2003년 1월 25일 토요일, 오후 2시.
서울 종로구 한 PC방에서 20대 대학생 김모씨가 마우스를 연신 클릭했다.
"야, 인터넷 왜 이렇게 느려?"
옆자리 친구도 고개를 끄덕였다. 네이버도, 다음도, 심지어 외국 사이트도 아무것도 뜨지 않았다. 새로고침을 아무리 눌러도 하얀 화면만 반복됐다.
"사장님, 컴퓨터 고장 났나요?"
PC방 사장이 답답한 얼굴로 고개를 저었다. 모든 컴퓨터가 똑같은 증상이었다. 인터넷이 통째로 사라진 것 같았다.
같은 시각, 서울 혜화동 KT 혜화전화국.
"트래픽이 왜 이렇게 급증하지?"
네트워크 관리자의 눈앞에서 모니터링 화면이 빨갛게 달아오르고 있었다. DNS 서버로 쏟아져 들어오는 데이터량이 평소의 수십 배를 넘어서고 있었다.
오후 2시 10분, 첫 번째 신고가 들어왔다.
드림라인 직원이 정보보호진흥원에 전화를 걸었다.
"네트워크 트래픽에 이상 징후가 있습니다."
그런데 이건 시작에 불과했다.
도미노처럼 무너지는 인터넷
혜화전화국은 단순한 전화국이 아니었다. 대한민국의 모든 인터넷 트래픽이 해외로 나가려면 반드시 거쳐야 하는 '관문'이었다. 마치 공항의 출입국 관리소처럼, 모든 데이터가 이곳을 통과해야만 했다.
그런데 지금 그 관문에 무언가가 폭탄을 터뜨리고 있었다.
오후 2시 44분, 혜화전화국의 DNS 서버가 비명을 질렀다. 컴팩 서버 10대와 IBM 서버 2대로 구성된 시스템이 감당할 수 있는 한계를 훌쩍 뛰어넘는 데이터가 쏟아져 들어오고 있었다.
"포트를 막아!"
KT 직원들이 긴급조치에 나섰다.
오후 3시 44분, 혜화전화국 DNS 대신 구로전화국으로 우회 경로를 만들었다.
하지만 이미 늦었다.
구로전화국도 1시간 만에 무릎을 꿇었다. 접속 성공률이 10% 이하로 떨어졌다. 전국의 인터넷이 사실상 마비된 순간이었다.
범인을 찾아라
정보통신부는 비상근무체제에 돌입했다. 이상철 장관은 급히 보고를 받으며 상황의 심각성을 깨달았다.
"원인이 뭔가?"
"아직 파악 중입니다."
사실 정부 기관들도 당황하기는 마찬가지였다. 이런 전국적인 인터넷 마비는 처음 겪는 일이었다. 해킹인지, 테러인지, 아니면 시스템 오류인지 알 수가 없었다.
그런데 의외의 곳에서 해답이 나왔다.
오후 5시 40분, '윈도 이용자 그룹'이라는 인터넷 동호회가 홈페이지에 긴급 공지를 올렸다.
"MS-SQL 2000의 허점을 이용한 웜의 확산이 원인입니다. 긴급히 서비스팩 3을 다운로드해서 패치하세요!"
8만 명의 회원을 가진 이 동호회는 네트워크 관리자와 관련 학과 학생들로 구성되어 있었다. 정부 기관이나 보안 전문업체보다 1시간이나 빨리 원인을 찾아낸 것이다.
범인의 정체가 드러났다. '슬래머(Slammer)'라는 이름의 웜 바이러스였다.
376바이트의 괴물
슬래머는 작았다. 겨우 376바이트. 하나의 문자 메시지보다도 작은 크기였다.
하지만 이 작은 괴물이 하는 일은 무시무시했다. 마이크로소프트 SQL 서버의 취약점을 노리며 스스로를 복제해 퍼뜨렸다. 8.5초마다 감염 대수가 두 배씩 늘어났다. 기하급수적 증가였다. 14년 뒤 NotPetya가 전 세계를 강타했을 때도 같은 패턴이 반복됐다.
