있지 않고 실생활과 강하게 연결돼 있음을 극명하게 보여준 것이다.
특히 4kb에 불과한 웜(worm, 컴퓨터 파괴 프로그램)이 해커가 의도하는 바에 따라 인터넷 전체를 마비시킬 수 있다는 점을 일깨워줬다. 기껏해야 내 PC를 고장내는 줄 알았던 웜이 제3의 특정 컴퓨터(DNS)를 공격해서 나라 전체의 인터넷을 마비시키는 사이버테러의 무기로 활용될 수 있는 것이다. 그렇다면 ‘1.25 인터넷 대란’이 재발하지 않도록 하는 근본적인 대안은 없을까.
주범은 안일한 보안 의식
이번 ‘1.25 인터넷 대란’의 주범은 ‘슬래머’(SQL Slammer)로 불리는 웜이다. 슬래머는 마이크로소프트가 만든 데이터베이스관리 소프트웨어인 SQL 서버의 취약점을 공격한다. SQL 서버의 취약점을 이용해 감염시키고, 감염 후에는 다른 컴퓨터에 과도한 데이터를 날려 다운시킨다.
독감을 예방하기 위해 백신주사를 맞는 것처럼, 간단한 보안 프로그램을 설치하는 것만으로 감염을 막을 수 있었다. 하지만 국내 전산관리자들은 ‘설마’하는 마음으로 그렇게 하지 않았다. 그래서 슬래머에 감염된 컴퓨터들이 다량의 데이터를 내보내게 됐고, 국내 인터넷을 전화번호부처럼 이어주는 대형 컴퓨터인 KT DNS(도메인 네임 시스템) 서버를 마비시켰다. 국가 전체의 신경망이 마비되는 초유의 사태가 발생한 것이다.
이번 사태는 2001년 7월부터 2달 이상 전세계를 공포로 몰아넣었던 코드레드 웜과 증상이 비슷하다. 이때 우리나라는 코드레드로 인해 서버 3만7천여대가 감염됐는데, 이는 미국에 이어 세계에서 2번째로 많은 수치다. 당시에도 정부당국과 보안업계는 대책마련에 분주했다. 보안패치(예방프로그램)를 권고하고, 신제품을 내놓는 등 부산을 떨었다. 하지만 불과 2년도 안돼 또다른 웜이 국가 기간망을 마비시키는 사태가 발생했다. “위험할 수 있으니 예방프로그램을 설치하라”는 경고를 무시한 전산 관리자들의 무사안일주의 때문이다.
바이러스 가고 네트워크 공격형 웜이 온다
최근의 컴퓨터 바이러스 추세는 네트워크를 공격하는 웜이다. 이번 경우를 봐도 알 수 있다. 웜에 감염된 컴퓨터가 같은 통신망에 있는 네트워크 장비나 다른 컴퓨터, 보안장비 등에 과도한 데이터를 보낸다. 그리고 여기서 생긴 데이터가 결국 인터넷 접속에 중요한 역할을 하는 DNS 서버를 마비시킨다.
해커가 웜을 만들 때 목표 시스템을 마비시키기 위해 감염 컴퓨터뿐 아니라, 선량한 정상 컴퓨터들도 공격도구로 활용하는게 바로 네트워크 공격형 웜의 특징이다. 정치적이든 종교적이든, 또는 단지 재미로든 해커의 고의성이 들어있다는 점에서 웜은 사이버테러와 밀접하게 관련돼 있다.
지난 1월 25일에 발생한 사건 역시 사이버테러로 규정하는 사람이 많다. 초고속인터넷이 가장 잘 구축돼 있는 우리나라를 대상으로 해커가 자신의 실력을 뽐내기 위해 의도적으로 웜을 살포했다는 주장이 그것이다. 인터넷서비스라는 국가기반시설을 타깃으로 삼았다는데서 공격자의 의도가 충분히 반영됐다는 설명이다. 특히 최근 들어 전자정부 프로젝트로 국가의 기반시설이 인터넷으로 속속 연결되면서 인터넷 웜으로 인한 대란의 가능성이 높아지고 있다. 만약 국민의 기초생활과 밀접하게 관련된 시설이 공격받아 수일 동안 서비스가 중지된다면, 그 혼란은 말로 설명하기조차 힘들 것이다.
