by지영한 기자
2003.02.04 16:42:02
[edaily 지영한기자] KT(30200)는 지난달 30일 발생한 전국 11개 지역 인터넷망 마비와 관련 "장비의 이상이나 KT자체 멀티캐스트 테스트에 의해 일어난 것이 아니다"고 4일 해명했다.
KT는 "이번 장애가 이상있는 VDSL 가입자의 PC에서 발생한 이상신호에 의해 기가스위치가 공격당하면서 성능이 현저히 저하됐던 것으로 파악됐으며 이상신호 발생원인은 분석중"이라고 설명했다.
이와 관련 망 마비사태후 KT장비 결함이나 자체적인 멀티캐스트 테스트로 인한 것이라는 추측이 제기됐었다.
◇다음은 지난 30일 일부 ADSL 불통사태에 대한 KT의 해명요약
□ 11개 지역의 기가스위치 라우터가 동일기종이라는데 장비 결함은 없는가?
ㅇ KT에서는 인터넷 서비스제공을 위해 전국 48개지역에 인터넷 노드를 구축하여 운용하고 있으며, 노드는 가입자의 인터넷 액세스장치(NAS), 스위치 및 중계라우터로 구성 되며 이번 사고시 피해를 받은 스위치는 그동안 이상장애 등으로 인한 결함이 발견된 적도 없음
ㅇ이번 사고가 발생된 지역에서 사용된 스위치는 동일 스위치로 이번 사고의 직접적인 원인은 장비의 결함이 아니라 과다패킷 입력에 의한 스위치 과부하로 기능저하 또는 정지가 되므로서 서비스에 지장이 발생된 것임
□ 왜 하필이면 트래픽이 가장 적은 새벽 5시에 발생 했는가?
- 그 시간에 멀티캐스트 테스트 작업을 한 것은 아닌가?
- 멀티캐스팅의 발생 원인과 해킹 가능성은?
ㅇ 일부지역 인터넷 노드의 서비스 불안정 상태가 발생한 것은 오염된 ADSL 가입자의 PC에서 발생한 이상패킷이 스위치에 과도하게 유입되면서 성능저하 현상이 발생된 것으로 직접적인 원인인 이상패킷 발생원에 대하여는 분석 중이나 아직까지 정확한 원인이 확인되지 않고 있음
ㅇ 사고일 이후부터 전담반을 편성하여 수도권 지역 위주로 오염된 것으로 추정되는 PC를 찾는 노력을 기울이고 있으며 이 과정에서 일부 오염된 것으로 추정되는 PC를 검사 하였으나 가입자가 전원을 off 함으로서 공격소스를 확보하지 못하였음.
ㅇ 그러나 일부 흔적을 조사한 결과 메모리상주형으로 PC의 전원을 끄면 소멸되고, 다른 PC로 전파되지는 않는 형태로 추정하고 있음.
ㅇ 또한, KT에서는 "1.25 웜 바이러스에 의한 인터넷 대란" 발생 이후 아직까지 사고의 원인이 최종적으로 밝혀지지 않은 상태에서 망의 불안정을 야기시킬수 있는 어떠한 공사도 작업을 중단 하고 있음.
ㅇ 또한 멀티캐스트 테스트는 대량의 트래픽이 유발시킬 수 있어 더욱이 상용망에서의 시험작업 등은 수행하지 못하도록 원천적으로 금지하고 있음.
□ 11개 지역에서 동시 다발적으로 일어난 이유?
- 이 11개 지역이 동일 기종으로 묶여 있어 작업도중 일어난 사고가 아닌가?
ㅇ 11개 지역에서 사용하는 장비는 동일 기종으로 사고 당일인 2003.01.30일 새벽 KT의 내부작업 등 조작실수에 의해 사고가 발생된 것은 아님
ㅇ KT는 2003.01.25일 인터넷 사고 이후 망의 상태가 불안정할 수 있음을 감안, 인터넷망에 영향을 주는 공사를 현재까지 중단하고 있음.
ㅇ 질문과는 달리 장비가 동일기종으로 묶여 있지도 않으며 한 장비의 작업실수가 타 지역노드의 영향은 미치지도 않음
ㅇ 왜냐하면 KT의 인터넷노드는 독립적인 망구조로서 성능향상을 위해 업그레이드 등 필요에 의한 작업시에도 해당 노드에만 영향을 미치며, 다른 노드에는 정상적인 망운용 상태에서 상호영향을 미치는 경우는 전혀 없음.