베네수엘라 정전 중 발생한 BGP 이상 현상

 (loworbitsecurity.com)
2P by GN⁺ 4일전 | ★ favorite | 댓글 1개
  • 베네수엘라 정전 사태와 동시에 CANTV(AS8048) 를 중심으로 한 BGP 라우팅 이상 현상이 관측됨
  • Cloudflare Radar 데이터에 따르면 1월 2일 CANTV 경로를 포함한 8개의 IP 프리픽스가 비정상적인 AS 경로를 통해 라우팅됨
  • 이 경로에는 Sparkle(이탈리아)GlobeNet(콜롬비아) 이 포함되어 있었으며, Sparkle은 RPKI 필터링을 적용하지 않는 ‘비안전’ 사업자로 분류됨
  • bgpdump 분석 결과, AS 경로에 CANTV 번호(8048)가 10회 반복되어 일반적인 경로 선택 규칙과 맞지 않는 형태를 보였고, 해당 IP 대역은 카라카스의 Dayco Telecom 소유로 확인됨
  • 이러한 BGP 경로 누출과 정전, 폭발, 미군 진입 시점이 근접해 있어, 네트워크 수준의 비정상 활동이 있었음이 명확히 드러남

베네수엘라 정전과 BGP 이상 현상

  • 베네수엘라 정전 사태 중 CANTV(AS8048) 를 중심으로 한 BGP 경로 누출(route leak) 이 발생
    • Cloudflare Radar 데이터에서 8개의 IP 프리픽스가 CANTV를 경유하는 비정상 경로로 라우팅됨
    • 경로에는 Sparkle(이탈리아)GlobeNet(콜롬비아) 이 포함되어 있었음
  • Cloudflare Radar는 1월 2일 BGP 공지(announcement) 급증공인 IP 주소 공간 감소를 기록
    • 원인은 명확하지 않음
  • Sparkle은 isbgpsafeyet.com에서 ‘비안전’ 사업자로 분류되어 있으며, RPKI 필터링 미적용 상태로 확인됨

BGP 데이터 분석

  • ris.ripe.net의 공개 데이터와 bgpdump 도구를 이용해 Cloudflare가 표시하지 않은 누락된 프리픽스를 추출
    • 분석 결과, AS 경로에 CANTV(8048) 이 10회 반복되어 있었음
    • BGP는 짧은 경로를 선호하므로, 이러한 반복은 비정상적인 경로 구성을 의미
  • 8개의 프리픽스는 모두 200.74.224.0/20 블록 내에 포함
    • WHOIS 조회 결과, Dayco Telecom(카라카스 소재) 소유로 확인
  • 역방향 DNS 조회 결과, 해당 IP 범위에는 은행, 인터넷 제공자, 이메일 서버 등 핵심 인프라가 포함되어 있었음

사건 타임라인

  • 1월 2일 15:40 UTC: BGP 경로 누출 감지 (Cloudflare Radar)
  • 1월 3일 06:00경: 카라카스 폭발 보고 (NPR)
  • 1월 3일 06:00: 미군이 마두로 관저 도착 (NBC News)
  • 1월 3일 08:29: 마두로, USS Iwo Jima 탑승 (CNN)
  • 이 시점 동안 BGP 트래픽이 제3의 경유지로 우회된 정황이 있으며, 해당 경로를 통제할 경우 정보 수집 가능성이 존재

분석 및 관찰

  • CANTV AS8048이 경로에 10회 삽입된 것은 트래픽 우선순위를 낮추는 효과를 유발
    • 의도 여부는 불명확하나, 비정상적 경로 조작(shenanigans) 이 있었음은 명백
  • 공개 데이터만으로도 당시의 네트워크 이상 활동을 추가 분석할 가치가 있음
  • 글은 정치적 해석을 배제하고, 순수히 공격적 보안 관점에서의 기술적 이상 현상을 다룸

기타 보안 관련 링크 모음

  • MCP Security: 악성 MCP 서버가 AI 프롬프트와 환경 변수를 탈취할 수 있음을 시연
  • The Year in LLMs (2025) : 추론 모델, 코딩 에이전트, 중국 오픈웨이트 모델, MCP 채택 등 요약
  • Linux is Good Now: 2026년을 리눅스 데스크톱의 해로 보는 논의
  • No strcpy Either: curl 프로젝트가 strcpy()를 제거하고 버퍼 크기 명시 래퍼 도입
  • Kubernetes Networking Best Practices: CNI 선택, 네트워크 정책, 서비스 메시, 트러블슈팅 가이드
GN⁺ 4일전  [-]
Hacker News 의견들

  • BGP 트래픽이 A에서 B로 갈 때 C를 경유하도록 라우팅 조작이 가능함
    C 지점을 통제하면 정보 수집이 가능하지만, 이번 CANTV(AS8048)의 경우는 단순한 AS 경로 프리펜딩으로 보임
    이는 트래픽을 줄이기 위한 흔한 트래픽 엔지니어링 방식이며, 과거에도 자주 사용된 패턴임
    이번에는 Telecom Italia Sparkle(AS6762)의 경로가 GlobeNet Cabos Sumarinos Columbia(AS52320)로 전파된 것으로 보이며, 단순 설정 오류 가능성이 높음
    Dayco Telecom(AS21980)으로의 경로 탈취 흔적은 없으며, 오히려 프리펜딩으로 인해 CANTV를 경유할 가능성이 낮아졌음

