클라우드플레어(Cloudflare)는 120여 개국의 310여 개 도시에서 운영되며, 1만 3000여 개의 네트워크 공급자와 상호 연결되어 수많은 고객에게 광범위한 서비스를 제공한다. 이러한 네트워크를 기반으로 인터넷 중단 사고의 영향을 분석해 발표했다.

2024년 1분기는 여러 차례 인터넷 장애가 발생하면서 시작되었다. 여러 지역에서 지상파 케이블과 해저 케이블이 손상되어 문제가 발생했고, 일부 지역에서는 진행 중인 지정학적 갈등과 관련된 군사 행동으로 연결�� 영향을 미쳤다. 파키스탄을 비롯한 아프리카 여러 국가의 정부에서는 인터넷 폐쇄를 명령하기도 했다.

어나니머스 수단(Anonymous Sudan)이라고 알려진 악의적 행위자는 이스라엘과 바레인의 인터넷 연결을 방해한 사이버 공격이 자신들의 소행이라고 주장했다. 유지보수와 정전으로 인해 사용자가 오프라인 상태가 되었고, 그 결과 트래픽이 감소했다.

이례적이었던 것은, RPKI, DNS, DNSSEC 문제가 여러 네트워크 공급자 가입자의 연결을 방해한 기술적 문제였다는 점이다.

케이블 손상

⦁ Moov Africa Tchad

1월 10일에 카메룬에서 발생한 광섬유 케이블 손상으로 차드의 통신 공급업체 AS327802(Moov Africa Tchad/Millicom) 고객의 연결이 더 중단되었다. 케이블 차단이 카메룬에서 발생했는지 차드에서 발생했는지는 확실하지 않다. 차드는 내륙 국가로 주변 국가와 통신하는 지상파 연결에 의존하고 있으며, AfTerFi 케이블 지도를 보면 차드가 카메룬과 수단을 통과하는 제한된 케이블 경로에 의존하고 있다.

1월 11일 오전(UTC)에는 이보다 덜 심각한 장애가 두 번째로 발생했다. 보도에 따르면 이러한 중단은 Moov Africa Tchad의 업스트림 공급자인 AS328594(SudaChad Telecom)를 표적으로 한 어나니머스 수단의 사이버 공격으로 인해 발생한 것으로 알려졌다.

⦁ Orange Burkina Faso

2월 15일에는 AS37577(Orange Burkina Faso)에서 30분 이내로 짧지만 상당한 수준의 중단이 관찰되었다. Orange 측은 그 중단이 더 국지적인 광섬유 절단 때문인지, 미국을 가로지르는 지상파 광섬유 중 하나의 손상 때문인지 구체적으로 밝히지 않았다. 이 사고로 인해 ASN에서 발표한 IPv4 주소 공간의 양이 해당 기간 동안 0으로 떨어졌기 때문에 네트워크가 완전히 오프라인 상태가 되었다.

⦁ MTN Nigeria

2월 28일 MTN Nigeria에서는 소셜 미디어를 통해 고객에게 여러 광섬유 절단으로 인한 주요 서비스 중단을 알렸다. 현지 시간으로 13:30~20:30(UTC 12:30~19:30) 사이에 약 7시간 동안 연결이 중단되었으며, 공급자는 현지 시간 자정 직전에 서비스가 완전히 복원되었다는 후속 공지를 게시했다.

⦁ Digicel Haiti

AS27653(Digicel Haiti)에서 3월 2~3일 16시간 동안 인터넷이 중단된 것은 아리엘 앙리(Ariel Henry) 총리를 축출하려는 시도와 관련된 폭력으로 인해 이중 광섬유 절단이 발생했기 때문이다. 현지 시각으로 3월 2일 22시경(3월 3일 03시)부터 약 9시간 동안 완전한 정전이 관찰됐다. 트래픽은 약 2시간 30분 동안 일부 복구됐으며 이후 3시간 동안 거의 완전히 중단됐다. Digicel Haiti는 9시간의 중단 기간 동안 인터넷에서 사실상 사라졌다.

