UPDATED. 2024-03-28 16:55 (목)
“KT 사고, 라우팅 경로 설정 오류 전국으로 무방비 확대”
“KT 사고, 라우팅 경로 설정 오류 전국으로 무방비 확대”
  • 최아름 기자
  • 승인 2021.10.29 20:32
  • 댓글 0
이 기사를 공유합니다

과기정통부
KT 네트워크 장애 원인분석 결과 발표

“외부 디도스 공격 아냐”
네트워크 안정성 확보 TF 구성
관리‧기술적 점검체계, 보상방안 마련
조경식 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사 본관 브리핑룸에서 'KT 네트워크 장애 원인분석 결과' 관련 브리핑을 하고 있다. [사진=과기정통부]
조경식 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사 본관 브리핑룸에서 'KT 네트워크 장애 원인분석 결과' 관련 브리핑을 하고 있다. [사진=과기정통부]

[정보통신신문=최아름기자]

과학기술정보통신부가 29일 지난 25일 발생한 KT 네트워크 장애 사고와 관련한 원인 분석 결과를 발표했다. 과기정통부는 부산국사 라우터 교체 작업 중 스크립트 명령어 누락으로 설정된 잘못된 라우팅 경로가 전국으로 확산되면서 벌어진 사고라며, 다음주 전문가로 구성된 TF 마련을 통해 재발 방지 대책에 나선다고 밝혔다.

이번 KT 네트워크 장애사고는 25일 11시 16분경부터 시작돼, DNS 트래픽 증가에 이어, 네트워크 장애가 발생했고, 12시 45분경 KT의 복구조치가 완료돼 약 89분의 서비스 장애가 발생했다.

사고조사반은 이번 네트워크 장애사고의 원인을 파악하기 위해 DNS서버에 발생했던 급격한 트래픽 증가가 분산서비스거부공격(이하 DDoS)이었는지, 라우팅 오류가 어떻게 발생했고 장애확산이 됐는지 등을 면밀하게 분석했다.

DDoS 공격은 1개의 IP가 다량의 도메인 또는 비정상 도메인을 DNS 서버에 질의하는 시스템 자원 공격과, 대량의 네트워크 패킷을 DNS 서버에 전송해 서비스 대역폭을 채우는 네트워크 대역폭 공격의 두가지 유형을 보이게 된다.

시스템 자원 DDoS 공격과 관련해, 조사반의 패킷분석 결과, 당시 개별 IP의 DNS 질의는 최대 15개 이내 수준(중앙 1차 DNS 기준)으로, 다량의 도메인 질의는 없었다. 통상 DDoS 공격 시, 개별 IP에서 수백, 수천 개의 질의가 발생한다.

또한 네이버, 다음 등 정상적인 도메인 질의 이력만 존재했고, 존재하지 않는 비정상적인 도메인의 반복적인 질의도 없었던 것으로 파악돼, 시스템 자원 DDoS 공격은 없었던 것으로 분석됐다.

네트워크 대역폭 공격과 관련해 트래픽 분석을 실시한 결과 중앙 1차 DNS서버 대역폭의 최대 8%, 부산 DNS 서버 대역폭의 28% 규모의 트래픽 유입만 있어서 대역폭 대비 충분히 수용가능한 수준으로 네트워크 대역폭 공격은 아닌 것으로 판단됐다.

결론적으로, DNS 서버에 대한 트래픽 증가는 있었지만, 시스템 자원 DDoS 공격 및 네트워크 대역폭 공격은 확인되지 않았다.

이번 사고 로그기록을 분석한 결과, 부산국사에서 기업 망 라우터 교체 작업 중, 작업자가 잘못된 설정 명령을 입력했고, 이후 라우팅 오류로 인해 전국적인 인터넷 네트워크 장애가 발생한 것으로 분석됐다.

인터넷 서비스가 제공될 때, PC・스마트폰 등 개인의 접속단말은 지역라우터, 센터라우터 등을 거쳐 국내외 네트워크로 연결되는데, 정상적인 연결을 위해서는 이용자 단말과 접속 대상 IP 주소 사이에 있는 다수의 라우터의 경로정보가 필요하다.

라우터는 네트워크 경로정보를 구성하기 위해 최신의 경로정보를 라우터끼리 교환(업데이트)하는 프로토콜을 사용하는데, KT 네트워크와 외부 네트워크 경로 구성에는 외부 라우터와 경로정보를 주고받는 BGP(Boarder Gateway Protocol) 프로토콜을 사용하고, KT 내부 네트워크 경로 구성에는 IS-IS(Intermediate System to Intermediate System) 프로토콜을 사용한다.

작업자의 작업내역을 확인한 결과, 사고발생 라우터에 라우팅 설정명령어 입력과정에서 IS-IS 프로토콜 명령어를 마무리하는 부분에서 ‘exit’ 명령어를 누락해 빠져나오지 못했으며, 이로 인해, BGP 프로토콜에서 교환해야 할 경로정보가 IS-IS 프로토콜로 전송됐다.

통상 1만개 내외의 정보를 교환하는 IS-IS 프로토콜에 수십만개의 BGP 프로토콜의 정보가 잘못 업로드되면서, 라우팅 경로에 오류가 발생하게 된 것이다.

