cloudflare-radar

이란의 인터넷 차단에 대해 우리가 (새 탭에서 열림)

2025년 말 이란 내 경제적 불만과 정권 교체 요구로 촉발된 대규모 시위에 대응하여 이란 정부가 전국적인 인터넷 차단 조치를 단행했습니다. Cloudflare Radar 데이터 분석 결과, 2026년 1월 8일부터 이란의 인터넷 트래픽은 사실상 전무한 상태로 떨어졌으며 이는 과거 2019년과 2022년의 사례와 유사한 국가 차원의 의도적인 차단으로 확인됩니다. 현재 이란은 전 세계 인터넷으로부터 거의 완전히 고립된 상태이며, 이러한 기술적 단절은 시위 확산을 막기 위한 정부의 강력한 통제 수단으로 활용되고 있습니다. **1월 8일 발생한 급격한 연결 단절** - 1월 8일 11:50(UTC)경, 이란 네트워크에서 공고되는 IPv6 주소 공간이 98.5% 급감하며 글로벌 인터넷에서 해당 주소로 접근할 수 있는 경로가 사라졌습니다. - 이로 인해 인간이 생성하는 트래픽 중 IPv6가 차지하는 비중이 12%에서 2%로 떨어졌으며, 100분 뒤에는 사실상 0%에 수렴했습니다. - 같은 날 16:30~17:00(UTC) 사이, MCCI(AS197207), IranCell(AS44244), TCI(AS58224) 등 이란 주요 통신사들의 트래픽이 90% 이상 빠지기 시작해 18:45(UTC)에는 국가 전체 트래픽이 0에 도달했습니다. **일시적인 연결 복구와 제한된 접근** - 차단 다음 날인 1월 9일, 테헤란 대학교(AS29068)와 샤리프 공과대학교(AS12660) 등 일부 주요 교육 기관의 네트워크 연결이 몇 시간 동안 일시적으로 복구되었다가 다시 중단되었습니다. - Cloudflare의 공용 DNS resolver(1.1.1.1)에 대한 요청 트래픽이 잠시 급증하는 현상이 관찰되었으나, 곧 이전 최고치의 0.01% 미만 수준으로 다시 떨어졌습니다. **전면 차단에 앞선 기술적 검열 징후** - 전면적인 인터넷 셧다운이 발생하기 수일 전인 12월 31일부터 주요 네트워크에서 HTTP/3 및 QUIC 프로토콜의 사용 비중이 40%에서 5% 미만으로 급격히 감소했습니다. - 이는 정부가 전면 차단을 시행하기 전, 고도화된 레이어 기반의 필터링과 화이트리스트 시스템을 적용하여 특정 통신 방식을 먼저 차단했음을 시사합니다. **지속되는 셧다운 상황** - 1월 10일 이후 현재까지 이란의 인터넷 트래픽은 회복될 기미를 보이지 않고 있으며, 전 세계와 연결된 통로가 대부분 막혀 있는 상태입니다. 이란 내부의 실시간 연결 상태와 네트워크별 지표는 Cloudflare Radar의 트래픽 및 라우팅 페이지를 통해 지속적으로 모니터링할 수 있습니다.

베네수엘라 BGP (새 탭에서 열림)

최근 베네수엘라 국영 ISP인 CANTV(AS8048)에서 발생한 BGP 라우팅 리크(Route Leak) 현상은 정치적 상황과 맞물려 배후 의혹을 샀으나, 데이터 분석 결과 악의적인 개입보다는 기술적 숙련도 부족에 의한 사고일 가능성이 큽니다. Cloudflare의 분석에 따르면 해당 ISP의 라우팅 정책 설정 미흡으로 인해 상위 공급자의 경로가 다른 공급자로 재배포되는 '타입 1 경로 누출'이 12월 이후 반복적으로 발생하고 있습니다. 특히 누출된 경로에 적용된 과도한 AS-Prepending은 트래픽을 강제로 유인하려는 의도와 정면으로 배치되므로, 이는 단순한 운영상 실수로 판단됩니다. ### BGP 라우팅 리크와 계곡 자유(Valley-Free) 원칙 - BGP 라우팅 리크는 네트워크 경로 광고가 의도된 범위를 벗어나 전파되는 현상으로, RFC7908에서 정의된 비즈니스 관계에 따른 경로 전파 규칙을 위반할 때 발생합니다. - 정상적인 네트워크 환경은 '계곡 자유(Valley-Free)' 규칙을 따르는데, 이는 고객 네트워크가 자신의 상위 공급자(Provider)로부터 받은 경로를 또 다른 공급자에게 다시 광고하여 중간 전달자 역할을 하지 않아야 함을 의미합니다. - 이번 사고는 AS8048이 이탈리아 텔레콤(AS6762)으로부터 받은 경로를 콜롬비아의 네트워크 서비스 제공업체(AS52320)에게 다시 광고하면서 발생한 전형적인 경로 누출 사례입니다. ### CANTV(AS8048)의 반복적인 이상 징후 - Cloudflare Radar 데이터 분석 결과, 12월 초부터 해당 ISP에서 총 11차례의 유사한 라우팅 리크 이벤트가 감지되었으며 이는 일시적인 현상이 아닙니다. - 누출된 IP 접두사(Prefix)들은 모두 베네수엘라 기업인 Dayco Telecom(AS21980)의 소유였으며, AS8048은 이 기업의 상위 공급자 관계에 있는 것으로 확인되었습니다. - 이러한 반복적인 패턴은 특정 목적을 가진 공격이라기보다, CANTV 네트워크가 경로 수출입(Export/Import) 정책을 제대로 구현하지 못해 발생하는 만성적인 기술적 문제임을 시사합니다. ### 악의적 공격 가능성을 부정하는 기술적 근거 - 만약 특정 국가나 단체가 중간자 공격(MITM)을 목적으로 경로를 조작했다면, 트래픽을 자신에게 끌어오기 위해 해당 경로를 가장 선호되는 경로로 만들어야 합니다. - 그러나 이번 사례에서는 AS8048이 자신의 AS 번호를 경로에 9번이나 반복해서 추가하는 'AS-Prepending'을 적용한 것이 관찰되었습니다. - AS-Prepending은 해당 경로의 우선순위를 인위적으로 낮추어 트래픽이 유입되지 않도록 하는 기법으로, 이는 트래픽 폭주를 막으려 했던 운영자의 서툰 시도로 해석될 뿐 정보 탈취를 위한 행위로 보기는 어렵습니다. 인터넷 라우팅 리크는 대부분 악의적인 의도보다는 설정 오류로 인해 발생합니다. 네트워크 운영자는 이러한 사고를 방지하기 위해 RPKI(자원 공키 구조)를 도입하여 경로의 유효성을 검증하고, 상위 공급자와의 피어링 설정 시 엄격한 필터링 정책을 적용하는 등 모범적인 기술 실무를 준수해야 합니다.