Cloudflare는 120여 개국의 310여 개 도시에서 운영되며, 13,000여 개의 네트워크 공급자와 상호 연결되어 수많은 고객에게 광범위한 서비스를 제공합니다. Cloudflare는 네트워크와 고객 기반의 범위가 넓으므로 인터넷 복원력에 대한 고유한 관점을 확보할 수 있고, 따라서 인터넷 중단 사고의 영향도 관찰할 수 있습니다. 이번 분기에는 최근 출시된 Cloudflare Radar 기능 덕분에 네트워크 수준 및 위치 수준 모두에서 라우팅과 트래픽 관점에서 중단 사고의 영향을 탐색하기 시작했습니다.
2024년 1분기는 여러 차례 인터넷 장애가 발생하면서 시작되었습니다. 여러 지역에서 지상파 케이블과 해저 케이블이 손상되어 문제가 발생했고, 다른 지역에서는 진행 중인 지정학적 갈등과 관련된 군사 행동으로 연결에 영향이 미쳤습니다. 파키스탄을 비롯한 아프리카 여러 국가의 정부에서는 인터넷 폐쇄를 명령하여 모바일 연결에 크게 중점을 두었습니다. Anonymous Sudan이라고 알려진 악의적 행위자는 이스라엘과 바레인의 인터넷 연결을 방해한 사이버 공격이 자신들의 소행이라고 주장했습니다. 유지보수와 정전으로 인해 사용자가 오프라인 상태가 되었고, 그 결과 트래픽 감소가 관찰되었습니다. 그리고 더 이례적이었던 것은, RPKI, DNS, DNSSEC 문제가 여러 네트워크 공급자 가입자의 연결을 방해한 기술적 문제였다는 사실입니다.
이전에도 언급했듯이, 이 게시물은 확인된 장애를 요약하여 간략히 알리기 위한 글이지, 분기 동안 발생한 모든 문제를 완전히 다루는 전체 목록이 아닙니다.
케이블 손상
Moov Africa Tchad
1월 10일에 카메룬에서 발생한 광섬유 케이블 손상으로 차드의 통신 공급업체 AS327802(Moov Africa Tchad/Millicom) 고객의 연결이 더 중단되었습니다. 한(번역된) Moov Africa Tchad의 Facebook 게시물에 따르면 “2024년 1월 10일 오후, 차드가 인터넷에 접속할 수 있는 카메룬의 광섬유가 끊어져 인터넷이 중단되었고, 수단에서 오는 광섬유는 한동안 사용할 수 없었습니다. 당분간 수단에서 오는 전화를 이용할 수 없을 것입니다." 언급된 케이블 차단이 카메룬에서 발생했는지 차드에서 발생했는지는 확실하지 않으며, 언급된 수단 케이블 문제는 2023년 4분기 요약 게시물에서 다루었던 문제일 수 있습니다. 차드는 내륙 국가로서 주변 국가와 통신하는 지상파 연결에 의존하고 있으며, AfTerFi 케이블 지도를 보면 차드가 카메룬과 수단을 통과하는 제한된 케이블 경로에 의존하고 있음을 알 수 있습니다.
아래 그래프를 보면 Moov Africa Tchad 트래픽이 1월 10일 정오(UTC)부터 12시간 이상 중단되었으며, 이러한 중단은 국가 차원에서도 나타났음을 알 수 있습니다. 이 광섬유 절단으로 인해 장애가 발생하는 동안 발표되는 IPv4 주소 공간의 양이 네트워크 및 국가 수준에서 자주 변경되므로 라우팅 관점에서도 상당한 변동성이 발생했습니다.
1월 11일 오전(UTC)에는 이보다 덜 심각한 장애가 두 번째로 발생했습니다. 보도에 따르면 이러한 중단은 Moov Africa Tchad의 업스트림 공급자인 AS328594(SudaChad Telecom)를 표적으로 한 Anonymous Sudan의 사이버 공격으로 인해 발생한 것으로 알려졌습니다.
Orange Burkina Faso
2월 15일에는 AS37577(Orange Burkina Faso)에서 짧았지만(~30분) 상당한 수준의 중단이 관찰되었습니다. 공급자가 소셜 미디어에 게시한 성명서의 번역본에 따르면 "광섬유 절단으로 인해 사고가 발생했으며, 이로 인해 특정 고객의 서비스 중단이 발생했습니다." Orange 측은 그 중단이 더 국지적인 광섬유 절단 때문인지, 미국을 가로지르는 지상파 광섬유 중 하나의 손상 때문인지 구체적으로 밝히지 않았습니다. 이 사고로 인해 ASN에서 발표한 IPv4 주소 공간의 양이 해당 기간 동안 0으로 떨어졌기 때문에 네트워크가 완전히 오프라인 상태가 되었습니다.
