[이현덕의 정보통신부]<178>1·25 인터넷 대란 막후(1)

전자정부 구축을 성공적으로 완료한 지 2개월여 후인 2003년 1월 25일.

겨울 햇살이 따사로운 주말 오후였다. 이날 평온함을 시샘하듯 인터넷이 마비되는 사상 초유의 사이버 암흑 세상이 우리 앞에 등장했다. 이른바 국민을 충격에 빠뜨렸던 1·25 인터넷대란이다.

이상철 정보통신부 장관이 2003년 1월 26일 오전 11시 30분 긴급 기자회견을 열고 사고경위와 대책 등을 발표했다. <전자신문 DB>
이상철 정보통신부 장관이 2003년 1월 26일 오전 11시 30분 긴급 기자회견을 열고 사고경위와 대책 등을 발표했다. <전자신문 DB>

이날 오후 2시 30분께.

서울 강남구 논현동 이상철 정보통신부 장관(현 LG유플러스 부회장)의 자택 거실 전화벨이 울렸다. 정통부 K 과장이었다.

“장관님, 인터넷이 이상하다고 합니다.”

“뭐가 어떻게 이상하다는 겁니까.”

“여기저기서 인터넷이 불통이라고 합니다.”

이 장관은 느낌이 안 좋았다. 그는 전화기를 내려놓고 곧장 차를 운전해 정통부로 출발했다. 오후 3시 10분께 정통부에 도착한 이 장관은 김치동 초고속정보망과장(현 한국엔지니어링협회 부회장)으로부터 간략한 보고를 받고 KT에 전화를 걸었다.

“지금 어떤 상황입니까.”

“원인을 파악 중인데 아직은 잘 모르겠습니다.”

김치동 당시 과장의 증언.

“주말인데 저와 김준호 인터넷정책과장(현 우정사업본부장)이 정통부에 남아 있었습니다.”

이 장관은 정통부 관련자들을 모두 소집하라고 지시했다. 정통부는 이때부터 급박하게 돌아가기 시작했다.

그 시각 퇴근했던 김창곤 정통부 정보화기획실장(정통부 차관 역임, 현 한국케이블연구원장)도 김준호 과장의 전화를 받았다.

“여기저기서 인터넷 접속이 잘 안 된다고 합니다.”

“인터넷서비스업체(ISP)들은 뭘 하고 있습니까.”

“현재 KT에서 조치를 취하고 있는데 아직 원인을 찾지 못했습니다.”

김 실장의 증언.

“이거 무슨 일이 터졌구나 싶어 정통부에 도착했더니 이 장관이 벌써 나와 상황을 진두지휘하고 있었습니다. 이 장관의 상황대처 능력은 탁월했습니다.”

차양신 정보보호기획과장(현 한국전파진흥협회 부회장)도 마찬가지였다. 퇴근했던 그도 “인터넷이 잘 안 된다”는 연락을 받고 정통부로 복귀했다.

사상초유의 인터넷 대란의 시작은 일반 인터넷사용자의 신고 전화로 시작됐다.

이날 오후 한국정보보호진흥원(현 한국인터넷진흥원) 해킹바이러스상담지원센터.

주말 오후여서 근무자 30여명 중 철야 당직자 2명을 제외하고는 퇴근한 상황이었지만 이날은 묘한 우연의 일치인지 직원의 집들이에 가기로 해 열댓 명이 모여 있었다.

이때 118번으로 일반인의 “인터넷이 안 된다”는 신고가 접수됐다.

보통 휴일에 그런 전화가 대여섯 통 접수됐지만 이날은 신고가 급증했다. 이런 보고를 받은 임재명 당시 센터장(현 한국인터넷진흥원 인터넷진흥본부장)은 KT와 인터넷서비스제공업체(ISP)에도 연락해 사태를 파악했다. 그 결과 일부 ISP도 불통사태였다. 일이 심상치 않게 돌아가자 집들이 가기로 한 직원들을 업무에 투입하고 귀가한 직원들도 호출했다.

임재명 당시 센터장의 말.

