[녹색경제신문 = 우연주 기자] 한국인터넷진흥원(KISA)이 이슈앤톡 행사를 열고 인터넷 보안을 위한 RPKI(라우팅 인증)의 중요성을 강조했다. 인터넷이 디지털 시대의 인프라로 간주되는 만큼 기업과 정부의 관심이 필요하다는 지적이다.

박정석 KISA 인프라보호단장은 "농경사회에서는 우주와 땅이 관심사였다면 디지털 사회의 인프라는 50억여 명 인구가 사용하고 있는 네트워크다"며 "네트워크의 안정성을 떨어뜨리는 요소로 해커를 떠올릴 수 있지만 역사적으로 봤을 때 국가나 집단간의 이해 충돌은 네트워크상에서 그대로 발생할 수 있다"고 말했다.

인터넷과 네트워크가 삶에서 차지하는 비중이 커지는 만큼 통신 경로의 안정성에 대한 논의는 특정 기업에 국한될 문제가 아니라고 박 단장은 강조했다.

그는 "흔히 인터넷이라고 하면 모니터에 보이는 서비스들을 떠올리기 쉽다. 하지만 인터넷이란 내 앞의 기기, 이 기기들에 연결된 동축케이블, 그 위에 존재하는 개념인 프로토콜, 또 그 상위의 서비스, 그 상위의 정책이 연계가 돼 만들어진다. 이것이 디지털 시대의 형태"라고 말했다.

박 단장은 이어 "디지털 시대에서는 지구상에 존재하는 수조 개의 단말기(스마트폰, 컴퓨터 등 기기)를 정확히 식별해내고, 필요한 서버에 정확히 접속해서 신뢰할 수 있는 서비스를 받는 것이 중요하다. 이러한 통신 경로의 안정성 확보는 ISP 기업 차원의 이야기가 아니라 전 지구를 고려해야 할 이슈다"고 말했다.

박 단장은 'BGP 하이재킹'으로 불리는 경로 취약성 공격을 소개한 뒤 이를 예방할 수 있는 'RPKI'를 설명했다.

BGP 하이재킹이란 공격자가 인터넷 트래픽을 악의적으로 리디렉션하는 것을 말한다. 

파키스탄 정부가 국민들의 유튜브 접속을 차단하려는 시도가 전 세계 접속 장애로 이어진 것이 그 예다.

박 단장은 "당시 파키스탄 정부는 유튜브에 무하마드를 모욕하는 영상이 올라오자 국민들이 이를 못 보게 하려는 의도로 국민들이 유튜브에 접속하려고 시도할 때 자국 내 통신사인 파키스탄텔레콤을 통해 다른 곳으로 접속하게끔 유도했다. 문제는 주변의 다른 네트워크도 다른 곳으로 접속하도록 유도한다는 것"이라고 말했다.

이같은 현상은 네트워크 구조때문이다. 

인터넷 경로는 AS로 불리는 단일 네트워크들이 BGP(Broader Gateway Protocol)라는 프로토콜로 서로 연결되는데, 이 때 가장 자세한 경로 또는 가장 짧은 경로를 우선 선택하도록 매커니즘이 기본설정돼 있다.

박 단장은 "파키스탄 예시의 경우, 파키스탄 외부의 사용자가 유튜브에 접속하려고 해도 파키스탄 정부가 리다이렉트를 위해 만든 지점으로 접속되는 일이 생겼다. 보통 최적의 경로를 찾으려고 하기 때문에 외부 사용자의 AS도 유튜브 서버를 찾으러 가던 중에 '여기에 가까운 서버가 있나보다'는 식으로 가짜 유튜브에 접속하게 되는 것"이라고 설명했다.

비슷한 사고는 국내에서도 있었다. 2022년 KT의 부산지소 내 기업용 라우터 BGP 경로 설정 실수가 있었던 것이 그 예다.

직원이 실수로 BGP 경로의 숫자 일부를 잘못 표기한 것이 1시간 동안 KT 전국망 장애로 이어진 것이다.

박 단장은 반드시 해커의 악의적 공격이 아니라 실수로도 인터넷망 장애가 생길 수 있는 것이 현실이라고 말했다.

그는 "인터넷이라는 것이 처음에는 아는 사람들끼리 통신하자는 일종의 연구망으로 시작했다"며 "참여자 수가 적다보니 초반에는 수첩에 IP 번호를 써 놓고 '누가 관리하는 것'이라고 쓰는 식이었다. 요즘에도 기업 내부에서는 부장님이 갑자기 지시하면 IP를 옮겨붙이기도 한다"며 "실수로도 생길 수 있는 망 장애를 방지하기 위해서도 RPKI가 필요하다"고 말했다.

RPKI(Resource Public Key Infrastructure)는 인증으로 BGP 경로 전파 권한을 검증하는 보안 기술의 이름이다. 

박 단장은 "RPKI는 중간에 RPKI 라우터를 두고, 누군가가 정보 송수신을 요청하면 RPKI 라우터가 사전 등록된 AS번호, 소유기관명, 서명코드 등을 비교해 사용자를 인증할 수 있다"고 말했다. 

RPKI의 장점은 러시아-우크라이나 전쟁에서도 드러났다. 러시아가 우크라이나를 침공한 뒤 소셜 미디어 단속을 위해 트위터 대역의 하이재킹을 시도했지만, 트위터가 경로원점인증서(ROA) 등록이 돼 있어 중단이 제한된 것이다.

지난 2023년 이라크 정부도 기밀 정보 유출 이후 이라크 사용자의 개인 데이터 보호를 목적으로 텔레그램을 차단했지만, 텔레그램은 ROA 등록이 돼 있어 이라크 외부에서는 장애발생이 없었다. RPKI를 적용하지 않아 생긴 파키스탄 유튜브 장애 사례와 비교된다.

장점이 큼에도 불구하고 국내의 RPKI 적용 실태에는 아쉬움이 남는다.

미국은 69.37%의 비율로 RPKI 인증을 확인하는 반면 우리나라는 0.27%에 그치기 때문이다. OECD 38개국 중 우리나라는 RPKI 적용 현황에서 최하위를 기록하기도 했다.

RPKI 도입이 더딘 이유는 새로운 변화가 가져올 여파에 대한 불확실성때문인 것으로 보인다.

박 단장은 "ISP 실무자들은 RPKI의 필요성을 깊게 인지하고 있다. 예산 문제도 크다고 볼 수 없다. RPKI 도입을 꺼리는 이유가 '일하기 싫어서'도 아니다. 새로운 변화를 시도했을 때 시스템에 어떤 일이 생길지 모르지 않느냐. 혹시 모를 장애에 대한 우려가 크다"고 말했다.

RPKI 도입을 위한 100억원 정도의 예산이 필요하지만 내년 과학기술정보통신부 예산에서 이는 누락됐다.