MTN Nigeria
2월 28일 MTN Nigeria에서는 소셜 미디어를 통해 고객에게 "여러 광섬유 절단으로 인한 주요 서비스 중단으로 인해 네트워크 연결에 어려움을 겪고 있으며 음성 및 데이터 서비스에 영향이 미치고 있습니다"라고 고객에게 알렸습니다. 발표된 보고서에서는 "전국적으로 수백만 명의 고객이 특히 라고스에서 몇 시간 동안 지속된 정전으로 인해 영향을 받았습니다"라고 언급하면서 그 영향을 설명했습니다. 현지 시간으로 13:30~20:30(UTC 12:30~19:30) 사이에 약 7시간 동안 연결이 중단되었으며, 공급자는 현지 시간 자정 직전에 서비스가 완전히 복원되었다는 후속 공지를 게시했습니다.
Digicel Haiti
AS27653(Digicel Haiti)에서 3월 2/3일 16시간 동안 인터넷이 중단된 것은 Ariel Henry 총리를 축출하려는 시도와 관련된 폭력으로 인해 이중 광섬유 절단이 발생했기 때문입니다. 현지 시간 3월 2일 22시경(UTC 3월 3일 03시)부터 약 9시간 동안 완전한 정전이 관찰됐습니다. 트래픽은 약 2시간 30분 동안 일부 복구됐으며 이후 3시간 동안 거의 완전한 중단이 발생했습니다. Digicel Haiti는 9시간의 중단 기간 동안 인터넷에서 사실상 사라졌습니다. 해당 시간 동안 네트워크에서 IPv4 또는 IPv6 주소 공간이 발표되지 않았기 때문입니다.
SKY(필리핀)
3월 18일 필리핀 AS23944(SKY)에서 관찰된 잠깐의 트래픽 중단은 광섬유 절단과 관련이 있을 가능성이 높습니다. 소셜 미디어에 게시한 권고문에서 SKY에서는 "Marikina, Pasig 및 Quezon City 등 여러 지역에서 SKY 서비스는 현재 광섬유 단선 문제의 영향을 받고 있습니다"라고 설명하며 45개 영향 지역을 나열했습니다. 전체 복구에는 몇 시간이 더 걸렸지만, 현지 시간 20:00~21:00(UTC 12:00~13:00) 사이에 트래픽이 가장 큰 영향을 받았습니다. 광섬유 단선으로 인하여 라우팅에 대한 사소한 영향만 관찰되었습니다.
아프리카 여러 국가
3월 14일, 아프리카 서부 해안의 해저 케이블 여러 개가 손상되어 서부 및 남부 아프리카 여러 국가의 인터넷 연결에 영향이 미쳤습니다. 보도에 따르면 수중 낙석으로 인해 인터넷 연결 중단과 아울러 Microsoft Azure와 Office 365 클라우드 서비스 가용성 문제가 발생한 것으로 알려졌습니다.
아프리카 해안에서 유럽으로 향하는(ACE), 해저 대서양 3/서아프리카 해저 케이블(SASC), 서아프리카 케이블 시스템(WCS), MainOne 케이블이 모두 손상되고 베냉, 부르키나파소, 카메룬, 코트디부아르, 감비아, 가나, 기니, 라이베리아, 나미비아, 니제르, 나이지리아, 남아프리카공화국, 토고 등 13개 아프리카 국가에 영향을 미쳤습니다.
니제르 , 기니, 감비아에서는 비교적 짧은 중단이 1시간 미만에서 약 2시간까지 지속되었습니다.
그러나 토고, 라이베리아, 가나 등의 국가에서는 트래픽이 이전에 관찰된 최고 수준으로 회복되는 데 몇 주가 걸렸습니다.
영향을 받은 국가의 사업자들은 트래픽이 4배 증가한 것으로 보도된 Google의 Equiano 해저 케이블과 모로코의 Maroc Telecom 서아프리카 해저 케이블로 트래픽을 전환하여 가용성을 유지하려고 시도했습니다. SAT-3 케이블 서비스는 4월 6일 현재 완전히 복구되었으며, ACE 수리는 4월 17일에, WAC 및 MainOne 수리는 4월 28일까지 완료될 것으로 예상되었습니다.