“ISP들에 전화해 보니 불통인 곳이 나타났어요. ‘강력한 웜이 터졌구나’라고 판단해 정통부 손지윤 사무관(현 서기관, IDB 파견)에게 ‘이상징후가 있다’고 연락했습니다. 그도 명동에 나와 있다가 곧바로 정통부로 돌아왔다고 했습니다.”

비슷한 시각 KT와 하나로통신, 두루넷 등 초고속인터넷서비스업체의 DNS 서버에도 트래픽 과다 현상이 발생했다. 오후 3시께 국제 관문국인 KT 혜화전화국 DNS 서버가 사실상 다운상태에 놓였다. 성인수 당시 KT 네트워크본부장(KTS 감사 역임)도 국회 증언에서 “KT DNS 서버의 부하율은 지방은 20~30%, 혜화전화국은 50%의 여유를 보이는데 이날은 이를 초과한 트래픽이 발생했다”고 말했다.

ISP인 드림라인도 데이터 트래픽이 폭증하자 한국인터넷진흥원에 “네트워크의 트래픽이 급증하는 이상 징후가 발생했다”고 신고했다. 김금주 당시 드림라인 기술본부장은 국회 증언에서 “이상 징후를 발견하고 대응을 하다가 오후 3시 10분께 전화로 보고를 했다”고 밝혔다.

오후 3시 30분께 정통부는 유영환 정보기반심의관(정통부 장관 역임, 현 한국투자증권 부회장)을 반장으로 한 실무대책반을 구성하고 비상근무체제에 들어갔다.

오후 4시께 한국정보보호진흥원은 이번 인터넷 불통의 원인이 웜 바이러스인 것으로 추정한다는 진단을 내렸다.

임재명 센터장의 이어진 증언.

“데이콤의 스니퍼장비를 네트워크에 연결해 서비스 포트를 점검해 보니 1433,1434 포트가 나왔습니다. 과거에 유사한 경험이 있어 이를 각 ISP에 연락해 차단하도록 고지했습니다. 이런 상황에서는 현장 대응이 가장 중요합니다.”

정통부도 각 ISP에 문제의 1433,1434 포트 차단을 지시했다. 이에 따라 KT, 하나로통신 가입자 수용 라우터의 포터는 차단됐다.

오후 5시. 이 장관은 실·국장 대책회의를 주재했다. 이 자리에서 이번 사태의 정확한 원인 파악과 비상대책 마련에 나섰다. 이 장관은 KT 혜화전화국으로 이동해 현장을 지휘했다.

인터넷 불통으로 정통부 내 긴장감은 더욱 고조됐다.

오후 6시. 이 장관은 YTN과 인터뷰를 갖고 이번 사태의 원인이 신종 웜 바이러스로 추정한다고 밝혔다. 이 장관은 “통신사업자에 원인 파악을 요청했고 한국전산원, 한국정보보호진흥원 등 전문가들에게 원인 파악을 하도록 지시했다”면서 “미국 측 컴퓨터에서도 대량의 데이터 유입이 이뤄지고 있는 만큼 국내에 국한된 것인지, 아니면 신종 바이러스에 의한 세계적인 현상인지 주목하고 있으며 전문가들은 마이크로소프트의 서버에서 DNS 즉 도메인서버만 집중 공격하는 신종 웜 바이러스가 처음 등장했을 가능성이 있는 것으로 보고 있다”고 설명했다.

이 장관은 혜화전화국 DNS 서버를 배로 늘리도록 지시했다.

이 장관의 증언.

“12대인 서버를 22대로 10대 늘리도록 지시했습니다. 트래픽을 해결하기 위함이었어요.”

그날 오후 6시 30분께부터 차츰 사태는 호전되기 시작했다. 두루넷의 망과 서버가 복구된 데 이어 7시께 하나로통신의 망과 서버도 복구됐다.

오후 11시께부터 트래픽이 줄어들면서 네트워크는 어느 정도 정상을 되찾기 시작했다. 그러나 여전히 부분적인 접속 장애는 계속됐다. 한숨 돌렸지만 어수선한 상황은 계속됐다.