중국 해커그룹의 소행 추측도
이번 인터넷 대란의 진원지를 파악할 수 있을까. 결론은, 우리나라의 경찰청 사이버테러대응센터와 정보통신부, 미 연방수사국(FBI) 등이 수색에 나섰지만, 쉽지 않을 전망이다. 공격 소프트웨어를 샅샅이 조사했지만 슬래머 웜의 제작자에 대한 증거를 찾지 못했기 때문이다.
일각에서는 이번 사건이 한 개인이나 해커그룹 수준의 공격이 아니라 어딘가 거대한 집단의 체계적이고, 계획적인 공격일 것이라는 지적도 제기되고 있다. 중국 같은 곳에서 차세대 전쟁개념으로 사이버전쟁을 예측하고, 랴오닝성에서 전쟁 수행능력을 키워오다 이번에 전세계를 상대로 엄청난 실험을 했다는 추측이 그것이다. 비밀리에 양성한 중국 사이버전 해커부대의 소행이라는 것인데, 증거가 부족해 가설로만 회자되고 있다.
또 다르게 의심받는 곳은 중국의 해커그룹 ‘홍커’(Honker). AP통신은 ‘라이언’(Lion) 같은 중국 내 바이러스 제작자가 영국의 저명한 컴퓨터 연구자인 데이비드 리치필드가 웹에 발표한 소프트웨어 코드를 기반으로 슬래머를 만들고, 이를 홍커라는 중국 해커연합의 온라인 은신처에 올렸을 것이라고 보도했다. 홍커는 2001년 미국 스파이 비행기 강제 불시착 사건 이후 미국과 중국 간의 해커 분쟁에 적극적으로 개입하고 있는 단체다.
하지만 보안전문가들은 중국 해커그룹이 슬래머를 유포했는지에 대한 확실한 증거는 없다고 말한다. 이전의 다른 인터넷 공격 사례와 달리 이번 웜은 해커들의 정체나 위치를 알 수 있는 증거를 찾을 수 없기 때문이다.
한편 FBI는 미국에서 인터넷 마비 사태가 발생하기 전 한국과 일본에서 먼저 바이러스 감염이 시작된 것으로 파악하고 있다. 하지만 그렇다고 해서 바이러스 제작자가 이 지역에 거주하고 있다는 얘기는 아니다. 단지 처음 감염된 컴퓨터가 이 지역에 있다는 의미 밖에 되지 않는다.
그렇다면 범인 색출은 완전히 불가능할까. 현재 FBI 등 수사 기관이 기대를 걸고 있는 것은 채팅룸 같은 온라인 공간 수사다. 해커들은 채팅룸을 통해 자신들의 ‘무공’을 자랑하는 경우가 많기 때문이다. FBI는 이같은 방법을 사용해 지난 2000년 미국 주요 전자상거래 사이트를 공격했던 캐나다 해커를 체포한 바 있다.
우리나라가 특별히 피해가 컸던 이유
이번 인터넷 마비 사태는 유독 한국에 큰 피해를 안겨줬다. 전세계적으로 7시간 가까이 인터넷이 마비된 나라는 한국이 유일했다. 전문가들은 그 원인으로 한국의 초고속인터넷 인프라와 기업 보안 의식의 부재를 꼽고 있다. 우선 발달된 초고속인터넷 인프라는 웜이 날개를 펴고 한국 인터넷 네트워크를 유린할 수 있는 통로가 됐다. 웜이 신나게 달릴 수 있는 드넓은 고속도로가 초고속인터넷 인프라였던 것이다. 따라서 한국은 해커가 자신의 능력을 시험하기에 가장 매력적인 곳으로 꼽힐 수 있었던 것이다. 다음은 기업의 보안 의식 부재. 특히 마이크로소프트 SQL서버 관리자들이 제대로 보안 패치(예방프로그램)를 설치하지 않았기에 피해를 증폭시켰다. 인터넷 서비스 제공 업체나 닷컴 기업 대부분이 자사 컴퓨터 시설에 대한 보안 인식이 낮았다는게 이번 사태에서 분명하게 드러났다.
