박정섭 한국인터넷진흥원(KISA) 인프라보호단장./사진제공=한국인터넷진흥원
#2022년 2월 카카오는 QR체크인 서비스 장애를 접속경로 교란에 따른 결과로 판단했다. 자사 서버로 유입될 신호를 제3자가 고의 혹은 실수로 가로채 서비스에 차질이 빚어졌다는 취지다. 카카오는 사고경위를 파악하기 위해 경찰에 고소장을 제출했다.
8일 한국인터넷진흥원(KISA)에 따르면 지난해 11월 한국의 RPKI 적용률은 0.27%에 그쳤다. 경제협력개발기구(OECD) 38개국 중 꼴찌다. 같은 시기 미국은 69.37%, 일본은 39.56%, 중국은 21.94%, 브라질은 2.12%를 기록했다.
사용자·서버가 자신의 AS 바깥의 상대방을 향해 통신을 요청할 경우, AS는 일단 다른 AS로 옮겨가는 경로를 제공한다. 서울시청에서 부산시청으로 향하는 차량이 먼저 부산에 닿을 수 있도록 경부고속도로부터 안내하는 식이다. AS들은 통신규약인 경계경로프로토콜(BGP)을 따르고 실시간 전파(Advertising)를 통해 최신 접속경로를 기억하도록 설계됐다.
라우터들이 모인 자율시스템(AS)과 AS끼리 최신 접속경로를 전파하는 경계경로프로토콜(BGP)의 개념도./사진제공=한국인터넷진흥원
이 시각 인기 뉴스
RPKI는 해외에서 성과를 내는 추세다. 2022년 러시아-우크라이나 전쟁 발발 당시 러시아가 거짓 BGP 통신으로 X(옛 트위터) 접속방해(하이재킹)를 시도하자 트위터가 ROA 등록으로 저지한 사건이 대표적이다. 미국 정부는 지난해 3월 '국가사이버보안전략'에 BGP 취약점 해결을 전략목표로 명시했고, 네덜란드 정부는 같은 해 5월 모든 정부망에 RPKI를 적용하기로 결정했다.
하지만 국내에선 RPKI 도입이 더딘 실정이다. 인터넷 이용자 대다수가 연결된 주요 AS는 통신사들이 관리하는데, 이들은 설정변경 이후 통신장애가 발생할 우려와 비용문제 등을 이유로 작업을 미루고 있다. KISA와 과학기술정보통신부는 테스트베드(실험실)·인증기관 구축 등을 위한 예산 100억원을 신청했지만, 기획재정부는 2025년 예산안에 이를 전부 반영하지 않은 것으로 전해졌다.
박정섭 KISA 인프라보호단장은 "그간 국내에선 RPKI 대신 통신사의 자체 AS 관리정책으로 안정적인 인터넷을 제공했지만 미국·유럽 등 주요국이 앞으로 RPKI 미적용 BGP 통신을 차단하면 문제가 될 수 있다"며 "아쉬움이 남는다"고 밝혔다. 이어 "통신사 운영자나 운영책임자 선에선 필요성을 인식했고 언제든 실수할 수 있는 시스템이라는 것을 확인했다"며 "일하기 싫어서가 아니라 시스템에 어떤 장애가 발생할지 모른다는 우려가 RPKI 도입지연에 많이 작용하는 것 같다"고 말했다.