인터넷 경로 탈취, 위조 AS_PATH로 주요 기업 타겟...기초 검증이 방어책
클라우드플레어가 분석한 최근 BGP 경로 탈취 사건들에서 공격자들이 위조된 AS_PATH로 ISP들의 기초적 검증 부재를 악용하고 있음을 밝혔다. First AS 검증이라는 단순하지만 강력한 방어책이 많은 네트워크에서 아직 구현되지 않았음을 지적하며, 이를 즉각 도입할 것을 권장했다.
클라우드플레어가 최근 보안 블로그를 통해 인터넷 경로 탈취(BGP 하이재킹) 사건에서 발견되는 새로운 공격 패턴을 분석했다. 공격자들이 자신의 자율시스템 번호(ASN)를 숨기고 위조된 경로 정보(AS_PATH)를 삽입하는 방식으로, ISP들의 기초적인 검증 부재를 악용하고 있다는 분석이다.
Spamhaus가 최근 보고한 경로 탈취 사건들을 추적한 결과, 공격자들은 주로 사용되지 않는 ASN을 악용해 거짓 네트워크 경로를 만들어 트래픽을 리다이렉트하려 시도했다. 대표적인 사례가 프랑스 통신사 Orange S.A.의 IP 주소 대역(90.98.0.0/15)을 대상으로 한 공격인데, 분석 결과 공격자들이 완전히 위조된 AS_PATH를 구성했음이 확인되었다.
Orange가 소유한 미사용 ASN(AS41128)에서 멕시코 ISP, 호스팅 업체, 그리고 Tier 1 글로벌 네트워크를 거쳐가는 경로로 표기되어 있었다. 현실적으로 불가능한 구성이다. 더 놀라운 점은 클라우드플레어의 자체 ASN(13335)이 이 위조 경로에 포함되었다는 것인데, 실제로는 클라우드플레어가 해당 원본 AS(AS36429)와 직접 연결되어 있지 않다. 결국 모든 탈취된 트래픽은 Gcore라는 호스팅 업체가 시카고에서 운영하는 네트워크로 집중되었다.
BGP(국경 게이트웨이 프로토콜)는 인터넷의 핵심 라우팅 프로토콜로, 각 AS(자율시스템)가 다른 AS와 통신할 때 경로 정보를 주고받는다. AS_PATH는 패킷이 거쳐가는 모든 네트워크의 기록으로, 배송 추적 시스템처럼 작동한다. 이 경로는 최적 라우팅 선택, 루프 방지, 그리고 운영자의 정책 기반 라우팅에 사용된다.
문제는 BGP가 신뢰 기반으로 설계되었다는 점이다. AS_PATH는 쉽게 조작될 수 있다. AS prepending처럼 정당한 트래픽 관리 목적으로 경로를 길게 만들 수도 있고, 공격자처럼 경로를 단축시켜 인위적으로 트래픽을 끌어당기거나 원본 주소 공격(origin attack)을 수행할 수도 있다.
이를 막기 위해 ASPA(자율시스템 공급자 인증)와 RPKI-ROV(리소스 공개 키 인프라-경로 원본 검증) 같은 암호학 기반 보안 메커니즘이 개발됐다. 하지만 공격자들은 ASPA와 ROA로 서명된 정당한 원본 AS나 상위 AS만 경로에 포함시킴으로써 이들을 우회할 수 있다.
해결책은 오래 전부터 BGP에 내장되어 있다: **First AS 검증(First AS Checking)**이다. 이는 ISP나 네트워크 운영자가 BGP 피어로부터 받은 경로 정보가 반드시 그 피어의 자신의 ASN으로 시작해야 한다는 기본 원칙이다. 즉, AS199524(Gcore)로부터 받은 경로는 AS199524로 시작되어야 하고, 만약 다른 ASN으로 시작된다면 거짓 경로라는 뜻이다.
클라우드플레어 팀이 여러 주요 네트워크에 대해 이 검증 메커니즘이 제대로 구현되어 있는지를 stress test한 결과, 상당수 네트워크가 First AS 검증을 제대로 시행하지 않고 있는 것으로 드러났다. Gcore를 포함한 일부 네트워크는 이 기본적인 검증 단계를 생략했을 가능성이 높다. 만약 이들이 First AS 검증을 엄격히 시행했다면, 위조된 모든 경로는 피어 단계에서 걸러져 상위 네트워크로 전파되지 않았을 것이다.
그럼에도 First AS 검증이 광범위하게 채택되지 않은 이유는 무엇인가? 한 가지는 구현 복잡도이다. 일부 라우터 소프트웨어는 이 기능을 기본으로 제공하지 않거나, 운영자가 명시적으로 활성화해야 한다. 또 다른 이유는 연쇄 책임의 모호함이다. 경로가 위조된 것을 감지해도, ISP 입장에서는 자신의 상위 네트워크가 이미 허용했다면 '이미 검증된 것 아닌가'라고 가정할 수 있다는 것이다.
하지만 클라우드플레어는 명확히 지적한다: "First AS 검증은 비용이 거의 없고 구현도 간단하며, 이런 기초적인 경로 조작 공격을 즉시 차단한다." 사실 RFC 7454(BGP Operations and Security) 같은 업계 가이드라인도 이미 이를 권장하고 있다.
이 기법의 가장 큰 의의는 암호학이 아닌 기초적 논리로 공격을 방어한다는 점이다. ASPA나 RPKI는 장기적으로 중요하지만, 배포에 시간이 걸린다. 하지만 First AS 검증은 지금 당장 모든 ISP가 활성화할 수 있는 방어책이다. 올해 계속되는 경로 탈취 사건들을 보면, 이 간단하면서도 강력한 기초 원칙의 중요성이 더욱 부각되고 있다.
한국의 ISP들 상황: 한국 주요 통신사(SKT, KT, LG U+)의 BGP 구현 현황은 공개 자료가 제한적이지만, 국제 피어링을 담당하는 네트워크 운영 팀이라면 이 가이드라인을 참고해 First AS 검증 설정을 점검할 필요가 있다. 글로벌 경로 탈취 사건이 증가하면서 국내 기업의 IP 대역이 공격 대상이 될 가능성도 무시할 수 없다.
편집 안내 | 이 기사는 AI 기술을 활용하여 글로벌 뉴스 소스를 분석·종합한 후, AIB프레스 편집팀의 검수를 거쳐 발행되었습니다. 정확한 정보 전달을 위해 노력하고 있으며, 원문 출처를 함께 제공합니다.
