최근 미국내 인터넷 백본 트래픽을 중국 국영통신사에 의해 '가로채였다'고 주장하는 미국 군사교육기관 및 이스라엘 국립대학교의 연구내용을 일부 동조하는 견해가 나왔다.
출처는 미국 IT업체 오라클의 인터넷 관련 사업부다.
미국 지디넷은 6일(현지시간) 오라클 '인터넷인텔리전스(Internet Intelligence)' 조직의 공식블로그를 인용하며 "오라클이 중국의 서방국가 인터넷 백본 하이재킹 행위를 고발하는 내용을 포함해 2주전 발행된 학술논문의 발견 중 일부를 확인했다(confirms)"고 보도했다.
인터넷인텔리전스는 과거 '딘(Dyn)'이라 알려진 도메인네임시스템(DNS) 서비스업체의 연구조직이다. 딘은 2년전 오라클에 인수됐다. [☞원문보기]
문제의 2주 전 발행된 학술논문은 미국 해군참모대학교(U.S. Naval War College)와 이스라엘 텔아비브대학교(Tel Aviv University) 소속 공동연구자가 작성했다.
논문을 통해 연구자들은 중국 인터넷서비스제공자(ISP)인 차이나텔레콤이 통상 폐쇄적으로 돌아가는 그 인터넷인프라를 통해 대륙간 트래픽을 가로채고(hijacking) 멀리 돌아가게(detouring) 만들었다고 지적했다.
논문 내용이 알려진 이후 일부 보안전문가는 그런 지적에 이의를 제기하기도 했다. 공동연구자들이 해당 분야에 공신력을 갖춘 기관이나 조직에 소속되지 않은데다가, 논문에 '중국의 사이버첩보활동'이라든지 '중국이 2015년 미중사이버협정을 우회하는 방안으로 트래픽 가로채기 수법을 동원했다'는 식으로 단정하긴 어려우면서 정치적으로 민감한 주제를 여럿 언급했기 때문이다.
그러다 지난 5일 오라클 인터넷인텔리전스 공식블로그에 더그 매도리 인터넷분석(Internet Analysis) 담당 디렉터가 작성한 포스팅이 게재됐다. 차이나텔레콤이 실제로 인터넷 트래픽을 잘못 전달하는 데 관여한 것은 사실이라는 내용을 포함하고 있었다. [☞오라클 인터넷인텔리전스 원문 바로가기]
글에서 매도리 디렉터는 "해당 행위의 동기가 어떻다고 얘기한 논문 주장을 그대로 제기할 생각은 없지만, 차이나텔레콤이 (의도했든 않았든) 최근 몇년간 (미국외 지역을 포함한) 인터넷트래픽을 오도했다(misdirected)는 주장은 진실"이라며 "내가 이걸 아는 이유는 2017년에 그걸 멈추게 하려고 많은 노력을 기울였기 때문"이라고 덧붙였다.
그가 '트래픽 가로채기'라 지칭한 행위는, 미국내 BGP 트래픽에 이뤄진 라우팅 경로 변조를 의미한다. BGP는 인터넷의 자율시스템(AS)간 사용되는 대표적인 라우팅 프로토콜이다. AS는 라우팅 및 보안정책이 동일한 네트워크를 구성하는 시스템으로, 자율시스템번호(ASN)라는 고유번호를 통해 식별된다.
매도리 디렉터에 따르면 'AS4134'라는 ASN값이 부여된 차이나텔레콤의 AS가 이런 상황을 유발했다. 그는 차이나텔레콤의 네트워크가 미국내 ISP간 인바운드 트래픽 경로에 끼어들었다고 결론내렸다.
매도리 디렉터의 설명에 따르면 차이나텔레콤의 BGP 라우팅은 주로 미국내(US-to-US) 트래픽을 가로채, 그게 목적지로 가기 전에 중국에 들르게끔 만드는 방식으로 진행됐다. 그는 예시로 미국 서부(LA)에서 동부(워싱턴DC)로 보낸 패킷이 곧바로 전달되지 않고 중국을 거쳐서(LA→상하이→홍콩→워싱턴DC) 전달되는 과정을 그린 도안을 제시했다. 도안은 이 과정을 '라우팅 누출(Routing leak)'이라 표현했다.
BGP 트래픽 가로채기는 실제 네트워크 이용자에게 어떤 피해를 줄 수 있을까.
익명을 요구한 국내 인터넷인프라 전문업체 관계자는 "일반적으로, BGP 하이재킹을 당하면 (그 주체에) 트래픽 모니터링을 당할 위험이 있다는 것이 가장 치명적"이라며 "(차이나텔레콤이 의도적으로 그랬다면) 가로챈 트래픽의 내용을 세세히 들여다볼 수 있었을 것"이라고 설명했다.
이 관계자는 "다만 이(앞서 공개된 논문과 오라클 블로그의) 내용은 매우 단편적인 자료만을 언급하고 있어서 (의도적인 트래픽 모니터링이 있었다고) 확증할 수는 없는 수준"이라며 "확실한 판단을 하려면 더 상세한 자료를 검토해야 한다"고 덧붙였다. 실제로 중국이 특정기간 미국의 BGP 트래픽을 가로채 들여다보고 있었다고 단언할만한 상황은 아니란 얘기다.
관련기사
- 안드로이드-iOS 노린 가짜 페북·크롬 앱 악성코드 확산2018.11.07
- "HTTPS 적용된 불법사이트도 접속차단"2018.11.07
- 이더리움 15만달러 도난…DNS·BGP 취약점 악용2018.11.07
- "DNS 공격 피해 규모·사례 커진다"2018.11.07
차이나텔레콤의 트래픽 가로채기는 처음이 아니다. 매도리 디렉터는 지난 2015년 12월 한국의 ISP인 SK브로드밴드가 비슷한 일을 당했다고 소개했다. 미국 지디넷은 최근 BGP 가로채기 사건이 꾸준히 증가 추세라 BGP 프로토콜을 보호하려는 움직임이 전반적으로 강화돼 왔다고 평했다.
매도리 디렉터는 이런 인터넷 트래픽 가로채기를 처음부터 방지할 방안으로 '공개키기반 인터넷주소자원 인증(RPKI)'같은 BGP 프로토콜용 보안표준을 지원하라고 권고했다. RPKI 기반 AS 경로 검증 관련 국제 인터넷기술 표준화기구(IETF) 표준 제정 작업이 진행중이고, 이 기법이 보급되면 검증되지 않은 AS 경로를 전파하는 BGP 프로토콜을 배제할 수 있게 된다는 설명이다.
