# 베네수엘라 정전 중 발생한 BGP 이상 현상

> Clean Markdown view of GeekNews topic #25595. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=25595](https://news.hada.io/topic?id=25595)
- GeekNews Markdown: [https://news.hada.io/topic/25595.md](https://news.hada.io/topic/25595.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-01-06T09:56:11+09:00
- Updated: 2026-01-06T09:56:11+09:00
- Original source: [loworbitsecurity.com](https://loworbitsecurity.com/radar/radar16/)
- Points: 2
- Comments: 1

## Topic Body

- 베네수엘라 정전 사태와 동시에 **CANTV(AS8048)** 를 중심으로 한 **BGP 라우팅 이상 현상**이 관측됨  
- **Cloudflare Radar** 데이터에 따르면 1월 2일 CANTV 경로를 포함한 8개의 IP 프리픽스가 **비정상적인 AS 경로**를 통해 라우팅됨  
- 이 경로에는 **Sparkle(이탈리아)** 과 **GlobeNet(콜롬비아)** 이 포함되어 있었으며, Sparkle은 **RPKI 필터링을 적용하지 않는 ‘비안전’ 사업자**로 분류됨  
- `bgpdump` 분석 결과, AS 경로에 CANTV 번호(8048)가 **10회 반복**되어 일반적인 경로 선택 규칙과 맞지 않는 형태를 보였고, 해당 IP 대역은 **카라카스의 Dayco Telecom** 소유로 확인됨  
- 이러한 **BGP 경로 누출과 정전, 폭발, 미군 진입 시점이 근접**해 있어, 네트워크 수준의 비정상 활동이 있었음이 명확히 드러남  

---

### 베네수엘라 정전과 BGP 이상 현상
- 베네수엘라 정전 사태 중 **CANTV(AS8048)** 를 중심으로 한 **BGP 경로 누출(route leak)** 이 발생  
  - Cloudflare Radar 데이터에서 8개의 IP 프리픽스가 CANTV를 경유하는 비정상 경로로 라우팅됨  
  - 경로에는 **Sparkle(이탈리아)** 과 **GlobeNet(콜롬비아)** 이 포함되어 있었음  
- Cloudflare Radar는 1월 2일 **BGP 공지(announcement) 급증**과 **공인 IP 주소 공간 감소**를 기록  
  - 원인은 명확하지 않음  
- Sparkle은 **isbgpsafeyet.com**에서 ‘비안전’ 사업자로 분류되어 있으며, **RPKI 필터링 미적용** 상태로 확인됨  

### BGP 데이터 분석
- `ris.ripe.net`의 공개 데이터와 **bgpdump** 도구를 이용해 Cloudflare가 표시하지 않은 **누락된 프리픽스**를 추출  
  - 분석 결과, AS 경로에 **CANTV(8048)** 이 10회 반복되어 있었음  
  - BGP는 짧은 경로를 선호하므로, 이러한 반복은 **비정상적인 경로 구성**을 의미  
- 8개의 프리픽스는 모두 `200.74.224.0/20` 블록 내에 포함  
  - WHOIS 조회 결과, **Dayco Telecom(카라카스 소재)** 소유로 확인  
- 역방향 DNS 조회 결과, 해당 IP 범위에는 **은행, 인터넷 제공자, 이메일 서버 등 핵심 인프라**가 포함되어 있었음  

### 사건 타임라인
- 1월 2일 15:40 UTC: **BGP 경로 누출 감지** (Cloudflare Radar)  
- 1월 3일 06:00경: **카라카스 폭발 보고** (NPR)  
- 1월 3일 06:00: **미군이 마두로 관저 도착** (NBC News)  
- 1월 3일 08:29: **마두로, USS Iwo Jima 탑승** (CNN)  
- 이 시점 동안 **BGP 트래픽이 제3의 경유지로 우회**된 정황이 있으며, 해당 경로를 통제할 경우 **정보 수집 가능성**이 존재  