⦁ SKY(필리핀)

3월 18일 필리핀 AS23944(SKY)에서 관찰된 잠깐의 트래픽 중단은 광섬유 절단과 관련이 있을 가능성이 높다. 전체 복구에는 몇 시간이 더 걸렸지만, 현지 시간 20:00~21:00(12:00~13:00 UTC) 사이에 트래픽이 가장 큰 영향을 받았다.

⦁ 아프리카 

3월 14일, 아프리카 서부 해안의 해저 케이블 여러 개가 손상되어 서부 및 남부 아프리카 여러 국가의 인터넷 연결에 영향이 미쳤다. 수중 낙석으로 인해 인터넷 연결 중단과 마이크로소프트 애저와 오피스 365 클라우드 서비스 가용성 문제가 발생한 것으로 알려졌다.

아프리카 해안에서 유럽으로 향하는(ACE), 해저 대서양 3/서아프리카 해저 케이블(SASC), 서아프리카 케이블 시스템(WCS), MainOne 케이블이 모두 손상되고 베냉, 부르키나파소, 카메룬, 코트디부아르, 감비아, 가나, 기니, 라이베리아, 나미비아, 니제르, 나이지리아, 남아프리카공화국, 토고 등 13개 아프리카 국가에 영향을 미쳤다. 니제르, 기니, 감비아에서는 비교적 짧은 중단이 1시간 미만에서 약 2시간까지 지속되었다. 그러나 토고, 라이베리아, 가나 등의 국가에서는 트래픽이 이전에 관찰된 최고 수준으로 회복되는 데 몇 주가 걸렸다.

⦁ 홍해

2월 24일에는 홍해를 통과하는 해저 케이블 Seacom/Tata 케이블, Asia Africa Europe-1(AAE-1), Europe India Gatewa(EIG) 등 3개의 해저 케이블이 손상되었다. 이들 케이블은 2월 18일에 탄도 미사일로 손상된 화물선 루비마르(Rubymar)호의 닻에 의해 절단된 것으로 추정된다.

군사 행동

⦁ 수단

2월 2일 클라우드플레어는 AS15706(Sudatel), AS36972(MTN Sudan)에서의 트래픽 손실을 관찰했고, 2월 7일 AS36998(Zain Sudan/SDN Mobitel)에서도 유사한 트래픽 손실이 발생했다.

네트워크에서 발생한 중단의 기간은 다양했다. 수다텔(Sudatel)의 경우 2월 11일에 트래픽이 회복되기 시작했다. 자인 수단(Zain Sudan)의 경우에는 3월 3일부터 트래픽이 회복되기 시작했다. 1분기 말까지 MTN 수단에서는 아직 트래픽이 회복되지 않았다.

⦁ 우크라이나

우크라이나와 러시아의 전쟁이 2년이 지난 2월에 이르기까지, 클라우드플레어는 분쟁 관련 공격으로 인해 우크라이나에서 중단된 여러 인터넷 서비스를 해결했다. 2월 22일, 우크라이나의 주요 인프라에 대한 러시아의 공습으로 우크라이나 전역의 에너지 시설이 손상되어 광범위한 정전이 발생했다. 이 정전으로 인해 우크라이나의 여러 지역에서 인터넷 중단이 발생했다. 현지 시간 05:00(UTC 03:00)경 최초로 트래픽이 감소하여 하르키우에서는 68%까지 감소했다.

⦁ 가자 지구

1월 12일, 1월 22일, 3월 5일에 인터넷 중단이 관찰되었다. 팔텔(Paltel) 측은 이러한 서비스 중단이 이스라엘과의 전쟁과 관련된 지속적인 공격 때문이라고 설명했다.

이번 분기 동안 발생한 서비스 중단의 경우 몇 시간부터 일주일 이상까지 지속 시간이 다양했다.

