[1ㆍ25인터넷 大亂] 웜SQL슬래머란

`웜SQL슬래머(Worm.SQL.Slammer)`는 마이크로소프트(MS)의 데이터베이스 관리 시스템인 SQL서버의 허점을 이용해 유입되는 특성을 갖는다. 지난 2001년 국내외 30여만개의 서버를 다운시키는 등 맹위를 떨친 `코드레드(CodeRed) `처럼 파일형태로 존재하지 않고 SQL서버의 취약점을 이용 `1434포트`로 유입된다.

일단 한번 유입되면 무작위로 서버의 인터넷주소(IP)를 선정해 초당 1MB이상 큰 용량의 패킷을 취약점이 있는 SQL서버에 보내 서버에 부하를 일으켜 시스템을 다운시킨다.

지난 25일 혜화전화국의 DNS서버도 이 웜에 의해 SQL서버가 다운되면서 작동이 멈춘 것으로 보안업계는 보고 있다.

일단 이 웜에 감염되면 MS-SQL서버는 무작위로 다른 서버를 공격하기 위해 대량의 데이터를 생성한다. 이로 인해 네트웍 트래픽이 과도하게 증가된다. 주변 네트워크의 모든 서버가 영향을 받지만 이번 사태의 경우 인터넷 사용시 중요 역할을 하는 DNS서버 접속에 장애가 발생했기 때문에 파장이 더욱 컸다.

슬래머와 코드레드는 모두 MS윈도우의 보안 취약점을 이용해서 전파되고 대량의 데이터를 보내 시스템을 다운시킨다는 점에서 비슷하고 또 파일형태로 존재하지 않아 분석을 어렵게 만든다는 점도 유사하다.

한편 코드레드는 MS-IIS서버의 취약점을 이용한다. 윈도NT(IIS 4.0)와 윈도2000(IIS 5.0) 웹 서버를 경유지로 이용해 100개의 인터넷 주소(IP)를 대상으로 서비스거부공격(DoS)을 감행한다. 파일을 손상시키지는 않지만 시스템의 속도를 급격하게 저하시킨다. 이 코드레드로 인해 지난 2001년에는 기업이나 PC방 등의 시스템이 대거 다운되고 KT의 국제 캐시서버가 다운되는 사태를 빚었다.

감염대상도 다르다. 슬래머는 데이터베이스(1434 포트)를, 코드레드는 웹(80 포트)을 감염시킨다. 즉 슬래머는 MS의 데이터베이스 소프트웨어인 SQL서버의 취약점을, 코드레드는 윈도NT(IIS 4.0)와 윈도2000(IIS 5.0) 웹 서버의 취약점을 이용한 것이다. 또 슬래머는 방화벽으로 차단이 가능하지만 코드레드는 불가능하다는 점, 슬래머는 백도어를 형성하지 않지만 코드레드는 백도어를 형성해 나중에 해커가 마음만 먹으면 해당 서버의 정보를 가져갈 수 있다는 점도 다르다.

<조충제기자 cjcho@sed.co.kr>