IS-IS 프로토콜 내의 라우터들은 상호간의 정보 최신화를 위해 자동으로 데이터를 주고받는데, 부산 지역라우터에 잘못된 라우팅 경로가 설정된 이후, 다른 지역의 IS-IS 라우터 등에도 잘못된 업데이트 정보가 전달됐다.

KT 네트워크 내에 있는 라우터들을 연결하는 IS-IS 프로토콜은 잘못된 데이터 전달에 대한 안전장치 없이 전국을 모두 하나로 연결하고 있고, 결국 한 개 라우터의 잘못된 라우팅 경로 업데이트가 전국의 라우터에 연쇄적으로 일어나서 장애가 전국적으로 확대됐다.

또한 조사반은 당초 KT 네트워크관제센터가 야간작업(26일 01시~06시)을 승인했으나, 작업이 25일 주간에 수행되는 과정에서 장애가 발생하게 됐던 것으로 확인했다.

작업 관리자 없이 KT 협력업체 직원들인 작업자들끼리만 라우팅 작업을 수행하는 등 작업오류를 방지하기 위한 작업관리체계가 부실했으며, 네트워크가 연결된 채로 작업이 이루어진 것으로 확인했다.

기술적으로는 라우팅 작업계획서상의 라우팅 설정 명령어 스크립트에서 IS-IS 프로토콜을 종료하는 ‘나가기(exit)’ 명령어가 누락됐으나 스크립트 작성과정 및 사전 검증 과정에서 발견하지 못했다.

또한, 네트워크가 차단된 가상 상태에서 오류 여부를 사전에 발견하기 위한 가상 테스트베드가 없었고, 지역에서 발생한 오류가 전국으로 확산하는 것을 차단할 수 있는 시스템도 부재했다.

사건 경과를 보면, 11시 16분에 트래픽이 급증하기 시작했고, 11시 20분에 KT에서 인터넷 장애를 인지하고 40분경 정부에. 신고한 것으로 드러났다. 11시 44분경 KT에서 디도스 공격이 아닌 라우팅 오류로 통보, 11시 56분에 2단계 경보를 발령하고, 57분에 복구가 진행되기 시작해 12시 45분에 복구 조치가 완료됐다.

과기정통부는 이번 조사결과를 바탕으로, 주요통신사업자 네트워크의 생존성·기술적·구조적인 대책이 담긴 ‘네트워크 안정성 확보방안’을 마련해 다음주 전문가로 구성된 TF를 구성할 계획이다.

조경식 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사 본관 브리핑룸에서 'KT 네트워크 장애 원인분석 결과' 관련 브리핑을 하고 있다. [사진=과기정통부]
홍진배 과학기술정보통신부 정보보호네트워크정책관이 29일 서울 종로구 정부서울청사 본관 브리핑룸에서 'KT 네트워크 장애 원인분석 결과' 관련 브리핑을 하고 있다. [사진=과기정통부]

네트워크 안정성 단기 대책으로는 먼저 주요통신사업자의 네트워크 작업체계, 기술적 오류확산 방지체계 등 네트워크 관리체계를 점검하고, 주요통신사업자가 네트워크 작업으로 인한 오류여부를 사전에 진단할 수 있는 시뮬레이션 시스템을 도입한다.

또한 주요통신사업자가 승인된 작업계획서의 내용 및 절차가 준수되는지에 대해 네트워크관제센터에서 기술적 점검 체계를 구축토록 하고, 라우팅 설정오류로 인한 피해를 최소화하기 위해, 주요통신사업자가 라우팅 작업을 할 때 한 번에 업데이트되는 경로정보 개수를 일정 수준 이하로 제한 등이 검토될 계획이다.

중장기 대책으로는, 주요통신사업자의 통신장애 대응 모니터링 체계 강화, 네트워크 안정성과 복원력을 높이는 기술개발, 안정적인 망 구조 등 네트워크의 생존성 확보를 위한 구조적 대책 마련 등도 추진할 예정이다.

이용자들의 피해를 보상하기 위해 KT는 이용자 피해현황 조사 및 피해구제 방안 마련을 추진하고, 방송통신위원회는 이용자 피해구제 방안 이행여부를 점검할 예정이다.

또한 방통위는, 통신장애 발생시 실효성 있는 피해구제를 위한 법령 및 이용약관 등 개선방안 마련을 검토할 계획이다.

3년 전에 KT 아현국사 화재 사고와 같은 소잃고 외양간 고치는 식의 늦장 대책이 반복되는 이유에 대해 홍진배 과기부 정보보호네트워크정책관은 “3년 전 물리적 차원 사고와 달리 이번 사고는 시스템 전체 장애 사고로 지금부터의 대응이 중요하다고 생각한다”고 말했다

피해 구제와 관련해서는 이소라 방통위 이용자보호과장은 “가장 중요한 것은 먼저 KT에서 들의 피해를 정확하게 파악하는 것으로, 현재 접수창구가 어쨌든 민원접수를 통해서 접수를 받고 있는 상태고, 조만간 별도 창구를 통해서 현황을 더 면밀하게 파악할 것”이라고 밝혔다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 함정기
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2024-03-28
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2024 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
한국인터넷신문협회 인터넷신문위원회 abc협회 인증 ND소프트