"늘어가는 트래픽…대규모 사고 막으려면 라우팅인증 보안 필요"

[이데일리 최연두 기자] 대규모 네트워크 장애를 일으킬 수 있는 경계경로프로토콜(BGP) 취약성 공격을 예방하기 위해 국내도 라우팅인증(RPKI) 보안 방식을 도입해야 한다는 진단이 나왔다.

박정섭 한국인터넷진흥원(KISA)인프라보호단장(사진=KISA)

박정섭 한국인터넷진흥원(KISA) 인프라보호단장은 8일 이데일리와 만나 국내 인터넷서비스제공자(ISP)를 중심으로 RPKI 보급이 확대돼야 한다고 강조했다.

BGP는 네트워크 장치인 라우터가 최적의 연결 경로를 찾기 위해 활용하는 기본 원칙으로, 데이터가 이동할 수 있는 빠르고 효율적인 경로를 찾아 선택한다. 최종 이용자에 신속한 인터넷 서비스를 제공하는데 주요 역할을 하고 있다.

문제는 BGP가 설계될 당시 보안성은 고려하지 않았다는 점이다. 박정섭 단장은 “BGP는 서로 신뢰하는 사람들끼리 전시 등 위급 상황에서도 소통하는 것이 목표였기 때문에 보안에 대해선 고려되지 않았다”고 설명했다.

그러면서 “이 때문에 본인이 할당받지 않은 임의의 인터넷 프로토콜(IP) 대역도 전파할 수 있고 전달 받은 경로의 정보가 위·변조됐는지 등 여부를 확인할 수도 없다”고 지적했다.

KISA에 따르면 지난해 전 세계적으로 발생한 네트워크 사고는 약 1만1000건이었다. 이는 BGP 취약성 공격을 비롯해 라우팅 정보에서 문제가 생겨 장애가 난 총 사고 건수다. 이 중 대규모 인터넷 중단 사태를 야기한 사고는 월평균 180건이나 된다.

박 단장은 “이러한 네트워크 사고는 개인적으로는 금융 서비스를 이용하지 못하는 생활의 불편함이나, 비즈니스적으로는 (수익적으로) 큰 손해가 발생할 수 있다”고 짚었다.

국내에선 지난 2022년 2월 BGP 교란 행위로 카카오의 서비스가 한 시간 가량 차질을 빚었다. 이로 인해 카카오 QR체크인과 지도, 포털 등 서비스 이용이 어려웠다. 같은 해 KT 통신 장애도 라우터와 연관돼 있다. 부산지소에서 작업자가 기업 망 라우터 교체 시 설정 명령을 잘못 입력한 것이 원인이었다.

RPKI 전환이 필요한 이유다. RPKI는 IP나 자율 시스템(AS) 등 인터넷 자원과 보유기관의 정보를 공개키기반구조(PKI)로 전자서명 인증을 발급, BGP 경로 전파가 가능한 권한을 검증한다. 이미 미국과 호주, 일본 등 주요 국가는 RPKI를 적용한 필터링 체계를 갖췄다.

박 단장은 국내 RPKI 도입이 어려운 요인으로 △국내 ISP의 RPKI 인식 부족 △인터넷 서비스의 인프라 장비(라우터) 구성 변경으로 인한 장애 우려 △IP 주소 할당 정보와 실제 사용 라우팅 정보의 불일치 문제 등을 꼽았다.

다만 KISA에선 ISP사들에 RPKI의 필요성을 지속적으로 밝히고 있는 상황이다.

박정섭 단장은 “한류 문화의 인기가 높고 국내 업체의 해외 광고 사례가 많아지는 등 국내외 간 오가는 트래픽이 많은 상황에서 네트워크 보안 우려가 커지고 있다”면서 “최근 ISP와 다섯 차례 회의를 통해 이러한 내용을 전달했고 IT운영자 선에서 단순 실수로 인해 대규모 서비스 장애가 발생할 수 있다는 점도 인지시켰다”고 말했다.

RPKI 시스템 구축을 위해 약 100억원의 예산이 필요하지만, 내년 RPKI 도입에 투입된 예산은 없다. 박 단장은 “RPKI 보급 확대 등 독려하고 있지만, 전격 확대하기가 어려운 상황”이라며 “(배정된 예산이 없어) RPKI 테스트베드 운영 등의 추가적인 활동에 제한이 있어 아쉬움이 남는다”고 말했다.