KISA '오탐'으로 12시간 불통...악성코드 중개서버 악용 가능성도
한국인터넷진흥원(KISA)의 오류로 마이크로소프트(MS)가 운영하는 MSN 메신저가 12시간 가량 불통됐던 사실이 뒤늦게 알려졌다. 그러나 MSN 메신저 서버가 악성코드 명령중개사이트로 악용됐을 가능성도 제기되고 있어 주목된다.
29일 KISA와 한국MS에 따르면, 지난 27일 오후 늦은 시간부터 28일 오전까지 대략 12시간 이상 MS의 MSN 메신저가 불통되는 사고가 발생, MSN 이용자들이 적잖은 불편을 겪었다.
사고의 직접적인 원인은 한국인터넷진흥원(KISA)이 MSN메신저 서비스 주소 중 한곳인 핫메일닷컴(hotmail.com)을 악성 도메인 리스트에 추가했기 때문.
KISA는 국내 인터넷 이용자들의 악성코드 감염을 차단하기 위해 악성코드 수집시스템 일명 '허니팟'을 운영 중이다.
이를 기반으로 악성코드 유포나 피싱이 의심되는 도메인 명단을 작성해 초고속인터넷사업자(ISP)들에게 통보하면, ISP들은 PC 이용자들이 해당사이트에 접속하지 못하도록 차단해왔다.
문제는 KISA가 왜 핫메일닷컴(hotmail.com)을 악성 도메인 리스트에 올렸느냐는 것이다.
KISA 관계자는 "허니팟에 유입된 악성코드 가운데 hotmail.com을 명령중개서버로 설정한 악성 봇(Bot)이 발견돼, 수작업으로 점검할 당시 정상적으로 열리지 않아 이용자 보호 차원에서 일단 악성 도메인 목록에 포함시키게된 것"이라며 "그러나 최종 확인결과 정상적인 서비스로 확인돼 복구조치했다"고 해명했다.
KISA는 29일 공식 해명자료를 통해 MSN 메신저 이용자들에게 사과했다.
또 이번 hotmail.com과 같은 주요 화이트리스트에 대해서는 프로세스 확인절차를 강화하는 동시에 제품의 오탐률을 줄이기 위해 최신 장비로 업그레이드할 예정이라고 덧붙였다.
그러나 MS의 핫메일닷컴(hotmail.com)이 악성 봇의 명령중개(CNC)서버로 악용됐는지 여부에 대해서는 확실한 결론이 나오지 않은 상황이다.
독자들의 PICK!
악성 봇은 디도스(DDoS) 공격과 대량 스팸메일에 이용되는 좀비PC의 매개체로, 보통 명령중개(CNC) 서버를 통해 공격명령을 받게된다.
최근 글로벌 소셜네트워크사이트인 '티위터'가 해커들의 CNC서버로 악용된 적이 있다는 점에서, 핫메일닷컴(hotmail.com) 역시 CNC서버로 잠시 악용됐을 가능성을 배재할 수 없다는 게 보안 전문가들의 지적이다. 점검 당시 핫메일(hotmail.com) 서버가 정상 작동되지 않았던 이유도 의문이다.