자세한 내용 및 관찰 사항은 여러 아프리카 국가에서 해저 케이블 장애로 인터넷 중단이 발생한다는 블로그 게시물에서 찾아볼 수 있습니다.
홍해
2월 24일에는 홍해를 통과하는 해저 케이블 Seacom/Tata 케이블, Asia Africa Europe-1(AAE-1), Europe India Gatewa(EIG) 등 3개의 해저 케이블이 손상되었습니다. 이들 케이블은 2월 18일에 탄도 미사일로 손상된 화물선 Rubymar호의 닻에 의해 절단된 것으로 추정됩니다. 중단 당시 Seacom에서는 케이블 손상을 확인했지만, 다른 두 케이블의 소유자는 유사한 확인 게시물을 올리지 않았습니다.
보도에 따르면 케이블 절단은 탄자니아, 케냐, 우간다, 모잠비크 등 동 아프리카 국가에 영향을 미쳤지만, Cloudflare Radar에서는 이들 국가에서 발생한 트래픽 손실이 관찰되지 않았습니다.
군사행동
수단
2월 2일 Cloudflare에서는 AS15706(Sudatel) 및 AS36972(MTN Sudan)에서의 트래픽 손실을 관찰했고, 2월 7일 AS36998(Zain Sudan/SDN Mobitel)에서도 유사한 트래픽 손실이 발생했습니다. MTN Sudan에서의 중단은 공급자의 다음과 같은 소셜 미디어 게시물(번역본)과 일치합니다. “모든 서비스가 통제할 수 없는 상황으로 인해 중단된 것에 대해 유감을 표명합니다. 해당 중단으로 인해 불편을 드려 사과드립니다. 최대한 빠른 시일 내에 서비스를 복구할 수 있도록 노력 중이며, 추후 공지를 올리도록 하겠습니다." 가동 중단이 시작된 지 며칠 후인 2월 5일, Zain Sudan 측에서는 다음과 같은 소셜 미디어 게시물을 올렸습니다(번역본). "Zain Sudan에서는 소중한 가입자에게 통신 및 인터넷 서비스를 제공하기 위해 지속해서 노력해 왔습니다. 현재 네트워크 중단은 통제할 수 없는 상황으로 인한 것임을 알려드리며, 안전이 확보되고 서비스가 조속히 복구되기를 희망합니다." Sudatel에서는 네트워크 상태에 대한 어떠한 정보도 공유하지 않았습니다. Digital Rights Lab - Sudan 측은 2월 4일 소셜 미디어에 다음과 같은 게시물을 올렸습니다. "우리 소식통은 @RSFSudan 측이 수단 하르툼에 있는 ISP의 데이터 센터를 장악했다는 사실을 확인했습니다." 공급자 전반에서 관찰되는 이러한 인터넷 중단은 2023년 4월 15일 이후 수단에서 진행되고 있는 군사 분쟁의 일부인 장악과 관련이 있을 가능성이 높습니다.
네트워크에서 발생한 중단의 기간은 다양했습니다. Sudatel의 경우 2월 11일에 트래픽이 회복되기 시작했습니다. Zain Sudan의 경우에는 3월 3일부터 트래픽이 회복되기 시작했으며, 이는 다음과 같은 소셜 미디어 게시물(번역본)이 뒷받침합니다. "Zain 네트워크가 점진적으로 회복되고 있으며 가입자들이 무료로 통신할 수 있도록 허용하고 있습니다. Zain에서는 나머지 주에서 네트워크를 복원하기 위해 계속 노력할 것을 약속합니다." 1분기 말까지 MTN Sudan에서는 아직 트래픽이 회복되지 않았습니다.
우크라이나
우크라이나와 러시아의 전쟁이 2년이 지난 2월에 이르기까지, 분쟁 관련 공격으로 인해 우크라이나에서 중단된 여러 인터넷 서비스를 Cloudflare에서 해결해 왔습니다. 2월 22일, 우크라이나의 주요 인프라에 대한 러시아의 공습으로 우크라이나 전역의 에너지 시설이 손상되어 광범위한 정전이 발생했습니다. 이 정전으로 인해 Kharkiv, Zaporizhzhia, Odessa, Dnipropetrovsk Oblast, Khmelnytskyi Oblast 등 우크라이나의 여러 지역에서 인터넷 중단이 발생했습니다. 현지 시간 05:00(UTC 03:00) 경 최초로 트래픽이 감소하여 Kharkiv에서는 68%까지 감소했습니다. 그러나 며칠 동안은 모든 지역의 트래픽이 전주에 비해 낮았습니다.
