'슬램어웜'에 해당되는 글 2건

  1. 2009.01.06 기억속의 1.25 대란 현장을 생각하며 (10)
  2. 2009.01.06 시대별로 보는 보안 이슈 키워드 (2)

2003년 1월25일

그날도 여느날과 마찬가지로 일상적인 업무를 하고 있었다. 갑자기 사무실 전화 벨이 울린다..

빌릴리~~빌릴리~~

" 감사합니다..OOO 누구입니다."

"저희 서버에 인터넷 접속이 안되거든요...확인 좀 부탁드립니다.."


그렇게 전화기를 놓고 해당 서버를 콘솔로 연결을 하고 작업을 이리저리 하고 있었다. 그런데 또 다른 고객에게서 전화가 왔다. 비슷한 내용으로 인터넷에 접속이 안된다는 것이다...이상하다...네트워크에는 분명 이상이 없었는데 우선 서버쪽 이상이 생긴것 같았다.

그런데 여기저기서 전화가 울리기 시작한다. 그렇다 ...그것이 바로 슬램워웜이 가져온 바로 SQL 1433포트 취약점을 이용하여 네트워크가 마비되는 1.25 대란 현장에 있었던 것이다..

이미 서버룸은 거의 초토화가 되다시피 하였다.  여러 담당자는 분주하게 움직이고 있었고 상부에 보고체계가 이루어지고 긴급 상황실이 차려졌다,. 그리고 각종 민원에 대비하기 위하여 일사분란하게 모두들 움직이고 있었다.

하지만 난 이러한 상황을 처음 맞이하게 되었고 그져 윗 사람들이 지시하는대로 이행할 뿐이었다., 그렇게 상황을 접해 가면서 보고 있는데 긴급속보가 떳다.

우리만 그러는게 아니었다.  서울,경기 일부지역에서도 네트워크가 마비되어 인터넷 접속이 이루어지지 않고 있다는 것이다. 그렇게 되면서 TV에서는 전국이 국가 비상상태로 하여 종일 속보를 내 보내고 있었다.

각 영업 담당자들은 해당 고객에게 이러한 상황을 전파하고 전국적인 상황이라 정부차원에서 긴급 상황에 대처 하기로 하면서 모두들 예의 주시하면서 지속적으로 모니터링 하면서 업무를 보았다.

아마 거의 다음날이 되어서야 정상화가 되었던 거 같았던 기억이 난다. 무려 6년전 일이고 늘 연초 1월이 되면 1.25.대란에 대한 기억이 난다. 그 역사적 현장 속에 내가 있었고 그 이후 여러가지 책임소재를 묻는 법적 공방이 있었던 걸로 알고 있지만 뚜렷하게 누구의 책임을 묻지 못한 것으로 기억을 한다.

잠시 그때 상황을 기록한 내용을 한번보자. 기사출처는 조선일보에서 발췌해 보았다.

 

◇25일(토)

▲오후 2시께 = 1천만명이 넘는 전국의 인터넷 사용자들 중 많은 수가 점점 접속 속도가 느려지면서 시간 초과로 원하는 사이트에 접속하지 못하게 되자 짜증을 내기 시작했다.

이 때 일부 ISP(인터넷 서비스 업체)에서는 일부 고객사의 특정 포트를 통해 패킷량이 급증하기 시작하자 고객사들에게 전화를 걸어 바이러스 공격 가능성을 경고하고 문제의 포트를 닫으라고 권유했다.

▲오후 2시 10분 = 17만명의 사용자를 가진 ISP(인터넷 서비스 업체)인 드림라인이 정보보호진흥원에 ‘네트워크의 트래픽이 급증하는 이상 징후가 발생했다’고 보고하면서 ‘대란’의 징후가 최초로 포착되면서 CERT라는 위기대책팀이 가동돼 원인분석에 들어갔다.

▲오후 2시 44분 = 컴팩 서버 10대, IBM 서버 2대로 구성된 혜화전화국의 DNS(도메인네임시스템) 서버에 해외로 전송되는 이상 패킷이 다량 유입되자 우리나라 최대의 초고속인터넷사업자인 KT에 대구 지역을 시작으로 민원이 접수되기 시작하면서각 ISP에 전국적으로 엄청난 수의 민원이 몰려들었으며 이에 따라 장애 상황을 통보하는 등 조치가 시작됐다.

비슷한 시각에 24대로 구성된 하나로통신의 DNS 서버와 백본망 라우터 10대도 트래픽 과다로 마비 상태에 빠졌으며 두루넷, 케이알라인 등도 마찬가지 장애를 겪었다.

이때 SK텔레콤, KTF, LG텔레콤 등 무선인터넷 사업자들의 망도 급속한 트래픽증가를 겪으며 모두 마비상태에 빠진 상태였다.

▲오후 3시께 = 국제관문국인 혜화전화국 DNS 서버가 사실상 다운 상태에 놓인사실이 확인되자 각 ISP의 네트워크 팀들은 ‘호떡집에 불난듯’ 화급하게 움직였다.

