1.25 대란에 대해서 많은 고민을 하면서 자료를 내놨지만 뒷 이야기를 안한 것 같다.
지금도 가끔 꺼림찍한 기분이 드는 부분이 있어서 생각 난 김에 뒷이야기를 한번 해보자.
http://mfiles.naver.net/66b051899fc6aa1c334e/data13/2006/2/17/151/internetcrisis-0.1-p4ssion.pdf
위의 파일은 최초 1.25 대란 발생이후 저녁에 작성하여 1.26일 업데이트 한 자료이다. 수집된 정보도 없고 현상만을 가지고 체크 하였으며 해당 부분에 대해 충분한 가설을 제공 하였다고 판단된다. 물론 그때 당시 접근할 수 있는 정보나 얻어진 자료에 비해 정말 고민 많이 했던 자료이다.
최초 이 파일을 작성할 때 가장 안타까웠던 것은 피해 당사자의 언급도 없고 참 난감한 상황에서 작성한 글인데 나중에 도매금으로 욕을 먹죠. 개인이 할 수 있는 최선 이였다고 아직도 생각 하고 있습니다. ^^;
http://mfiles.naver.net/6bbd5c8492cba7113b58/data13/2006/2/17/226/internetcrisis-0.2-p4ssion.pdf
두번째글은 DNS 다운과 관련된 내용 및 1434 포트의 확인과 관련된 추가 내용을 기술한 글입니다. 글 서두에 보면 아시겠지만 Unix Bind DNS 서버를 사용한다고 KT가 공식 발표를 한 상황이라 MSSQL에 집중 할 수 밖에 없었죠. 약간 미심쩍은 면이 있었지만...
http://mfiles.naver.net/6bbd5c8492cba7113b58/data14/2006/2/17/172/internetcrisis-1.0_-p4ssion.pdf
DNS가 죽을 가능성은 두 가지 외에는 없습니다. 마지막글은 DNS에 대한 DDOS 공격이 가능함을 보이고 있고 실제 공격이 가능한 소스가 존재함을 보였습니다. 그러나 해당 소스의 공격결과 몇 달뒤에 확인이 된 바로는 실제 공격 량은 현저하게 적어서 DNS 트래픽에 영향을 미칠 수 없다는게 판단이였죠.
이래서 DNS에 대한 DDOS 공격 과 Slammer 웜에 의한 영향이 결합되어 문제가 발생 되었고 이후에는 네트웍상에 부분적으로 문제가 남아 있는 부분에서 과잉 대응을 통한 부가 문제 발생으로 최종 시나리오를 적었습니다.
이때 마지막으로 쓰고 싶었던 말이 있었는데 2002년 경에 기사상에 KT의 기간계 시스템중 하나에 Windows 계열을 도입했다고 하는 기사가 있었습니다. 기간계가 6개 정도 있는데 그 중 하나를 윈도우로 대체를 하였다는 기사가 2002년경에 나왔었죠.
그리고 관련 기사를 스크랩해서 개인 웹사이트에 올려 놨는데 데이터가 날라갔네요.
제가 생각한 마지막 방안은 이겁니다. DNS 서버가 죽을 가능성은 최초에 있어서는 외부로 부터의 트래픽이 아닌 내부망에서의 웜으로 인해 네트웍 라인 자체가 죽었을 것으로 생각을 하였습니다.
이 문제는 KT가 걸린 문제라 언급을 안했지만 시일 상으로 3년이 지난 지금에는 이야기를 해도 되겠죠. 차후에 확인된 이야기로는 DNS 포트인 53번만 열어 놓은 것이 아니라 DB와 연결하기 위한 1434 포트도 KT쪽에서 오픈이 되어 있었다고 하더군요. - 기억이 가물가물.
KT의 의견대로 Unix Bind 서버를 사용한다고 믿을 수 밖에 없었고 이런 상황에서라면 DNS 서버에 대한 직접 query 어택외에는 방안이 있을 수 없다고 생각 했습니다. 그러면서 확인된 이야기는 아니지만 KT 내부에 문제가 있을 것 같다고 생각을 했었죠. 문서에는 쓰고 싶었으나 확인되지 않은 정황으로 쓸 수는 없기에 안그래도 모자란 머리 쪼개고 또 쪼개서 시나리오도 고민하고 했었죠.
이 정도의 위험성이 나올 시나리오는 무엇일까?. 무엇이 이 결과를 초래 했을까?..
결과로 부터 되짚어 가는 수 밖에는 없더군요. 드러나는 여러가지 가능성을 하나 하나 지워갔을때 최종으로 나온 결론은 DNS에 대한 직접 공격 외에는 없었습니다.
그러나 KT 내부 기간계 시스템에서 문제가 발생을 하였다면?.. Slammer 웜이 그 하루전이 1.24일 금요일 늦게 부터 움직였었고 일정 수치 이상의 감염 이후에 인터넷이 무너지게 된 것은 KT 내부망이 최초 침해를 당한 이후 내부의 트래픽 폭주로 인해 기간망이 마비되었을 가능성이 매우 높을 것으로 판단이 됩니다. - 아직도 의심을 하고 있습니다. ^^;
확인 안된 사실이죠. KT 내부 담당자가 아니면 절대 모르는 이야기.. 왜냐.. 기본 사실은 있는데 정황을 한번도 공개를 안했으므로...
지나간 이야기 입니다만.. 아직도 가끔 이 이야기를 하시는 분이 있어서 잊었던 생각 한번 꺼내 봤습니다.
참 황당한 것은 전체 인터넷망이 위험하다고 신고 했더니 ..그것도 오후 일찍... 근거 없는 소리 말라고 일축하던 분들이 조금 생각 나네요. 그때 아무일 없었으면 저는 미친놈 될뻔 했죠. 후훗.
즐거운 하루 되세요.
'Security Indicator' 카테고리의 다른 글
2009.7 DDos 악성코드 그 암울한 사실과 전망에 대해 (0) | 2010.04.27 |
---|---|
2006 해킹의 발전과 대응 [ KISA 세미나 발표자료] (0) | 2010.04.27 |
2005년 공격 유형의 변화 -Application Attack (0) | 2010.04.27 |
12.25 1998 X-mas (0) | 2010.04.27 |
[2009] 글로벌 위협의 변화 -1 (0) | 2010.04.27 |