가자 지구
2023년 4분기 인터넷 중단 사고 요약 블로그 게시물에서 Cloudflare는 10월, 11월, 12월에 걸쳐 Paltel(팔레스타인 통신 회사)에서 유선 전화, 모바일, 인터넷 서비스 중단에 관한 소셜 미디어 게시물을 여러 개 게시했다고 언급했습니다. 2024년 1분기에는 1월 12일, 1월 22일, 3월 5일에 유사한 중단이 관찰되었습니다. Paltel 측은 이러한 서비스 중단이 이스라엘과의 전쟁과 관련된 지속적인 공격 때문이라고 설명합니다.
이번 분기 동안 발생한 서비스 중단의 경우 몇 시간부터 일주일 이상까지 지속 시간이 다양했습니다. 아래 그래프에는 각 중단 상황이 나와 있으며, 가자 지구 내 4개 팔레스타인 자치지역 내 Paltel 트래픽이 나와 있습니다. 가자 자치지역에서 연결이 계속 이용 가능했기 때문에 가자 지구 트래픽이 중단된 것으로 보이는 반면, Khan Yunis, Rafah, Deir al-Balah 자치지역에서는 완전한 중단이 발생했습니다.
1월 12일~19일
 |
 |
 |
 |
1월 22일~24일
 |
 |
 |
 |
3월 5일
 |
 |
 |
 |
사이버 공격
앞서 언급한 1월 11일에 AS327802(Moov Africa Tchad/Millicom)의 연결에 영향을 미친 사이버 공격 외에도 1분기에는 다른 몇 가지 사이버 공격으로 인해 인터넷 중단이 관찰되었습니다.
HotNet Internet Services(이스라엘)
Anonymous Sudan은 보도에 따르면 이스라엘의 주요 이동통신 공급자인 AS12849(HotNet Internet Services)를 공격한 것으로 알려졌습니다. 현지 시간 2월 20일 22:00부터 2월 21일 00:00(UTC 2월 20일 20:00~22:00) 사이의 트래픽만 중단시켰으므로 공격은 짧았던 것으로 보입니다. 짧기는 했지만, 공격이 발생하는 기간 동안 HotNet에서 발표한 IPv4 및 IPv6 주소 공간의 양이 0으로 떨어졌으므로, 이 공격은 공급자를 오프라인 상태로 만드는 데는 성공했습니다.
Zain Bahrain
Anonymous Sudan도 보도에 따르면 AS31452(Zain Bahrain)를 사이버 공격을 통해 표적으로 삼았습니다. 이 공격은 이스라엘의 HotNet을 표적으로 한 공격보다 덜 심한 것으로 보였지만, 현지 시간 3월 3일 20:45~3월 4일 18:15(UTC 3월 3일 17:45~3월 4일 15:15)에 트래픽이 중단되는 등 훨씬 더 오래 지속되었습니다. 발표된 IP 주소 공간에서는 영향이 관찰되지 않았습니다. Zain Bahrain 측은 3월 4일 소셜 미디어 게시물에서 연결 중단을 인정하며, “일부 고객이 당사 서비스를 이용하는 데 어려움을 겪을 수 있음을 알려드립니다. 당사 기술팀에서는 이러한 어려움을 최대한 빨리 해결하기 위해 노력하고 있습니다"라고 전했습니다(번역본).
우크라이나의 여러 네트워크
3월 13일에 여러 우크라이나 통신 공급자를 대상으로 한 공격이 있었으며, AS16066(Triangulum), AS34359(Link Telecom Ukraine), AS197522(Kalush Information Network), AS52074(Mandarun), AS29013(LinkKremen) 등이 포함되었습니다. 아래에 나와 있듯이 Triangulum에서는 3월 13일부터 3월 20일까지 트래픽이 거의 완전히 손실되어 가장 큰 영향을 받은 것으로 보입니다. Triangulum은 웹 사이트에 “2024년 3월 13일에 여러 우크라이나 공급자에 대한 해커 공격이 수행됐습니다. 2024년 3월 13일 오전 10시 28분에 당사 네트워크에 대규모 기술적 장애가 발생하여 전자 통신 서비스 이용이 불가능하게 되었습니다. 당사 직원들은 가능한 한 빨리 전체 서비스를 복구하기 위해 사이버 경찰 및 국가 사이버 보안 조정 센터의 직원과 함께 24시간 내내 포괄적인 조치를 취하고 있습니다. 서비스는 점차 복구되고 있습니다. 완전히 복구하려면 며칠이 걸릴 수 있습니다."