KT 등 인터넷 서비스업체들이 네트워크 시설 관리에 문제가 있다는 주장도 제기되고 있다. 미국 통신업체들은 전화번호부처럼 인터넷 접속을 돕는 주요 DNS 장비를 보호하기 위해 각종 보안 제품을 설치해두고 있지만, 우리나라는 편의성을 이유로 도입을 꺼려왔다. 죠 매기 탑레이어네트웍스 보안담당 이사는 “미국 통신업체의 경우 DNS 앞에 고성능 방화벽을 두거나 네트워크 게이트웨이단에 필터링 장비들을 두는게 일반적”이라고 말했다. 하지만 우리나라 통신업체들은 초고속인터넷의 양적인 팽창에만 급급한 결과, 서비스의 기본이 되는 보안에는 별다른 신경을 쓰지 않았던 것이다.
이와 함께 지나치게 한곳에 집중돼 있는 DNS 서버 구조도 문제점으로 지적되고 있다. 우리나라는 KT, 데이콤 등 특정한 소수 기업의 DNS 서버에 의존하고 있다. 이들이 무려 수백만개의 DNS 정보를 관리하고 있는 상황이기 때문에 한꺼번에 데이터가 몰릴 경우 병목현상으로 다운되기 쉽다. 결국 특정한 상위 DNS 서버가 다운될 경우 다른 상위 DNS 서버로 데이터가 몰리게 돼 순차적으로 나머지 DNS 서버마저 기능을 상실할 위험성에 노출돼 있는 셈이다. 이번 사태의 경우 1월 25일 오후 2시경 국내 상위 DNS 서버를 운영하는 혜화전화국에 데이터가 집중되면서 DNS가 다운되자 과도한 데이터는 또다른 상위 DNS 서버에 몰렸고, 결국 이마저 다운되는 연쇄적인 현상이 발생했다.
종합하면 한국은 웜이 활동할 수 있는 넓은 인프라는 갖춘 반면, 그것을 막을 수 있는 제어 장치가 없어 국가적인 피해를 입었다는 결론이다.
창과 방패의 싸움, 예방만이 상책
지금까지의 얘기대로라면 ‘1.25 인터넷 대란’은 충분히 재발될 수 있을 것이다. 네트워크 공격형 웜의 출현으로 해커가 마음만 먹으면 우리나라의 기간 시설을 언제든지 공격할 수 있다는 말이다.
그렇다면 이런 재앙을 막는 근본적인 대안은 없을까. 아쉽게도 100% 완벽한 예방책은 없다. 해커와 보안솔루션의 관계는 창과 방패와 같아서, 누가 마지막 승자가 될지는 아무도 장담할 수 없다. 따라서 끊임없이 공격에 대비하는 자세를 가져야 한다.
여름 한철에 일어나는 수해에 대비하기 위해 우리는 미리 댐을 확충하고, 비상시에 쓰일 국가 비상대책실을 설치한다. 또 지능적인 일기예보 서비스를 제공하기 위해 비용을 투자하며, 자기 논에 물길을 내기도 한다.
