ETRL, KISA) 등 민관 전문가 12명으로 구성된 '정보통신망 침해사고 합동조사단(이하 합동조사단)'을 운영했다.
이들은 지난 1월 30일부터 18일까지 19일 동안 KT와 데이콤 등 주요 ISP와 IDC(Internet Data Center) 등에 대한 현장조사와 로그자료, 트래픽자료 등 분석했다.
조사결과를 발표한 합동조사단 차양신 단장(정통부 정보보호기획과장)은 "1월 25일 오후 해외로부터 유입된 슬래머웜은 초당 1만～5만개의 패킷(404Byte)을 대량으로 생성해 뿌림으로써 국내 8800여 시스템을 빠르게 감염시켰다"면서 "슬래머웜은 취약점이 있는 MS-SQL 서버를 감염시켰고, 감염된 서버는 자동으로 불특정 다수의 다른 컴퓨터를 공격했다"고 설명했다.
합동조사단에 따르면 정보통신시설이 집중된 IDC에서 LAN으로 연결되어 있는 서버 중 하나가 감염된 경우 내부망 트래픽이 폭주해 연결된 서버 전체(포탈쇼핑몰게임 등)에 인터넷 접속장애가 발생한다. 이어 감염된 서버로부터 발생한 공격패킷의 목적지 IP주소는 임의로 부여되는데, 국제 인터넷 주소할당 분포상 확률적으로는 93.2%의 패킷이 국제관문국에 집중된다.
결국 각 ISP의 국제관문국에서는 심한 병목현상이 발생하며, 해외 인터넷 사이트 및 해외 Root DNS에 접속할 수 없는 상태가 발생, 결국 Root DNS 접속을 재시도하는 과정에서 각 ISP들의 DNS에 과부하가 일어났고, 국내 인터넷 소통에 큰 지장을 초래한 것이라는 분석이다.
특히 차양신 단장은 "주요 24개 IDC(Internet Data Center) 시설을 조사한 결과, IDC의 전체 MS-SQL 서버 3974개 중 40.3%인 1603개가 감염됐다"며 "이는 서버 관리자들의 소홀한 보안 의식이 원인의 하나로 드러난 것임을 단적으로 보여준 것"이라고 말했다.
이어 합동조사단은 "'125 인터넷 대란'이 발생하자 정통부 장관의 '대국민행동요령'을 발표했는데, 이용자들이 보안패치를 하지 않았다"며 "일반이용자들이 보안패치 및 백신업데이트 등을 잘하지 않는 낮은 보안의식이 더 큰 문제"라고 지적했다. 또 지난 1월 26일～29일(4일간) KT에서 감염된 4000여명에게 전화를 통해 개별적으로 패치 안내했다고 밝혔다.
합동조사단은 30일 발생한 인터넷 침해사고의 원인에 대해서는 이상패킷이 발생하자 발생원인을 밝혀내기 위해 공격해 들어온 IP를 역추적했지만, 출발지 IP 주소가 위조됐고 30일 이후 이상 트래픽 발생 빈도가 적어 추적이 어려웠다는 입장이다.
이후 시뮬레이션을 통해 공격 패킷의 방식을 분석한 결과, 이상 패킷을 발생시키는 악성프로그램은 25일 발생한 슬래머웜과 무관했으며, '트로이목마'의 이종변종 또는 새로운 형태의 공격 등으로 추정했다.
정통부는 이번 '인터넷 대란'에서 얻은 시사점으로 △서버 관리자 및 일반 PC사용자들에 대한 인식 제고 △보안패치백신업데이트 등 정보보호 활동의 생활화 △이상 트래픽 현상 조기 발견 시스템 개발 및 조기대응체계 구축 △IDC 안전 기준 강화 △로그자료 제출 요구권 및 현장조사권 등 도입 △정보통신망 침해사고 발생시 긴급대응 및 효과적인 사후처리를 위한 산학연의 전문가 풀(Pool) 구성 등이라고 발표했다.
시민단체, "원인조사 발표에만 급급, 처음부터 무리였다"
한편 정통부는 이날 기자회견에서 '인터넷 대란'의 원인만 밝히는데 집중했을 뿐, 구체적인 대책 마련과 사태에 대한 책임 규명은 하지 않았다. 이에 '책임 소재'를 밝히고 '대책 마련'을 어떻게 준비하고 있는지에 대한 기자들의 질문이 쏟아졌다.
하지만 정통부는 "이번 조사는 원인조사에 치중했으며, 각 부서간의 협조사항이 많아 정통부 자체적으로 해결안을 마련하는데 문제가 많다"면서 "앞으로 국가적인 차원에서 종합적인 '정보보호 강화대책'을 신속히 수립해 발표하겠다"고 밝혔다.
함께하는시민행동 김영홍 정보인권국장은 "이번 기자회견에서 별다른 내용이 없었으며, 오히려 황당하다는 느낌"이라며 "25일 인터넷 대란에 대해서 원인을 규명했다 하더라도, 30일 발생한 사태에 대해서는 실질적으로 원인규명에 실패한 것으로 합동조사단의 신뢰성에 문제가 있다"고 말했다.
책임소재 부분에 대해서는 1차적으로 MS-SQL 서버에 결함이 드러난 것이며, 이를 장기적으로 사용할 경우 계속해서 문제가 재발하고 사회적 비용이 증가할 것이라는 지적이다. 때문에 기본적으로 책임소재를 밝혀 인터넷 이용자들에게 '인터넷 대란'으로 피해입은 비용을 돌려줘야 한다고 주장했다.
김영홍 정보인권국장은 "이번 '인터넷 대란'을 계기로 인터넷을 이용하는 이용자 스스로도 네트워크의 한 일원으로 책임을 함께 한다는 측면에서 자성하는 기회가 되길 바란다"고 덧붙였다.
또한 참여연대 시민권리팀 한재각 팀장은 정통부가 밝힌 인터넷 대란 사태의 원인으로 '일반 서버 관리자들과 일반 이용자들의 보안의식의 소홀함과 낮은 인식'이라고 지적한 데 대해 "정통부가 이용자의 문제로만 몰아붙이고, 책임소재에 대해 언급하지 않는 것은 관련 기관이나 회사에 대해 일종의 '면죄부'를 주는 것이 아닌가 하는 생각한다"고 반박했다.
한재각 팀장은 "이번 기자회견은 이미 널리 알려진 대로 '슬래머웜 바이러스 원인이었다'라는 것을 자세히 밝히는 자리였을 뿐"이라며 "MS-SQL 서버의 문제인지, DNS서버를 관리하는 KT의 문제인지, 정통부의 문제인지 등에 대해 책임을 밝히지 않고 있다"고 지적했다. 결국 문제가 발생했을 당시 적절하게 대처했고 복구했는지, 시간대에 맞게 여러 각도에서 조사가 이뤄졌어야 했다는 주장이다.
참여연대는 이날 오후 성명서를 통해 "정통부는 인터넷 대란의 원인에 대해 '우리 모두가 책임'이라는 공동 책임론을 들고 나오면서, 가해자와 피해자가 따로 없음을 강조했다"며 "차후 손해배상 등의 책임부분에 대해 전혀 언급할 예정이 없다는 입장을 취하고 있다"고 지적했다.
한재각 팀장은 "인터넷 대란의 책임 주체 중 하나인 정통부가 원인을 규명한다는 것 자체가 처음부터 무리였으며, 더 이상 정부에게 기대할 것이 없다"면서 사법부를 통해 이번 사건의 책임을 묻을 것이라고 전했다.