BGP 유출로 인한 구글 서비스 다운 발생; 러시아, 중국, 나이지리아를 통해 트래픽 하이잭

Google Services down due to BGP leak, traffic hijacked through Russia, China, and Nigeria

지난 월요일 BGP 유출로 인해 구글 서비스가 이용이 불가능한 상태가 되었습니다. 해당 트래픽은 러시아, 중국 및 나이지리아를 통해 리디렉트 되었습니다.

이 사고의 원인이 단순한 오류 때문인지, 아니면 BGP 프로토콜에 대한 사이버 공격 때문인지는 아직까지 확인 되지 않았습니다.

BGP 하이재킹이라고도 알려진 경로 하이재킹은 IP 주소 그룹의 라우팅 테이블이 의도적으로, 또는 실수로 손상 된 경우 발생합니다.

최근 보안 연구원인 Chris C. Demchak와 Yuval Shavitt는 지난 몇 년 동안 차이나 텔레콤이 인터넷 트래픽이 중국을 지나도록 부적절하게 리디렉트하고 있는 것을 발견했습니다.

차이나 텔레콤은 현재 북미 네트워크에 인터넷 접속 포인트(PoPs) 10곳(미국에 8곳, 캐나다에 2곳)을 소유하고 있으며, 주요 교환 지점에 걸쳐 있는 상태입니다.

두 연구원은 이 통신사가 트래픽이 중국을 지나가도록 하이잭하는데 PoPs를 악용했으며, 이는 지난 몇 년 동안 여러 차례 일어났다고 지적했습니다.

“BGP 포워딩 테이블 내에서, 각 AS(자율 시스템)의 관리자들은 목적지로 사용 되거나, 편리한 통과 지점으로 사용할지에 관계 없이 자신의 AS가 가지고 있는 IP 주소 블록을 이웃 AS에 알립니다.”

“BGP 구성의 복잡도로 인해 에러가 발생할 수 있습니다. 이러한 에러는 공격자들에게 수 많은 하이잭 기회를 제공합니다. AS1 네트워크가 실제로는 AS2의 소유인 IP 블록을 소유한다고 실수로 BGP에 알리면, AS2가 목적지인 인터넷의 트래픽은 AS1로, 또는 AS1을 통해 라우팅 됩니다. 만약 잘못 된 알림이 악의적으로 만들어졌다면, BGP 하이잭이 발생합니다.”

가장 최근 발생한 BGP 유출은 네트워크 모니터링 회사인 ThousandEyes에서 처음으로 제보 되었으며, 검색, G Suite 및 다양한 구글 클라우드 서비스를 포함한 구글 서비스가 목적지인 트래픽이 러시아의 TransTelecom, 나이지리아의 ISP인 MainOne, 그리고 차이나 텔레콤을 지나도록 다이렉트 되었습니다.

ThousandEyes는 “2018년 11월 12일, 오후 1:00 ~2:23(PST) 사이에 우리 조직에서 사용하는 중요한 어플리케이션인 G Suite에 연결할 수 없었습니다. 통계를 검토한 결과, 이는 ThousandEyes 사무실의 모든 사용자에게 영향을 미치고 있었습니다.”

“이 서비스 연결 중단 사태는 G Suite 뿐만 아니라 구글 검색, 구글 애널리틱스(Analytics)에서도 마찬가지로 발생했습니다. 우리는 구글로의 트래픽이 차이나 텔레콤에서 끊긴다는 사실을 발견했습니다. 샌프란시스코 사무실에서 구글로 가는 트래픽이 왜 중국까지 갔을까요? 우리는 이 트래픽의 경로에서 러시아의 ISP도 발견했습니다.”

<이미지 출처 : https://securityaffairs.co/wordpress/77971/hacking/google-traffic-bgp-leak.html>

BGP 라우팅 모니터링 회사인 BGPmon에 따르면, 구글의 네트워크 prefix 212개가 이에 영향을 받았습니다.

ThousandEyes는 이 BGP 유출이 나이지리아의 MainOne과 차이나 텔레콤 사이의 BGP 피어링 관계 때문이라 추측했지만, 어쨌든 BGP 유출이 의도적인 공격으로 인한 결과인지 MainOne의 잘못 된 구성 탓인지는 불분명합니다.

“이 사건으로 인해 G Suite와 구글 검색 서비스에 대규모 서비스 거부(DoS)가 발생했습니다. 또한 이를 통해 오랫동안 인터넷을 감시해온 국가들은 귀중한 구글 트래픽을 손에 넣을 수 있었습니다.”

“우리는 분석을 통해 이 유출의 근원은 나이지리아의 MainOne과 차이나 텔레콤과의 BGP 피어링 관계라는 결론을 내렸습니다. MainOne은 라고스의 IXPN을 통해 구글과 피어링 관계를 맺고 있으며, 구글로 이어지는 직접적인 경로를 가지고 있습니다. 이 경로가 차이나 텔레콤에 유출 되었습니다.”

구글은 이 문제의 근본적인 원인이 회사 시스템 외부에 존재한다는 것을 확인하고 내부 조사를 시작했습니다.

“이 문제가 지속 되는 동안 구글의 서비스는 정상적으로 작동했으며, 구글은 이 문제의 근본 원인이 구글 외부에 존재한다고 판단했습니다. 우리는 재발 방지를 위해 내부 조사를 통해 시스템을 적절히 개선할 예정입니다.”

출처 :

https://securityaffairs.co/wordpress/77971/hacking/google-traffic-bgp-leak.html

https://scholarcommons.usf.edu/cgi/viewcontent.cgi?article=1050&context=mca