2003-01-26 오전 12:29:41 Hit. 206
하우리(대표 권석철, www.hauri.co.kr)는 25일 국내 인터넷 서비스를 마비시킨 주범은 분산서비스 공격(DDos) 공격이 아니라 SQL 서버를 공격하는 신종 웜 '슬래머(Worm.SQL.Slammer)'로 확인됐다고 발표했다.
하우리 기술연구소에 따르면 이 신종 웜은 SQL 서버의 취약점을 이용해 1434포트로 유입되는 형태로 감염된다.
일단 감염되면 무작위로 서버 IP 주소를 선정, 초당 1MB이상의 과도한 패킷을 날려보냄으로써 서버 부하를 일으켜 시스템을 다운시킨다.
또 이 웜은 취약점이 발견되는 다른 서버에 계속적으로 패킷을 발송, 버퍼 오버플로우를 일으킨다.
특히 파일 형태로 존재하지 않아 분석을 어렵게 만든다는 차원에서코드레드(CodeRed) 웜과 비슷하나, 코드레드가 IIS 서버의 취약점을 이용한 반면, 이 웜은 SQL 서버의 취약점을 이용하였다는 점에서 차이를 보인다.
이 웜을 사전 예방하기 위해서는 SQL 서버에서 사용하지 않는 1434 포트를 임시로 막고, MS에서 제공하는 SQL 서버용 보안 취약점 패치를 다운받아 설치해야한다.
또 1434 포트를 막지 않으면 계속해서 감염이 일어나게 되므로 반드시 사전 조치를 취해야 한다.
권석철 사장은 “UDP(User Datagram Protocol) 특성을 이용해 공격을 감행하므로 확산 속도가 매우 빠르다” 며, “보다 자세한 정보가 나오는 대로 세부사항을 다시 공식 발표할 것”이라고 밝혔다.
현재 하우리는 잉카인터넷 및 해커스랩과 함께 자세한 내용을 분석, 자사 솔루션으로 치료할 수 있도록 하기 위해 작업을 진행하고 있다.
한편 하우리는 SQL서버에 대한 관련 패치 사이트는 www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp 라고 밝혔다.
(02)828-0795.
불량게시글신고