데이터 라우팅 방해하는 BGP 유출로 트래픽 우회돼
러시아, 중국, 나이지리아 연루…공격이거나 실수이거나

[보안뉴스 문가용 기자] 일부 사용자들이 구글 서비스를 사용하지 못하게 되는 일이 발생했다. 이유는 BGP 유출이라고 하는데, 이 때문에 트래픽이 러시아, 중국, 나이지리아로 우회되었다고 한다. 아직은 이것이 설정 문제인지, 악의적인 공격으로 인한 것인지 확실하지 않다.


BGP는 경계 경로 프로토콜(Border Gateway Protocol)이라는 말로 인터넷에서 데이터가 라우팅되는 경로를 제어한다. 그러므로 BGP를 하이재킹하는 공격은 라우트 하이재킹(route hijacking)이라고 불리기도 한다. 또한 BGP 유출이란, 네트워크로 도달하는 경로가 저장된 라우팅 테이블의 오류를 통해 의도적으로나 실수로 IP 주소 그룹을 장악할 때 발생한다.

네트워크 모니터링을 전문으로 하는 보안 업체 사우전드아이즈(ThousandEyes)에 따르면 구글에서의 BGP 유출은 미국 현지 시각으로 월요일에 발생했으며, 구글 검색(Google Search), 지 스위트(G Suite), 여러 구글 클라우드(Google Cloud) 서비스들의 트래픽이 러시아의 통신 업자인 트랜스텔레콤(TransTelecom), 나이지리아의 인터넷 제공 업체인 메인원(MainOne), 중국의 차이나텔레콤(China Telecom)으로 라우팅됐다고 한다. 그러고 나서는 트래픽이 떨어지기 시작했다.

실시간으로 BGP 라우팅 정보를 관찰하는 업체 BGP몬(BGPmon)은 212개의 고유한 구글 프리픽스가 이 사건의 영향을 받았다고 발표했다. 사우전드아이즈는 일반 소비자용 인터넷 서비스 제공업자보다 비즈니스용 서비스 제공업자들에 영향이 있었다고 말한다.

“지 스위트와 구글 검색이라는 서비스가 대단위로 디도스 공격을 받은 것과 같은 효과가 있었습니다. 게다가 가치가 높은 구글 트래픽을 인터넷 검열과 감시를 하는 것으로 유명한 나라의 인터넷 서비스 업체들의 손에 쥐어줬다는 찜찜함도 남겼고요.” 사우전드아이즈가 자사 블로그를 통해 남긴 내용이다.

구글 서비스의 트래픽이 어떻게 하다가 그런 악명 높은 나라로 우회되어 마비까지 된 걸까? 누군가 공격을 한 것일까? 아니면 인터넷 서비스 업자들이 일으킨 사고일까? 사우전드아이즈는 아직 확실치 않다고 설명한다. 다만 BGP 하이재킹 공격에 안전한 조직은 한 군데도 없다는 게 이번 사건으로 잘 드러났다고 짚는다. 구글의 서비스마저 마비됐을 정도니 말이다.

사우전드아이즈의 분석에 의하면 유출이 가장 먼저 일어난 곳은 나이지리아의 메인원과 중국의 차이나 텔레콤이라고 한다. 둘 사이의 BGP 피어링 관계에서 최초의 유출이 발생한 것이다. 메인원의 경우는 라고스의 인터넷 교환소(IXPN)를 통해 구글과 직접 피어링 관계를 맺고 있었다. 즉 구글로 직접 라우팅이 가능한 상태에서 BGP가 차이나 텔레콤으로 유출된 것.

그 외에도 수상한 흔적들이 있었다. 태평양 표준시 기준 12시 45분에 구글 IP 주소 하나에서 의심스러운 행위가 발견됐고, 구글은 14시 35분에 문제를 해결했다고 발표한 것이다. 사우전드아이즈는 이 시간 동안 구글 서비스들은 정상적으로 작동했으며, 따라서 문제의 근원이 구글에 있을 확률은 매우 낮아 보인다는 의견이다. 하지만 구글은 내부 조사를 실시해 필요한 조치를 취하고 시스템을 향상시켜 앞으로 비슷한 일이 발생하지 않도록 노력하겠다고 고객들에게 알렸다.

이와는 별개 문제지만 차이나 텔레콤은 지속적으로 인터넷 트래픽을 하이재킹 해왔다는 의혹을 받고 있는 기업이기도 하다. 특히 미국에서 발생한 트래픽이 중국을 통해 전달되도록 했다는 보고서가 나오기도 했다.

3줄 요약
1. 구글 서비스 일부 마비되는 사태 발생함.
2. 문제의 원인은 BGP 유출. 트래픽이 중국, 러시아, 나이지리아로 우회된 것.
3. 구글 트래픽 가로채려는 누군가의 공격? 혹은 단순 ISP 설정 실수?
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>