카카오·KT 멈춰 세웠던 '네트워크 하이재킹'…대안은?
등록 2024.09.08 12:00:00수정 2024.09.08 13:40:52
IP하이재킹 공격으로 인한 사고 지난해에만 전세계적으로 1만건
대안 시스템 'RPKI' 급부상…잘못된 경로로 데이터 보내는 상황 방지
통신 3사 등 인터넷서비스사업자와 논의 시작…관련 예산 확보 관건
![[서울=뉴시스] 고범준 기자 = KT 통신망에 장애가 생겨 인터넷과 전화, 카드 결제 등 먹통이 되는 등 전국에서 피해가 속출한 25일 서울역 대합실에서 시민들이 KT관련 뉴스를 시청하고 있다. 2021.10.25. bjko@newsis.com](https://image.newsis.com/2021/10/25/NISI20211025_0018083246_web.jpg?rnd=20211025132217)
[서울=뉴시스] 고범준 기자 = KT 통신망에 장애가 생겨 인터넷과 전화, 카드 결제 등 먹통이 되는 등 전국에서 피해가 속출한 25일 서울역 대합실에서 시민들이 KT관련 뉴스를 시청하고 있다. 2021.10.25. [email protected]
[서울=뉴시스]송혜리 기자 = #지난 2022년, 카카오의 지도·포털·QR 체크인 등 주요 서비스에서 약 1시간 동안 오류가 발생해 사용자들의 접속이 제한됐다. 당시 카카오는 서비스 장애의 원인으로 'IP 하이재킹'이라 불리는 'BGP(Border Gateway Protocol) 교란 행위'를 지목했다.
#지난 2021년, KT의 인터넷 서비스가 전국적으로 85분 간 끊기는 대규모 장애가 발생했다. 조사 결과 이 사고는 KT 협력업체 직원이 네트워크 설정 작업 중 'exit' 명령어를 제대로 입력하지 않아 발생한 것으로 드러났다. 이 사고는 복잡한 네트워크 시스템이 사소한 실수 하나로도 쉽게 멈출 수 있음을 여실히 보여준 사례로 남았다.
정부가 이같은 네트워크 사고 예방과 보안 강화를 위해 RPKI(Resource Public Key Infrastructure) 기술 도입과 확산에 나선다. RPKI는 인터넷에서 잘못된 경로로 데이터를 전송하는 것을 막기 위한 기술로 인터넷 통신의 안전성을 높이는 데 중요한 역할을 한다.
보안 담보하지 못하는 BGP…보완기술로 RPKI지목
인터넷은 여러 독립적인 네트워크(AS)들이 모인 집합체다. 예를 들어 통신사, 대학, 기업들은 각자 자신만의 네트워크를 가지고 있다.
BGP는 이런 네트워크 간에 데이터를 어떻게 보낼지 결정한다. 네트워크들이 서로 어떻게 연결돼 있는지 정보를 교환하고, 그 정보를 바탕으로 데이터를 가장 빠르고 안전하게 목적지로 보내는 경로를 결정한다. 즉, 데이터가 올바른 경로로 전달되도록 돕는 인터넷의 내비게이션 시스템과 같은 역할을 한다.
문제는 BGP는 인터넷 핵심 프로토콜이지만 설계에 보안요소를 크게 고려하지 않았다는 점이다. BGP는 가장 자세한 경로와 가장 짧은 경로를 우선 선택하도록만 설계돼 있어, 전달받은 경로 정보의 오류와 위·변조 여부를 확인하지 못하는 취약점이 있다.
이 때문에 특정 서비스를 차단하거나, 트래픽을 훔치기기 위해 대상의 IP대역을 거짓 경로로 전파하는 IP하이재킹 즉 '경로 변조' 공격에 취약하다. 또 관리자의 단순한 설정오류 실수로 경로가 변조되는 사고도 발생할 수 있다.
박정섭 한국인터넷진흥원 인프라보호단장은 "경로 설정 시 23을 써야되는데 관리자가 실수로 2를 썼다, 그러면 이 또한 그대로 반영이 되고 또 이게 바로 사고로 이어지게 된다"고 말했다.
