‘exit’ 명령어 빼먹어 전국망 마비…KT 인터넷 먹통 원인 봤더니

[이데일리 김현아 기자] 지난 25일 11시 16분 경부터 12시 45분까지 약 89분간 전국적으로 발생한 KT 인터넷 서비스 장애는 ‘exit’라는 명령어를 빼먹어 발생한 것으로 확인됐다. 라우팅(네트워크 경로설정) 과정에서 잘못된 정보를 입력한 사람은 KT협력업체 직원이지만, 해당 스크립트를 사전에 승인한 사람은 KT직원이다.

부산국사에서 기업망 라우터를 교체하면서 생긴 이번 사고는 ①네트워크 관리에 기본조차 지키지 않은 KT(협력업체 직원만 남겨두고 자리 비운 KT)와 ②사고 발생이후 사내에서조차 소통이 제대로 이뤄지지 않은 KT(정부에 라우팅 오류 보고 시점은 11시 44분, 언론에 디도스 공격으로 알린 시점은 12시 05분) ③통신 장애시 고객 고지와 보상에 턱없이 부족한 현재의 법과 제도의 문제(홈페이지만 공지해 혼란, 17년간 바뀌지 않은 보상 약관)를 드러냈다.

10월 25일 발생한 라우터 오류 현상(출처: 과기정통부). 전국적으로 라우팅 오류가 부산 신규 기업용 라우터 → 부산 백본 라우터 → 서울 센터 라우터(중앙) → 타 지역 백본 라우터 → 기타 라우터로 진행됐다.

①직원은 자리비우고 협력사 직원이 단어 입력 실수

이번 사고는 부산지역의 라우터에서 시작됐다. 원래 야간작업(01시~06시)으로 승인한 일이 주간에 이뤄졌고, KT 직원 없이 협력사 직원들끼리 라우팅(네트워크 경로설정)을 했다. 또, 라우팅을 할 때 네트워크를 끊지 않고 연결된 채로 작업했다.

협력사 직원이 내부망에 쓰는 규약(IS-IS 프로토콜)을 끝내는 ‘exit’를 빼먹고 경로설정을 하는 바람에 부산 백본 라우터, 서울 센터 라우터(중앙), 타지역 백본 라우터, 기타 라우터까지 30초 이내에 잘못된 정보가 전송된 것이다.

홍진배 과기정통부 정보보호네트워크정책관은 “한꺼번에 자동으로 3천여개의 전국 라우터에 수십만개의 정보가 잘못 업로드돼 전국으로 확산됐다”고 했고, 최성준 네트워크정책과장은 “잘못된 정보 입력시 KT 직원은 다른 업무를 하느라 자리를 비운 상태였다”고 말했다.

다만, KT가 사고 원인을 인지한 11시 44분부터 복구까지는 원활했던 것으로 나타났다.

나성욱 한국지능정보사회진흥원(NIA)미래네트워크센터장은 “문제가 된 라우터를 고립시키고 각각의 지역 라우터에 접속해 프로세스를 삭제하고 살리는 작업을 했다. 시간적으로는 최대한 빨리 조치했다”고 말했다. KT가 복구 조치를 완료한 게 12시 45분이니 1시간 정도 걸린 셈이다.

조경식 과기정통부 제2차관

KT 네트워크 구조(출처: 과기정통부) KT는 코넷망, 프리미엄망, 5G망의 3개의 자율관리네트워크를 보유하고 있다. (코넷망) KT의 인터넷 백본 네트워크. (프리미엄망) IPTV, LTE를 위한 네트워크로 SER(Service edge router)을 통해 프리미엄망으로 연결된다. (5G) 5G 무선망을 위한 백본 네트워크다.

②라우터 오류 가능성 인지 11시 44분, 디도스 추정 공지 12시 05분

‘exit’라는 명령어를 빼먹고 벌어진 이번 사고에 대해 KT는 사고 발생 1시간여 만인 12시 05분, ‘디도스(분산서비스거부)공격’으로 추정된다고 밝혔다.

