[컴퓨터월드] 2003년 1월 25일 오후 2시, 슬래머 웜(Slammer Worm) 바이러스가 전 세계를 강타했다. 슬래머 웜은 윈도우 MS-SQL 서버의 취약점을 이용해 대량의 네트워크 트래픽을 유발해 네트워크를 마비시키는 바이러스다. 당시 이 사건으로 인해 국가 기간망까지 마비됐다. 업계 전문가들은 이번 사건을 ‘1차 사이버테러’로 규정하며 빠르게 사태 수습과 보안 대책을 수립하기 시작했다. ‘초고속 인터넷, IT 강국’이라는 명성이 추락했던 2003년 3월로 돌아가 본다.

전 세계 취약 서버 90% 감염

슬래머 웜의 정식 명칭은 ‘에스큐엘 오버플로(SQL.Overflow)’다. 마이크로소프트(MS)의 데이터베이스 관리시스템인 SQL 서버의 특정 포트를 이용해 MS SQL 서버를 공격하는 컴퓨터 웜바이러스다. SQL(Structured Query Language)이란 각종 자료를 저장하는 DB 서버를 관리하는 데 쓰이는 프로그래밍 언어를 의미한다.

슬래머 웜은 지난 2001년 여름 전 세계를 강타했던 ‘코드레드 바이러스(CodeRed Virus)’와 마찬가지로 서비스거부공격인 디도스(DDoS)를 실행해 전체 네트워크의 과부하를 유발하는 바이러스다. 슬래머 웜은 SQL 보안패치(patch)와 방화벽 솔루션이 설치된 서버에서는 활동할 수 없지만, 조치가 미흡한 서버들을 통해 순식간에 퍼졌다. 또한 보안패치와 방화벽 등을 설치한 곳에서도 네트워크 과부하를 유발할 정도의 위력을 지녔다.

2003년 전 세계 인터넷 대란을 불러일으킨 슬래머 웜의 치명적인 요인은 빠른 전파 속도였다. CAIDA의 보고서에 따르면, 슬래머 웜은 발생 10분 만에 취약점 패치가 존재하지 않은 MS SQL 서버 2000의 90%인 75,000대를 감염시켰다. 이 웜 바이러스는 1434 포트를 통해 전파되는 376바이트 크기의 메모리 상주형 웜으로 UDP 특성을 이용, 공격을 감행해 확산 속도가 무척 빨랐다.

당시 본지에서는 “8.5초마다 시스템 감염이 곱절로 늘어났다”고 표현하기도 했다. 국내에서는 전 세계 감염시스템의 11.8%인 8,800대의 서버가 감염된 것으로 파악됐으나, 정확한 수치는 아니었다.

2003년 한국MS는 국내에서만 단품 서버 22,000대를 판매했다. 라이선스 고객을 포함한 고객의 수는 7,000곳에 달했다. 사고 발생 전날인 2003년 1월 24일까지 25,000건의 패치 다운로드가 진행됐다. 당시 한국MS의 수장인 고현진 사장은 “일반 패치 다운로드 사용자를 모두 포함할 경우 총 7,000곳의 고객 수보다 최소 3~5배에 달하는 사용자들이 패치를 진행한 것으로 파악된다”고 부연했다.

우왕좌왕 정보통신부, 초기 진압 미비

2003년 1월 25일 오후 2시 10분부터 국내 인터넷 접속이 지연되거나 불통됐고, 이러한 현상은 점차 전국적으로 확산됐다. 인터넷 대란은 침해 사고 발생 5일 만인 29일 정보통신부에서 상황 종료를 선언하며 막을 내렸다. 하지만 5일 뒤 새벽 5시 40분에 전국 11개 지역에서 ADSL 접속 장애가 다시 발생했고, 저녁 9시에야 최종 해소됐다.

상황 종료 후 정보통신부의 보안 사고 대처 능력이 도마 위에 올랐다. 1월 25일 오후 2시 10분경 ISP 업체에서 인터넷 트래픽 이상 징후를 최초 발견했지만, 정부는 오후 4시에 긴급조치를 발령했다. 또 빠른 속도로 퍼져 이미 전국의 서버의 90%가 슬래머 웜에 감염된 상황이었는데도, 정보통신부는 6시간 후인 저녁 8시에 인터넷 장애 원인을 슬래머 웜으로 확정하고 저녁 9시가 되어서야 대국민 대처 방안 및 긴급 경보를 발령했다.

