안녕하세요?

지난 토요일 발생한 인터넷 대란의 주된 원인이 아래 신문기사와 같은 원인이었다고 합니다.

당사의 포인트샵 서비스는 MS-SQL 서버를 사용하지 않기 때문에, 서버들은 모두 아무 이상이 없었으나,
사용중인 네트워크 라인에 트래픽이 과다하게 발생하여, 접속이 매우 지연(때문에 타임아웃으로 페이지를 볼 수 없는)되는 현상이 발생했었습니다.

본의 아니게 포인트샵 이용 고객분님께 불편을 드려 대단히 죄송합니다.

감사합니다.

---------------------------------------------------------------------------------------
디지털타임스에서 옮김.
---------------------------------------------------------------------------------------

404바이트 `웜` 하나에 전국이 `넉다운`

박창신 heri@dt.co.kr 2003/01/27


통신망 마비원인 뭔가


`404바이트 크기의 웜 프로그램 1개가 전국의 인터넷 망을 마비시켰다'

25일 발생한 전국적인 인터넷 망 다운 사태의 최초 원인은 뜻밖에 간단하다.

정보통신부와 보안 전문가들에 따르면 누군가 불순한 목적으로 마이크로소프트(MS)의 데이터베이스용 서버(SQL서버)에서 활동하는 패킷(웜 프로그램)을 작성, 한 SQL서버에 옮긴 것이 이번 사건의 발단이다. 이렇게 옮겨진 패킷은 SQL 서버의 메모리(램)에 상주하면서 한 번에 256(2의 8제곱)개씩의 패킷을 발생시켜 밖으로 내보냈다. 이들 패킷은 서버끼리의 커뮤니케이션 통로인 UDP 1434포트를 통해 수많은 다른 SQL서버로 전송된 것이다.

UDP 1434포트는 SQL서버들이 실제로 데이터를 주고 받았는 지를 확인하기 위해 열어놓은 통로. 네트워크의 처음과 끝을 죽 점검함으로써 데이트를 받는 측의 SQL서버가 살아 움직이며 실제로 데이터를 받았는지를 확인하는 기능이다. MS는 이를 `레졸루션 서비스' 또는 `확인 서비스'라고 한다.

이번 사건은 SQL서버의 이같은 기능이 보안상의 허점으로 작용하면서 발생한 것으로 보인다. 최초 한 SQL서버의 램에 자리잡은 웜 프로그램이 UDP 1434포트를 통해 다른 SQL서버로 404바이트의 패킷을 무수히 보내면, 이 패킷이 목적지 SQL서버의 시스템 메모리에 덮어쓰기 형태로 상주하면서 연쇄적으로 2 개씩의 다른 SQL 서버를 호출하기 시작한 것이다. MS는 외부에서 들어온 패킷이 SQL서버의 메모리에 덮어쓰기 형태로 자리잡는 것을 `버퍼 오버런'이라고 말한다.

버퍼 오버런과 확인서비스를 통해 발생하는 패킷의 양을 숫자로 표현하면 처음에는 패킷 1개가 그 다음에는 256(2의 8제곱)개, 다시 그 다음에는 `256의 8제곱' 개씩으로 실로 기하급수적으로 늘어난다. SQL서버들끼리 교신하는 데이터 량이 순식간에 어마어마한 양으로 늘어나는 것이다.

엎친 데 덮친 격으로 문제의 웜 프로그램에 감염된 SQL서버끼리의 `패킷 주고받기'가 끝간데 없이 계속되는 사이클 현상도 벌어졌다. 한 SQL서버와 또 다른 SQL서버가 UDP 1434를 통해 똑같은 내용으로 묻고 되묻고, 다시 묻고 하는 식의 패킷 교환사이클에 빠지게 되는 것이다.

SQL서버와 또 다른 SQL서버간의 이같은 패킷 주고 받기가 늘어나면서 발행한 네트워크 부하는 인터넷접속서비스를 제공하는 사업자(ISP)들의 도메인 네임 서버(DNS)에 심대한 영향을 주었다. 한 서버가 다른 서버를 향해 패킷을 보내면, 그 중간에서 DNS서버가 해당 패킷의 목적지(인터넷주소)를 확인해 전달하는 역할을 수행하게 된다.

따라서 전국에 산재하고 있는 SQL서버들에 문제의 웜 프로그램이 상주한 상태에서 UDP 1434포트를 통해 어마어마한 패킷을 발생시킬 경우 DNS서버가 이를 감당하기 어려운 상황에 직면하게 된다. DNS서버의 CPU용량을 초과하는 수준의 네트워크 부하가 발생하는 것으로, 이는 DNS의 작동을 느리게 하거나 사실상 멈추게 함으로써 인터넷을 중단시키는 것이다. 정보통신부 관계자는 "초당 1000~2000건을 처리하던 DNS서버에 초당 10만 이상의 콜이 밀려들었다"며 "이런 상황이 발생하면서 DNS서버가 급격히 느려지면서 가입자가 보기에는 인터넷망이 다운되는 현상이 일어났다"고 설명했다.

SQL서버들간에 발생한 엄청난 네트워크 부하로 인해 사실상 작동불능 상태에 이르게 된 DNS서버 중에는 KT의 서울 혜화전화국 장비가 있다. 컴팩(현 HP)와 IBM이 납품한 12대의 유닉스 서버로 구성된 이들 DNS서버는 지난 15일 오후 2시30분 경보가 울린 직후 순식간에 한계상황에 이르게 된 것이다. 혜화전화국의 DNS서버는 CPU용량의 20~40% 수준에서 작동해야 정상이며, 이런 정상기준을 20% 초과할 경우 경보가 울리도록 돼 있다. 이와 관련, KT 관계자는 "12대의 DNS서버에는 부하분산(로드 밸런싱) 기능이 있었지만, 한꺼번에 몰려드는 네트워크 부하에는 당해낼 재간이 없었다"고 말했다.

결론적으로 404바이트의 작은 패킷 프로그램 한 개로 시작된 이번 사건은 인터넷의 보안상 취약점을 여실히 말해주고 있는 것이다.

박창신기자

◈ 시간대별 상황

1월 25일

14:10 인터넷 접속 지연현상 발생

14:30 KT, 고객센터 통해 인터넷 서비스 장애 신고

14:30 정통부, ISP들에게 사고 경위 접수, 원인 분석 지시

14:44 KT, 혜화 지사 DNS 과부하로 인터넷접속 지연

15:00 정보보호진흥원(KISA) 인터넷 서비스 장애 신고, ISP 피해현황 파악

15:40 KT, 구로지사 DNS 경로 우회, 서비스 장애 복구

16:00 정통부, ISP들에게 이상 트래픽 발생 포트 차단 지시

16:00 KISA, 원인 웜 추정, 비상 대책반 가동

17:00 정통부, 문제 발생 ISP에 기술 지원요원 급파. KISA 원격 지원

17:30 KISA, ISP에 1434 포트 차단 요청

18:00 KISA, 바이러스 긴급 경보 홈페이지와 시큐어 메신저 통해 발령, 직원 5명 KT에 파견

21:30 안연구소, MS-SQL 서버 공격 웜 가능성 제기

22:00 하우리, 웜 슬래머(Worm.SQL.Slammer) 확인

23:00 인터넷 접속 정상 복구

1월 26일

7:00 하우리, 안연구소 전용 차단 및 방어 도구 공급

9:00 정통부, 장관 주재 긴급 대책 회의

11:00 정통부, 대책 발표

17:00 정통부, 인수위 상황 및 결과 보고