### 분석 및 관찰
- CANTV AS8048이 경로에 10회 삽입된 것은 **트래픽 우선순위를 낮추는 효과**를 유발  
  - 의도 여부는 불명확하나, **비정상적 경로 조작(shenanigans)** 이 있었음은 명백  
- 공개 데이터만으로도 당시의 **네트워크 이상 활동**을 추가 분석할 가치가 있음  
- 글은 **정치적 해석을 배제하고**, 순수히 **공격적 보안 관점에서의 기술적 이상 현상**을 다룸  

### 기타 보안 관련 링크 모음
- **MCP Security**: 악성 MCP 서버가 AI 프롬프트와 환경 변수를 탈취할 수 있음을 시연  
- **The Year in LLMs (2025)** : 추론 모델, 코딩 에이전트, 중국 오픈웨이트 모델, MCP 채택 등 요약  
- **Linux is Good Now**: 2026년을 리눅스 데스크톱의 해로 보는 논의  
- **No strcpy Either**: curl 프로젝트가 `strcpy()`를 제거하고 버퍼 크기 명시 래퍼 도입  
- **Kubernetes Networking Best Practices**: CNI 선택, 네트워크 정책, 서비스 메시, 트러블슈팅 가이드  

---

## Comments



### Comment 48731

- Author: neo
- Created: 2026-01-06T09:56:11+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46504963) 
- BGP 트래픽이 A에서 B로 갈 때 C를 경유하도록 **라우팅 조작**이 가능함  
  C 지점을 통제하면 정보 수집이 가능하지만, 이번 CANTV(AS8048)의 경우는 단순한 **AS 경로 프리펜딩**으로 보임  
  이는 트래픽을 줄이기 위한 흔한 트래픽 엔지니어링 방식이며, 과거에도 자주 사용된 패턴임  
  이번에는 Telecom Italia Sparkle(AS6762)의 경로가 GlobeNet Cabos Sumarinos Columbia(AS52320)로 전파된 것으로 보이며, 단순 **설정 오류** 가능성이 높음  
  Dayco Telecom(AS21980)으로의 경로 탈취 흔적은 없으며, 오히려 프리펜딩으로 인해 CANTV를 경유할 가능성이 낮아졌음  

- 기사에서 흥미로웠던 점은 1.1.1.1의 DNS 쿼리 중 7%가 **HTTPS 타입**이었다는 것임  
  이는 TLS 1.3의 **ECH(Encrypted Client Hello)** 구현과 관련되어 있으며, DNS가 서버의 공개키를 호스팅해 HTTPS 요청의 서버 이름을 완전히 암호화함  
  아직 Nginx 등 주요 웹 서버가 이를 지원하지 않기 때문에, 이 7%는 대부분 Cloudflare 자체 트래픽일 가능성이 높음  
  관련 데이터는 [Cloudflare Radar](https://radar.cloudflare.com/?ref=loworbitsecurity.com#dns-query-type)에서 확인 가능함
  - 브라우저가 사이트가 HTTP3를 지원하는지 확인할 때도 이 쿼리를 사용함  
    연결이 느리면 HTTP1/2로 **자동 폴백**함
  - Adguard Home 등은 DNS 요청을 HTTPS로 처리하도록 설정할 수 있음  
    예: [https://dns.cloudflare.com/dns-query](https://dns.cloudflare.com/dns-query)
  - 이 방식이면 DNS 단계에서 **호스트 이름이 노출되지 않음**  
    아직 직접 테스트해보지는 않았음  

- 핵무기 보유국은 이런 **납치 작전**의 대상에서 제외될 것이라 생각함  
  이런 사건은 오히려 핵 확산 압력을 높일 것 같음
  - 북한이 처음부터 옳았다는 생각이 듦  
    예전엔 과하다고 봤지만, 지금은 우리가 **광대 같은 역할**을 하는 셈임
  - BGP 하이재킹 수준의 사건이라면 핵 억제력과는 무관함  
    미국의 참수 작전 같은 군사행동과는 **격이 다름**
  - 핵 보유 여부는 단순한 이진 개념이 아님  
    **전달 수단과 방어력**이 중요하며, 지도자 납치 같은 사건이 핵 보복으로 이어질 가능성은 낮음  
    핵을 ‘시도’하는 것 자체가 위험한 계산이기 때문임  
    예를 들어 이란의 미사일 공격은 대부분 요격될 것을 전제로 함
  - 핵 억제력은 실제 사용할 **의지**가 있어야 작동함  
    베네수엘라가 핵을 가졌더라도 이번 일은 여전히 일어났을 것임  

