[인터넷 마비 사태] 원인은 신종 웜 ‘슬래머’때문.. 하우리 

25일 발생한 인터넷 마비 사태의 주범인 신종 웜 바이러스 '슬래머
(Worm.SQL.Slammer)'인 것으로 드러났다. 
하우리(대표 권석철, www.hauri.co.kr)는 25일 국내 인터넷 서비스를 마비시
킨 주범은 분산서비스 공격(DDos) 공격이 아니라 SQL 서버를 공격하는 신종 
웜 '슬래머(Worm.SQL.Slammer)'로 확인됐다고 발표했다. 

하우리 기술연구소에 따르면 이 신종 웜은 SQL 서버의 취약점을 이용해 1434포
트로 유입되는 형태로 감염된다. 

일단 감염되면 무작위로 서버 IP 주소를 선정, 초당 1MB이상의 과도한 패킷을 
날려보냄으로써 서버 부하를 일으켜 시스템을 다운시킨다. 

또 이 웜은 취약점이 발견되는 다른 서버에 계속적으로 패킷을 발송, 버퍼 오
버플로우를 일으킨다. 

특히 파일 형태로 존재하지 않아 분석을 어렵게 만든다는 차원에서코드레드
(CodeRed) 웜과 비슷하나, 코드레드가 IIS 서버의 취약점을 이용한 반면, 이 
웜은 SQL 서버의 취약점을 이용하였다는 점에서 차이를 보인다. 

이 웜을 사전 예방하기 위해서는 SQL 서버에서 사용하지 않는 1434 포트를 임
시로 막고, MS에서 제공하는 SQL 서버용 보안 취약점 패치를 다운받아 설치해
야한다. 

또 1434 포트를 막지 않으면 계속해서 감염이 일어나게 되므로 반드시 사전 조
치를 취해야 한다. 

권석철 사장은 “UDP(User Datagram Protocol) 특성을 이용해 공격을 감행하므
로 확산 속도가 매우 빠르다” 며, “보다 자세한 정보가 나오는 대로 세부사
항을 다시 공식 발표할 것”이라고 밝혔다. 

현재 하우리는 잉카인터넷 및 해커스랩과 함께 자세한 내용을 분석, 자사 솔루
션으로 치료할 수 있도록 하기 위해 작업을 진행하고 있다. 

한편 하우리는 SQL서버에 대한 관련 패치 사이트는 
www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS02-039.asp 라고 밝혔다. 

(02)828-0795. 


/김현아기자 chaos at inews24.com 



[인터넷 마비 사태] 세계 곳곳서 불통 사태 

전국을 패닉 상태로 몰아넣었던 인터넷 접속 불능 사태는 전세계적인 현상이었
던 것으로 나타났다. 
급속확산되는 바이러스로 인해 전세계 주요 인터넷망 접속이 장애를 받았다고 
AP통신이 25일 보도했다. 이번 사태로 웹 브라우징, 이메일 전송 등 인터넷 관
련 모든 활동이 심각한 타격을 받았다고 AP는 전했다. 

전문가들은 이번에 전 세계를 강타한 공격은 2001년 여름에 출몰했던 '코드레
드'와 흡사한 것으로 평가했다. 당시 코드레드 바이러스는 수 많은 사이트 접
속이 불가능하게 만든 바 있다. 

조지 부시 미국대통령의 사이버보안 자문역을 맡고 있는 하워드 슈미트는 "모
든 사람들이 이번 사태의 영향을 받고 있는 것으로 보인다"고 말했다. 그는 
또 FBI의 국가인프라보호센터(NIPC)와 CERT의 전문가들이 이번 공격을 모니터
링하고 있다고 밝혔다. 

이번 공격은 마이크로소프트(MS)의 데이터베이스 소프트웨어인 SQL서버의 보
안 허점을 이용한 것으로 알려졌다. 

이아이 디지털 시큐리티(eEye Digital Security)의 마크 매프레트는 "이번 공
격은 코드레드와 흡사하다"면서 "광범위한 지역에서 수많은 공격이 행해져 정
상적인 작동이 불가능한 상태에 직면했다"고 설명했다. 

이번 공격은 지난 2002년 7월 기업 데이터베이스 서버를 감염시켰던 소프트웨
어 결함을 이용한 것으로 나타났다고 AP가 전했다. 당시 MS는 이같은 문제
를 '심각한 상태'로 간주, 보안패치를 배포했다. 


/김익현기자 sini at inews24.com 




MSSQL만이 아니라 MySQL도 같은 방식으로 공격이 가능하다고 합니다.