25일 하오2시경부터 한국 전역에 인터넷 마비라는 초유의 사태가 발생한 가운데 안철수 연구소는 이날 밤 " SQL 취약점을 이용하여 확산되는 신종 웜이 2003년 1월 25일 오후에 발견되었다"고 발표했다.
안연구소는 "현재 한국 뿐 아니라 미국, 영국, 호주, 캐나다 등에서도 동일한 증상이 발견되는 등 세계적으로 확산추세에 있으므로, 특히 SQL 서버를 이용하고 있는 고객님께서 각별한 주의를 기울여 주시기 바란다"고 말했다.
이 웜은 1434 UDP 포트를 이용하여 SQL 서버가 설치된 서버를 대상으로 공격되고 있으며, 2002년 7월 24일 발견된 "Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution 취약점"을 이용하여 확산된다.
또한 이 웜은 일반적인 웜과 같이 파일형태로 저장되어 감염되는 것이 아니라 2001년 7월에 발견되었던 코드레드와 같이 메모리상에 상주하는 형식으로 전파된다는 것이다.
안연구소는 "이 취약점에 대한 패치는 SQL 서버 서비스팩3에 포함되어 있으므로, SQL 서버 서비스팩3를 설치하면 예방할 수 있다"면서 "또한 오픈되어 있는 1434 UDP 포트를 막아두는 것도 예방책이지만 SQL 관련 정상 서비스는 불가능하게된다"고 덧붙였다.
안철수연구소에서는 이 웜을 모니터링할 수 있는 전용솔루션 SQL_Overflow Detector와 감염취약성 진단툴 Ahnlab Scanner for SQL_Overflow를 현재 개발하여 배포중이라면서 자사사이트에서 프로그램을 다운로드하여 사용하기 바란다고 덧붙였다.
<김영환 >
