인터넷 대란

이 항목에는 대한민국 내에서 인터넷으로 인한 악성소프트웨어 유행 혹은 인터넷 사이트 접속불가 사건 중 전국적 단위로 발생했으며 사안이 중대하고 전국민이 심각성을 인식하게 된 사건을 서술한다.

1 1999년 4월 26일 CIH 바이러스 대란

막 보급되기 시작한 한국 인터넷 시장이 가진 무방비성과 악성코드와 바이러스 등의 문제점을 알린 사건.

1998년 당시 대만에서 컴퓨터를 전공하던 대학생 첸잉하오(陳盈豪)가 자기 컴퓨터가 바이러스에 감염되어서 돈 주고 백신을 샀는데 이게 바이러스를 전혀 잡지 못해서 바이러스 우습게 보지 말라는 메시지를 담아 만든 바이러스로 자신의 이니셜을 따서 만든 CIH이라 명명했다. 이 바이러스가 활동하는 날짜인 4월 26일이 체르노빌 원자력 사고가 발생한 날과 같은 날이라 체르노빌 바이러스라고 불리기도 한다. 하지만 바이러스의 원래 이름인 CIH와 체르노빌은 관계가 없다.

(CIH 바이러스의 파괴력을 보여주는 시연 영상.)

CIH 바이러스는 감염된 컴퓨터의 하드 드라이브의 파티션 데이터와 메인보드의 BIOS를 삭제하여 일반 사용자의 입장에서 컴퓨터 본체를 그야말로 폐품으로 망가뜨리는 바이러스이다. 소프트웨어인 바이러스가 하드웨어인 컴퓨터에 과부하를 걸어서 '물리적으로' 망가트리는 것이 완전히 불가능한 것은 아니지만, 이 바이러스는 CMOS의 '정보'만 지우기 때문에 BIOS를 복구하거나 CMOS 칩만 교체하면 다시 정상화 시킬 수 있었다. 일부 용팔이업자들이 일반 사용자 수준에서는 복구할 방법이 없다는 사실을 악용해서 '바이러스가 메인보드 자체를 망가트린다'며 메인보드 자체를 교환하라고 부추긴 것이 'CIH는 하드웨어를 물리적으로 망가트린다'라고 와전된 듯 보인다. 어쨌든 충격이 대단했기 때문에 2000년 이후에 생산된 메인보드에는 기본적으로 CIH 방지 기술이 적용되게 된다.

활동 시간은 매년 4월 26일으로 설정되었고, 따라서 첫 아웃브레이크는 1999년 4월 26일이었다. 이 시기는 첸 잉 호우 본인이 군대에 들어가 있을 때였다. 덕분에 의외로 방어하는 방법은 간단했는데 컴퓨터의 시간을 4월 26일이 아닌 다른 날로 설정하면 동작하지 않았다. Windows NT 커널 기반 운영체제^[1]는 이 바이러스의 영향을 받지 않는다.

CIH 바이러스는 첸 잉 호우가 다니던 대학의 전산망을 비롯해 주로 아시아 지역의 수많은 컴퓨터를 완벽하게 개발살내었다. 바이러스 코드 내에 "CIH Source : TTIT of TATUNG in Taiwan"이라는 주석이 존재하며, 대동대학 본교에서도 우리 학교에서 이런 바이러스를 만들었다고 자체적으로 보도를 했다. 이후 본인은 체포되었으나 그의 행위를 범죄로 규정할 수 있는 법규가 없었기에 풀려났고, 이후 사태의 파급으로 인해 세계를 엿 먹인 인물(…)로서 영웅 취급 받았다. 이후 기가바이트에서 엔지니어로 잘 일하다가 본인의 스타트업을 차렸다고 한다.

공식 피해는 집계한 단체나 국가에 따라 다르지만 미국에서 집계한 공식 사례로는 전 세계에 약 2000여만대의 PC를 감염 시켰으며 대한민국 내부에선 그 5%에 해당하는 110만여 대를 감염 시켜, 해외엔 한국 인터넷 시장의 빠른 성장 속도와 가능성을 어필하는 웃지 못할 상황으로 이어졌다.

