지난 1월 25일 발생한 인터넷 대란의 원인은 당초 예상한대로 마이크로소프트(MS) SQL서버를 공격하는 "슬래머(일명 오버플로)"웜 때문인 것으로 최종 결론이 났다. 정보통신부 정보통신망 침해사고 합동조사단은 18일 미국과 호주 등 해외로부터 유입된 슬래머 웜이 급속히 국내 8천8백여 서버를 감염시킴으로써 지난달 25일 인터넷 접속이 중단되는 사고가 일어났다고 공식 발표했다. ◆사고 원인=사고는 크게 세 가지 경로로 진행됐다. 우선 슬래머 웜은 취약점이 있는 MS의 SQL서버 및 MS 데스크톱엔진(MSDE)2000 시스템을 감염시켰다. 감염된 서버는 초당 1만∼5만개의 패킷(4백4바이트)을 생성,무작위 인터넷주소(IP)로 보냄으로써 네트워크 트래픽을 폭발적으로 증가시켜 기업 등의 인터넷 접속경로를 차단했다. 또 이렇게 감염된 서버로부터 나온 공격 패킷의 93%가 인터넷서비스사업자(ISP)의 국제관문국에 집중,심한 병목현상이 빚어졌다. 그 결과 '.com'등 인터넷사이트 주소를 관리하는 루트 도메인네임시스템(DNS) 서버에 접속할 수 없어 해외 인터넷 접속이 불가능하게 됐다. 이밖에 서버를 대량으로 관리하는 인터넷데이터센터(IDC)에서 랜(근거리통신망)으로 연결된 서버 중 하나가 감염돼 내부망 트래픽이 폭주,포털 쇼핑몰 게임 등 다른 서버에도 접속이 불가능한 상황이 발생했다. 조사단은 한국이 다른 나라보다 피해가 컸던 이유로 △서버 관리자의 보안의식 취약으로 외국보다 많은 SQL서버가 감염됐고 △국내에 루트 DNS서버가 한 대도 없었으며 △초고속인터넷 보급률이 높았기 때문으로 분석했다. 한편 지난달 30일 전국 11곳에서 발생한 KT 인터넷장애는 슬래머 웜과는 무관하며 트로이목마의 변종이나 이종으로 추정된다고 조사단은 밝혔다. ◆피해보상은 어떻게=조사단은 누가 사고 피해를 보상할 것인가에 대해선 "세심한 법률적 검토를 거쳐야 한다"는 원론적 입장을 피력했다. 정통부 차양신 정보보호기획과장은 "24개 주요 IDC가 관리하는 SQL서버 3천9백74개 중 40.3%인 1천6백3개가 감염됐다"며 "보안패치만 제대로 했어도 막을 수 있었던 일"이라고 설명했다. 이는 서버 관리업체에 어느 정도 책임이 있음을 간접적으로 시사하는 것이다. ◆정부 대책=정통부는 서버 관리자나 일반 PC사용자들의 정보보안 인식을 높이고 보안패치나 백신을 수시로 업데이트하도록 캠페인을 벌일 예정이다. 또 이상 인터넷 트래픽 발생시 조기 예·경보 시스템을 확립하는 한편 통신사업자들에 대한 현장조사를 할 수 있도록 제도를 고칠 계획이다. 강현철 기자 hckang@hankyung.com