사이버 공격

⦁ HotNet Internet Services(이스라엘)

보도에 따르면 어나니머스 수단은 이스라엘의 주요 이동통신 공급자인 AS12849(HotNet Internet Services)를 공격한 것으로 알려졌다. 현지 시간 2월 20일 22:00부터 2월 21일 00:00(UTC 2월 20일 20:00~22:00) 사이의 트래픽만 중단시켰으므로 공격은 짧았던 것으로 보인다. 짧기는 했지만, 공격이 발생하는 기간 동안 HotNet에서 발표한 IPv4 및 IPv6 주소 공간의 양이 0으로 떨어졌으므로, 이 공격은 공급자를 오프라인 상태로 만드는 데는 성공했다.

⦁ Zain Bahrain

어나니머스 수단은 AS31452(Zain Bahrain)를 사이버 공격을 통해 표적으로 삼았다. 이 공격은 이스라엘의 HotNet을 표적으로 한 공격보다 덜 심한 것으로 보였지만, 현지 시간 3월 3일 20:45~3월 4일 18:15(UTC 3월 3일 17:45~3월 4일 15:15)에 트래픽이 중단되는 등 훨씬 더 오래 지속되었다.

⦁ 우크라이나의 여러 네트워크

3월 13일에 여러 우크라이나 통신 공급자를 대상으로 한 공격이 있었으며, AS16066(Triangulum), AS34359(Link Telecom Ukraine), AS197522(Kalush Information Network), AS52074(Mandarun), AS29013(LinkKremen) 등이 포함되었다.

정부의 규제

⦁코모로

아잘리 아수마니 대통령 재선에 반대하는 시위로 인해 코모로 당국이 1월 17일에 인터넷 연결을 차단한 것으로 보도됐다. 현지 시간 1월 17일 12:00(UTC 09:00)~1월 19일 17:30(UTC 14:30) 사이에 국가 단위의 트래픽에 일부 장애가 발생했지만, 이틀 동안 여러 차례에 걸쳐 거의 완전하게 중단된 AS36939(Comores Telecom)의 트래픽에서 훨씬 더 눈에 띄게 나타났다.

⦁ Sudatel Senegal/Expresso Telecom 및 Tigo/Free(세네갈)

2월 4일, 세네갈의 커뮤니케이션, 통신, 디지털부에서는 현지 시간 22:00(UTC 22:00)부터 모바일 연결을 중단할 것을 명령했다. 이러한 중단은 대통령 선거가 연기된 후 발생한 시위에 이은 것이다. AS37196(Sudatel Senegal/Expresso Telecom)의 트래픽은 일시 중단이 발효된 시점에 급격히 감소했다가 현지 시간 2월 7일 07:30 경(UTC 07:30)에 회복되었다. AS37649(Tigo/Free)의 트래픽은 현지 시간 2월 5일 09:30(UTC 09:30) 경에 감소했으며, 서비스 공급자는 소셜 미디어를 통해 가입자에게 서비스 중단을 알렸다. 현지 시간 2월 7일 자정(UTC 00:00) 경에 Tigo/Free의 트래픽이 회복되었고 공급자는 다시 소셜 미디어를 통해 가입자에게 서비스 가용성을 알렸다.

그로부터 일주일이 조금 지난 2월 13일, 세네갈 정부는 대선 연기에 반대한다는 의사를 표명하기 위해 활동가 그룹에서 계획한 행진을 앞두고 ‘온라인에서 증오와 파괴적인 메시지의 확산’을 막기 위해 모바일 인터넷 연결을 중단할 것을 다시 명령했다. 모바일 인터넷 서비스 중단은 현지 시간 10:15~19:45(UTC 10:15~19:45) 사이에 발생한 Tigo/Free에서 가장 두드러졌다.