사이버테러 역시 마찬가지다. 미리 보안솔루션에 투자하고, 국가차원의 비상대책기구를 만들어 비상시 효과적으로 신속히 대응해야 한다. 개인 컴퓨터 사용자도 제 논에 수로를 만드는 농부처럼 웜이나 바이러스를 막아주는 보안제품(백신이나 PC방화벽 등)과 예방프로그램(보안패치)을 설치해 수시로 점검해야 한다. 또 댐 수위를 조절해 물길을 분산시키듯 통신업체는 고객 서비스 전용 DNS와 내부 관리를 위한 DNS를 분산해서 운영해야 하고, 통신업체끼리 DNS를 상호분산하는 노력이 필요하다.
한편 인터넷 보안 벤처기업들의 차세대 제품군 개발도 한창이다. 여기엔 ‘지능형 방어’란 개념과 철학이 들어 있다. 최근에는 패킷(데이터 송·수신을 위한 통신의 기본 단위)의 머리만 보고 포트 자체를 막아버리는 과거의 방화벽이나 감시만 할 뿐 대응력이 없는 침입탐지 시스템의 한계를 극복하려는 제품들이 개발되고 있다. 당장 ‘쳐들어오는 적’에 대해 수동적 방어만 하던 과거에서 벗어나 ‘공격 가능성이 있는 적’에 대한 감시 수위를 높인 고성능 인공지능이 적용된 기술이 개발되고 있다. 사이버테러에 대응할 무기를 만드는 보안 업계의 이런 움직임은 정통부의 보안기술 집약화 방안과 맞물리면서 더욱 활성화될 전망이다.
바이러스와 웜의 차이
최근에는 웜과 컴퓨터 바이러스를 혼용해서 쓰지만, 엄연히 말해 이 둘은 다른 개념이다. 컴퓨터 바이러스는 ‘바이러스’라는 이름에서 알 수 있듯이 생물학적 바이러스와 그 기능이 비슷하다. 즉 바이러스는 정상적인 파일에 기생한다. 독립적으로 실행될 수 없기 때문에 정상파일이 실행될 때 더불어 실행되는 특징이 있다. 반면 웜은 자체 엔진을 갖고 있기 때문에 다른 프로그램이나 파일에 기행하지 않고 독립적으로 ‘기능’할 수 있다. 바이러스가 ‘기생체’라면 웜은 ‘독립체’라 할 수 있다. 이런 차이는 감염 증상에서도 나타난다. 웜에 감염되면 컴퓨터 사용자는 자기 PC가 웜에 감염됐다는 사실을 알아채기 힘들다. 감염에 따른 별다른 증상이 없기 때문이다. 하지만 바이러스의 경우는 PC에 저장된 자료가 손상되는 등 주로 직접적인 피해가 나타난다.
웜과 바이러스의 경우는 대응책도 다르다. 웜의 경우 진단과 치료, 재감염 방지라는 3단계 절차가 필요한 반면, 바이러스는 진단과 치료라는 백신의 기본공식을 따르면 된다. 웜의 경우는 특별히 재감염 방지라는 단계가 하나 더 있는데, 이는 웜이 컴퓨터 프로그램의 취약점(버그)을 뚫고 침입하기 때문이다. 특정 프로그램의 약점이 노출돼 이를 공격하는 웜이 발생한 경우에는 웜이 다시 이 약점으로 침입하지 못하도록 하는 ‘특단의 조치’가 필요하다. 하지만 바이러스의 경우는 프로그램의 약점이 아니라 주로 정상적인 실행파일에 덧붙어 컴퓨터로 침입해 들어오기 때문에 이를 원천적으로 막을 수 있는 ‘재감염 방지’ 단계가 불가능하다. 즉 e메일과 파일전송 등 컴퓨터를 정상적으로 사용할 경우에는 항상 바이러스의 감염에 노출돼 있는 것이다. 따라서 바이러스 감염을 막기 위해서는 그때그때마다 진단과 치료를 하는 수밖에 없다. 하지만 웜의 경우는 침입 경로(버그)가 파악되고, 이를 보완·수정하면 이론적으로 같은 웜에 다시는 감염되지 않는다.