P2P를 통한 무분별한 바이러스 유포가 얼마든지 가능하다는 걸 알려준 사례이자 기초적인 보안 개념도 잡히지 않았음을 일깨워준 사례다. 하지만 여기서 얻은 교훈을 가볍게 여긴 탓에, 인터넷 대란이 또 다시 발생한다. CIH 바이러스가 진화에 진화를 거듭하여 매달 26일에 발생하는 것으로 재설정된 파일들이 나돌기 시작했음에도 이 때까지 한국 사회는 아직 정신줄을 놓은 듯한 행동을 보인다. 당시에는 많은 이들이 CIH 바이러스가 동작하는 당일날 하루만큼은 컴퓨터를 켜지 않기도 했다.(그런데, 다음날 켰더니 컴퓨터 시간이 하루가 늦게 세팅되어 있어서 당한 사람도 있었다...)

2 2003년 1월 25일 인터넷 대란

마이크로소프트 SQL 서버 제품의 보안 취약점을 공격하며 동시에 자신을 감염 시키는 악성 코드인 슬래머 웜에 의해 벌어진 인터넷 대란이었다. 이 사건으로 인해 취임한 지 얼마 안된 정보통신부 장관이 책임을 지고 옷을 벗었다.

2003년 1월 25일 한국통신공사(현재의 KT) 혜화지점 내 DNS 서버가 슬래머 웜에 감염된 PC에 의해 대량의 트래픽이 발생하자 DNS 서버의 정상적인 운영이 불가능해졌다. DNS 서버가 정지되면 예를 들어 www.naver.com을 입력하면 IP 주소 125.209.222.141 혹은 125.209.222.142^[2] 로 바꿔 네이버에 접속하게 해 주는 것인데, 이 기능이 중단되어 인터넷 사용이 제한된다. 사태 당시 한국통신공사 혜화지점은 국내 유일의 관문국으로, 국내의 모든 DNS 서버와 인터넷 통신망 중계기가 집중되어 있던 곳이었다. 이에 따라 다른 DNS 서버와 기간망에 물려있던 서버들이 정지하는 사태가 발생하여 결국 도메인을 입력하여 접속하는 인터넷의 특성상 웹 사이트 접속이 불가능하게 되었다.

한국통신 DNS 서버가 정지했기 때문에 사내 DNS 서버나 두루넷과 같은 별도 통신사가 운영하는 DNS 서버 중 일부는 정상적으로 운영이 되었고 이들 DNS 서버를 이용하면 정상적으로 인터넷 사용이 가능했다. 심지어 이러한 심각했던 통신 대란이 있었는지를 9시 뉴스에서 보고 안 사람(!!!)도 있었다.

당시에는 VT 서비스가 완전히 종료되기 이전이라, 인터넷 사이트에 접속이 불가능해진 수많은 사람들이 일부 IRC 네트워크나 나우누리 등 PC통신 게시판으로 돌아와 잠시 북적이기도 했다. 마치 핵 전쟁 후 방공호로 몰려든 사람들처럼… IT 기업들 중 사내 전용 DNS 서버를 운영하는 곳이 많았는데 인터넷이 안된다는 인터넷 메신저를 통한 지인들의 문의에 대란 상황을 몰랐던 많은 전문가들이 당혹해 하기도 했다. 당연히 PC방도 개점 휴업 상태가 될 수 밖에 없었다.

물론 DNS 서버만이 정지된 것이기 때문에 DNS의 역할을 대체할 방법이 있다면 정상적으로 인터넷을 사용할 수 있었다. 현재에는 악성 코드나 건드리는 것으로 알려진 hosts 파일은 그 자체가 간단한 DNS이다. 운영 체제에서 도메인 이름을 DNS 서버에 조회하기 전에 이 파일에 도메인 이름이 있는지 확인한 다음 없는 경우에만 DNS 서버에 조회한다. 그래서 이 파일에 도메인 이름과 IP 정보를 추가해 놓으면 DNS 서버가 맛이 가도 인터넷을 사용할 수 있다. 평소 인터넷 사이트를 접속할 때 도메인이 아닌 IP 주소로 접속하는 변태적인 습관을 가진 사람이었다면 이 사태로부터 자유로울 수 있었다.(당시 그런 사람이 있었다.)

