SQL 슬래머 웜이란? 10분 만에 인터넷을 멈춘 전설

2003년 1월 25일 토요일 새벽, 전 세계 인터넷이 급격히 느려지기 시작했다. 대한민국에서는 KT 혜화전화국 서버가 다운되며 인터넷 대란이 발생했고, 미국에서는 뱅크 오브 아메리카의 ATM 기기 수천 대가 현금 인출 서비스를 중단했다. 항공사 예약 시스템이 마비되고 911 긴급 전화망까지 장애를 일으켰다. 이 모든 혼란을 일으킨 범인은 놀랍게도 376바이트에 불과한 작은 프로그램, 바로 'SQL 슬래머(SQL Slammer)' 웜이었다. 단 10분 만에 전 세계를 감염시키며 사이버 보안 역사에 한 획을 그은 SQL 슬래머에 대해 살펴보자.

 

SQL 슬래머 웜이란?

SQL 슬래머는 2003년에 대규모로 확산된 컴퓨터 웜의 일종이다. '슬래머(Slammer)'라는 이름은 감염된 시스템이 네트워크를 향해 문을 '쾅 닫듯이(slam)' 엄청난 양의 데이터 패킷을 쏟아낸다는 특징 때문에 붙여졌다.

 

이 웜은 마이크로소프트의 데이터베이스 관리 시스템인 'SQL Server 2000'과 'MSDE 2000'에 존재하는 버퍼 오버플로우 취약점을 공격 대상으로 삼았다. 슬래머의 가장 큰 특징은 파일 형태로 디스크에 저장되지 않고, 오직 감염된 시스템의 메모리 상에서만 활동한다는 점이다. 이 때문에 당시의 많은 백신 프로그램이 이를 탐지하지 못했으며, 시스템을 재부팅하면 웜 자체는 사라졌지만, 보안 패치가 적용되지 않았다면 네트워크를 통해 즉시 재감염되는 악순환이 반복되었다.

 

 

상상을 초월하는 전파속도

SQL 슬래머가 '전설'로 불리는 이유는 그 경이로운 전파 속도 때문이다. 슬래머는 어떻게 그렇게 빨리 퍼져나갈 수 있었을까? 그 비밀은 단순하고 무차별적인 공격 방식에 있다.

• 작고 빠른 공격 패킷: 슬래머 웜은 자신의 전체 코드를 담은 376바이트 크기의 단일 UDP 패킷 하나로 구성된다. 이 작은 크기 덕분에 네트워크를 통해 매우 빠르게 전송될 수 있었다.
• 무작위 IP 스캐닝: 슬래머는 감염시킬 다음 대상을 찾기 위해 복잡한 과정을 거치지 않았다. 그저 무작위로 IP 주소를 생성하여 자신의 복제본을 끊임없이 전송했다. 이 무차별적인 방식 때문에 엄청난 양의 네트워크 트래픽이 발생했다.

이러한 특징 덕분에 SQL 슬래머에 감염된 호스트의 수는 약 8.5초마다 두 배씩 기하급수적으로 증가했다. 최초 감염 후 단 10분 만에 전 세계에 존재하는 취약한 서버의 90% 이상인 약 7만 5천 대를 감염시키는 전무후무한 기록을 세웠다.

 

전세계를 강타한 대혼란

SQL 슬래머 웜의 목적은 데이터 파괴나 금전적 이득이 아니었다. 하지만 웜이 증식 과정에서 발생시킨 막대한 양의 데이터 패킷은 전 세계 네트워크 장비에 과부하를 일으켰다. 이는 의도치 않은 대규모 분산 서비스 거부(DDoS) 공격과 같은 결과를 낳았다.

 

라우터들은 폭주하는 트래픽을 감당하지 못하고 다운되었고, 이는 인터넷 전체의 속도를 저하시키거나 특정 지역의 인터넷을 완전히 마비시켰다. 특히 당시 세계 최고 수준의 인터넷 보급률을 자랑하던 대한민국은 가장 큰 피해를 본 국가 중 하나로 기록되었다.

 

 

SQL 슬래머 웜이 남긴 교훈

SQL 슬래머 사태는 전 세계에 강력한 교훈을 남겼다. 가장 중요한 것은 '신속한 보안 패치의 중요성'이다. 놀랍게도 마이크로소프트는 슬래머가 공격한 취약점에 대한 보안 패치를 이미 6개월 전에 배포한 상태였다. 하지만 수많은 시스템 관리자들이 패치를 제때 적용하지 않아 대재앙으로 이어진 것이다.

---

이 사건을 계기로 기업과 기관들은 보안 패치 관리의 중요성을 절실히 깨닫게 되었다. 또한, 특정 포트(UDP 1434번)를 통한 트래픽을 필터링하는 것과 같은 기본적인 네트워크 보안 정책의 필요성도 크게 부각되었다. SQL 슬래머는 비록 오래된 위협이지만, 오늘날에도 우리에게 보안의 기본을 잊지 말라는 경고를 보내고 있다.

 

#SQL슬래머 #SQLSlammer #컴퓨터웜 #사이버보안 #DDoS #서비스거부공격 #정보보안 #MS-SQL #보안패치 #네트워크보안 #인터넷대란