⦁ 파키스탄

파키스탄 통신청(PTA)은 2월 8일 새 정부를 선출하기 위해 시민들이 투표장에 가는 동안 인터넷 서비스를 계속 이용할 수 있을 것이라고 발표했다. 그러나 당일 파키스탄 당국은 유권자들이 투표를 하러 가는 동안 전국적으로 모바일 인터넷 접속을 차단했으며, 전날 발생한 폭력 사태의 여파로 법과 질서를 유지하기 위한 조치라고 설명했다. 차단의 영향은 파키스탄의 여러 인터넷 공급자 AS59257(Zong/CMPak), AS24499(Telenor Pakistan), AS45669(Jazz/Mobilink) 등에서 07:00부터 20:00(UTC 02:00~15:00)까지 확인할 수 있었으며, 약 9시간 후 트래픽이 예상 수준으로 회복되었다. 인터넷 소사이어티의 펄스 블로그에 게시된 글에 따르면 이번 폐쇄로 인해 파키스탄의 국내총생산 손실액이 약 1850만 달러에 달한다고 한다.

⦁ 차드

2월 28일부터 3월 7일 사이에 차드에서 여러 차례 인터넷 중단이 발생했다. 첫 번째 중단은 현지 시간 2월 28일 10:45에 시작되어 3월 1일 18:00까지 지속되었다(UTC 2월 28일 09:45~3월 1일 17:00). 3월 3일, 4일, 7일에도 각각 몇 시간씩 지속되는 짧은 중단이 관찰되었다. 이러한 중단은 국내의 정치적 폭력 사태의 여파로 발생했다.

정전

⦁ 타지키스탄

발표된 보고서에 따르면 3월 1일에 타지키스탄에서 몇 시간에 걸쳐 광범위한 정전이 발생했다. 이는 전국적으로 온도가 거의 영하로 내려가면서 전기 히터의 전기 사용량이 증가한 것과 관련이 있다. 현지 시간 11시(UTC 06:00) 경에 중단이 시작되어 약 3시간 동안 지속되었다. 현지 시간 다음 날 05:00(UTC 3월 2일 자정)이 되어서야 ‘정상’ 수준으로 회복되었다.

⦁ 탄자니아

3월 4일에 Tanzania Electricity Corporation(TANESCO)에서는 진행 중인 정전에 대해 소셜 미디어에 공지를 게시했다. 이 보고서에서는 국가 전력망 시스템에 오류가 발생해 잔지바르를 포함한 일부 지역에 전기 서비스 부족이 발생했다고 밝혔다. 정전으로 인해 탄자니아의 인터넷 연결이 중단되어 현지 시간 13:30~23:00(UTC 10:30~20:00) 사이에 트래픽 감소가 관찰되었다.

기술적 문제

⦁ 오렌지 에스파냐(Orange España)

네트워크 라우팅은 하나 이상의 네트워크에서 경로를 선택하는 프로세스이며, 인터넷에서 라우팅은 경계 게이트웨이 프로토콜(BGP)에 의존한다. BGP 라우팅 정보의 교환은 공급자 간의 신뢰를 기반으로 했지만, 시간이 지남에 따라 악의적인 행위자의 시스템 남용을 방지하기 위해 리소스 공개 키 인프라(RPKI)�� 같은 보안 메커니즘이 개발되었다. RPKI는 BGP 경로 알림을 올바른 원래 AS 번호와 연결하는 레코드에 서명하는 암호화 방법이다. ROA(경로 원본 인증) 레코드는 IP 주소 블록 보유자가 AS(자율 시스템)에 주소 블록 내 하나 이상의 접두사에 대한 경로를 시작하도록 승인했는지 확인하는 수단을 제공한다.

RIPE NCC는 인터넷 리소스 할당 및 등록, 조정 활동을 제공하는 5개 지역 인터넷 레지스트리(RIR) 중 하나다. RIPE의 지역은 유럽, 중동, 중앙아시아를 포함한다. 1월 3일에 악의적인 행위자가 RIPE 및 AS12479(Orange España) 측의 느슨한 계정 보안을 이용하고 공용 인터넷에서 찾은 자격 증명을 사용하여 오렌지 에스파냐의 RIPE 계정에 로그인했다. 계정을 장악한 공격자는 ‘가짜’ 출처를 가진 여러 ROA를 게시하여 AS12479에서 시작된 수천 개의 경로를 ‘RPKI-invalid’로 만들었고, 그 결과 RPKI 무효 경로를 거부하는 통신사는 오렌지 에스파냐의 IP 공간을 대량으로 전송하는 것을 중단했다.