실제 2008년 파키스탄은 예언자 무함마드를 모독한 영상을 공개했다는 이유로 파키스탄텔레콤을 통해 자국내 유튜브 접속을 차단했다. 당시 파키스탄텔레콤이 잘못된 경로 정보를 전파했고, 그 결과 전 세계적으로 유튜브 접속이 차단되는 사고가 발생했다.
KISA에 따르면 BGP 경로 변조로 인한 사고는 지난해에만 전세계적으로 1만건 이상 발생했으며, 이중 180건은 인터넷 중단 사태까지 번졌다.
BGP 사고 지난해에만 1만건…"RPKI기술에선 인증서 있어야 통과됩니다"
RPKI는 인터넷에서 잘못된 경로로 데이터를 보내는 상황을 방지하기 위한 '보안 필터' 역할을 한다. 네트워크 운영자는 '내가 이 IP 주소의 주인입니다'라는 것을 RPKI를 통해 인증 받아, 신뢰할 수 있는 경로 정보만 인터넷에 전파할 수 있게 된다. 이 과정에서 ROA(Route Origin Authorization)라는 인증서를 사용해 네트워크가 올바른 경로 정보를 주고받는지 확인한다.
박정섭 단장은 "국내 ISP들이 자체적으로 보안을 철저하게 하고 있으나, 더 안전한 인터넷 체계가 필요하다는 판단"이라고 말했다.
RPKI기술 효용성은 이미 실제 사례로 입증됐다. 지난 2022년 러시아의 우크라이나 침공 당시 소셜미디어 단속을 위해 X(트위터) 대역을 하이재킹하려는 시도가 있었지만, X는 RPKI 기술에 따른 ROA 인증 등록이 돼있었기 때문에 중단 없이 서비스됐다.
이미 세계 각국은 인터넷 안정성 제고를 위해 경쟁적으로 RPKI 기술을 도입·확산하고 있다.
미국 바이든 행정부는 지난해 '국가 사이버보안 전략'을 통해 BGP의 본질적 취약성과 조치가 시급하다고 발표했다. 이에 따라 바이든 행정부는 '안전한 인터넷 라우팅 기법 및 기술채택을 위한 로드맵'을 마련하고, RPKI와 같은 보안 인터넷 라우팅 기법·기술의 연방정부·민간 채택을 촉진한다고 명시했다. 아울러 네덜란드 정부도 정부 기관에서 사용하는 모든 장비와 네트워크에 RPKI 기술을 적용할 계획이라고 밝혔다.
그러나 국내 도입은 지지부진하다. 2022년 6월 기준 OECD 국가 38개 중 RPKI도입이 최하위 수준이다. 지난해 11월 기준으로 RPKI 적용률은 0.7%, RPKI로 필터링한 경우는 0.27%에 그친다. 미국 RPKI 필터링 현황이 69.37%, 중국이 21.94% 인 것과 크게 차이가 난다.
박단장은 "국내 인터넷서비스제공사업자(ISP)들의 RPKI인식 부족, 라우터 구성 변경에 따른 장애 우려, 구축 비용 문제 등에 따라 그간 국내에 도입되는 것이 쉽지 않은 상황이었다"고 말했다.
ISP들은 라우터 구성 변경에 따른 장애 등 우려…인증 국내 처리도 요구
박정섭 단장은 "SK텔레콤, KT, LG유플러스와 세종텔레콤 등 국내 주요 ISP들과 RPKI적용에 관해 논의 중"이라며 "다만 ISP들이 RPKI 도입시 운영 중인 인터넷 서비스 라우터 구성 변경에 따른 장애 등을 우려하고 있고, 또 인증 전담 기구를 국내에 설치해 달라는 등 미리 안정성을 확보해줬으면 좋겠다는 요구사항이 있는 상황"이라고 말했다.
이어 "이 때문에 사전에 테스트베드를 구축하거나 구축 가이드를 만들자는 이야기가 나오고 있다"면서 "아울러 RPKI 인증센터 인력, 시스템 구축 등에 예산이 필요한 상황"이라고 말했다.
◎공감언론 뉴시스 [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
