[인터넷 마비 사태] 원인은 신종 웜 ‘슬래머’때문.. 하우리
25일 발생한 인터넷 마비 사태의 주범인 신종 웜 바이러스 '슬래머(Worm.SQL.Slammer)'인 것으로 드러났다.
하우리(대표 권석철, www.hauri.co.kr)는 25일 국내 인터넷 서비스를 마비시킨 주범은 분산서비스 공격(DDos) 공격이 아니라 SQL 서버를 공격하는 신종 웜 '슬래머(Worm.SQL.Slammer)'로 확인됐다고 발표했다.
하우리 기술연구소에 따르면 이 신종 웜은 SQL 서버의 취약점을 이용해 1434포트로 유입되는 형태로 감염된다.
일단 감염되면 무작위로 서버 IP 주소를 선정, 초당 1MB이상의 과도한 패킷을 날려보냄으로써 서버 부하를 일으켜 시스템을 다운시킨다.
또 이 웜은 취약점이 발견되는 다른 서버에 계속적으로 패킷을 발송, 버퍼 오버플로우를 일으킨다.
특히 파일 형태로 존재하지 않아 분석을 어렵게 만든다는 차원에서코드레드(CodeRed) 웜과 비슷하나, 코드레드가 IIS 서버의 취약점을 이용한 반면, 이 웜은 SQL 서버의 취약점을 이용하였다는 점에서 차이를 보인다.
이 웜을 사전 예방하기 위해서는 SQL 서버에서 사용하지 않는 1434 포트를 임시로 막고, MS에서 제공하는 SQL 서버용 보안 취약점 패치를 다운받아 설치해야한다.
또 1434 포트를 막지 않으면 계속해서 감염이 일어나게 되므로 반드시 사전 조치를 취해야 한다.
권석철 사장은 “UDP(User Datagram Protocol) 특성을 이용해 공격을 감행하므로 확산 속도가 매우 빠르다” 며, “보다 자세한 정보가 나오는 대로 세부사항을 다시 공식 발표할 것”이라고 밝혔다.
현재 하우리는 잉카인터넷 및 해커스랩과 함께 자세한 내용을 분석, 자사 솔루션으로 치료할 수 있도록 하기 위해 작업을 진행하고 있다.
한편 하우리는 SQL서버에 대한 관련 패치 사이트는 www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp 라고 밝혔다.
(02)828-0795.
/김현아기자 chaos@inews24.com
[인터넷 마비 사태] 세계 곳곳서 불통 사태
전국을 패닉 상태로 몰아넣었던 인터넷 접속 불능 사태는 전세계적인 현상이었던 것으로 나타났다.
급속확산되는 바이러스로 인해 전세계 주요 인터넷망 접속이 장애를 받았다고 AP통신이 25일 보도했다. 이번 사태로 웹 브라우징, 이메일 전송 등 인터넷 관련 모든 활동이 심각한 타격을 받았다고 AP는 전했다.
전문가들은 이번에 전 세계를 강타한 공격은 2001년 여름에 출몰했던 '코드레드'와 흡사한 것으로 평가했다. 당시 코드레드 바이러스는 수 많은 사이트 접속이 불가능하게 만든 바 있다.
조지 부시 미국대통령의 사이버보안 자문역을 맡고 있는 하워드 슈미트는 "모든 사람들이 이번 사태의 영향을 받고 있는 것으로 보인다"고 말했다. 그는 또 FBI의 국가인프라보호센터(NIPC)와 CERT의 전문가들이 이번 공격을 모니터링하고 있다고 밝혔다.
이번 공격은 마이크로소프트(MS)의 데이터베이스 소프트웨어인 SQL서버의 보안 허점을 이용한 것으로 알려졌다.
이아이 디지털 시큐리티(eEye Digital Security)의 마크 매프레트는 "이번 공격은 코드레드와 흡사하다"면서 "광범위한 지역에서 수많은 공격이 행해져 정상적인 작동이 불가능한 상태에 직면했다"고 설명했다.
이번 공격은 지난 2002년 7월 기업 데이터베이스 서버를 감염시켰던 소프트웨어 결함을 이용한 것으로 나타났다고 AP가 전했다. 당시 MS는 이같은 문제를 '심각한 상태'로 간주, 보안패치를 배포했다.
/김익현기자 sini@inews24.com
MSSQL만이 아니라 MySQL도 같은 방식으로 공격이 가능하다고 합니다.
특히 MSSQL의 경우, 영어버전 패치는 2002년 7월에 공개했으면서, 다국어버전 패치는 불과 1주일전에 (그것도 베타버전으로) 배포하는 바람에 피해가 컸다고 합니다. |
|hit:3828|2003/01/26
|
