2021년 10월 25일 KT 인터넷 장애 사건 "DDoS가 아니라 라우팅 설정 오류" (+디도스란?)

안녕하세요.

병용전자입니다.

 

2021년 10월 25일 오전 11시 20분부터 오후 12시 45까지 KT 인터넷망을 사용하는

전국의 모든 유무선 인터넷과 일부 유무선 전화(유선은 인터넷 전화)가 마비되는 사건이 있었습니다.

오늘은 KT가 처음 서비스 장애 원인이라고 발표한 DDoS(디도스)가 무엇인지

이 사건이 어떻게 흘러갔는지 정리해보았습니다.

 

DDoS는 무엇이고 어떻게 피해를 끼치나요?

DDoS(디도스 = Distributed Denial of Service attack = 분산 서비스 거부 공격)는 교통체증을 생각하시면 됩니다.

고속도로에 진입하려니 도로가 너무 막혀서 차량이 진입이 되지 않았는 경험 있으실 겁니다.

 

이처럼 DDoS도 서버에 접속을 하려니 너무 많은 사용자들이 서버를 사용하고 있어서

정작 서버를 진짜 사용해야 하는 사용자는 진입도 하지 못하는 일종의 사이버 테러를 말합니다.

 

예를 들어서 A라는 홈페이지가 있습니다. A 홈페이지에는 평소에 1,000명정도가 접속한다고 합니다.

A 홈페이지 서버 관리자는 A 홈페이지 서버를 1,000명정도 접속하는 것을 감안하여 서버 구축하였습니다.

어느날 갑자기 A 홈페이지 서버에 같은 시간에 1,000,000명이 방문하였습니다.

이렇게 될 경우 어떻게 될까요? A 홈페이지 서버는 1,000,000명을 감당하지 못하고 서버가 터져버리곘죠.

이렇게 DDoS는 같은 시간대에 고의적인 동시접속으로 특정 서버를 마비시켜버리는 테러입니다.

 

DDoS의 원리대로라면 많은 양의 서버나 컴퓨터가 있어야겠죠?

맞는 말이지만 우리 일반인들도 DDoS를 할 수 있습니다. 바로 홈페이지에 접속하셔서 F5(새로고침)를 연타할 경우

새로고침한 홈페이지는 계속해서 새로운 정보를 장치로 뿌릴려고 서버를 돌릴꺼고 이런 작동은 서버에 부하를 줍니다.

서버에 이상한 부하가 가해져 서버 관리자가 서버의 로그를 분석하여 특정 IP에서 DDoS로 의심되는 행위가 적발될 경우

해당 로그를 경찰에 전달하여 F5를 연타한 일반인 또한 처벌받을 수 있습니다.

 

네이버나 다음 같은 엄청난 양의 장치를 처리할 수 있는 대형 서버는 우리가 F5 친다고해서 미동도 안 합니다.

이런 대형 서버에 DDoS를 할려면 상술했듯 많은 양의 서버나 컴퓨터가 있어야 합니다.

이럴 때 DDoS 가해자는 좀비PC를 만들게 됩니다.

 

좀비PC란? 그리고 그 이외의 DDoS 공격 유형

좀비PC는 일종의 노예를 만든다고 생각하시면 됩니다. 아래 일러스트를 먼저 보시죠.

크래커(가해자)는 특정 프로그램에 악성코드를 심어서

유저들이 악성코드가 심어진 프로그램을 다운로드하도록 유도합니다.

일반적으로 돈을 주고 시리얼넘버를 받아야 하는 유료 프로그램을

무료로 배포한답시고 악성코드를 심어둔 경우가 많습니다.

 

악성코드가 담긴 프로그램을 다운로드한 컴퓨터는 이제 좀비PC가 되었습니다.

즉, DDoS 가해자의 노예가 되었다고 생각하시면 됩니다.

이제 좀비PC는 가해자가 특정 서버를 테러할 때 동원됩니다.

이런 컴퓨터가 여러 대 동원될수록 더욱 큰 규모의 서버를 테러할 수 있게 됩니다.

 

최근에는 이런 좀비PC를 동원한 방법보다도 서버의 규모 자체가 워낙 커지는 추세라

대형 서버 테러를 위해 DDoS For Hire 서비스를 이용하는 경우도 있습니다.

