러시아의 국영 통신사인 로스텔레콤에서 벌어진 일...고의일수도, 실수일수도
BGP 기술 구조상 고의와 실수 분간하기 어려워...양자 컴퓨터 나오면 큰 사건 될 것

[보안뉴스 문가용 기자] 러시아의 국영 통신사인 로스텔레콤(Rostelecom)이 구글, 아마존, 페이스북, 클라우드플레어 등을 포함한 200여개의 조직에서부터 발생하는 트래픽을 러시아에 있는 자사 서버들로 우회시키는 일이 4월 1일에 발생했다. 사고일 수도 있고 아닐 수도 있다.


인터넷 트래픽을 제어하고 관리하는 요소 중에 BGP라는 것이 있다. 경계 경로 프로토콜이라고도 하며, 외부 라우팅 프로토콜이라고도 한다. BGP는 인터넷 트래픽이 어떤 경로로 움직이는지 제어한다. 특히 한 개의 자율 시스템(AS)에서 다른 AS를 거쳐 최종 목적지까지 도달하도록 하는 것이 바로 BGP다. 이 AS들에는 고유 번호가 지정되는데, 2020년 2월을 기준으로 전 세계에 9만 4천여 개의 AS들이 존재한다. 트래픽이 갈 수 있는 경로가 무수히 많다는 건데, 이 중 가장 효율적인 걸 결정하는 게 BGP다.

BGP가 활성화 되어 있는 장비들은 자신들이 어떤 경로로 트래픽을 처리할 수 있는지를 광고한다. 즉 AS와 바로 인근의 AS끼리 라우팅 정보(경로 정보)가 공유된다는 것이다. 이를 통해 가장 효율적인 경로가 계산된다. 하지만 이 BGP라는 건 대단히 오래된 기술이다. 1989년에 처음 만들어졌으며, 94년부터 사용되기 시작했다. 보안이라는 것이 필요 없던 시절에 만들어진 것이다. 제로 트러스트가 아니라, 트러스트가 가득한 시대의 유산이다. 그렇기 때문에 경로 정보를 별 다른 점검 없이 그대로 수용한다.

BGP 하이재킹 공격이 가능한 건 바로 이 때문이다. BGP 장비를 통해 가짜 정보를 송출해 인터넷 전반에 퍼트리는 건 생각보다 간단한 일이다. 또한 실수로도 많이 발생한다. 단순 타이핑 실수로도 인터넷 트래픽 경로 정보 전체가 뒤바뀌기도 한다. 따라서 어디선가 인터넷 경로 변경이 일어났을 때 단순 실수인지 의도적인지 구분한다는 게 거의 불가능하다. 러시아 통신사 사태가 실수인지 고의인지 알 수 없는 것도 이 때문이다. 물론 로스텔레콤의 경우 2017년 주요 금융 기관들의 트래픽을 ‘실수로’ 가로챈 전적이 있기도 하지만 말이다.

하지만 이번 사건의 경우 의심이 들게 하는 요소가 하나 더 있다. 바로 인터넷 라우팅 등록소(Internet Routing Registry, IRR)가 바로 그것이다. IRR이란 전 세계로 배포되는 경로 정보 데이터베이스다. 네트워크 사업자들은 라우팅 정책과 정보를 IRR을 통해 공개한다. 이론적으로는 이 IRR이 있어 광고되고 있는 경로 정보가 제대로 된 것인지 아닌지 확인할 수 있다. 그렇기에 이번 로스텔레콤 하이재킹 사건 역시 IRR 데이터베이스와의 대조로 어느 정도 윤곽을 잡을 수 있는데, 하필이면 사건이 터진 그날 2699개의 ‘경로 출처 허가(ROA)’ 기록이 삭제되었다.

IRR을 관리하는 건 ‘유럽 IP 네트워크(RIPE)’라는 조직인데, 이 기록들에 대해 미리 정해진 규정에 의해 자동으로 삭제된 것이라고 발표했다. 일반적으로 일어나는 일 중 하나였다는 것이다. 엔지니어들이 데이터 복구를 시도할 수 있다고도 했는데, 아직까지 복구 소식은 없다. 만약 로스텔레콤 측에서 트래픽을 일부로 우회시켰다면, RIPE의 운영 상황을 미리 파악해 자신들의 목적에 맞게 활용했다고 볼 수 있다.

실수인지 고의인지 구분이 가지 않는, 그러므로 의심만 계속해서 쌓이는, BGP 하이재킹 사건이 생기자 매너스(MANRS)라는 프로그램이 생겼다. ‘라우팅 보안을 위한 상호 동의 규범(Mutually Agreed Norms for Routing Security)’의 준말로, 이론 상 전 세계 통신사와 네트워크 사업자들이 이를 도입할 경우, 실수로 BGP 하이재킹 효과를 내는 건 불가능하게 된다. 물론 아직 매너스가 세계적으로 충분히 도입된 상황은 아니다.

그렇다면 구글, 아마존, 페이스북과 같은 서비스의 트래픽을 로스텔레콤의 서버로 우회시켰을 때 로스텔레콤이 얻어가는 이득은 무엇일까? 이런 서비스들의 트래픽은 암호화 되어 있기 때문에 내용을 들여다 볼 수도 없는데 말이다. 전문가들은 시간을 좀 투자해 복호화 하는 것도 가능하고, 내용을 몰라도 메타데이터를 수집해 악의적으로 활용하는 게 가능하다고 지적한다. 특히 9개월 남은 미국 대선에 대비해 여론을 조작한다고 했을 때, 페이스북 트래픽의 메타데이터로도 충분한 공격을 할 수 있다고 한다.

또한 암호화만을 믿고 BGP 하이재킹에 대처하지 않는 것도 위험할 수 있다. 양자 컴퓨터가 곧 등장할 것이기 때문이다. 양자 컴퓨터는 현존하는 암호화 알고리즘을 빠르게 무력화시킬 것으로 예상되고 있다. 이번 사건이 실수든 고의든, BGP 하이재킹이 심각한 사태로 이어질 수 있다는 것 자체는 기억해야 할 필요가 있다.

한편 로스텔레콤은 내부 트래픽 최적화 시스템이 부정확한 경로 정보를 공공 인터넷으로 송출했다고 주장하고 있다. 역시 내부의 누군가가 한 일이 아니라 시스템이 자동으로 일을 처리하는 과정에서 발생한 오류라는 것이다. 또한 IRR에서 삭제된 기록들과 우회된 트래픽 사이에 어떠한 연관성도 없어 보인다는 지적도 나오기 시작했다. 두 개의 사건이 우연히 겹친 것이지 누군가의 어두운 의도가 있을 가능성은 낮다는 주장이다.

그렇더라도 BGP 하이재킹이 발생했다는 건 분명한 사실이다. 이 BGP 하이재킹은 인터넷을 안전하게 지키기 위해서 반드시 넘어야 할 산이기도 하다. 누군가의 실수든 아니든 말이다.

3줄 요약
1. 만우절에 주요 트래픽이 러시아 서버들로 우회되는 사건이 발생.
2. 실수일까, 고의일까? BGP 구조상 정확히 구분하기는 어려움.
3. 실수든 고의든, BGP 하이재킹이 더 이상 발생하지 않도록 하는 것이 과제.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>