25일 오후 3시 40분에서 오후 5시 사이에 ISP 업체들이 그나마 백본 라우터에 UDP 1434 포트를 차단하는 등 긴급조치를 수행했지만, KT와 하나로통신의 가입자 수용 라우터의 1434 포트를 차단한 것은 다음날인 26일 오후 2시 30분이었다. 25일 저녁 무렵 정부가 인터넷 사고의 원인과 대처방안을 발표, 긴급 경보를 발령한 후에도 ISP 망 하부에서 올라오는 트래픽은 여전히 대량으로 발생하고 있었고, 일부 망은 아예 끊어버렸다고 한다.

당시 성균관대학교 정태명 정보통신공학부 교수는 “상식적으로 다량의 패킷이 유입되는 네트워크 이상을 감지했다면, 평소에 사용하지 않은 포트인 1434 포트를 5분에서 10분 사이에 막았어야 했다. 이러한 조치가 있었다면 인터넷 대란으로 이어지지 않았을 것”이라며, “이번 사고는 천재가 아닌 인재이며, 실력의 문제”라고 꼬집었다.

특히나 정보통신부는 제대로 원인을 규명하지 못한 상황에서 해커에 의한 공격으로 규정했고 ‘대국민 행동강령’을 발표해 원인파악 및 수습 과정에 혼란을 더했다는 비판도 쏟아졌다. 인터넷 장애가 발생하고 KT 혜화전화국(당시)의 DNS(Domain Name Server)가 다운됐다는 언론 발표를 보고, 정보통신부는 사고 원인으로 ‘DNS의 해킹’을 제시했다. 사고의 진원지는 당연하게도 KT 혜화전화국이 지목됐고, 일부 전산망 관리자들은 KT 서버가 복구되기를 기다리는 상황도 발생했다.

결국 MS 서버의 취약성을 이용한 공격으로 추정한 한국인터넷진흥원(KISA)의 발표가 나온 오후 4시에 이르러서야 각 ISP 업체들에 UDP 1433, 1434 포트 차단을 권고했다. 정보통신부가 발표한 ‘대국민 행동강령’은 슬래머 웜과는 직접적인 관련이 없는 일반 PC 사용자들에게까지 감염 우려를 표했으며, 한국MS 홈페이지의 패치 다운로드 수는 수만 건을 기록했다.

백신 기업들 맹활약…산‧학‧연 공조 필요성 부각

정보통신부와 함께 공식적인 정보보호 기관인 KISA에도 비난의 화살이 쏟아지고 있었다. 이와는 반대로 국내 보안 기업인 안철수연구소(現 안랩)와 하우리 등 백신 기업에는 찬사가 이어졌다. 안철수연구소와 하우리는 사고가 발생했던 2003년 1월 25일 토요일 긴급 연락을 통해 비상 체제를 가동했다. 특히 비상 체제 가동 이전 이미 사태 파악과 웜 바이러스 분석, 전용 솔루션 개발에 뛰어든 상황이었다.

인젠, 코코넛, 카포넷, 해커스랩 등 관제 서비스 기업들 또한 고객사의 서버 이상 징후를 발견하면서 IDC 등 고객 피해 상황 파악과 ISP 등에 확인 작업을 진행하고 있었다. 그 결과 원인이 슬래머 웜으로 밝혀지면서 긴급 조치를 수행하며 고객들의 피해 최소화를 위해 노력하기 시작했다.

이튿날인 1월 26일 일요일, 안철수연구소와 하우리는 슬래머 웜의 감염 취약성 진단, 모니터링 툴과 솔루션 개발을 끝마쳤고, 배포를 시작한 상황이었다. 이 기업들은 보안 위험성이 여전히 존재할 것으로 예상해 정부 긴급대책회의에 참여했으며, KT 등을 직접 방문해 대란 원인 규명과 해결에 팔 걷고 나섰다. 이 과정에서 안철수연구소는 MS ‘ES2000 응용프로그램’도 슬래머 웜 감염 위험성이 높다는 점을 확인했고, 하우리는 랜 환경 프로토콜을 이용한 트래픽 과다라는 직접적인 원인도 규명했다.

물론 위험 예방과 원인 규명 차원에서 다소 민감하게 반응하기도 했었지만, 그럼에도 백신 기업들과 보안관제 서비스 기업 등 여타 보안기업들의 활약이 있었음은 분명했었다. 보안기업들의 활약으로 인해 향후 사고 발생 후 원인에서 조치 과정에 이르기까지 전 과정을 정부와 ISP, 민간 보안기업 간 긴밀하게 공조해야 한다는 분위기도 생기기 시작했다.