영향을 받은 다른 공급자는 상대적으로 연결 중단을 경험한 시간이 짧았습니다. Mandarun의 경우, 거의 완전한 중단이 하루 정도 지속되었으며, 다른 곳의 경우에는 현지 시간 3월 13일 11:30(UTC 09:30)부터 약 7시간 동안 중단이 발생했으며,연결은 현지 시간 3월 14일 08:00(UTC 06:00) 경에 일반적인 수준으로 회복되었습니다.
정부의 규제
코모로
아잘리 아수마니 대통령 재선에 반대하는 시위로 인해 코모로 당국이 1월 17일에 인터넷 연결을 차단한 것으로 보도됐습니다. 현지 시간 1월 17일 12:00(UTC 09:00)~1월 19일 17:30(UTC 14:30) 사이에 국가 단위의 트래픽에 일부 장애가 발생했지만, 이틀 동안 여러 차례에 걸쳐 거의 완전하게 중단된 AS36939(Comores Telecom)의 트래픽에서 훨씬 더 눈에 띄게 나타났습니다. Comores Telecom 측에서는 IPv4 주소 공간의 양이 제한되었다고 발표했지만, 1월 17일과 18일에 상당한 변동성이 확인되면서 여러 차례 0으로 떨어졌습니다.
Sudatel Senegal/Expresso Telecom 및 Tigo/Free(세네갈)
2월 4일, 세네갈의 커뮤니케이션, 통신, 디지털부에서는 현지 시간 22:00(UTC 22:00)부터 모바일 연결을 중단할 것을 명령했습니다. 이러한 중단은 대통령 선거가 연기된 후 발생한 시위에 이은 것입니다. AS37196( Sudatel Senegal/Expresso Telecom)의 트래픽은 일시 중단이 발효된 시점에 급격히 감소했다가 현지 시간 2월 7일 07:30(UTC 07:30) 경에 회복되었습니다. AS37649(Tigo/Free)의 트래픽은 현지 시간 2월 5일 09:30(UTC 09:30) 경에 감소했으며, 서비스 공급자는 소셜 미디어를 통해 가입자에게 서비스 중단을 알렸습니다. 현지 시간 2월 7일 자정(UTC 00:00) 경에 Tigo/Free의 트래픽이 회복되었고 공급자는 다시 소셜 미디어를 통해 가입자에게 서비스 가용성을 알렸습니다. 두 공급자의 공지된 IP 주소 공간에서는 변화가 관찰되지 않았으며, 이는 모바일 인터넷 연결 중단이 라우팅 수준에서 이루어지지 않았음을 나타냅니다.
그로부터 일주일이 조금 지난 2월 13일, 세네갈 정부는 대선 연기에 반대한다는 의사를 표명하기 위해 활동가 그룹에서 계획한 행진을 앞두고 "온라인에서 증오와 파괴적인 메시지의 확산"을 막기 위해 모바일 인터넷 연결을 중단할 것을 다시 명령했습니다. 모바일 인터넷 서비스 중단은 현지 시간 10:15~19:45(UTC 10:15~19:45) 사이에 발생한 Tigo/Free에서 가장 두드러졌습니다.
파키스탄
파키스탄 통신청(PTA)은 2월 8일 새 정부를 선출하기 위해 시민들이 투표장에 가는 동안 인터넷 서비스를 계속 이용할 수 있을 것이라고 발표했습니다. 그러나 당일 파키스탄 당국은 유권자들이 투표를 하러 가는 동안 전국적으로 모바일 인터넷 접속을 차단했으며, 당국은 전날 발생한 폭력 사태의 여파로 "법과 질서를 유지하기 위한 조치"라고 설명했습니다. 차단의 영향은 파키스탄의 여러 인터넷 공급자 AS59257(Zong/CMPak), AS24499(Telenor Pakistan), AS45669(Jazz/Mobilink) 등에서 07:00부터 20:00(UTC 02:00~15:00)까지 확인할 수 있었으며, 약 9시간 후 트래픽이 예상 수준으로 회복되었습니다. 인터넷 소사이어티의 펄스 블로그에 게시된 글에 따르면 이번 폐쇄로 인해 파키스탄의 국내총생산 손실액이 약 1,850만 달러에 달한다고 합니다.