10월 25일 11시 16분부터 갑자기 KT 도메인네임시스템(DNS) 서버에 평시에 비해 트래픽이 급증했기 때문이다. 중앙 1차 DNS(혜화)의 경우 평시 대비 22배, 중앙 2차 DNS(혜화)에는 4배 이상, 부산DNS는 평시대비 3.7배의 트래픽이 증가한 것으로 나타났다.

하지만 정부 조사 결과, 디도스는 아닌 것으로 확인됐다. 전국적으로 3000여개에 달하는 것으로 알려지는 KT 라우터들에 정보 입력 오류(경로 설정 오류)가 발생하면서 인터넷 포털 접속 테스트 같은 자발적인 트래픽이 늘었기 때문이다.

같은 이유로 이번에 사고가 난 인터넷 서비스망과 별도로 구성돼 있는 KT의 IPTV 서비스망 및 음성전화 및 문자 서비스망 역시 일부 장애가 발생했다. 음성전화·문자 서비스망은 인터넷 서비스 장애로 인해 전화와 문자 이용이 늘었고, 단말전원을 리셋한 이용자로 인한 트래픽 증가가 발생해 부하가 가중됐다.

문제는 KT가 라우터 오류일 수 있다고 병행해 인지한 시점과 KT가 알린 디도스 추정 공지 시점이 다르다는 점이다.

홍진배 정보보호네트워크정책관에 따르면 KT가 정부에 라우팅(네트워크 경로 설정)오류라고 보고한 시점은 11시 44분, 디도스 추정 공지로 알린 시점은 12시 05분이다. 여러 보도에서 디도스를 의심하자 경찰청 사이버테러대응팀 5명은 KT 분당 본사로 급파되기도 했다. 과기정통부 관계자는 “KT 내부의 사고시 소통 시스템이 잘못됐던 것 같다”고 말했다.

이에 대해 KT 관계자는 “11시 44분은 디도스외에 라우터 오류 가능성일 수 있다고 병행해 인지한 시점으로, 과기정통부 보고 시점은 그보다 늦다. 허위로 원인을 숨긴 것은 아니다”라고 해명했지만, 어이 없는 사고이후 정부와 소통이나 국민들과의 소통이 원활하지 않았다는 평가는 여전하다.

25일 오전 KT 인터넷망이 전국적으로 한 시간 넘게 장애를 일으키면서 전남 구례군 마산면 한 식당 입구에 ‘전산망 오류로 인해 카드 결제 불가’ 안내문이 붙어 있다. <사진=연합뉴스>

③국민에게 고지도 부족, 17년간 그대로인 보상 약관

지난 25일 발생한 사고는 점심시간 전후로 발생해 카드결제기를 사용할 수 없었던 식당, 편의점 등 소상공인들의 피해가 컸고 온라인으로 시험을 치던 학생들의 시험이 중단되는 등 피해가 잇따랐다.

국민들에게 공지는 제대로 됐을까. 일단 기본적으로 문제가 된 망은 인터넷 서비스망이여서 KT는 무선전화 등은 살아 있었다. 하지만 이번에 사고 고지는 KT가 홈페이지에만 오후에 한 것으로 나타났다.

또한 인터넷의 경우 3시간 연속 장애시 보상 기준은 2002년 정보통신부 시절 만들어진 것으로, 지금처럼 인터넷에 기반해서 결제와 주식투자, 자동차 주행까지 이뤄지는 시대에는 적합하지 않다는 비판이 크다.

최성준 과장은 “이번에는 홈페이지로만 고지했는데 앞으로는 SNS나 문자 등 더 편한 수단으로 고지하도록 바꾸겠다”고 말했다.

이소라 방통위 이용자보호과장은 “3년전 아현국사 화재이후 이용자 고지 필요성이 제기돼 고지토록 했고, 이번에 KT도 홈페이지를 통해 알렸지만 더 편리한 고지 방법에 대해 제도를 개선하겠다”면서 “보상기준 같은 이용약관 개선 문제도 보완할 부분은 없는지 살피겠다”고 말했다.