BGP란 무엇이며, 그것의 실패가 페이스북을 어떻게 다운시켰나요?
목차:
2021년 10월 4일, Facebook과 Facebook이 소유한 모든 주요 서비스가 약 6시간 동안 다운되었습니다. 이 소셜 미디어 ‘정전’은 Facebook 도메인 이름 시스템(DNS) 레코드가 이용 불가능해진 직후인 동부 표준시(ET) 11시 40분에 시작되었습니다.
이번 사건 분석은 Cloudflare에서는 Facebook의 DNS 이름이 해석을 멈췄고 소셜 미디어 거대 기업의 인프라 IP가 접근 불가하게 되었다고 설명합니다. 그러나 DNS 문제는 문제의 근본 원인이 아니라 단순한 결과로 보입니다. 초기 실패는 Facebook 웹 리소스의 경로로 Border Gateway Protocol(BGP) 라우팅 내에서 발생했습니다.
BGP란 무엇인가?
Border Gateway Protocol(BGP)은 인터넷에서 자율 시스템(AS) 간의 라우팅 정보를 교환하는 표준화된 메커니즘입니다. 별도의 네트워크는 글로벌 웹을 형성하기 위해 서로 연결될 필요가 있으며, 이를 위해 라우팅 정보를 전달하며 그 위치를 홍보합니다. 이 데이터는 라우팅 정보 데이터베이스(RIB)에 저장됩니다.
RIB는 다양한 목적지를 경로화하기 위해 존재하는 엄청난, 지속적으로 업데이트되는 지도 역할을 합니다. BGP는 RIB 데이터베이스에 접근하여 데이터를 전달하기 위한 모든 가능한 경로를 나열하고 가장 효율적인 경로를 선택합니다. BGP가 실패할 경우, 하나의 네트워크(Facebook을 예로 들자면)는 자신의 존재를 알릴 수 없어 다른 네트워크에서 도달할 수 없게 됩니다. 그 결과, 영향받은 네트워크는 인터넷에서 단절된 것처럼 보입니다.
Facebook이 다운된 이유
설명용 블로그 게시물에 따르면 Facebook의 문제는 주요 구성 변경 이후에 발생했다고 합니다. 이는 모든 벤더의 데이터 센터를 연결하는 Facebook의 글로벌 백본 네트워크 용량을 관리하는 시스템에 영향을 미쳤습니다. 더 나아가, 이 구성 변경으로 인해 Facebook의 경로가 철회되고 소셜 미디어 거대 기업의 서버가 오프라인 상태가 되었습니다.
이러한 구성 변경과 경로 철회로 인해 Facebook은 인터넷과 Instagram, WhatsApp, Oculus VR 등의 인기 서비스에서 자체적으로 단절되었습니다. 인터넷에서 사라지는 것 이외에도, Facebook은 직원들을 스마트 카드도 정전에 영향을 받아 사무실 건물에 들어갈 수 없는 상태로 만들었습니다. 게다가 Facebook의 내부 작업 플랫폼 Workplace도 차단되어직원들이 일상적인 작업을 수행할 능력을 잃게 되었습니다.
이 문제는 Facebook 네트워크 엔지니어에 의한 잘못된 구성 업데이트로 발생한 것으로 보이며, 해결책 역시 로컬로 라우터에 접근한 기술자들에 의해 나왔습니다. 정전이 시작된 6시간 후, Facebook 리소스가 복원되었고 당황한 사용자들은 소셜 미디어 계정에 접근할 수 있게 되었습니다. 2021년 10월 8일 기준으로 Facebook 시스템은 완전히 기능하고 있습니다. by Facebook network engineers, the solution also came from technicians who accessed the routers locally to fix the issues. Six hours after the outage started, Facebook resources were restored, and puzzled users were able to access their social media accounts. As of October 8, 2021, Facebook systems are fully functional.
BGP 장애 탐지하기
경미한 BGP 라우팅 문제조차도 인프라 내에서 큰 문제를 일으킬 수 있다는 점에서, 구성과 관련된 모든 변경 사항을 추적하는 것이 중요합니다. BGP의 장애와 문제를 모니터링하려면, Massimo Candela는 NTT Global Networks의 수석 소프트웨어 엔지니어로, BGPalerter라는 전용 도구를 개발했습니다. 이 도구는 다양한 출처의 BGP 데이터 스트림을 실시간으로 분석하는 자동 설정 도구입니다. 이는 가시성 손실, RPKI 유효하지 않은 발표, 하이재킹 등을 실시간으로 감지할 수 있습니다.
BGP 중단 추적을 더 쉽게 만들기 위해, SOC Prime 팀은 BGPalerter가 생성하는 중요하고 심각한 이벤트를 감지하는 Sigma 규칙을 배포했습니다. 이 규칙은 SOC Prime 플랫폼에서 등록 후 무료로 다운로드할 수 있습니다.
BGP 의심스러운 변경( BGPalerter 도구를 통해)
이 탐지는 다음 SIEM 보안 분석 플랫폼에 대한 번역을 포함하고 있습니다: Azure Sentinel, ELK Stack, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB.
이 규칙은 MITRE ATT&CK 방법론에 매핑되어 영향 전술과 네트워크 서비스 거부 기술(t1498)을 다루고 있습니다.
SOC Prime 플랫폼에 등록하여 위협 감지를 더 쉽게, 빠르고 간단하게 만드세요. 20개 이상의 지원되는 SIEM 및 XDR 기술 내에서 최신 위협을 즉각 사냥하고, 위협 조사를 자동화하며 20,000명 이상의 보안 전문가 커뮤니티로부터 피드백과 검증을 받아 보안 운영을 강화하세요. 스스로 탐지 콘텐츠를 제작하고 싶으신가요? Threat Bounty 프로그램에 참여하여 Threat Detection Marketplace 저장소에 Sigma 및 Yara 규칙을 공유하고 개별 기여에 대한 보상을 반복적으로 받으세요! 위협 탐지 기술을 향상시키고 싶으신가요? 배우세요 Sigma 규칙이 무엇인지 초보자를 위한 가이드와 함께 처음 만드는 방법을 알아보세요.