차드
2월 28일부터 3월 7일 사이에 차드에서 여러 차례 인터넷 중단이 발생했습니다. 첫 번째 중단은 현지 시간 2월 28일 10:45에 시작되어 3월 1일 18:00까지 지속되었습니다(UTC 2월 28일 09:45~3월 1일 17:00). 3월 3일, 4일, 7일에도 각각 몇 시간씩 지속되는 짧은 중단이 관찰되었습니다. 이러한 중단은 국내의 정치적 폭력 사태의 여파로 발생했습니다. 2월 28일, 3월 3일, 3월 4일 중단과 동시에 국내 네트워크 전반에 걸쳐 집계된 발표 IPv4 주소 공간의 현저한 감소가 관찰되었지만, 3월 7일에는 비슷한 감소가 발생하지 않은 이유는 명확하지 않습니다.
정전
타지키스탄
발표된 보고서에 따르면 3월 1일에 타지키스탄에서 몇 시간에 걸쳐 광범위한 정전이 발생했습니다. 이는 전국적으로 온도가 거의 영하로 내려가면서 전기 히터의 전기 사용량이 증가한 것과 관련이 있습니다. 현지 시간 11시(UTC 06:00) 경에 중단이 시작되어 약 3시간 동안 지속되었습니다. 아래 그래프에는 해당 국가에서 인터넷 트래픽에 미친 영향이 나와 있습니다. 현지 시간 14:00(UTC 09:00) 경에 전원이 복구되었지만, 현지 시간 다음 날 05:00(UTC 3월 2일 자정)이 되어서야 "예상된" 수준으로 회복되었습니다.
정전은 컴퓨터와 가정/사무실 라우터가 종료되면서 인터넷 트래픽에 가장 큰 영향을 미치지만, 이번 정전으로 인해 전국적으로 발표된 IPv4 주소 공간의 총량이 약간 감소한 것처럼 국내 네트워크 인프라에도 영향을 미친 것으로 나타났습니다.
탄자니아
3월 4일에 Tanzania Electricity Corporation(TANESCO)에서는 진행 중인 정전에 대해 소셜 미디어에 공지를 게시했습니다. 해당 보고서에서는 대중에게 “Tanzania Electricity Corporation(TANESCO)은 국가 전력망 시스템에 오류가 발생해 잔지바르를 포함한 일부 지역에 전기 서비스 부족이 발생했습니다. 당사 전문가들이 전기 서비스를 정상 상태로 복구하기 위해 계속 노력하고 있습니다. 불편을 드려 대단히 죄송합니다"라고 알렸습니다(번역본). 정전으로 인해 탄자니아의 인터넷 연결이 중단되어 현지 시간 13:30~23:00(UTC 10:30~20:00) 사이에 트래픽 감소가 관찰되었습니다.
기술적 문제
Orange España
네트워크 라우팅은 하나 이상의 네트워크에서 경로를 선택하는 프로세스이며, 인터넷에서 라우팅은 경계 게이트웨이 프로토콜(BGP)에 의존합니다. 역사적으로 BGP 라우팅 정보의 교환은 공급자 간의 신뢰를 기반으로 했지만, 시간이 지남에 따라 악의적인 행위자의 시스템 남용을 방지하기 위해 리소스 공개 키 인프라(RPKI)와 같은 보안 메커니즘이 개발되었습니다. RPKI는 BGP 경로 알림을 올바른 원래 AS 번호와 연결하는 레코드에 서명하는 암호화 방법입니다. ROA(경로 원본 인증) 레코드는 IP 주소 블록 보유자가 AS(자율 시스템)에 주소 블록 내 하나 이상의 접두사에 대한 경로를 시작하도록 승인했는지 확인하는 수단을 제공합니다. Cloudflare에서는 RPKI의 중요성과 이에 대한 지원에 대해 수년에 걸쳐 여러 블로그 게시물을 게시해 왔습니다. 적절하게 구현 및 구성된 RPKI 및 ROA는 라우팅 보안을 지원하여 BGP 하이재킹과 같은 동작을 효과적으로 방지합니다.
RIPE NCC("RIPE")는 인터넷 리소스 할당 및 등록, 조정 활동을 제공하는 5개 지역 인터넷 레지스트리(RIR) 중 하나입니다. RIPE의 지역은 유럽, 중동, 중앙아시아를 포함합니다. 1월 3일에 악의적인 행위자가 RIPE 및 AS12479(Orange España) 측의 느슨한 계정 보안을 이용하고 공용 인터넷에서 찾은 자격 증명을 사용하여 Orange España의 RIPE 계정에 로그인했습니다. 계정을 장악한 공격자는 '가짜' 출처를 가진 여러 ROA를 게시하여 AS12479에서 시작된 수천 개의 경로를 'RPKI-invalid'로 만들었고, 그 결과 RPKI 무효 경로를 거부하는 통신사는 Orange España의 IP 공간을 대량으로 전송하는 것을 중단했습니다.