- 이번 사건은 악의적이라기보다는 CANTV(AS8048)가 52320으로 **프리펜딩된 공지**를 보낸 것으로 보임  
  오히려 MDS(269832)의 상위 피어 연결 문제로 인해 이런 경로가 더 눈에 띄게 된 듯함  

- 이번 사건을 보면 미국 기술 의존도를 완전히 피할 수 없다는 생각이 듦  
  “미국 기술에 더 깊이 발을 담그라”는 말이 아이러니하게 들림
  - 이번 공격이 **미국 기술 때문**이라고 볼 근거는 없음  
    베네수엘라는 제재로 인해 오히려 중국 기술을 더 많이 쓸 가능성이 높음  
    다만 **지정학적 적국의 기술 의존**은 위험하다는 점에는 동의함
  - 전 세계 대부분이 이미 Google이나 Apple 기기를 사용 중임  
    더 이상 **의존도를 높일 여지**가 거의 없음
  - 기술은 개발과 제조 비용이 막대함  
    자국 역량이 없으면 결국 다른 나라 기술을 써야 함  
    미국을 배제하면 얻는 건 ‘미국 없는 인프라’뿐이고, 경제적 가치는 비슷함  
    베네수엘라 같은 국가는 결국 **다른 강대국의 기술 종속**으로 바뀔 뿐임  
    기술 지정학은 결국 “**빵이 많을수록 남의 똥을 덜 먹는다**”는 현실임  

- OSRS(Old School RuneScape) 경제가 이번 공격의 영향을 받았는지 궁금함  
  인터넷이 완전히 끊기진 않았을 것 같음
  - 오히려 **OSRS 서버 장애**가 베네수엘라 경제에 더 큰 영향을 줄 수도 있음
  - 실제로 영향이 있었다는 [트윗](https://x.com/eslischn/status/1104542595806609408)이 있음
  - 혹시 **베네수엘라 OSRS 클랜**과 연락 중인지 궁금함  

- 크리스마스나 새해에도 비슷한 **BGP 이상 현상**이 있었는지 궁금함  
  - Cloudflare 대시보드에서 보면 공격 당일도 전체적으로는 **이상치로 보이지 않음**  

- 길이 15의 AS 경로가 인터넷에 나타나려면 더 나은 경로들이 모두 사라져야 함  
  이번에도 그런 현상이 있었고, 이는 CANTV와는 무관해 보임  
  BGP 경로가 **철회 처리 오류**로 인해 ‘붙잡히는’ 경우가 있는데, 이런 상황에서 긴 경로가 나타날 수 있음  

- 결론이 명확하지는 않지만, 이번 **조사와 분석**은 매우 흥미로웠음  
  누군가 더 많은 **연결 고리**를 찾아낼 수도 있을 것 같음  

- 이 사건의 결과로 트래픽이 Sparkle을 거쳐 감청이 가능했을 수도 있다고 생각함  
  다만 네트워크 구조를 잘 몰라 정확히는 모르겠음
  - WhatsApp, Telegram, Gmail 같은 서비스의 **패킷 일부를 드롭**하면 통신 지연을 유발할 수 있음  
    이는 위기 상황에서 중요한 **대체 통신 수단 차단**으로 작용할 수 있음
  - 실제로는 GlobeNet에서 Dayco로 가는 트래픽이 일시적으로 CANTV를 경유했을 뿐임  
    Telecom Italia Sparkle이 특별히 언급된 이유는 불분명함