1988년 오늘, Morris 웜이 24시간 만에 인터넷의 10%를 감염시켰다

 (tomshardware.com)
2P by GN⁺ 4일전 | ★ favorite | 댓글 1개
  • 37년전인 1988년 코넬대 대학원생 로버트 태판 모리스가 만든 컴퓨터 웜이 인터넷 전체의 약 10% 시스템을 24시간 내 감염시킴
  • 이 웜은 BSD UNIX 기반 시스템을 대상으로, 전자메일 시스템의 백도어와 ‘finger’ 프로그램의 버그를 악용해 확산
  • 파일을 파괴하지는 않았지만, 시스템 과부하·지연·다운을 유발해 주요 대학과 연구기관이 네트워크를 일시 차단
  • FBI 조사로 모리스가 1986년 제정된 컴퓨터 사기 및 남용법 위반으로 기소되어 벌금, 보호관찰, 사회봉사 처분을 받음
  • 이 사건은 사이버보안 시대의 출발점으로 평가되며, 이후 인터넷 인프라 보호 절차와 대응 체계 구축의 계기 제공

Morris 웜의 등장과 확산

  • 1988년 코넬대 대학원생 로버트 태판 모리스가 인터넷 규모를 측정하기 위해 만든 프로그램이 예기치 않게 확산
    • FBI 회고에 따르면, 이는 악의적 의도가 아닌 “프로그래밍 오류” 로 인한 결과
    • 웜은 24시간 내 인터넷의 약 10% 시스템을 감염시켜 당시 기준으로 막대한 피해 발생
  • 모리스는 코넬대 단말기에서 MIT 컴퓨터를 해킹해 웜을 배포
    • FBI는 이를 통해 그가 의도적으로 익명성을 확보하려 했다고 설명
  • 웜은 C 언어로 작성되었으며, VAX와 Sun-3 등 BSD UNIX 시스템을 공격
    • 전자메일 시스템의 백도어‘finger’ 프로그램의 버그를 이용해 침투
    • 호스트 프로그램 없이 자체 복제 및 자율 확산 기능을 가짐

피해와 대응

  • 웜은 파일을 삭제하지 않았지만, 시스템 과부하·메시지 지연·충돌을 일으켜 네트워크 마비 초래
    • 일부 기관은 웜 제거를 위해 전체 시스템 초기화 및 네트워크 차단을 일주일간 시행
  • 감염된 기관에는 버클리, 하버드, 프린스턴, 스탠퍼드, 존스홉킨스, NASA, 로렌스 리버모어 연구소 등이 포함
  • 언론은 이를 최초의 대규모 인터넷 보안 사고로 보도

범인 추적과 법적 결과

  • 전문가들이 복구 작업을 진행하는 동안, 웜의 제작자 추적이 병행
    • FBI는 파일 분석과 인터뷰를 통해 모리스를 범인으로 확인
  • 모리스는 익명으로 사과하려 했으나, 친구의 이니셜 실수로 신원이 드러남
  • 그는 1986년 제정된 컴퓨터 사기 및 남용법(CFAA) 위반으로 기소
    • 1989년 법원은 벌금, 보호관찰, 400시간 사회봉사를 명령

당시 인터넷 환경

  • 1988년 당시 인터넷은 NSFNET을 기반으로, 군사·방위 중심의 ARPANET을 확장한 학술 네트워크 구조
    • 월드와이드웹(WWW) 은 아직 존재하지 않았음
  • 당시 연결된 시스템은 약 6만 대, 그중 6천 대가 감염된 것으로 추정
  • 피해 규모는 10만 달러에서 수백만 달러로 평가됨
  • NSFNET은 1995년 폐지되고, 이후 상업용 인터넷으로 전환

이후의 영향과 유산

  • Morris 웜은 사이버보안의 전환점으로 평가되며, 이후 보안 절차와 대응 체계 구축의 계기 제공
  • 기사에서는 최근 등장한 AI 기반 웜 ‘Morris II’ 를 언급하며, 웜의 진화가 계속되고 있음을 지적
  • 원문 댓글에서는 당시 네트워크 관리 경험자들이 트래픽 정체, 메일 릴레이 중단, 협업 차질 등을 회상
    • 일부는 사건이 인터넷의 신뢰 기반 협력 문화 약화로 이어졌다고 언급
  • Morris 웜은 웹 이전 시대의 첫 대규모 사이버 사고로, 현대 보안 산업의 출발점으로 남음
GN⁺ 4일전  [-]
Hacker News 의견

  • Paul Graham이 말하길, 당시 ‘10% 감염률’ 이라는 수치는 완전히 추측으로 만들어진 것임
    누군가 인터넷에 연결된 컴퓨터가 약 6만 대라고 짐작했고, 그중 10%가 감염됐을 거라 추정했음