책임 소재 결과 ‘주목’

사건‧사고가 발생하면 당연하게도 많은 사람은 책임 소재에 주목한다. 2003년 슬래머 웜 바이러스로 인한 인터넷 마비 사태 역시도 마찬가지였다. 정보통신부는 특별구성 TF를 꾸려 조사를 진행했다. 이후 발표에서는 책임 소재가 구체적으로 언급되지 않았으며, 공동의 책임 혹은 사용자의 책임이 가장 크다는 점만 부각됐다. 그럼에도 책임 소재를 둘러싸고 수많은 업계 관계자들의 불만 섞인 토로는 어떠한 방식으로든 책임소재를 가려낼 것임을 예시하고 있었다.

당시 시민단체들은 KT를 비롯한 6개 ISP 업체들을 대상으로 손해배상을 추진했다. 물론 MS와 정부 또한 시민참여연대의 소송 대상자가 될 것이라는 사실에는 변함이 없었다. 특히 합동조사 결과 발표에서 주요 원인 중 하나로 꼽혔던 IDC 입주 서버의 감염에 따른 장애가 지적되는 등 책임 소재와 관련된 대상이 늘어날 여지 또한 존재했었다.

정보통신부 측 관계자는 당시 본지와의 인터뷰를 통해 “IDC 입주 서버의 경우 해당 업체에서 관리한다. IDC와 서버 관리자는 엄연히 다르다”고 말하며 책임을 회피하려는 움직임을 보였다. 하지만 IDC 내 입주 업체들의 서버 중 하나가 감염될 경우 입주 서버들끼리는 LAN으로 연결돼있기 때문에 구조적으로 보안패킷이 설치된 타 업체들까지도 인터넷 장애를 겪을 수 있다는 반론도 제기됐다.

녹색소비자연대는 합동조사 결과가 발표된 2003년 2월 18일 이후 재조사단 구성 및 재조사와 합동조사단의 모든 자료 공개를 요청하기도 했었다. 또한 2월 4일 정보통신부에 요청했던 △정보통신기반침해사고대책본부 구성 및 회의록 △대책본부 실무반 구성‧운영 현황 △ISP 복구과정에 대한 결과보고서 △1월 23일~1월 28일까지의 주요 정보통신시설 점검 결과보고서 △시간대별 인터넷 마비사태 복구과정 보고서 중 정보통신기반침해사고대책본부 회의록과 ISP 별 복구 과정 결과 보고서 등이 공개되지 않아 행정정보공개 청구 이의신청을 제기했었다.

당시 녹색소비자연대 박찬 정보사업부장은 “ISP 별 복구과정에 대한 자료는 정보통신부에서 갖고 있지 않다며, ISP에 공개 청구하라는 답변이 왔다. 자료가 없다면 조사를 제대로 하지 않았다는 것인데 자료가 없는 이유와 혹은 해당 부분을 조사하지 않은 근거를 밝혀야 한다”고 날 세워 비판했다. 우선 충분한 자료를 확보한 후 통신위 재정신청을 진행하고, 민사소송까지도 고려한다는 입장이었다.

참여연대의 경우 조사 결과가 발표될 즈음 법정 소송을 곧바로 진행하겠다는 계획을 수립하고 있었다. 정책 대안 제시와 보안의식 제고를 위한 네티즌 캠페인도 병행할 예정이었다. 당시 참여연대 배신정 간사는 “법정에서 책임이 가장 큰 곳이 정부이든, ISP이든, MS든, 공동 책임이든 어떻게 해서든 책임 소재에 대한 비율은 정해질 것”이라면서, “향후 보안 사고에 대한 책임 소재를 가리는데 선례가 될 것”이라고 강조했다.

국가 차원 위험관리 체계 마련 시급

인터넷 마비 대란을 초래했던 슬래머 웜 사고 발생 후 정보통신부는 재발 방지 및 정보보호 인식 제고를 위한 종합 대책을 수립하겠다고 밝히고 대안 마련에 집중하기 시작했다. 하지만 업계의 기대에는 미치지 못했었다. 2003년 2월 18일 원인 규명 자리에서 정보통신부는 구체적인 대책안을 내놓을 것으로 기대를 모았지만, 몇 가지 정책적인 시사점만 던져놓은 채 “앞으로 추가 보강 조사를 거친 후 종합 대책을 발표할 것”이라는 입장만 제시했다.

인터넷 대란 후 정부에서 밝힌 대략적인 방향은 먼저 서버 관리자 및 일반 PC 사용자들에 대한 정보보호 인식 제고와 정보보호를 생활화하기 위한 보안패치, 백신 업데이트 등 각종 보안 조치를 권고사항에서 의무 사항으로 전환한다는 것이 골자였다. 또한 정부, ISP, 보안기업 등을 망라하는 정보통신종합상황실 구축과 해킹, 바이러스에 대한 조기 예‧경보 체계를 갖춰 나가는 등 조기 대응 체계를 확립하겠다는 것이었다.