Cloudflare는 RPKI 유효성 검사를 시행하기 때문에 RPKI가 유효하지 않은 경로도 거부했습니다. 저희는 일부 트래픽 공급자를 향한 기본 경로를 통해 Orange España에 도달하려고 시도했지만, RPKI 유효성 검사도 수행하므로 해당 공급자 네트워크 내에서도 트래픽이 삭제되었을 것입니다. 이 때문에 Cloudflare의 관점에서 볼 때, 이 사고로 인해 Orange España의 트래픽이 현지 시간 19:45(UTC 14:45~17:45) 사이에 감소하고 AS12479에서 발표된 IPv4 주소 공간이 눈에 띄게 감소했습니다.
Orange España에서는 소셜 미디어를 통해 RIPE 계정이 부적절하게 액세스되었음을 확인했으며, 사고의 결과로 RIPE에서는 로그인 시 2단계 인증(2FA)을 필수화했습니다. 사건에 대한 인사이트를 더 얻고자 Kentik의 Doug Madory와 bgp.tools의 Ben Cartwright-Cox가 자세한 분석 내용과 타임라인을 게시했습니다.
MaxNet(우크라이나)
1월 11일, 우크라이나 AS34700(MaxNet) 가입자가 9시간 동안 인터넷이 중단되는 현상을 겪었습니다. 최초 트래픽 손실은 현지 시간 16시(UTC 14:00) 경에 발생하였고, 1월 12일 현지 시간 01시(UTC 1월 11일 23:00) 경 회복되었습니다. 해당 공급자는 초기 소셜 미디어 게시물에서 “구독자 여러분! 유틸리티 오작동으로 인한 허브 사이트 중 하나의 폭주로 인해 도시의 일부 지역에서는 서비스가 부분적으로 또는 완전히 중단될 수 있습니다. 서비스 복원을 위해 최선을 다하고 있지만, 시간이 걸립니다. 서비스 복원 시간에 대한 추가 정보는 긴급 작업이 완료되는 대로 게시할 예정입니다"라고 알렸습니다(번역본). 후속 게시물에서는 가입자들에게 인터넷 연결이 복원되었음을 알렸습니다. IPv4 주소 공간의 양이 발표되면서 폭주는 코어 라우팅 인프라에도 영향을 미친 것으로 보입니다. 폭주는 핵심 라우팅 인프라에도 영향을 미친 것으로 보이며, 현지 시간 16:00~22:00(UTC 14:00~20:00) 사이에 MaxNet에서 발표한 IPv4 주소 공간도 0으로 떨어졌습니다.
Plusnet(영국)
1월 15일에 영국의 AS6871(Plusnet)에서 관찰된 트래픽 중단은 처음에는 소셜 미디어에 올린 고객 불만에 대응하여 공급자가 "대량 중단"한 으로 특징지어졌습니다. 그러나 장애의 근본적인 원인은 DNS 서버에 있는 문제와 관련이 있는 것으로 밝혀졌습니다. 가입자가 Plusnet의 기본 DNS 확인자를 사용하여 Cloudflare호스트 이름을 성공적으로 확인하지 못했기 때문에, 결국 현지 시간 16:00~18:00(UTC도 동일)까지 약 2시간 동안 네트워크 트래픽이 감소했습니다. Cloudflare의 1.1.1.1 서비스와 같은 타사 DNS 확인자를 사용하도록 시스템을 구성한 사용자는 서비스 중단을 경험하지 않았습니다.
러시아
DNS 문제는 1월 중 러시아 사용자에게도 영향을 미쳤지만, 영국의 Plusnet 가입자가 경험한 것과는 다른 양상이었습니다. 1월 30일에 보고된 DNSSEC 장애로 인해 .ru 도메인에 몇 시간 동안 접속할 수 없었습니다(DNSSEC는 기존 DNS 레코드에 암호화 서명을 추가하여 보안 도메인 이름 시스템을 생성합니다. 관련 서명을 확인하면 요청된 DNS 레코드가 권한 있는 네임 서버에서 왔으며 중간자 공격으로 주입된 가짜 레코드가 아닌 도중에 변경되지 않았는지 확인할 수 있습니다).
