지난 25일 전국적인 인터넷 불통 대란에서 가장 큰 피해를 입은 KT의 혜화전화국 DNS서버는 가장 기초적인 보안장치인 방화벽(Fire Wall)조차 설치하지 않았던 것으로 밝혀졌다.
이에 따라 혜화 전화국 내에 설치돼 있던 침입탐지시스템(IDS)은 '이상 데이터 다량 발생' 징후를 감지하고도, 제대로 된 대응책을 내놓지 못했다.
이는 빌딩에 감시 카메라는 설치했지만, 경비원을 두지 않은 것이나 마찬가지. 즉, 이상 징후를 포착할 수는 있지만, 대응조치를 취할 수 있는 물리적 수단이 애당초 없었다는 뜻이다.
KT 혜화전화국의 이같이 허술한 보안체제는 결국 KT 내부에서 초기대응에 실패함으로써 전국 규모의 인터넷대란 사태로 확대되게 만든 원인으로 작용했다는 지적이 일고 있다. 사상 초유의 이번 인터넷 대란은 평소부터 그 원인이 잠복해 있었다는 것.
특히 혜화 전화국 DNS서버가 국내 인터넷 관문국 역할을 하는 중요성에 비해 KT의 보안 의식이 너무 안일했던 게 아니냐는 비난이 강하게 일고 있다.
27일 KT의 한 관계자는 "인터넷 접속 속도 등의 문제로 대부분의 DNS서버는 방화벽을 설치하지 않고 있다"며 "그러나 이번 사고를 계기로 라드웨어사의 방화벽 제품군을 도입키로 했다"고 말했다.
그는 또 "MS SQL서버의 취약점이 있다는 것은 알았지만 이를 이용해서 웜이 만들어지고, 이것이 1434포트를 공격 루트로 이용할 줄 미처 몰랐다"고 말하고 "혜화전화국에 설치된 침입탐지시스템 역시 작동하지 못한 채 무용지물이 됐다"고 덧붙였다.
현재 KT는 혜화전화국에 12대, 구로 전화국에 3대, 주요 지방에 5대 등 총 20대의 DNS 서버를 운용하고 있으며 혜화전화국이 메인 서버의 역할을 하고 있다.
혜화 전화국 DNS에 이상징후가 감지되면 구로전화국 등 다른 곳으로 데이터를 분산시키고, 이곳 역시 데이터가 몰리면 서버에 부하가 걸려 전국적인 인터넷 불통현상이 발생할 수 있다는 말이다.
그런데 KT는 이런 중요한 서버에 대해 제대로 된 보안 조치를 하지 않았다.
속도 지연 등을 이유로 침입탐지시스템(IDS)만 설치해 두고, 실제 공격을 막아주는 방화벽은 설치하지 않은 것이다.
IDS는 해커의 공격이나 해킹프로그램인 웜이 내부망에 유입됐는지 감시(탐지)해 줄 뿐, 방어하는 제품이 아니다.
따라서 이번 사건의 경우도 윈스테크넷의 침입탐지시스템이 있었지만, 문제가 되는 포트를 막아 방어해주는 방화벽이 없어 적절한 초기대응에 실패한 셈이다.
혜화전화국에 침입탐지시스템을 공급한 윈스테크넷측은 "이미 지난해 11월 이번 취약성을 침입탐지시스템 엔진에 룰셋을 적용했으며 따라서 지난 25일 낮 2시경부터 발생한 인터넷 서비스 장애에 대한 모든 패킷을 정상적으로 탐지했다"고 밝혔다.
윈스테크넷의 침입탐지시스템 제품은 제대로 기능했지만, 방화벽이 없어 문제를 인식하고도 제대로 대응하지 못했다는 것이다.
이에 대해 KT는 "DNS서버는 사실상 공중망과 같이 개방된 망이므로 방화벽을 설치할 이유도 없고 일상적으로 설치하지도 않는다"고 해명했다.
그러나 보안 전문가들은 "국가의 인터넷 관문국인 DNS에 방화벽이 없었다는 것은 말이 되지 않는다"고 입을 모으고 있다.
한 보안전문가는 "중소 규모 인터넷 사업자의 경우 DNS를 웹서버나 메일서버로 함께 혼용하기 때문에 방화벽을 두지 않는 경우가 있지만 KT의 경우 인터넷 접속을 위해 사이트 이름을 적어넣으면 이를 IP주소로 변환해 주는 역할만 하는 만큼 속도 지연을 이유로 방화벽을 넣지 않은 것은 기본적인 보안 의식도 없는 것"이라고 지적했다.
한편 KT는 이번 사건이 발생한 후 라드웨어사의 스위치를 도입, 이를 통해 트래픽 과부하를 로드밸런싱하고 있으며, 각종 악성 바이러스를 차단하고 해킹 공격도 봉쇄하고 있다.
/이구순기자 cafe9@inews24.com김현아기자 chaos@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기