[KT 먹통]"디도스 꼼짝마" 홍보하더니…역량 한계 드러나

등록 2021.10.30 09:25:27수정 2021.10.30 09:28:32

디도스 대응 상품 팔고, 상시 모니터링하는 KT

디도스 오인으로 체면 구겨…업계 "이해 불가"

[서울=뉴시스] 전신 기자 = 구현모 KT 대표가 28일 서울 종로구 KT혜화타워(혜화전화국) 앞에서 지난 25일 발생한 KT의 유·무선 인터넷 장애와 관련해 취재진에 답변하고 있다. (공동취재사진) 2021.10.28. photo@newsis.com

[서울=뉴시스] 전신 기자 = 구현모 KT 대표가 28일 서울 종로구 KT혜화타워(혜화전화국) 앞에서 지난 25일 발생한 KT의 유·무선 인터넷 장애와 관련해 취재진에 답변하고 있다. (공동취재사진) 2021.10.28. [email protected]

[서울=뉴시스] 오동현 기자 = 지난 25일 전국에 발생한 KT 네트워크 장애 사고는 KT의 사이버 보안 역량의 한계가 드러난 사건으로 기록될 전망이다.

과학기술정보통신부는 지난 29일 정부서울청사에서 KT 네트워크 장애 원인 분석 결과를 발표했다. 이번 조사는 정보보호, 네트워크 전문가들로 구성된 사고조사반과 함께 이뤄졌다.

이번 KT 네트워크 장애 사고는 지난 25일 오전 11시 16분께 시작돼 낮 12시 45분께 KT의 복구조치가 완료될 때까지 약 89분간 이어졌다.

정부 조사에 따르면 이번 사고의 원인은 "대규모 디도스(DDoS) 공격"이 아닌 "네트워크(라우팅) 설정 오류"에 의한 인재 사고였음이 분명해졌다.

네트워크 장애 발생 초기 KT는 "대규모 디도스 공격"을 원인으로 지목했다. 트래픽 과부하가 발생해 외부에서 유입된 디도스 공격으로 추정했던 것이다.

KT의 초기 분석 실패는 경찰청 사이버수사대, 과학기술정보통신부 등 정부 유관기관까지 긴장하게 만들었다. 특히 북한 등 외부 세력이 국가기간통신망을 대상으로 전방위적 사이버 공격을 단행한 것은 아닌지 국민들에게 불안감을 조성했다. 과학기술정보통신부는 장애 발생 26분 뒤 정보통신사고 위기경보 ‘주의’ 단계를 발령했을 정도로 당시 상황은 급박했다.

KT 새노조는 "디도스 대응 상품을 판매하기까지 하는 KT가 인터넷 장애 원인이 디도스 때문인지 여부도 정확히 구분하지 못해 초기 잘못된 해명으로 혼란을 야기한 경위도 해명해야 할 것"이라며 "디도스 공격을 상시 모니터링하고 있는 KT에서 디도스 공격 여부를 여부를 몰랐다는 것은 말이 안 된다"고 지적했다.

IT·보안 업계에서도 KT가 디도스로 오인한 것은 이해하기 어렵다는 분위기다. 업계 관계자는 "디도스 공격은 게이트웨이로 들어오는 트래픽이 증가하기 때문에 확인 가능했을 것"이라며 "정말 디도스 공격이 맞았다면, KT가 대규모 비정상접속 시도를 차단하지 못했다는 것이어서 더 심각한 문제"라고 말했다.

실제로 KT는 지난 6월 <KT, '하이브리드 보안' 출시…디도스 공격 "꼼짝마">라는 제목의 보도자료를 배포한 바 있다. KT는 해당 서비스에 대해 "디도스 공격을 탐지해 즉각 대응하는 솔루션"이라면서 "인터넷상에서 디도스 공격이 이뤄지면 클린존에서 자동 방어해 이용자 시스템은 정상적으로 작동하는 방식"이라 홍보했다.

[서울=뉴시스] 김명원 기자 = 홍진배 과학기술정보통신부 정보보호네트워크정책관이 29일 서울 종로구 정부서울청사에서 KT 네트워크 장애 원인분석 결과 브리핑을 하고 있다. 2021.10.29. kmx1105@newsis.com

[서울=뉴시스] 김명원 기자 = 홍진배 과학기술정보통신부 정보보호네트워크정책관이 29일 서울 종로구 정부서울청사에서 KT 네트워크 장애 원인분석 결과 브리핑을 하고 있다. 2021.10.29. [email protected]

그러나 이번에 잘못된 디도스 분석으로 체면을 구기게 됐다. 정작 자사 네트워크는 제대로 관리하지 못하면서 타 기업에 보안서비스를 판매하는 상황이 연출된 것이다. 이로써 구현모 대표가 강조해온 KT의 ABC(인공지능·빅데이터·클라우드) B2B(기업간 거래) 사업 역량도 신뢰를 잃게 됐다. 그간 KT는 클라우드, IDC, 네트워크를 모두 제공할 수 있는 국내 유일의 DX 사업자로서 기업들이 복잡한 하이브리드 클라우드에 최적화된 맞춤형 서비스를 제공하고 있다고 홍보해왔다.

한 업계 관계자는 "디도스 공격으로 네트워크 장애가 발생한다면 통신사 입장에선 굴욕적이다. 보안이 어떻길래 전국 망에 장애가 발생할 수 있냐는 말이 나올 수 있다"며 "네트워크 장애 초기엔 많은 이용자들이 재접속을 시도하기 때문에 트래픽이 증가해 디도스로 오인할 수도 있다. 다만 KT가 너무 섣부른 판단으로 외부에 발표한 것 같다"고 말했다.

한편 과기정통부는 이번 KT 사태의 정확한 원인을 파악하기 위해 ▲DNS서버에 발생했던 급격한 트래픽 증가가 분산서비스거부공격(DDoS)이었는지 ▲라우팅 오류가 어떻게 발생했고 장애확산이 됐는지 등을 분석했다.

통상적으로 디도스 공격은 ①1개의 IP가 다량의 도메인 또는 비정상 도메인을 DNS 서버에 질의하는 시스템 자원 공격 ②대량의 네트워크 패킷을 DNS 서버에 전송해 서비스 대역폭을 채우는 네트워크 대역폭 공격의 두가지 유형을 보이게 된다. 조사반은 각 유형별 해당여부를 패킷, 트래픽 분석 등을 통해 조사했다.

조사반이 시스템 자원 디도스 공격과 관련해패킷을 분석한 결과, 당시 개별 IP의 DNS 질의는 최대 15개 이내 수준으로, 다량의 도메인 질의는 없었다. 통상 디도스 공격 시 개별 IP에서 수백~수천 개의 질의가 발생한다. 또한 네이버, 다음 등 정상적인 도메인 질의 이력만 존재했고, 비정상적인 도메인의 반복적인 질의도 없었던 것으로 파악됐다.

아울러 네트워크 대역폭 공격과 관련해 트래픽 분석을 실시한 결과, 중앙 1차 DNS서버 대역폭의 최대 8%, 부산 DNS 서버 대역폭의 28% 규모의 트래픽 유입만 있어서 대역폭 대비 충분히 수용가능한 수준으로 네트워크 대역폭 공격은 아닌 것으로 판단됐다.

결론적으로 과기정통부는 "DNS 서버에 대한 트래픽 증가는 있었지만, 시스템 자원 디도스 공격 및 네트워크 대역폭 공격은 확인되지 않았다"고 밝혔다.

◎공감언론 뉴시스 [email protected]