DNSSEC 유효성 검사 실패로 인해 .ru 국가 코드 최상위 도메인(ccTLD)의 호스트 이름에 대한 Cloudflare의 1.1.1.1 확인자에 대한 DNS 조회에 SERVFAIL 응답이 발생했습니다. 최고치일 때는 요청의 68.4%가 SERVFAIL 응답을 받았습니다. .ru ccTLD 조정 센터에서는 "글로벌 DNSSEC 인프라와 관련된 .ru 영역에 영향을 미치는 기술적 문제"를 해결 중이라고 확인했지만, 문제의 근본 원인에 대한 추가 세부 정보는 제공하지 않았습니다(예: DNSSEC 키 롤오버 잠재적 문제 등). .ru ccTLD에서는 2019년 8월 16일에도 몇 시간 동안 유사한 DNSSEC 관련 중단이 발생했습니다.
AT&T(미국)
2월 22일 04:00 미국 동부 표준시/03:00 미국 중부 표준시 03:00(UTC 09:00) 직전부터 미국 일부 도시의 AT&T 가입자들이 모바일 서비스 중단을 경험했습니다. 영향을 받은 도시는 애틀랜타, 휴스턴, 시카고 등이었으며, 약 8시간 동안 연결이 중단되었습니다. Cloudflare 데이터에 따르면 문제가 시작되면서 AT&T(AS7018) 트래픽이 이전 주 대비 시카고에서는 45%, 댈러스에서는 18% 감소했습니다.
AT&T에서 발행한 "네트워크 업데이트"에 따르면, "초기 검토를 기반으로 저희는 오늘의 중단 사고가 사이버 공격이 아니라 네트워크를 확장할 때 잘못된 프로세스와 앱을 실행한 데 기인한 것이라고 믿습니다."
유지 관리
Vodafone Egypt
3월 5일 현지 시간 05:15~11:30(UTC 03:15~09:30) 사이에 AS36935(Vodafone Egyp트)의 고객이 모바일 인터넷 연결 끊김을 경험했으며, 해당 네트워크의 트래픽이 약 70% 이하로 줄어든 것으로 관찰되었습니다. 해당 공급자는 자사 소셜 미디어에 올린 게시물에서 “오늘 오전에 진행된 업데이트로 인해 현재 일부 지역에서 4G 서비스 운영에 어려움을 겪고 있는 점에 대해 사과드립니다"라고 사과했습니다(번역본). Vodafone에서는 4G 네트워크 중단의 결과로 인해 영향을 받은 고객에게 피해를 배상해야 했고, 이집트의 국가 통신 규제 당국(NTRA)으로부터 벌금이 부과되었습니다.
Ocean Wave Communication(미얀마)
현지 시간 3월 12일 정오(UTC 05:15) 직전, 미얀마의 소비자 광섬유 및 비즈니스 인터넷 서비스 공급자인 AS136442(Ocean Wave)에서 상당한 트래픽 감소가 관찰되었습니다. 이 공급자는 소셜 미디어 게시물에 "Ocean Wave 고객 여러분, 네트워크 유지 관리로 인해 연결이 잘 되지 않거나 연결 속도가 느리다는 점을 유의하시기 바랍니다"라고 공지했습니다(번역본). 연결 중단은 약 7시간 동안 지속되었으며, 트래픽은 현지 시간 19:00(UTC 12:15) 직전에 일반적인 수준으로 회복되었습니다.
결론
1분기 중 두 차례의 주목할 만한 해저 케이블 손상 사고가 발생하여 해저 케이블 보호의 중요성과 지정학적으로 민감한 지역을 통과하거나 근처를 통과하는 해저 케이블과 관련된 위험이 다시 한 번 강조되었습니다.인터넷 트래픽 전송을 해저 케이블에 의존한다는 점을 고려하면 이 문제는 앞으로도 여러 해 동안 계속될 것입니다.
또한 Orange España 사고를 통해 운영 측면에서 중요한 리소스를 다단계 인증으로 보호하는 것이 중요하다는 점을 알게 되었으며, 이는 Cloudflare에서 과거에 이미 다룬 바 있습니다. RIPE와 같은 조직은 인터넷 기능에 있어 매우 중요한 배후 역할을 수행하며, 악의적인 공격자가 인터넷 연결을 광범위하게 방해할 수 있는 조치를 취하는 것을 방지하기 위해 시스템 보안에 관한 모든 실질적인 예방 조치를 취해야 할 의무가 있습니다.
Cloudflare Radar 팀에서는 지속해서 인터넷 중단을 모니터링하고 Cloudflare Radar 중단 센터, 소셜 미디어, blog.cloudflare.com의 게시물을 통해 관찰 내용을 공유합니다. 소셜 미디어 @CloudflareRadar(X), Cloudflare.social/@radar(Mastodon), radar.cloudflare.com(Bluesky)에서 저희를 팔로우하거나 이메일을 통하여 문의하세요.