이 장관은 자정까지 장관실에서 사태를 점검하면서 수시로 업무를 보고받다가 상황이 다소 진정되자 퇴근했다. 하지만 대책반은 철야근무를 했다.

일요일인 1월 26일 오전 9시.

이상철 장관은 김태현 차관(정보통신진흥연구원장, 하나로텔레콤 회장 역임)을 비롯해 담당 실·국장, 한국전산원, 한국정보보호진흥원, KT 등 통신사업자 관계자들이 참석한 가운데 긴급 대책회의를 갖고 이번 사태의 발생 경위 및 원인, 긴급조치 결과, 향후 대책 등을 논의했다.

이 장관의 회고.

“신종 웜 바이러스에 의한 인터넷대란인 것으로 확인한 후 마이크로소프트(MS)의 패치를 받는 게 대안이라고 판단해 기자회견을 하고 국민행동 요령을 발표했습니다.”

이 장관은 오전 11시 30분 정통부 기자실에 내려와 긴급 기자회견을 갖고 “이번 사태가 일어난 데 대해 국민에게 송구하게 생각한다”며 대국민 사과 메시지를 발표했다. 이 장관은 인터넷대란의 사고경위와 대책 등을 설명하고 인터넷대란 피해 최소화와 재발 방지를 위한 대국민 행동요령을 발표했다.

이날 기자회견장에는 신문·방송 등 취재진 100여명이 몰려들어 북새통을 이뤘다. 기자회견은 40여분간 계속됐다. 다음은 기자들과 일문일답.

-최초 발생 후 어떻게 조치됐나.

▲어제 오후 서버를 감염시키는 웜이 트래픽을 급증시켜 생기는 문제라는 것이 파악돼 오후 4시쯤 문제의 포트번호를 막도록 통신사업자들에 권고했다. 25일 오후 11시께 대부분의 인터넷 접속은 정상 회복되기 시작된 것으로 알고 있다.

-이번 사태의 개요는.

▲이번 바이러스 공격은 특정한 서버나 파일을 공격하는 것이 아니라 대량 트래픽을 발생시켜 네트워크 자체를 공격하는 방식으로 이뤄졌다. 트래픽이 급증하면서 DNS 서버가 마비되는 상황이 온 것이다.

-재발 방지 대책은.

▲당장은 ‘대국민 행동요령’에 따라 행동할 것을 국민과 기업에 당부드린다. 장기적으로는 정보보호법을 개정해 마치 도로교통법과 마찬가지로 세계 최고의 정보고속도로에서 남에게 피해를 주지 않고 어떻게 움직여야 하는지 규율하도록 해야 한다고 본다.

-재발 가능성은.

▲지금 문제가 완전히 해결된 것이 아니라 잠시 숨어 있는 것이라고 봐야 한다. 보안이 귀찮은 일일지 모르지만 전체 네트워크의 생명에 관련된 일이고 곧 그것이 나를 지켜준다는 의식이 필요한 때다.

-우리나라의 피해상황이 유독 심한 것 같은데.

▲우리나라처럼 초고속인터넷 보급이 잘 된 나라가 없다는 게 첫 번째 이유일 것이다. 둘째로 우리나라의 윈도2000 시스템 보급률이 외국보다 높은 것 같다. 셋째로 우리나라에는 DNS 서버가 3개 있는데 미국 등에는 여러 개가 있어 분산되는 바람에 외국은 피해가 적은 반면에 트래픽 분산이 어려운 우리나라에 피해가 집중됐을 수 있다. 넷째로는 우리나라의 보안의식이 상대적으로 약한 면도 있을 것이다. 보안의식 향상의 계기로 삼아야 할 것이다.

-DNS 서버가 이렇게 맥없이 무너진다는 건 문제 아닌가. 트래픽을 분산할 수는 없었나.

▲(KT 인터넷통신팀장) 지금 현재 서버의 용량으로는 초당 2000여개의 호(call)를 처리하는 게 고작인데 초당 10만호가량의 호가 쏟아지는 상황에서는 방법이 없다.

일단 급한 불은 껐지만 인터넷의 두 얼굴 중 험한 얼굴을 경험한 대가는 컸다.

IT칼럼니스트