  • 기사에서 흥미로웠던 점은 1.1.1.1의 DNS 쿼리 중 7%가 HTTPS 타입이었다는 것임
    이는 TLS 1.3의 ECH(Encrypted Client Hello) 구현과 관련되어 있으며, DNS가 서버의 공개키를 호스팅해 HTTPS 요청의 서버 이름을 완전히 암호화함
    아직 Nginx 등 주요 웹 서버가 이를 지원하지 않기 때문에, 이 7%는 대부분 Cloudflare 자체 트래픽일 가능성이 높음
    관련 데이터는 Cloudflare Radar에서 확인 가능함

    • 브라우저가 사이트가 HTTP3를 지원하는지 확인할 때도 이 쿼리를 사용함
      연결이 느리면 HTTP1/2로 자동 폴백
    • Adguard Home 등은 DNS 요청을 HTTPS로 처리하도록 설정할 수 있음
      예: https://dns.cloudflare.com/dns-query
    • 이 방식이면 DNS 단계에서 호스트 이름이 노출되지 않음
      아직 직접 테스트해보지는 않았음

  • 핵무기 보유국은 이런 납치 작전의 대상에서 제외될 것이라 생각함
    이런 사건은 오히려 핵 확산 압력을 높일 것 같음

    • 북한이 처음부터 옳았다는 생각이 듦
      예전엔 과하다고 봤지만, 지금은 우리가 광대 같은 역할을 하는 셈임
    • BGP 하이재킹 수준의 사건이라면 핵 억제력과는 무관함
      미국의 참수 작전 같은 군사행동과는 격이 다름
    • 핵 보유 여부는 단순한 이진 개념이 아님
      전달 수단과 방어력이 중요하며, 지도자 납치 같은 사건이 핵 보복으로 이어질 가능성은 낮음
      핵을 ‘시도’하는 것 자체가 위험한 계산이기 때문임
      예를 들어 이란의 미사일 공격은 대부분 요격될 것을 전제로 함
    • 핵 억제력은 실제 사용할 의지가 있어야 작동함
      베네수엘라가 핵을 가졌더라도 이번 일은 여전히 일어났을 것임

  • 이번 사건은 악의적이라기보다는 CANTV(AS8048)가 52320으로 프리펜딩된 공지를 보낸 것으로 보임
    오히려 MDS(269832)의 상위 피어 연결 문제로 인해 이런 경로가 더 눈에 띄게 된 듯함

  • 이번 사건을 보면 미국 기술 의존도를 완전히 피할 수 없다는 생각이 듦
    “미국 기술에 더 깊이 발을 담그라”는 말이 아이러니하게 들림

    • 이번 공격이 미국 기술 때문이라고 볼 근거는 없음
      베네수엘라는 제재로 인해 오히려 중국 기술을 더 많이 쓸 가능성이 높음
      다만 지정학적 적국의 기술 의존은 위험하다는 점에는 동의함
    • 전 세계 대부분이 이미 Google이나 Apple 기기를 사용 중임
      더 이상 의존도를 높일 여지가 거의 없음
    • 기술은 개발과 제조 비용이 막대함
      자국 역량이 없으면 결국 다른 나라 기술을 써야 함
      미국을 배제하면 얻는 건 ‘미국 없는 인프라’뿐이고, 경제적 가치는 비슷함
      베네수엘라 같은 국가는 결국 다른 강대국의 기술 종속으로 바뀔 뿐임
      기술 지정학은 결국 “빵이 많을수록 남의 똥을 덜 먹는다”는 현실임

  • OSRS(Old School RuneScape) 경제가 이번 공격의 영향을 받았는지 궁금함
    인터넷이 완전히 끊기진 않았을 것 같음

    • 오히려 OSRS 서버 장애가 베네수엘라 경제에 더 큰 영향을 줄 수도 있음
    • 실제로 영향이 있었다는 트윗이 있음
    • 혹시 베네수엘라 OSRS 클랜과 연락 중인지 궁금함

  • 크리스마스나 새해에도 비슷한 BGP 이상 현상이 있었는지 궁금함

    • Cloudflare 대시보드에서 보면 공격 당일도 전체적으로는 이상치로 보이지 않음

  • 길이 15의 AS 경로가 인터넷에 나타나려면 더 나은 경로들이 모두 사라져야 함
    이번에도 그런 현상이 있었고, 이는 CANTV와는 무관해 보임
    BGP 경로가 철회 처리 오류로 인해 ‘붙잡히는’ 경우가 있는데, 이런 상황에서 긴 경로가 나타날 수 있음

  • 결론이 명확하지는 않지만, 이번 조사와 분석은 매우 흥미로웠음
    누군가 더 많은 연결 고리를 찾아낼 수도 있을 것 같음

  • 이 사건의 결과로 트래픽이 Sparkle을 거쳐 감청이 가능했을 수도 있다고 생각함
    다만 네트워크 구조를 잘 몰라 정확히는 모르겠음

    • WhatsApp, Telegram, Gmail 같은 서비스의 패킷 일부를 드롭하면 통신 지연을 유발할 수 있음
      이는 위기 상황에서 중요한 대체 통신 수단 차단으로 작용할 수 있음
    • 실제로는 GlobeNet에서 Dayco로 가는 트래픽이 일시적으로 CANTV를 경유했을 뿐임
      Telecom Italia Sparkle이 특별히 언급된 이유는 불분명함
답변달기