2003년 1월 25일 1400시, 전국의 모든 인터넷망이 갑자기 불통되었다. 1545시, KT에서 인터넷을 복구했다고 발표했으나, 일부
지역에서는 저녁때도 인터넷을 사용할 수 없었다. 이 사건은 웜바이러스의 일종인 슬래머가 마이크로소프트 SQL 서버의 취약점을
이용하여 네트워크에 과부하를 일으킨 다음 네트워크를 다운시키는 DDos 공격이었다.
이 사건은 한국만 아니라 전 세계에서 동시에 벌어진 사건이었다. 발생 당시 10분만에 7만5천대의 컴퓨터를 감염시켰으며, 50만대
이상의 인터넷 서버를 감염시켰다. 우리나라에서는 KT의 혜화전화국 전산센터에 있는 DNS서버를 감염시켰다.
슬래머(Slammer)라 이름의 이 바이러스는 376∼404바이트의 작은 코드를 가진 웜 바이러스다. 사건 범인은 마이크로소프트의
SQL Server 2000에 이 바이러스를 침투시켜 서버 간 통신을 위해 항상 열어 놓고 있는 UDP(User Datagram Protocol) 1434 포트를
통해 정상 패킷인 양 보냈다. 일단 침투에 성공한 슬래머는 마이크로소프트 SQL Server의 메모리(RAM)에 상주하며 무작위로 IP 주소를
생성하여 DNS 서버에 보냈다. KT 혜화전화국의 DNS 서버는 평소에 초당 1,000∼2,000건의 요청을 처리했는데, 슬래머는 초당 10만 건 이상을
보냈던 것이다. 이때문에 KT의 DNS서버가 과부하를 일으키며 인터넷망을 다운시켰던 것이다.
인터넷은 사용자가 웹브라우저에서 특정 도메인을 입력하면, 연결되어 있는 인터넷 네트워크 망을 따라 도메인에 할당된 IP주소를 찾아달라고
DNS서버에 요청한다. DNS서버는 이 요청을 받으면, 해당 도메인의 IP주소를 찾아서 연결시켜준다. DNS서버는 "www.dcafe.org"라는 도메인 주소를 모른다.
DNS서버가 알고 있고 처리하는 정보는 숫자로 된 IP주소이다. Slammer는 사용자가 요청하지 않은 IP주소를 평소 처리하던 양 이상으로 보내 과부하를
일으키게 한 것이다. 이러한 형태의 공격을 서비스 거부(Denial of Service)이라고 한다.
SS라는 인터넷 보안 시스템 업체와 테크리퍼블릭(TechRepublic)은 한국이 최대 피해자라고 발표했다. 왜 그랬을까.
마이크로소프트사는 2002년 7월과 12월에 이런 경우에 대비한 보안패치를 발표한 적이 있었다. 2003년 1월 25일에 슬래머가 이용했던 보안 취약점을
개선한 패치였다. 이 패치를 사전에 설치한 서버들은 전혀 피해를 입지 않았었다. 물론 마이크로소프트 사의 제품들은 다른 OS나 OS 기반 제품보다
보안에 취약하다. 많은 바이러스 및 해킹 시도는 대개 마이크로소프트의 제품에 몰린다.
당시 정보통신부는 다른 나라보다 많은 SQL서버 감염(일본의 7배, 중국의 2배), 국내 루트 DNS서버가 없어 국제회선 포화에 따른 국내 DNS서버 과부하,
초고속통신망 및 IDC를 통한 급속한 확산, 일반 이용자들의 보안불감증 등을 인터넷 대란의 원인으로 지적했다. 도 정통부는 주요 IDC의 경우
전체 3974개의 SQL서버 중 무려 40.3%인 1603개의 서버에 보안패치를 안하는 바람에 국내 피해가 컸다며 IDC의 책임론을 제기하기도 했다.
당시 KT는 "우리도 피해자"라고 주장했고, 정통부 역시 "개인의 불법복제와 보안의식 취약이 부른 사고"라면서 책임을 소비자에게 떠넘기는 자세를 보였고,
이에 대해 참여연대를 비롯한 일부 시민단체들은 정보통신부가 책임을 소비자에게 떠넘기고 있다며 소송을 제기한 바 있다.
[deutsch`s Web Cafe (1.25 인터넷 대란 발생) 참조]