인터넷사업자, 고객시설 보안이 '03년 화두

80, 90년대에 통신이 두절되는 것은 응용 소프트웨어의 버그나 하드웨어 결함때문이었다. 그러나 90년대 후반부터는 인터넷 서비스 제공 시설에 대한 사이버 공격이 통신두절 사태의 주된 원인이 되고 있다.

특히 시간이 지날수록 통신사업자의 인터넷 제공시설 보다는 가입자 시설에 대한 방역의 중요성이 강조되고 있다.

이와 관련 KT 정창성 부장은 지난 17일 열린 ‘제2회 사이버테러정보전 컨퍼런스 2002’에 참가해서 KT의 통신이 두절되는 사태를 낳았던 카코(Carko)와 코드레드(CodRed)를 설명하며, “앞으로 이슈는 고객시설을 바이러스와 해킹으로부터 어떻게 안전하게 지켜나가는가의 문제”라고 강조했다.

인터넷 서비스 제공업체의 시설에 장애가 발생하면 그 시설을 중심으로 해킹툴을 제거하고 변조된 프로그램을 복원하면 된다. 하지만 게임방 등 고객시설의 라우터에 문제가 생겨 국제 캐시서버가 다운된다면 문제발생의 진원지를 찾기 힘들어 그만큼 조치하는데 오랜 시간이 걸린다는 것이다.

또한 통신회사 시설에 피해를 줬던 카코(Carko)는 6시간만에 인터넷서비스가 제개되고, 제대로된 복구도 1주일만에 가능했다. 피해액도 4억여원에 불과했다. 하지만 가입자 시설에 문제를 일으킨 코드레드(CodRed)는 1천600개 이상의 IP가 감염됐으며, 500여명이상이 복구에 동원되는 등 경제적인 손실도 훨씬 컸다.

◆카코.. 인터넷 제공시설에 문제여서 단시간 복구

KT가 카코(Carko)때문에 골치를 썩은 것은 2001년 4월 17일. 오후 5시 30분경부터 12시 20분까지 6시간여 동안 인터넷서비스를 제공할 수 없었다.

카코란 야후, CNN 등 주요 사이트 공격에 사용된 것과 비슷한 분산서비스거부공격(DDoS)프로그램이다. 국내 정보시스템에 많이 사용되고 있는 SUN사의 솔라리스(Solaris) 최신버젼(2.6, 2.7, 2.8)의 보안취약성(snmpXdmid)을 이용해서 자동으로 설치되는 게 특징이다.

KT의 서비스제공지역인 W지역 알카텔의 네트워크어태치드스토리지(NAS) 장비 3개 시스템이 다운됐는데, NAS용 지능형기업보안관리(EMS)에서 초당 3천개 패킷이 기가스위치로 유입돼 패킷처리에 지연이 생긴 것이다. KT는 결국 EMS를 기가스위치에서 제거했다.

정창성 부장은 “카코는 NAS, 초고속인터넷접속망장비(DSLAM), 관리시스템(EMS 2식) 등에서 발견돼 총 34개 프로그램을 변조시켰지만 KT시설에서 발생했기 때문에 곧바로 로그파일을 확보하고, 카코를 제거한 뒤 보안 설정 작업을 할 수 있었다”고 말했다.

한편 KT가 카코를 제거하고, 이번 사고를 완벽하게 처리하는 데에는 10일정도 걸린 것으로 나타났다.

◆코드레드.. 가입자 시설에 문제여서 장시간 복구

카코(Carko)는 비교적 빠른 시일안에 해결할 수 있었지만, 코드레드(CodRed)는 상당히 오랜 시간이 걸렸다.

KT의 인터넷서비스를 이용하는 기업이나 PC방 등이 대거 감염되면서, KT의 국제 캐시 서버를 다운시키기에 이른 것이다.

코드레드(CodeRed)는 마이크로소프트 윈도NT(IIS 4.0)와 윈도2000(IIS 5.0) 웹 서버를 경유지로 이용, 100개의 인터넷 주소(IP)를 대상으로 서비스거부공격(DoS)을 감행하는 웜 바이러스다. 정상적인 TCP(전송 제어 프로토콜)로 연결된(80번 포트)후 감염되거나 서비스거부공격을 일으킨다.

KT는 지난 해 8월 코드레드로 인해 국제 캐시서버에 아웃바운드 패킷이 평소보다 2배나 많이 발생했다고 한다. 평소에 20~30만에 달하던 게 50~60만까지 유입됐다는 것이다. 결국 국제 인터넷서비스는 지연되고 캐시서버는 다운되기에 이른 것. 눈에 보이는 모습은 한아라우터를 사용하는 게임방 등에서 파일전송서비스(FTP)가 안되는 것이었다고 한다.

결국 KT는 국제캐시 서버를 네트워크에서 분리하고, 한아라우터의 80번 포트를 죽이고 5개 이상 멀티IP를 쓰는 고객들은 다른IP로 전환시키거나 모뎀을 교체하는 것으로 악몽에서 벗어날 수 있었다.

정창성 부장은 “ADSL처럼 변동 IP를 쓰는 고객의 경우 감염의 진원지를 찾기가 힘들었다”며 “결국 국제쪽 침입탐지시스템 단에서 2시간내에 인터넷을 쓴 IP를 역추적하는 데 한달이상 걸렸다”고 말했다.

가입자 시설에 사이버테러가 발생할 경우, 이를 처리하는 데 상당한 시일이 걸린다는 설명이다.