'인터넷 트래픽 납치' 국내 예방책 도입 제자리 걸음

성시호 기자 2024. 9. 8. 12:01
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

인터넷 접속교란을 예방하는 '인터넷주소자원 공개키 기반 인증(RPKI)'의 국내 적용률이 주요국 최하위권에 머문 것으로 나타났다.

8일 한국인터넷진흥원(KISA)에 따르면 지난해 11월 한국의 RPKI 적용률은 0.27%에 그쳤다.

이를 해결하기 위해 국제사회에선 2010년대 RPKI를 도입, BGP 통신에 경로원점인증서(ROA)를 요구하기 시작했다.

음성재생 설정
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

KISA "국내 RPKI 적용률 0%대…OECD 꼴찌"
박정섭 한국인터넷진흥원(KISA) 인프라보호단장./사진제공=한국인터넷진흥원


#2008년 파키스탄텔레콤은 유튜브에 이슬람교 창시자 무함마드를 모욕하는 영상이 게시되자 접속경로를 납치(하이재킹)하는 방식으로 자국의 유튜브 접속을 차단했다. 이 접속경로 정보는 인접국 통신망으로 퍼져 전 세계 유튜브 접속장애 사고를 유발했다.

#2022년 2월 카카오는 QR체크인 서비스 장애를 접속경로 교란에 따른 결과로 판단했다. 자사 서버로 유입될 신호를 제3자가 고의 혹은 실수로 가로채 서비스에 차질이 빚어졌다는 취지다. 카카오는 사고경위를 파악하기 위해 경찰에 고소장을 제출했다.

인터넷 접속교란을 예방하는 '인터넷주소자원 공개키 기반 인증(RPKI)'의 국내 적용률이 주요국 최하위권에 머문 것으로 나타났다.

8일 한국인터넷진흥원(KISA)에 따르면 지난해 11월 한국의 RPKI 적용률은 0.27%에 그쳤다. 경제협력개발기구(OECD) 38개국 중 꼴찌다. 같은 시기 미국은 69.37%, 일본은 39.56%, 중국은 21.94%, 브라질은 2.12%를 기록했다.

인터넷은 통신을 원하는 사용자·서버에게 그물처럼 연결된 전 세계 라우터들이 접속경로를 안내하는 방식으로 동작한다. 한국 대학원생이 모교 연구실에서 미국 대학 웹사이트에 접속을 시도한다면 대학·통신사 등의 라우터 수십개가 태평양 너머로 향하는 경로를 안내하게 된다. 라우터들은 각국 통신사·기업·기관 등이 자율시스템(AS) 단위로 묶어 통제한다.

사용자·서버가 자신의 AS 바깥의 상대방을 향해 통신을 요청할 경우, AS는 일단 다른 AS로 옮겨가는 경로를 제공한다. 서울시청에서 부산시청으로 향하는 차량이 먼저 부산에 닿을 수 있도록 경부고속도로부터 안내하는 식이다. AS들은 통신규약인 경계경로프로토콜(BGP)을 따르고 실시간 전파(Advertising)를 통해 최신 접속경로를 기억하도록 설계됐다.

라우터들이 모인 자율시스템(AS)과 AS끼리 최신 접속경로를 전파하는 경계경로프로토콜(BGP)의 개념도./사진제공=한국인터넷진흥원


BGP는 1990년대부터 쓰였지만, AS가 고의나 실수로 잘못된 경로정보를 전파할 경우 대규모 통신장애를 유발한다. 초기 인터넷은 서로 신뢰하는 군·연구기관 사이의 통신을 전제로 설계돼 안전장치를 갖추지 못한 탓이다. 이를 해결하기 위해 국제사회에선 2010년대 RPKI를 도입, BGP 통신에 경로원점인증서(ROA)를 요구하기 시작했다. ROA는 자격 있는 기관이 경로정보를 전파했는지 확인할 수 있는 인증정보가 담긴다.

RPKI는 해외에서 성과를 내는 추세다. 2022년 러시아-우크라이나 전쟁 발발 당시 러시아가 거짓 BGP 통신으로 X(옛 트위터) 접속방해(하이재킹)를 시도하자 트위터가 ROA 등록으로 저지한 사건이 대표적이다. 미국 정부는 지난해 3월 '국가사이버보안전략'에 BGP 취약점 해결을 전략목표로 명시했고, 네덜란드 정부는 같은 해 5월 모든 정부망에 RPKI를 적용하기로 결정했다.

하지만 국내에선 RPKI 도입이 더딘 실정이다. 인터넷 이용자 대다수가 연결된 주요 AS는 통신사들이 관리하는데, 이들은 설정변경 이후 통신장애가 발생할 우려와 비용문제 등을 이유로 작업을 미루고 있다. KISA와 과학기술정보통신부는 테스트베드(실험실)·인증기관 구축 등을 위한 예산 100억원을 신청했지만, 기획재정부는 2025년 예산안에 이를 전부 반영하지 않은 것으로 전해졌다.

박정섭 KISA 인프라보호단장은 "그간 국내에선 RPKI 대신 통신사의 자체 AS 관리정책으로 안정적인 인터넷을 제공했지만 미국·유럽 등 주요국이 앞으로 RPKI 미적용 BGP 통신을 차단하면 문제가 될 수 있다"며 "아쉬움이 남는다"고 밝혔다. 이어 "통신사 운영자나 운영책임자 선에선 필요성을 인식했고 언제든 실수할 수 있는 시스템이라는 것을 확인했다"며 "일하기 싫어서가 아니라 시스템에 어떤 장애가 발생할지 모른다는 우려가 RPKI 도입지연에 많이 작용하는 것 같다"고 말했다.

성시호 기자 shsung@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?