"인터넷 블랙아웃 원천 차단"..국가 DNS, 더 튼튼해졌다

전 구간 이중화.."가용성 99.9999% 목표"

(지디넷코리아=김윤희 기자)"최근 몇 달 사이 미국에서 전 산업 분야 온라인 서비스들이 한 시간 넘게 중단되는 사고가 잇따랐다. 이 사고로 아메리칸에어라인, 폭스뉴스, HSBC, 코스트코 등 유명 회사 서비스도 피해를 봤다. 서비스 자체 문제가 아니라, 그 앞단의 도메인네임시스템(DNS)에서 발생한 오류가 원인이었다. 네트워크 인프라에서 장애가 발생하지 않더라도, DNS 문제만으로 상당히 큰 피해가 나타날 수 있다. 이런 사고를 '인터넷 블랙아웃'이라고 표현한다."

임준형 한국인터넷진흥원(KISA) 인터넷주소기술팀장은 DNS의 안정성이 원활한 인터넷 서비스와 직결된다며 지난 3일 이같이 말했다.

임준형 KISA 인터넷주소기술팀장

DNS는 이용자가 접속하려는 인터넷 주소를 IP 주소로 변환해주는 시스템으로, 통신 상의 첫 관문이다. 국가별, 대륙별로 DNS가 관리되는 상황에서 KISA는 우리나라의 국가 도메인인 'kr' 주소에 대한 관리 업무를 수행하고 있다.

인터넷주소자원시스템 구성 및 이해관계자 현황

DNS 상태가 국내 인터넷 서비스 전반의 품질에 영향을 미치는 만큼, 무엇보다 안정성을 중시해 시스템이 운영되고 있다. KISA는 서비스 가용성 99.9999%를 목표로 DNS를 운영 중이다. 이는 연간 서비스 중지 시간 1분 미만으로 나타난다는 것을 뜻한다.

이같은 목표를 달성하기 위해 인터넷주소자원센터를 나주로 이전한 뒤 시스템 안정성을 강화했다. 네트워크를 비롯한 모든 체계를 이중화하고, DNS의 분산서비스거부(DDoS) 공격 방어 역량도 3배로 늘렸다. 백업 체계도 기존 수동 3중화 체계에서 5중화 자동 체계로 변경했다. 정전 시에도 서비스가 운영될 수 있도록 보완 체계를 구축하고, 지진 대비를 위한 내진 설비 및 방수 천정도 구축했다.

임준형 KISA 팀장은 "대형 클라우드 업체들이 보통 99.999%의 가용성을 추구하는데, 국가 DNS는 더 안정성을 갖춰야 하는 만큼, 더 높은 목표치를 정했다"며 "나주로 이전해 인터넷주소자원센터를 구축한 지 1년이 채 안 됐는데, 많은 부분을 이중화해 어떤 경우에도 서비스가 중지되지 않도록 하고 있다"고 했다.

안정성뿐만 아니라 처리 속도도 중요한 요소다. 인터넷 서비스의 첫 관문인 만큼, DNS의 처리 속도가 느리면 체감 통신 품질에도 영향을 주기 때문이다. DNS 상의 오류가 대규모 인터넷 장애로 번지는 것과 같은 맥락이다. 임 팀장은 "DNS를 거쳐야 5G, 10기가 인터넷 등의 고도화된 통신 서비스 기반 콘텐츠를 이용할 수 있다"며 "초저지연 통신이 구현되더라도 DNS에서 접속 지연이 발생하면 이용자는 통신 품질을 제대로 체감할 수 없다"고 설명했다.

DNS의 이런 막대한 영향력을 해킹 방어에도 활용한 사례가 있다. 지난 2017년 성행했던 랜섬웨어 '워너크라이', 작년 미국에서 광범위한 피해가 발생한 '솔라윈즈' 백도어 공격을 중지시키는 데 DNS가 활용됐다. 공격을 담당하는 도메인의 통신을 DNS가 차단, 추가 피해를 막을 수 있었다.

KISA에 따르면 지난 8월 기준 kr 주소 등록 건수는 약 110만개로, IP 주소 할당 개수는1억1천만개 수준이다. 초당 DNS 질의량은 약 3만건에 이른다. 코로나19 확산으로 인한 비대면 서비스 증가, 5G 이용 확대 등에 따라 질의량은 지속적으로 증가할 것으로 전망되는 상황이다.

이에 KISA는 통신사 인프라를 활용한 DDoS 방어 역량 강화, 대용량 질의 처리 능력 향상을 위한 프라이빗 클라우드 적용 등을 통해 DNS 서비스 안정화를 꾀하고 있다. DNS 운영 실태도 점검해 오류 발견 시 개선을 요청, 오류율을 지난 2014년 11%에서 작년 6.2%대까지 낮췄다.

김윤희 기자(kyh@zdnet.co.kr)