베네수엘라 정전 중 발생한 BGP 이상 현상

• 베네수엘라 정전 사태와 동시에 CANTV(AS8048) 를 중심으로 한 BGP 라우팅 이상 현상이 관측됨
• Cloudflare Radar 데이터에 따르면 1월 2일 CANTV 경로를 포함한 8개의 IP 프리픽스가 비정상적인 AS 경로를 통해 라우팅됨
• 이 경로에는 Sparkle(이탈리아) 과 GlobeNet(콜롬비아) 이 포함되어 있었으며, Sparkle은 RPKI 필터링을 적용하지 않는 ‘비안전’ 사업자로 분류됨
• bgpdump 분석 결과, AS 경로에 CANTV 번호(8048)가 10회 반복되어 일반적인 경로 선택 규칙과 맞지 않는 형태를 보였고, 해당 IP 대역은 카라카스의 Dayco Telecom 소유로 확인됨
• 이러한 BGP 경로 누출과 정전, 폭발, 미군 진입 시점이 근접해 있어, 네트워크 수준의 비정상 활동이 있었음이 명확히 드러남

베네수엘라 정전과 BGP 이상 현상

• 베네수엘라 정전 사태 중 CANTV(AS8048) 를 중심으로 한 BGP 경로 누출(route leak) 이 발생
  • Cloudflare Radar 데이터에서 8개의 IP 프리픽스가 CANTV를 경유하는 비정상 경로로 라우팅됨
  • 경로에는 Sparkle(이탈리아) 과 GlobeNet(콜롬비아) 이 포함되어 있었음
• Cloudflare Radar는 1월 2일 BGP 공지(announcement) 급증과 공인 IP 주소 공간 감소를 기록
  • 원인은 명확하지 않음
• Sparkle은 isbgpsafeyet.com에서 ‘비안전’ 사업자로 분류되어 있으며, RPKI 필터링 미적용 상태로 확인됨

BGP 데이터 분석

• ris.ripe.net의 공개 데이터와 bgpdump 도구를 이용해 Cloudflare가 표시하지 않은 누락된 프리픽스를 추출
  • 분석 결과, AS 경로에 CANTV(8048) 이 10회 반복되어 있었음
  • BGP는 짧은 경로를 선호하므로, 이러한 반복은 비정상적인 경로 구성을 의미
• 8개의 프리픽스는 모두 200.74.224.0/20 블록 내에 포함
  • WHOIS 조회 결과, Dayco Telecom(카라카스 소재) 소유로 확인
• 역방향 DNS 조회 결과, 해당 IP 범위에는 은행, 인터넷 제공자, 이메일 서버 등 핵심 인프라가 포함되어 있었음

사건 타임라인

• 1월 2일 15:40 UTC: BGP 경로 누출 감지 (Cloudflare Radar)
• 1월 3일 06:00경: 카라카스 폭발 보고 (NPR)
• 1월 3일 06:00: 미군이 마두로 관저 도착 (NBC News)
• 1월 3일 08:29: 마두로, USS Iwo Jima 탑승 (CNN)
• 이 시점 동안 BGP 트래픽이 제3의 경유지로 우회된 정황이 있으며, 해당 경로를 통제할 경우 정보 수집 가능성이 존재

분석 및 관찰

• CANTV AS8048이 경로에 10회 삽입된 것은 트래픽 우선순위를 낮추는 효과를 유발
  • 의도 여부는 불명확하나, 비정상적 경로 조작(shenanigans) 이 있었음은 명백
• 공개 데이터만으로도 당시의 네트워크 이상 활동을 추가 분석할 가치가 있음
• 글은 정치적 해석을 배제하고, 순수히 공격적 보안 관점에서의 기술적 이상 현상을 다룸

기타 보안 관련 링크 모음

• MCP Security: 악성 MCP 서버가 AI 프롬프트와 환경 변수를 탈취할 수 있음을 시연
• The Year in LLMs (2025) : 추론 모델, 코딩 에이전트, 중국 오픈웨이트 모델, MCP 채택 등 요약
• Linux is Good Now: 2026년을 리눅스 데스크톱의 해로 보는 논의
• No strcpy Either: curl 프로젝트가 strcpy()를 제거하고 버퍼 크기 명시 래퍼 도입
• Kubernetes Networking Best Practices: CNI 선택, 네트워크 정책, 서비스 메시, 트러블슈팅 가이드