'전국 먹통 사태' 또 온다면…재발 막는 예방책, 한국엔 없다

KISA "국내 RPKI 적용률 0%대…OECD 꼴찌"

박정섭 한국인터넷진흥원(KISA) 인프라보호단장./사진제공=한국인터넷진흥원

# 2008년 파키스탄텔레콤은 유튜브에 이슬람교 창시자 무함마드를 모욕하는 영상이 올라오자 접속경로를 납치(하이재킹)하는 방식으로 자국의 유튜브 접속을 차단했다. 이 접속경로 정보는 인접국 통신망으로 퍼져 전세계 유튜브 접속장애를 유발했다.

# 2022년 2월 카카오는 QR체크인 서비스 장애를 접속경로 교란에 따른 결과로 판단했다. 자사 서버로 유입될 신호를 제3자가 고의 혹은 실수로 가로채 서비스가 차질을 빚었다는 이유다. 카카오는 사고경위 파악을 위해 경찰에 고소장을 제출했다.

인터넷 접속교란을 예방하는 '인터넷주소자원 공개키 기반 인증'(RPKI)의 국내 적용률이 주요국 최하위권에 머문 것으로 나타났다. 8일 한국인터넷진흥원(KISA)에 따르면 지난해 11월 한국의 RPKI 적용률은 0.27%에 그쳤다. 경제협력개발기구(OECD) 38개국 중 꼴찌다. 미국은 69.37%, 일본은 39.56%, 중국은 21.94%, 브라질은 2.12%를 기록했다.

인터넷은 통신을 원하는 사용자·서버에 그물처럼 연결된 전세계 라우터들이 접속경로를 안내하는 방식으로 동작한다. 라우터들은 각국의 통신사·기업·기관 등이 AS(자율시스템) 단위로 묶어 통제한다. 사용자·서버가 자신의 AS 바깥의 상대방을 향해 통신을 요청할 경우 AS는 일단 다른 AS로 옮겨가는 경로를 제공한다.

서울시청에서 부산시청으로 향하는 차량이 먼저 부산에 닿을 수 있도록 경부고속도로부터 안내하는 식이다.

AS들은 통신규약인 BGP(경계경로프로토콜)를 따르고 실시간 전파를 통해 최신 접속경로를 기억하도록 설계됐다. BGP는 1990년대부터 쓰였지만 AS가 잘못된 경로정보를 전파할 경우 대규모 통신장애를 유발한다. 이를 해결하기 위해 국제사회에선 2010년대 RPKI를 도입, BGP 통신에 경로원점인증서(ROA)를 요구하기 시작했다. ROA에는 자격 있는 기관이 경로정보를 전파했는지 확인할 수 있는 인증정보가 담긴다.

RPKI는 해외에서 성과를 내는 추세다. 2022년 러시아-우크라이나 전쟁 발발 당시 러시아가 거짓 BGP 통신으로 X(옛 트위터) 접속방해를 시도하자 트위터가 ROA 등록으로 저지한 사건이 대표적이다. 미국 정부는 지난해 3월 '국가사이버보안전략'에 BGP 취약점 해결을 전략목표로 명시했고 네덜란드 정부는 같은해 5월 모든 정부망에 RPKI를 적용키로 했다.

하지만 국내는 RPKI 도입이 더디다. 인터넷 이용자의 대다수가 연결된 주요 AS는 통신사들이 관리하는데 이들은 설정변경 이후 통신장애 발생 우려와 비용문제 등을 이유로 작업을 미루고 있다. KISA와 과학기술정보통신부는 테스트베드(실험실)·인증기관 구축 등을 위한 예산 100억원을 신청했지만 기획재정부는 2025년 예산안에 이를 전부 반영하지 않은 것으로 전해졌다.

박정섭 KISA 인프라보호단장은 "그간 국내에선 RPKI 대신 통신사의 자체 AS 관리정책으로 안정적 인터넷을 제공했지만 미국 등 주요국이 RPKI 미적용 BGP 통신을 차단하면 문제가 될 수 있다"고 밝혔다. 이어 "시스템에 어떤 장애가 발생할지 모른다는 우려가 RPKI 도입지연에 많이 작용하는 것같다"고 말했다.

라우터들이 모인 자율시스템(AS)과 AS끼리 최신 접속경로를 전파하는 경계경로프로토콜(BGP)의 개념도./사진제공=한국인터넷진흥원

성시호 기자 shsung@mt.co.kr

ⓒ 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지