    • 그 6만 대 중 대부분은 실제로 연결된 호스트가 아니라 UUCP 기반의 비상시 연결 시스템이었을 가능성이 높음
      당시 텔넷으로 접속 가능한 6만 대는 꽤 많은 수였음. 나도 그 시절 10대 후반이었고, PG에게 신의 축복을 빔

  • MIT의 분산 시스템 강의 6.5840을 수강하고 YouTube 강의 영상으로 실습을 완료했음
    호기심에 교수 이름을 검색하다가 그가 얼마나 전설적인 인물인지 알게 되었음. 정말 훌륭한 강의였음

    • MIT에서 RTM이 내 조교였음. 과제 중 하나가 웜 관련이었는데, 학생들이 그제야 그가 그 웜의 주인공임을 알아챘음
      하지만 그는 그 일에 대해 거의 언급하지 않았음
    • 그의 아버지도 NSA의 수석 과학자로 유명한 인물이었음
    • 1988년식 분산 시스템 해킹 세션을 추가해주면 재밌을 것 같음
    • 나도 지금 그 강의를 취미로 듣고 있음. 그가 누군지 몰랐는데 놀라웠음
      강의가 너무 좋아서 수강 후에 뭘 했는지 궁금함

  • Morris의 프로그램은 악의적 의도가 없었지만, 결과적으로 사이버보안 역사에서 전환점이 되었음
    오늘날의 보안 연구, 레드팀, 그레이햇 문화의 뿌리가 그 사건에서 비롯됨

  • 당시 사건을 다룬 좋은 자료로 CACM에 실린 With Microscope and Tweezers: The Worm from MIT's Perspective (PDF)이 있음
    나는 1988년 IBM 인턴이었는데, 회사는 네트워크 게이트웨이 두 개를 차단했음
    그때는 자가 복제 소프트웨어 개념이 매우 낯설었음. IBM도 그 전 해에 Christmas Tree EXEC이라는 자체 복제 프로그램을 겪은 적이 있었음

    • 하지만 플로피 기반의 바이러스는 이미 흔하게 퍼져 있었음

  • MIT에서 시스템을 운영하던 시절, 그날은 정말 무섭고도 흥분된 하루였음

    • 우리 기술 책임자가 달려와 웜 소식을 전했는데, 우리나라가 피해를 피한 이유가 한 사람이 인터넷 전체를 물리적으로 분리했기 때문이라 들었음. 당시엔 단일 연결선 하나뿐이었음
    • 그날 Usenet이 너무 조용했음. 공대 건물도 마찬가지였음
    • WPI는 메인 머신이 Encore Multimax와 DEC-20이라 감염되지 않았음
    • 나는 Stanford 컴퓨터실에 있었는데, 시스템이 점점 극도로 느려지는 걸 느꼈음

  • Wikipedia에 따르면 Clifford Stoll이 The Cuckoo’s Egg에서 Morris가 Harvard의 친구들과 함께 작업했다고 언급함
    Paul Graham이 이에 대해 언급한 적이 있는지 궁금했음

    • PG가 인터뷰에서 이에 대해 이야기했음 (링크)
      웜 자체는 무해했지만 버그 때문에 한 컴퓨터에 수백 개의 복제본이 실행되어 시스템이 다운됐다고 함
    • PG는 자신의 에세이들에서도 몇 번 이 사건을 언급했음 (검색 링크)
    • The Cuckoo’s Egg에서 저자가 NSA의 Robert Morris(아버지)를 방문한 장면이 나오며, 그 이후에 웜과 아들 이야기가 언급됨

  • “worm”이라는 용어는 1975년 SF 소설 The Shockwave Rider에서 유래함 (위키 링크)

    • 그 소설의 웜은 비밀 정보를 세상에 공개하는 역할이었는데, 오늘날엔 Wikileaks가 그 역할을 대신하고 있음

  • 나는 Paul Graham이 이 사건에 직접 연관되어 있었다고 생각함
    영화로 만들어진다면 그의 역할을 유명 배우가 맡을 정도일 것 같음 (관련 HN 글)

    • 왜 그렇게 생각하는지 궁금하다는 질문을 받았음

  • 당시 Purdue Engineering Computer Network에서 시스템 프로그래머로 일했음
    OS를 커스터마이징해 일부 웜 감염을 피했지만, sendmail 디버그 모드 취약점은 여전히 문제였음

    • 시스템 다양성이 곧 보안의 핵심임. 관리가 어렵더라도 훨씬 탄탄한 방어력을 가짐
    • 그 시절 KSB도 있었는지 궁금함. 정말 재미있는 사람이었음

  • 웜의 작동 방식과 실패 원인에 대한 기술적 설명을 기대했는데 없어서 아쉬웠음
    결국 Wikipedia를 찾아보게 되었음

답변달기