오렌지 에스파냐에서는 소셜 미디어를 통해 RIPE 계정이 부적절하게 액세스되었음을 확인했으며, 사고의 결과로 RIPE에서는 로그인 시 2단계 인증(2FA)을 필수화했다.

⦁ 플러스넷(Plusnet, 영국)

1월 15일에 영국의 AS6871(Plusnet)에서 관찰된 트래픽 중단은 처음에는 소셜 미디어에 올린 고객 불만에 대응하여 공급자가 ‘대량 중단’한 것으로 특징 지워졌다. 그러나 장애의 근본적인 원인은 DNS 서버에 있는 문제와 관련이 있는 것으로 밝혀졌다. 가입자가 Plusnet의 기본 DNS 확인자를 사용하여 클라우드플레어 호스트 이름을 성공적으로 확인하지 못했기 때문에, 현지 시간 16:00~18:00(UTC도 동일)까지 약 2시간 동안 네트워크 트래픽이 감소했다.

⦁ AT&T(미국)

2월 22일 04:00 미국 동부 표준시/03:00 미국 중부 표준시 03:00(UTC 09:00) 직전부터 미국 일부 도시의 AT&T 가입자들이 모바일 서비스 중단을 경험했다. 영향을 받은 도시는 애틀랜타, 휴스턴, 시카고 등이었으며, 약 8시간 동안 연결이 중단되었다. 클라우드플레어 데이터에 따르면 문제가 시작되면서 AT&T(AS7018) 트래픽이 이전 주 대비 시카고에서는 45%, 댈러스에서는 18% 감소했다.

유지 관리

⦁ 보다폰 이집트(Vodafone Egypt)

3월 5일 현지 시간 05:15~11:30(UTC 03:15~09:30) 사이에 AS36935(Vodafone Egypt)의 고객이 모바일 인터넷 연결 끊김을 경험했으며, 해당 네트워크의 트래픽이 약 70% 이하로 줄어든 것으로 관찰되었다. 보다폰은 4G 네트워크 중단의 결과로 인해 영향을 받은 고객에게 피해를 배상해야 했고, 이집트의 국가 통신 규제 당국(NTRA)으로부터 벌금이 부과되었다.

⦁ Ocean Wave Communication(미얀마)

현지 시간 3월 12일 정오(UTC 05:15) 직전, 미얀마의 소비자 광섬유 및 비즈니스 인터넷 서비스 공급자인 AS136442(Ocean Wave)에서 상당한 트래픽 감소가 관찰되었다. 연결 중단은 약 7시간 동안 지속되었으며, 트래픽은 현지 시간 19:00(UTC 12:15) 직전에 같은 일반적인 수준으로 회복되었다.

보고서는 1분기 중 두 차례의 주목할 만한 해저 케이블 손상 사고가 발생하여 해저 케이블 보호의 중요성과 지정학적으로 민감한 지역을 통과하거나 근처를 통과하는 해저 케이블과 관련된 위험을 지적하고, 인터넷 트래픽 전송을 해저 케이블에 의존한다는 점을 고려하면 이 문제는 앞으로도 여러 해 동안 계속될 것으로 예측했다.

오렌지 에스파냐 사고를 통해 운영 측면에서 중요한 리소스를 다단계 인증으로 보호하는 것이 중요하다는 점도 강조했다. 또한 악의적인 공격자가 인터넷 연결을 광범위하게 방해할 수 있는 조치를 취하는 것을 방지하기 위해 시스템 보안에 관한 모든 실질적인 예방 조치를 취해야 한다고 조언했다.