DDoS For Hire는 서비스 이용을 위해 금액을 지불하고 대용량 대역폭 서버를 이용하여

특정 서버를 적은 금액으로도 쉽게 터트릴 수도 있습니다.

 

KT 인터넷망 대규모 서비스 장애 사건 전개

2021년 10월 25일 오전 11시 16분 대규모 서비스 장애 시작

KT 공식 발표 기준으로는 오전 11시 20분부터 대규모 서비스 장애 시작

(서비스 장애 시작 시각은 지역별로 상이한 것으로 보임)

 

오후 12시 2분 일부 서비스 복구 특히, 서울 지역은 느리지만 일부 인터넷 사이트 접속 가능

(지방은 이때도 아직 복구되지 않아 서비스 먹통)

 

오후 12시 8분 KT가 공식적으로 해당 서비스 장애를 대규모 DDoS 공격으로 인한 전산마비로 발표함.

KT 위기관리위원회를 가동하여 신속히 장애 문제를 해결하고자 조취를 취하고 있다고 함.

 

오후 12시 21분 경기도남부경찰청 사이버테러 1개 팀 5명이 동원되어

사건 규모, 피해 경위, 범죄여부, 공격 규모 등을 조사하고 있다고 함.

 

전국적으로 약 40분 가량의 서비스 장애가 발생하였으며 일부 지역에서는 복구가 늦어져

오후 12시 45분에 복구가 모두 완료되어 최대 1시간 25분정도의 서비스 장애가 있었음.

 

오후 12시 54분 대규모 DDoS로 인한 서비스 장애라던 KT의 입장이 서비스 장애 입장을 원인 불명으로 바꿈.

(대규모 DDoS라고 발표 후 좋지 않은 여론을 진정시키기 위함으로 보임.)

오후 1시 11분 한국인터넷진흥원에서 DDoS 공격 신고 접수는 없었다고 밝힘.

오후 1시 14분 과학기술정보통신부에서 서비스 장애의 원인을 대규모 DDoS가 아닌 KT측의 서비스 장애로 밝힘.

오후 1시 56분 KT가 공식적으로 서비스 장애 원인을 트래픽 쏠림 현상으로 인한 라우팅 경로 오류로 최종 발표함.

(좌) 2021년 10월 25일 오후 3시 3분에 올린 안내문 (우) 2021년 10월 26일 오후 2시에 올린 사과문

오후 3시 3분에 KT 메인 홈페이지(www.kt.com)에 좌측에 보이는 안내문이 팝업으로 올라감.

2021년 10월 26일 오후 2시에 KT 구현모 대표 이름으로 메인 홈페이지에 사과문이 올라감.

 

이 사건으로 인한 피해 규모

(좌) KT 인터넷망을 사용하는 컴퓨터와 모바일 장치에서 접속 실패 (우) KT 인터넷 전화기 인터넷 접속 실패

KT 인터넷을 사용하는 매장에서 카드결제 불통

(좌) 이더넷 접속 실패로 인해 전화국선으로 연결시도 중인 카드 체크기 (우) 정보 수신에 실패한 BIS 시스템

이번 서비스 장애의 피해 규모는 꽤 큰 편이었습니다. 그 이유가 자영업자들이 주로 인터넷을 사용하는

점심 피크시간에 서비스 장애가 발생하였기에 많은 매장에서 POS기 및 카드단말기를 사용하지 못 했습니다.

 

전화국선을 사용하는 단말기였다면 괜찮았겠지만,

최근에는 빠른 이더넷을 이용하여 단말기를 물려두기에 서비스 장애의 영향을 받았습니다.

셀룰러를 이용하는 휴대용 카드체크기도 KT망을 사용할 경우 먹통되어 결제가 되지 않았습니다.

 

KT 인터넷을 사용하는 인터넷 전화기도 먹통이 되어 주문 전화를 받지 못하는 상황이 생겼고

POS 자체가 인터넷이 먹통되어 배달의 민족이나 요기요를 통한 주문도 받지 못했습니다.

마찬가지로 라이더분들도 주문을 받지 못해 처리 건수가 적었다고 합니다.

 

이외에도 버스나 택시에서도 KT망을 사용할 경우에 탑승요금 결제에 차질이 생겼습니다.

