[컴 보안업체 긴박했던 4일]암흑만든 '컴악령'과 밤샘전쟁

# 장면 1.

25일 토요일 오후 3시 반 안철수연구소. 퇴근을 준비하는 직원들에게 인터넷이 먹통이 됐다는 소식이 전해졌다. “MS-SQL 서버가 1434 포트로 특정 패킷을 보낸다”는 기업 서버관리자의 제보도 이어졌다. 사고를 직감한 기술진들은 기업의 서버를 관리하고 있는 KT인터넷데이터센터(KIDC)로 달려갔다. 오후 6시경 신종 웜바이러스가 문제를 일으키고 있다는 사실이 밝혀졌다.

# 장면 2.

같은 날 오후. 토요일 근무를 하지 않는 하우리에도 비상이 걸렸다. 분산서비스공격(DDOS)으로 추정되는 사고가 일어났다는 소식이 전해진 것. 전 직원이 24시간 비상 대기하는 ‘코드1’이 발령됐다. 하우리 기술진들은 오후 6시경 분산서비스공격에서 나타나는 에이전트 PC를 찾지 못하자 신종 웜바이러스로 결론을 내렸다. 오후 7시 반 한 피해업체의 서버에서 바이러스 샘플을 얻어 분석에 들어갔다.

사상 초유의 인터넷 대란이 일어난 25일부터 컴퓨터백신 업체들은 사운을 건 ‘바이러스 전쟁’을 치르고 있다. 밤샘 작업을 하며 분석 또 분석 그리고 대책을 내놓고 있다. 사태가 진정 기미를 보인 27일 백신업체 홍보담당자들은 밤샘 작업에 지쳐 목이 쉬고 코피를 쏟았다.

백신업체의 ‘바이러스 전쟁’은 이번이 처음은 아니다. 99년 무명의 보안업체인 하우리는 CIH 바이러스의 파괴력을 가장 먼저 경고하면서 업계 1위 안철수연구소의 턱밑까지 치고 올라왔다.

▽사고 원인을 찾아라〓안 연구소는 25일 오후 9시2분 홈페이지(www.ahnlab.com)와 e메일을 통해 사고 원인이 신종 웜바이러스라는 것을 알렸다. MS의 보안패치를 내려받아 문제를 해결하라는 권고도 덧붙였다. 비슷한 시간 바이러스 샘플을 분석하던 하우리의 기술진들도 신종 웜바이러스에 SQL서버가 감염됐다고 발표하고 문제가 된 웜바이러스를 ‘슬래머 웜(Worm.SQL.Slammer)’이라고 이름을 지었다. 해커의 분산서비스공격으로 오인된 사고 원인이 밝혀진 순간이었다.

▽바이러스를 퇴치하라〓안 연구소는 사고 당일인 25일 50여명이 밤을 새우며 솔루션 개발에 몰두했다. 다음날인 일요일 오전 7시경 보안 패치 설치 여부를 확인하고 패킷 트래픽을 추적하는 솔루션을 개발해 홈페이지를 통해 배포하기 시작했다. 하루 평균 홈페이지 동시 접속자수는 평소 4000명이었지만 27일에는 10만명으로 껑충 뛰었다.

25일 하우리도 솔루션 개발에 몰두했다. 오후 11시경 관계사인 잉카인터넷의 네트워크 차단 솔루션을 받아서 밤새도록 치료 솔루션 개발에 매달렸다. 26일 오전 SQL서버의 메모리에 상주하는 웜을 진단하고 치료하는 솔루션을 내놨다.

하우리는 이 솔루션이 웜에 감염된 SQL서버 시스템을 재부팅하지 않고 치료할 수 있는 솔루션이라고 밝혔다. 이 솔루션의 다운로드 건수는 26일부터 이틀동안 100만 건에 이르렀다.

▽장군 멍군〓인터넷이 정상으로 돌아오기 시작한 27일 오후 안 연구소가 다시 바빠졌다. 개인 PC도 문제의 웜바이러스에 감염될 가능성이 있다는 사실을 알아낸 것. 안 연구소는 사고 재발의 ‘불씨’가 될 수 있는 개인 PC 사용자를 위한 솔루션을 서둘러 공개했다. 하우리는 28일 오전 인터넷 환경의 구조적인 문제 때문에 모든 PC도 DNS 서버를 공격하는 매개체가 될 수 있다는 새로운 사실을 공개하고 솔루션 개발에 나섰다.

박 용기자 parky@donga.com