더 놀라운 건 확산 속도였다. 슬래머가 전 세계 7만 5천 대의 서버를 감염시키는 데 걸린 시간은 단 10분이었다.
그런데 왜 하필 한국에서 피해가 가장 심각했을까?
첫 번째 이유는 감염된 서버 수였다. 한국에서만 8,800여 대가 감염되어 전 세계 피해의 **11%**를 차지했다. 일본의 7배, 중국의 2배에 달하는 수치였다.
두 번째는 네트워크 구조의 취약점이었다. 국내에는 루트 DNS가 없어서 모든 인터넷 트래픽이 해외를 거쳐야 했다. 혜화전화국이라는 단일 지점에 모든 것이 집중되어 있었던 것이다.
하지만 가장 큰 문제는 따로 있었다.
예고된 참사
놀랍게도 슬래머 웜이 악용한 취약점은 이미 6개월 전부터 알려진 것이었다. 마이크로소프트는 2002년 7월 24일에 이 문제를 발표하고 동시에 보안 패치도 배포했다.
즉, 패치만 제때 적용했다면 막을 수 있었던 사고였다.
"보안패치? 그게 뭔가요?"
당시 대부분의 시스템 관리자들의 반응이었다. 2003년은 아직 보안에 대한 인식이 부족했던 시대였다. 패치 적용은 '귀찮은 일' 정도로 여겨졌다. 20년이 지난 지금도 Fortinet 제로데이 사건에서 보듯, 패치 미적용이 만드는 대규모 피해는 반복되고 있다.
심지어 마이크로소프트 내부 시스템 일부에서도 패치가 덜 적용되어 있었다는 사실이 나중에 밝혀졌다. 보안패치의 중요성을 누구보다 잘 알아야 할 회사에서도 이런 상황이었으니, 다른 곳은 말할 것도 없었다.
멈춰선 일상
인터넷 마비가 가져온 혼란은 상상을 초월했다.
PC방들은 문을 닫을 수밖에 없었다. 손님들이 하나둘 떠나면서 휑한 공간만 남았다.
인터넷 쇼핑몰들은 설 특수를 앞두고 직격탄을 맞았다. 주문도, 결제도, 배송 조회도 불가능했다.
은행들은 인터넷 뱅킹 서비스를 중단해야 했다. 고객들이 현금인출기 앞에 길게 줄을 섰다.
기차표나 비행기표를 예매하려던 사람들은 역과 공항으로 직접 가야 했다. 온라인 예약 시스템이 모두 먹통이었다.
대학들은 인터넷 원서접수를 연기했다. 수험생과 학부모들이 입시 일정을 걱정하며 대학에 전화를 걸어댔다.
병원에서는 건강보험 조회가 안 되어 환자들과 실랑이가 벌어졌다.
"보험카드 안 가져오셨으면 전액 본인 부담입니다."
경찰도 손을 놓을 수밖에 없었다. 사이버 범죄 수사에 필요한 IP 추적이 불가능했다.
복구의 시작
26일 새벽, 서서히 인터넷이 되살아나기 시작했다.
정부와 통신사들이 밤새 응급조치를 취한 결과였다. 슬래머 웜이 사용하는 1433, 1434 포트를 차단하고, 감염된 서버들을 격리했다.
오전 9시, 정보통신부 장관과 ISP 대표들이 긴급회의를 열었다.
오전 11시 20분, 이상철 장관이 기자회견장에 나타났다.
"국민 여러분께 심려를 끼쳐드린 점 깊이 사과드립니다."
그는 재발 방지 대책을 약속했다. 하지만 이미 대한민국의 '인터넷 강국' 자존심은 산산조각 나 있었다.
소송과 면죄부
피해를 본 사람들은 가만있지 않았다.
참여연대는 2003년 4월, 인터넷 가입자와 PC방 업주 1,586명과 함께 KT, 하나로텔레콤, 마이크로소프트 등을 상대로 손해배상 소송을 냈다.