덕분에 도메인 이름이 아닌 IP 주소만 사용했던 일부 서비스는 정상적으로 사용이 가능했고, DNS랑 크게 상관이 없어서 접속이 가능했던 일부 IRC 네트워크나 PC 통신 서비스에서는 사태를 재빠르게 파악한 일부 사용자들이 hosts 파일을 만들어 공유하기도 했다(...). 대표적으로 당시 사용하던 유명 국산 메신저 중 일부는 메신저 서버를 IP 주소만 사용해서 이러한 상황에서도 정상적으로 동작했다. PC방이 맛 간 상태에서 일부 PC방 알바는 스타크래프트 배틀넷 만은 된다는 사실을 발견하고 손님을 잡아 자신의 존재 가치를 알리기도 했다.(…) DNS만 죽은 상황이었기 때문에, 스타크래프트가 배틀넷에 접속할 때 도메인이 아닌 IP로 접속한다면 당연히 잘 동작한다. 다른 게임들도 내부적으로 IP로만 접속하는 방식이었다면 온라인 게임에는 지장이 없었을 것이다.^[3]

하지만 그 때나 지금이나 웹 표준은 개차반인 상황이었기에 내부 홈페이지 링크나 컨텐츠가 같은 도메인 상의 페이지를 도메인까지 명시한 절대 주소로 되어 있다면 컨텐츠들은 보이지 않는다. 또한 부하 분산 등의 이유로 다른 도메인으로 일부 컨텐츠가 분리되어 있다면 역시 마찬가지. 게다가 그 때에도 이미 몇몇 온라인 게임들은 홈페이지와 연계해서 서비스하는 경우가 많았기에 그런 경우 게임 서버는 멀쩡해도 사람들이 홈페이지에 들어가지 못해서 결국 불가능하다.

그 결과 소수의 웹 사이트와 일부 망을 제외하고 대부분의 웹 사이트 접속이 불가능하게 되어 PC방 등에서는 사용자들의 항의가 많았고 제대로 된 지식 없이 컴퓨터를 사용하던 사람들은 하드디스크를 포맷하는 등의 일을 벌이기도 했다. 불행 중 다행인 것은 토요일에 발생하여 증권 거래나 기업 활동에는 큰 피해가 없었다는 점.

슬래머 웜이 공격하는 보안 취약점을 보완하기 위한 난이도가 정식 서비스 팩을 설치하거나 DB 관리자 계정에 암호를 지정하는 정도의 난이도라면 컴맹중의 컴맹일지라도 참말로 쉽게 해결할 수 있는 문제였으나, 관리자 암호를 설정하지 않았거나 서비스 팩을 설치하지 않은 곳이 너무나도 많았던 바람에 엄청난 속도로 전파되었다. 사실 1.25 사태가 일어나기 며칠 전부터 별다른 이유 없이 트래픽이 초과하는 모습이 곳곳에서 목격되었으며, 훗날 분석한 결과 이는 SQL 포트로 대량의 트래픽이 몰려온 슬래머 웜의 전조였다.

이 사건 이후 KT에서는 전국 주요 도시에 관문국 시설을 분산하였으나, 국내와 해외를 연결하는 관문 시설은 아직도 혜화지점만을 거친다. 즉, 13년이 지난 지금까지도 혜화지사나 구로지사에 대놓고 카메라를 지참한채로 진입하려고 하면 해당국사 관계자가 '(촬영) 안됩니다. 국가중요시설이니까. 다른 전화국은 그런 게 (중요시설) 없어요. 인터넷 이용시 여기 거쳐 해외로 나가는 중간 역할을 하기 때문에 안됩니다.' 라며 막아선다 카더라(...)

3 2009년 7월 7일 주요 인터넷 사이트 접속 불가 사태

2009년 7월 7일 조선일보, 청와대, 옥션, 국방부 등 주요 인터넷 사이트가 DDoS 공격을 받아 마비가 되었다. 7일에 일어난 걸 1차, 8일에 일어난 걸 2차, 9일에 일어난 걸 3차라고 부르며, 10일 감염 PC의 하드 데이터가 날아가 버리는 일이 일어나지만 일단 9일 이후 디도스 공격은 사실상 끝난 상태다. 이번 사태는 바이러스에 감염된 PC가 일부 사이트를 향해 DDoS 공격을 가하자 트래픽을 견디지 못하고 서버가 다운이 돼서 발생한 것이다.

사실 개인 사용자가 윈도우즈 업데이트를 제대로 실시하고 주기적으로 안티바이러스 프로그램을 실행했다면 이러한 사태는 발생하지도 않았을 것이다. 여기에 사용된 공격 방식을 DDoS라고 한다.^[4] 공격 당시 DDoS 공격을 가하는 좀비 PC의 인터넷 사용 차단을 검토하기도 했다. 좀비 PC도 피해자기는 하지만, 공격을 무력화시켜서 인터넷 및 좀비 PC도 살릴 수 있는 방법이기도 하다.

