러시아 국영 통신사 로스텔레콤이 글로벌 콘텐츠전송네트워크(CDN)와 클라우드 업체들이 처리하는 인터넷 트래픽을 가로채고 있다는 의혹이 제기됐다.
BGP몬 창립자인 앤드리 툰크는 5일(현지시간) 이 업체들이 운영하는 200개 이상 네트워크의 인터넷 트래픽 라우터 8천800개 이상이 로스텔레콤에 의해 리디렉션됐다고 주장했다. 이른바 'BGP 하이재킹'이다.
미국 지디넷은 "BGP 하이재킹은 HTTPS가 대중화되기 전 중간자 공격(MITM)을 위한 수단으로 악용됐다"며 "오늘날에는 해커들이 트래픽에 적용된 암호화 기술을 노려 트래픽을 분석, 복호화를 시도하기 때문에 여전히 위험하다"고 보도했다.
BGP몬은 서로 다른 네트워크 간 연결을 도와주는 프로토콜인 '경계경로프로토콜(BGP)' 라우팅 정보를 실시간으로 모니터링 하는 업체다. 시스코를 모회사로 뒀다.
이 회사에 따르면 이번 BGP 하이재킹은 지난 1일 감지됐다. 구글, 아마존, AWS, 아카마이, 클라우드플레어, 고대디, 디지털오션, 조이언트, 리스웹, 헤츠너, 리노드 등의 트래픽이 1시간 가량 영향을 받은 것으로 나타났다.
안드레 퉁크는 "하이재킹은 로스텔레콤 내부의 트래픽 셰이핑 시스템이 잘못된 BGP 경로를 공용 인터넷에 노출했다"며 "새로운 BGP 경로를 로스텔레콤 업스트림 업체가 얻을 때 모든 인터넷에 그것을 다시 뿌리면서 이 작은 실수가 상황을 악화시켰다"고 밝혔다.
그는 "나는 로스텔레콤이 다른 곳에 넘기려 했다고 생각하지 않는다"며 "다만 우연히 우리가 본 것은 그들의 네트워크 안에서 새롭고 특정한 접두사를 사용한다는 점이며, 트래픽 엔지니어링 이유일 수 있다"고 덧붙였다.
보안 전문가들은 모든 BGP 하이재킹이 의도적인 건 아니라고 설명한다. 운영자의 잘못된 자율시스템번호(ASN) 정보 입력 등 사람의 실수로 발생하는 경우가 대부분이란 것이다. 하지만, 일부 기업이 BGP 하이재킹으로 트래픽을 가로채 분석한다는 의혹은 계속 제기된다. 단순 사고가 아니라 의도적인 행위일 수 있다는 것이다.
미국 지디넷은 중국 국영 통신사 차이나텔레콤 사례를 들었다. 차이나텔레콤은 지난 2018년 11월 BGP 해킹을 통해 구글 트래픽을 중국, 러시아, 나이지리아로 우회하게 했다는 의혹을 받았다. 지난해 6월에는 스위스 데이터센터 임대 업체 세이프호스트의 트래픽을 가로챘다는 의혹이 제기됐다.
관련기사
- 미국, 스팸 줄이기 위해 '발신자 인증 통화' 전면 도입2020.04.06
- 오라클 "중국 '인터넷 트래픽 가로채기' 확인"2020.04.06
- 안드로이드-iOS 노린 가짜 페북·크롬 앱 악성코드 확산2020.04.06
- 이더리움 15만달러 도난…DNS·BGP 취약점 악용2020.04.06
로스텔레콤에 대한 BGP 하이재킹 의혹도 이번이 처음이 아니다. 지난 2017년 비자, 마스터카드, HSBC 등 금융 기업들의 BGP 하이재킹 의혹을 받았다.
BGP 하이재킹을 막기 위해 자원 공개 키 인프라(RPKI), 경로 출처 확인(ROV), 라우팅 보안을 위한 상호 동의 규범(MANRS) 등 BGP 보안 강화를 위한 기술들이 등장한 바 있다. 그러나 새 프로토콜 채택 과정이 느린 까닭에 이같은 사고가 지속적으로 등장하고 있다고 미국 지디넷은 전했다.