침해사고 발생 후 보고 등과 관련한 제도 개선 및 정보통신 서비스 제공자에 대한 로그자료 제출 요구권 및 현장 조사권 도입, IDC의 긴급조치 및 안전기준 강화 등 제도 개선책 등도 마련할 예정이었다.

인터넷 마비 대란을 겪으며 업계 전문가들은 정부가 제시한 여러 방안 중 ‘위기관리 및 대응체계’ 마련에 힘을 실어야 한다는 입장이었다. 국가 차원에서 대통령 직속의 보안책임관(CSO)을 두고 행정, 국방, 금융, 통신, 운송, 에너지 등 국가 기반시설 전체에 대한 상시적인 보안을 수행하며, 침해 발생 후에는 정부기관이나 주요 ISP, 각 산업의 기업체, 보안기업 등 민간 전문가 등이 긴급히 대응할 수 있는 체계를 마련해야 한다는 것이었다.

당시 정보통신기반보호법에는 주요 정보통신기반시설에 대해 침해사고가 발생해 기반시설이 교란‧마비 또는 파괴된 사실을 인지한 때에는 행정기관, 수사기관 등 관련 기관에 통지하도록 규정하는 내용이 담겨있었다. 침해가 광범위하게 발생했을 경우에는 정보통신기반보호위원회의 장(국무총리)은 위원회 내에 기간을 정해 정보통신기반침해사고대책본부를 두고 필요한 응급대책, 기술지원, 피해복구를 하도록 명시돼있었다.

그러나 슬래머 웜에 대해서만큼은 법률에 명시된 대로 대응이 이뤄지지 않았음은 물론, 대응이 이뤄졌다고 해도 무의미했을 것이라는 시각이 지배적이었다. 사고에서 확인할 수 있었듯이 급박하게 진행된 상황에서 사고가 터진 후 대책본부를 소집한다고 해도 이미 심각한 수준에 이르거나 종료돼 사후약방문 수준의 대응을 할 수밖에 없다는 이유에서다.

“부족한 대안 보완하는 구조로 대책 마련해야”

통상 범국가적 차원에서 보안사고가 발생하면 항상 문제가 되는 곳은 대기업도, 중견기업도 아니었다. 중소기업이 항상 문제였다. 2003년 역시 슬래머 웜 사고로 인해 중소기업의 보안 대책 수립에 대한 문제도 현안으로 떠올랐다.

중소기업들의 보안 수준을 높이는 데 있어 가장 큰 걸림돌은 무엇일까. 바로 예산이다. 투자 여건이 미흡해 보안 투자가 우선시되지 못하고 정부차원에서 보안 대책을 수립할 수 있도록 세제 혜택이나 투자 지원 등으로 이끌어야 한다는 것이다. 2023년과 마찬가지로 2003년에도 보안에 투입할 수 있는 예산 재원이 부족하다는 점이 가장 큰 어려움으로 작용하고 있었다.

이 외에도 중소기업 CEO나 임원들의 보안 인식도 걸림돌로 꼽혔다. 중소기업일수록 시스템 투자 결정이 C레벨이나 대표 선에서 진행되는 경우가 부지기수이기 때문이다. 또한 지금도 난항을 겪고 있는 보안 전문인력 양성과 교육뿐만 아니라 네트워크 안전성과 보안 기술 등에 대한 수준 향상, 침해사고 피해에 대한 처벌, 피해보상 등 관련 법‧제도 수립 등도 뒤따르고 있었다.

한편, 당시 정보통신부가 내놓은 보안 대책에 대해 일각에서는 우려의 목소리도 들리기 시작했다. 사고 여파로 한 번에 모든 대책을 수립할 경우 실효성이 없는 허황된 대책이 될 수 있다는 이유에서였다. 당시 본지(2003년 3월 호)에 실린 기고에 이러한 우려의 목소리가 잘 드러나있다. 당시 트렌드마이크로 스티브 창(Steve Chang) CEO는 ‘슬래머 웜 바이러스, 방역 구축 전략 시급하다’라는 기고를 통해 “정보보호 체계나 조직, 관련 법제도가 미비한 것은 절대 아니며, 제대로 운영되고 있지 않은 것이 더 큰 문제다”라면서, “획기적인 대책을 갖고 새로운 대안을 만들기보다 마련돼있는 것들을 점검하고 부족한 것을 보완하는 차원이 돼야 한다”고 조언하기도 했었다.