검찰과 경찰은 공격을 주도한 세력을 추적 중이며, 일각에서는 정부가 늑장 대응하고 있다는 지적도 있다. 해외에서 접속이 확인되기도 했지만 정부는 북한을 배후로 지목했다. 개그 하지만 수사 결과 북 체신성의 IP가 있었다는 것이 확인되었다. 충공깽. 김정은(북한) 휘하의 조선인민군 정찰국 산하의 해커전부대가 거사를 실행했고 "대한민국 통신망을 파괴하라"는 지령을 받고 작전에 임했고 지금쯤 김정은은 축배를 들고 있을 것이라는 기사까지 나오기도 했다. 한편 미국에서도 북한을 지목했다는 이야기가 있었으나, 7월 10일 시점에서 정작 미 국무부는 북한 배후설에 회의적인 입장이다.#

이와 조금 상관 없을지도 모르지만, 북한의 해킹은 5년 전부터 계속된 듯하다. 北, 남측 165만명 개인정보 해킹 입수공공재인 개인정보를 얻는데 해킹이란 기술을 쓰다니 북한놈들 실력 알만하다

7월 10일 0시를 기점으로 악성코드에 감염된 컴퓨터의 하드디스크 데이터에 손상이 간다고 한다. 백신 깔아서 악성코드 지워서 좀비 PC에서 해방되라고 그렇게 외쳐도 백신 안 깔던 사람들이 이 사실이 7월 9일 저녁에 안철수연구소에 의해 밝혀지며 공중파 방송 자막으로 계속 뜨자 그제서야 백신 까느라 난리를 쳤었다. 결국 안철수연구소 홈페이지가 방문자 폭주로 난리가 났었다. 국민들에게 백신에 관한 의식을 다잡게 하는 고마운 악성코드 피해본 컴퓨터 수는 545대 가량. 일단 언론에 발표된 대처법으로는 안전 모드로 부팅 후 7월 10일 이전의 날짜로 컴퓨터 시계를 조정하고 전용 백신을 사용하는 방법이 있다. 이러한 방식은 데이터를 파괴하는 악성 소프트웨어에 대응하는 방식이다.

해당하는 악성 코드는 알약에서 ‘V.TRJ.Ransum.MotID’라는 이름으로 진단하며, 좀비 PC에 저장된 데이터 가운데 35개 확장자를 미리 정한 뒤 해당 데이터를 5초 안팎에 찾아내 개별 파일로 압축하고 원본을 삭제한다. 특히 좀비 PC 주인이 압축 파일을 풀 수 없게 비밀번호를 설정하고, 파일 앞쪽을 손상시켜 놓아 복구가 근본적으로 불가능하다고 한다. 그중 alz, hwp, gul, hna, kwp 등 한국에서 많이 쓰이는 확장자가 포함되어 있었는데, hna, kwp는 과거 군대나 공공기관이 공문서로 쓰던 하나워드프로세서의 확장자였다.]

7월 16일, 사이버 테러에 사용된 마스터 서버를 찾아냈다고 정부관계자가 밝혔다. 위치는 미국 마이애미.# 그런데 이후 10월, 국정원이 북 체신성의 IP를 확인하고도 밝히지 않았다는 사실이 알려졌다.#

결국 사건은 미궁으로 빠져들어 아무도 알 수 없는 지경으로 묻히게 되었다.#

1. ↑ 하지만 대부분 Windows 9x를 사용했다.
2. ↑ 현재nslookup 명령어로 네이버의 ip주소를 조회해보면 위의 두가지의 ip주소를 뱉어낸다(...)
3. ↑ 시티레이서도 클라이언트 로그인 방식이기 때문에 아무런 피해가 없었을 것 으로 추정된다.
4. ↑ DDoS를 간단히 정의하자면 인해전술이다. 과도한 접속으로 서버를 마비시키는 것이다. 별다른 해킹기법이 필요없고 단지 머릿수만 많으면 성공할 가능성이 높다. 게다가 대부분의 경우 사용자도 모르게 감염돼서 공격을 하기때문에 함부로 차단할 수도 없고 적극적 처리도 힘들다. 특히 국내에서 국내로 공격을 들어오면 속수무책이 된다. 오직 개인사용자의 보안패치와 백신사용으로 막을 수 있는 문제다. DDos를 이용해 인터넷 업체를 협박해 돈을 받아내는 범죄가 갈수록 늘고 있다.