특히, 버스의 경우 BIS 장치와의 서버 간 연결이나 버스와 서버 간의 연결이 끊기는 등의 문제가 발생했습니다.

 

특히, KT망을 사용하는 스마트폰으로 삼성페이나 LG페이와 같은

전자결제시스템을 사용할 수 없어서 개인 고객들도 피해를 입었습니다.

 

오전 9시부터 오후 3시 30분까지는 국내 주식장이 열려 있는 시간인데 이 시간대에 서비스 장애를 일으켜

KT 인터넷을 사용하는 투자자분들은 HTS 프로그램에 접속되지 않거나

서버와의 접속이 끊겨 손해를 보신 분도 있다고 들었습니다.

암호화폐 거래하시는 분들도 거래소와의 접속이 끊겨 손해를 보신 분들이 있다고 합니다.

 

이외에도 기업 고객분들도 유무선 인터넷 및 인터넷 전화의 불통으로 업무에 차질이 생겼다고 하고

일부 예체능 학교에서는 나이스(NEIS) 접속에 문제가 생겨 수행평가와 같은 활동에 차질이 생겼다고 합니다.

공공 와이파이가 끊어지고 112 및 119와 같은 긴급 통화망도 먹통이 되었다고 합니다.

 

문제는 KT의 장애 대응... 서비스 장애 보상은?

서비스 장애가 발생한 것까지는 이통3사 대부분이 겪는 현상이니깐 그렇다고 하지만,

고객들을 화나게 하는 것은 KT의 막장 대응이었습니다.

 

KT는 처음 이 서비스 장애의 원인이 대규모 DDoS 공격을 받아 일어난 일이라고 하였습니다.

KT같은 전국 단위의 대규모 통신사가 대규모 DDoS 공격을 받아 서비스에 장애를 일으킬 정도면

이건 정말 큰 규모의 사이버 테러에 해당하게 됩니다.

하지만, 그렇지도 않은 사안을 이렇게 대규모 DDoS 공격으로 무마시킬려고 했다는 점에서

정작 본인들의 잘못을 모르고 남탓하며 국가 안보를 들먹이는 KT의 장애 대응에 한번 더 의심을 품게 됩니다.

 

서비스 장애가 있었다고 하여도 처음 원인 발표할 때 KT측의 서비스 라우팅 경로 오류라고 말하진 못해도

정확한 원인이 밝혀질 때까지 가만히 있었으면 하루 뒤인 오늘까지 KT가 까일 이유가 있었을까요?

 

KT는 SKT나 LG U+와 다르게 평소에도 서비스 장애에 대한 적절한 보상이 이뤄지지 않은 것으로 유명합니다.

KT 10기가 인터넷 속도 저하 사건 때도 지금까지 적절한 보상은 커녕 오히려 설치 기사 급여 삭감으로 이어졌습니다.

하지만 이번 서비스 장애에서는 보상을 할 예정인지 구현모 대표의 사과문에 보상에 관해 언급되어 있습니다.

하루치 통신 요금을 빼주는 등의 보상이 될 것으로 보입니다.

---

서비스 장애는 국내 이통3사 어느 회사에서도 다시 일어날 수 있는 사건입니다.

이전에도 SKT와 LG U+도 서비스 장애를 겪었고 KT도 이번이 처음 서비스 장애는 아닙니다.

 

누구에게는 짧게는 40분 길게는 1시간 25분 동안 일어났던 평범한 사건일지언정

누구에게는 어제의 40분이나 1시간 25분은 피 말리는 경험을 했을 수도 있습니다.

 

지금의 인터넷과 통화는 단순히 정보교환에서 끝나는 것이 아닌 모든 부분이 인터넷과 연결되어 있습니다.

그렇기에 인터넷과 통화의 역활은 그 어느 시대보다 중요하게 받아들여지고 있습니다.

이런 기술이 서비스 장애를 일으키는 것도 문제이지만, 그 보다 중요한 것은

통신사의 서비스 장애에 대응이 중요하다고 생각합니다. 단순히 피해 보상을 많이 달라는 것이 아닌

서비스 장애 원인을 정확하게 파악하고 고객에게 알려 고객을 안심시키고

고객의 손실을 최대한 막는 그런 통신사가 되어야 한다고 생각합니다.

 

끝