각 ISP는 급증하는 트래픽에 대처하기 위해 효과적인 분산 및 우회 수단을 찾는한편 자체 망으로 들어오거나 나가는 패킷을 면밀히 분석하기 시작하는 한편 다른 ISP들과도 시시각각 정보를 주고받으며 문제 해결에 골몰했다.

▲오후 3시 44분 = KT는 일단 국제 라우터와 지역노드 라우터에서 이상 패킷이 발생하는 포트를 닫아 버린 뒤 트래픽 과다로 다운된 혜화전화국 DNS 서버 대신 구로전화국 DNS로 우회토록 조치했다.

이 때쯤 이상철(李相哲) 정보통신부 장관은 집에서 쉬고 있다가 보고를 받고 황급히 자택을 나서 정보통신부로 향했으며 정통부 직원들은 비상근무 체제에 돌입했다.

▲오후 4시 = 구로전화국 DNS 서버에도 과부하가 발생, 접속 성공률이 10%대로 하락하면서 사실상 마비상태가 지속되고 있는 가운데 정통부는 사태의 원인이 MS-SQL 서버의 보안 취약성을 이용한 웜의 침투 및 확산임을 파악하고 각 ISP에 문제의포트를 닫으라고 촉구했다.

▲오후 7시 = 국내 제2위의 초고속인터넷 사업자인 하나로통신의 망과 서버가복구됐다. 110여만명의 회원을 가진 3위 업체 두루넷은 이보다 30분 전에 복구를 끝낸 상태였다.

일단 급한 불은 껐지만 트래픽 증가에 따른 속도 지연 및 접속시간 초과에 따른불통 현상이 계속돼 밤늦게까지 인터넷 사용자들은 답답함을 느껴야 했다.

KT, 하나로통신 등 ISP들은 메가패스, 하나포스닷컴 등 자신들의 사이트에 MS-SQL 서버의 취약점을 막기 위한 보안패치나 서비스 팩을 내려받으라고 촉구하는 내용의 공지사항을 올렸다.

▲오후 11시 = 트래픽이 다소 줄어들면서 네트워크가 어느 정도 정상을 되찾기시작했으나 부분적인 망 접속 장애는 계속됐다.

◇26일(일)

▲오전 9시 = 이상철 장관, 정보통신부 간부들과 각 ISP 대표 등이 긴급회의를갖고 대책을 숙의하는 한편 ‘대국민 행동요령’을 채택했다.

▲오전 11시 20분 = 이상철 장관은 기자회견을 갖고 “우리나라의 인터넷이 전국적으로 마비된 데 대해 국민들에게 송구하게 생각한다”며 대국민 사과를 발표하면서“정확한 원인을 파악해 철저한 방지대책을 세우겠다”고 말했다.




이렇게 한순간에 네트워크가 마비되면서 국가 전산망이 멈추어 버리는 대란이 실제로 일어난 것이다. 지금 이 시간에도 어떠한 취약성으로 인하여 어떻게 변해 갈지 모른다. 우린 그런 대란을 교훈 삼아 오늘도 국가 사이버 안전에 만전을 기해야 할 것이다.



Posted by 엔시스

Jeremiah Grossman 라는 블로그를 운영하는 CTO 는 그동안 보안 이슈가 되는 키워드를 정리한 것이 있어 소개 하고자 한다. 네트워크 시큐리티 타임라인과 웹어플리케이션 시큐리티 타임라인으로 나누어 볼수 있다.

내용을 살펴보니 그동안 우리 입에 자주 오르내리던 그런 이슈들이 많다. 한번쯤 시대별로 정리를 해 보는 것도 좋겠다., 사실 웜의 경우는 그때마다 이슈가 되었지만 워낙 자주 일어난 이슈들이라 언제 일어났는지  기억을 하지 못하는 경우가 많다.



우선 네트워크 보안을 연도별로 한번 나누어 살펴 보도록하자

 

 

 

  • (1996) 네트워크 스캐너가 알려지고 보안업데이트를 위한 패치 관리가 필요하게 되고 상업적인 패치 관리 제품이 릴리즈 되었다. PATCHLINK UPDATE,

 

  • (1997) 무료 소프트웨어 방화벽인 Linux IPChains,이 선을 보였다.

 

  • (1998) 윈도우98에 대한 처음으로 Windows Update 를 소개 하였다.

 

  • (2001) Code Red 와 Code Red II 로 인하여 수백만대의 IIS 웹서버가 감염이 되었다. 이 사고로 인하여 패치관리 시스템은 더욱 조명을 받게 되었다.

 

  • (2003)  SQL slammer 과 Blaster 웜으로 인하여 국내에는 1.25 대란이라는 국가 비상사태를 맞이한 해이기도 하다.

 

  • (2004) 윈도우XP 서비스 팩2의 방화벽 기능이 기본적으로 탑재되었다.

 


위 타임라인이라는 그림과 같이 한번 살펴 보면 도움이 될꺼 같다. 한동안 업무 하면서 코드레드와 코드레드2에 대하여 패치를 한동한 했던 기억이 있고 또한 스램어 웜 때문에 고생했던 것과 블라스터 웜 때문에도 많은 작업이 있었던 기억이 난다.

그냥 한번 시대별로 그냥 참고 해 보는 것도 좋겠다..



Posted by 엔시스