newsis

  • 페이스북
  • 트위터
  • 유튜브

4

[KT 먹통]디도스 아닌 인재였다…"관리자X, 협력업체만 작업"

등록 2021.10.29 15:05:25수정 2021.10.29 18:11:41

  • 페이스북
  • 트위터
  • 카카오톡
  • 카카오스토리
  • 네이버 블로그
  • 이메일 보내기
  • 프린터
  • PDF
associate_pic

[서울=뉴시스] 전신 기자 = 구현모 KT 대표가 28일 서울 종로구 KT혜화타워(혜화전화국) 앞에서 지난 25일 발생한 KT의 유·무선 인터넷 장애와 관련해 취재진에 답변하고 있다. (공동취재사진) 2021.10.28. photo@newsis.com

[서울=뉴시스] 오동현 기자 = 정부가 지난 25일 전국에 발생한 KT 네트워크 장애 사고 원인을 분석한 결과 디도스(DDoS) 공격은 아니었던 것으로 밝혀졌다.

이번 사고는 부산국사에서 기업 망 라우터 교체 작업 중, 작업자가 잘못된 설정 명령을 입력했고, 이후 '라우팅 오류(네트워크 설정 오류)'로 인해 전국적인 인터넷 네트워크 장애가 발생한 것으로 분석됐다.

과학기술정보통신부는 29일 정부서울청사에서 KT 네트워크 장애 원인 분석 결과를 발표했다. 이번 조사는 정보보호, 네트워크 전문가들로 구성된 사고조사반과 함께 이뤄졌다.

KT 네트워크 장애사고는 지난 25일 오전 11시 16분께 시작돼 낮 12시 45분께 KT의 복구조치가 완료될 때까지 약 89분간 이어졌다.

KT는 네트워크 장애 직후 "대규모 디도스 공격"을 원인으로 지목했다가, 사고 발생 2시간 30여분 후 "네트워크 경로설정 오류를 원인으로 파악했다"고 입장을 번복한 바 있다.

이에 사고조사반은 정확한 장애 원인을 파악하기 위해 ▲DNS서버에 발생했던 급격한 트래픽 증가가 분산서비스거부공격(DDoS)이었는지 ▲라우팅 오류가 어떻게 발생했고 장애확산이 됐는지 등을 분석했다.

통상적으로 디도스 공격은 ①1개의 IP가 다량의 도메인 또는 비정상 도메인을 DNS 서버에 질의하는 시스템 자원 공격 ②대량의 네트워크 패킷을 DNS 서버에 전송해 서비스 대역폭을 채우는 네트워크 대역폭 공격의 두가지 유형을 보이게 된다. 조사반은 각 유형별 해당여부를 패킷, 트래픽 분석 등을 통해 조사했다.

조사반이 시스템 자원 디도스 공격과 관련해패킷을 분석한 결과, 당시 개별 IP의 DNS 질의는 최대 15개 이내 수준으로, 다량의 도메인 질의는 없었다. 통상 디도스 공격 시 개별 IP에서 수백~수천 개의 질의가 발생한다. 또한 네이버, 다음 등 정상적인 도메인 질의 이력만 존재했고, 비정상적인 도메인의 반복적인 질의도 없었던 것으로 파악됐다.

아울러 네트워크 대역폭 공격과 관련해 트래픽 분석을 실시한 결과, 중앙 1차 DNS서버 대역폭의 최대 8%, 부산 DNS 서버 대역폭의 28% 규모의 트래픽 유입만 있어서 대역폭 대비 충분히 수용가능한 수준으로 네트워크 대역폭 공격은 아닌 것으로 판단됐다.

결론적으로 조사반은 "DNS 서버에 대한 트래픽 증가는 있었지만, 시스템 자원 디도스 공격 및 네트워크 대역폭 공격은 확인되지 않았다"고 밝혔다.

이번 사고는 KT의 관리적·기술적 문제에서 비롯된 인재였다. 무엇보다 국가기간통신망 사업자인 KT가 가장 기본적인 책무인 네트워크 관리에 소홀했고, 기술적으로도 부족한 점이 이번 사고로 여실히 드러났다.

조사반에 따르면 당초 KT 네트워크관제센터는 야간작업(새벽 1시~6시)을 승인했으나, 실제 작업이 주간에 수행됐고, 이 과정에서 장애가 발생한 것으로 확인됐다. 특히 KT 관리자 없이 협력업체 직원들끼리만 라우팅 작업을 수행하는 등 작업오류를 방지하기 위한 작업관리체계가 부실했으며, 네트워크가 연결된 채로 작업이 이뤄진 것으로 밝혀졌다. 

게다가 KT는 사전검증 단계에서 오류를 파악하지 못했다. 라우팅 작업계획서상의 라우팅 설정 명령어 스크립트에서 IS-IS 프로토콜을 종료하는 'exit' 명령어가 누락됐으나 스크립트 작성 과정 및 사전 검증 과정에서 발견하지 못했다. 1, 2차에 걸친 사전검증 단계가 존재했으나, 사람이 직접 검토하는 체계이기 때문에 오류를 발견하지 못한 것이다.

또한 네트워크가 차단된 가상 상태에서 오류 여부를 사전에 발견하기 위한 가상 테스트베드가 없었고, 지역에서 발생한 오류가 전국으로 확산하는 것을 차단할 수 있는 시스템도 부재했다. 

과기정통부는 이번 조사결과를 바탕으로, 주요통신사업자 네트워크의 생존성·기술적·구조적인 대책이 담긴 '네트워크 안정성 확보방안'을 마련할 계획이다.

네트워크 안정성 확보방안은 단기대책과 중장기대책을 포괄하는 방안이 검토될 예정이다.

단기 대책으로 ①주요통신사업자의 네트워크 작업체계, 기술적 오류확산 방지체계 등 네트워크 관리체계를 점검하고 ②주요통신사업자가 네트워크 작업으로 인한 오류여부를 사전에 진단할 수 있는 시뮬레이션 시스템을 도입한다.

또한 ③주요통신사업자가 승인된 작업계획서의 내용 및 절차가 준수되는지에 대해 네트워크관제센터에서 기술적 점검 체계를 구축토록 하고 ④라우팅 설정오류로 인한 피해를 최소화하기 위해 주요통신사업자가 라우팅 작업을 할 때 한 번에 업데이트되는 경로정보 개수를 일정 수준 이하로 제한 등이 검토될 계획이다.

중장기 대책으로는 주요통신사업자의 통신장애 대응 모니터링 체계 강화, 네트워크 안정성과 복원력을 높이는 기술개발, 안정적인 망 구조 등 네트워크의 생존성 확보를 위한 구조적 대책 마련 등도 추진할 예정이다.

이용자들의 피해 보상안도 검토한다. KT는 이용자 피해현황 조사 및 피해구제 방안 마련을 추진하고, 방송통신위원회는 이용자 피해구제 방안 이행여부를 점검할 예정이다. 또한 방송통신위원회는 통신장애 발생시 실효성 있는 피해구제를 위한 법령 및 이용약관 등 개선방안 마련을 검토할 계획이다.


◎공감언론 뉴시스 odong85@newsis.com