3년 반 후인 2006년 11월, 서울중앙지법의 판결이 나왔다.
"피고 ISP업체들의 위법성을 인정하기 힘들다. 당시 취해야 할 주의 의무를 모두 이행했다."
통신사들은 책임을 지지 않아도 된다는 판결이었다. 피해자들의 분노는 더욱 커졌지만, 법원의 판단은 바뀌지 않았다.
그날이 남긴 것들
1.25 인터넷 대란은 대한민국에 큰 변화를 가져왔다.
가장 먼저 바뀐 건 인식이었다. 인터넷이 단순한 '편의시설'이 아니라 '국가기반시설'이라는 깨달음이었다. 전기나 수도처럼 없으면 안 되는 필수 인프라였던 것이다.
정부는 2004년 국가사이버안전센터를 설립했다. 하지만 2013년 3.20 사이버테러가 보여주듯, 위협은 더 정교해져 돌아왔다. 비슷한 사고가 재발하지 않도록 24시간 모니터링 체계를 구축한 것이다.
통신사들도 변했다. KT는 서울 시내 6개 전화국사에 관문국 시설을 분산 배치했다. 혜화전화국 하나에 모든 것을 의존하던 구조를 바꾼 것이다.
무엇보다 보안패치의 중요성이 널리 알려졌다. "패치는 선택이 아니라 필수"라는 인식이 자리 잡았다.
에필로그: 지금 당신의 스마트폰에도
2003년 1월 25일로부터 20년이 지났다.
그날의 슬래머 웜은 376바이트였지만, 지금의 악성코드들은 훨씬 정교하고 은밀하다. 스마트폰, 태블릿, 사물인터넷 기기까지 공격 대상이 확대됐다.
하지만 본질은 변하지 않았다. 보안패치를 미루는 습관, '설마 나한테야' 하는 안일함, 그리고 '인터넷은 항상 있을 것'이라는 착각.
지금 이 글을 읽고 있는 당신의 스마트폰도 예외는 아니다. 마지막으로 보안 업데이트를 한 게 언제인가? 의심스러운 앱을 설치한 적은 없는가?
20년 전 그 토요일 오후, 376바이트의 작은 코드가 대한민국 전체를 마비시켰다는 사실을 기억하자.
지금도 어딘가에서 새로운 '슬래머'가 당신을 기다리고 있을지 모른다.
관련 MITRE ATT&CK 기법
| 기법 ID | 기법명 | 사건에서의 활용 |
|---|---|---|
| T1498 | Network Denial of Service | DNS 서버에 대량 트래픽을 집중시켜 네트워크 마비 |
| T1499 | Endpoint Denial of Service | SQL 서버들을 과부하 상태로 만들어 서비스 불능 |
| T1190 | Exploit Public-Facing Application | MS-SQL 2000의 버퍼 오버플로우 취약점 악용 |
참고 자료
- 국가기록원 - 인터넷 대란
- 한국일보 - 03년 1월 25일 대한민국 인터넷 치욕의 날
- 보안뉴스 - 정보보호 20년史
- 파이낸셜리뷰 - 1.25 인터넷 대란 발생
- 전자신문 - IT강국 자존심 뭉갠 1·25대란
📌 이 글은 AI(Claude) 를 활용하여 작성되었습니다. 사건의 사실관계는 인용된 참고 자료에 근거하며, 시나리오는 이해를 돕기 위해 각색되었습니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
관련 글 더 보기
한국 주요 사이버보안 사건
- 3.20 사이버테러: 32,000대 PC를 파괴한 북한의 공격
- NotPetya: 100억 달러 피해를 낸 러시아의 사이버 전쟁 무기
- SK텔레콤 2324만명 유심 침해: BPFDoor의 3년간 잠복
- Fortinet 제로데이: 10,000대 방화벽이 뚫린 CVE-2026-24858
관련 보안 주제
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 공격 기법의 사실관계는 인용된 참고 자료에 근거하며, 대화체 표현과 장면 묘사는 이해를 돕기 위해 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.