인터넷 라우팅 보안이 현저하게 개선된 RPKI(Resource Public Key Infrastructure)의 세계에 오신 것을 환영합니다. 아직 RPKI를 살펴보지 않은 기업이라면 이 블로그 게시물을 통해 도움을 받을 수 있습니다. 이 게시물에서는 필수 사항을 다루고, 주요 이점을 강조하고, 네트워크 보안 전략에 관해 RPKI가 유용한 이유를 설명합니다. 또한 RPKI를 보다 효율적으로 모니터링할 수 있는 새로운 ThousandEyes 기능도 소개합니다.
RPKI란?
RPKI란 인터넷 라우팅 인프라의 보안을 개선하도록 설계된 프레임워크입니다. RPKI는 AS(자율 시스템)에서 보급된 IP 접두사가 정상적이고 권한이 있는지 확인하는 데 도움이 됩니다. 이 기능은 악의적인 공격자에 의한 IP 주소 공간 하이재킹의 영향을 줄이고 무해한 엔터티에 의한 잘못된 구성의 영향을 최소화하여 인터넷 라우팅의 전반적인 보안과 안정성을 개선합니다.
기업이 RPKI에 관심을 가져야 하는 이유
IP 접두사 출처의 신뢰성을 확인하여 RPKI는 잘못된 구성과 하이재킹으로 인한 비정상적인 접두사 보급의 확산을 제한하는 데 도움을 줍니다. 대규모 금융 기관과 미국 연방 정부를 비롯하여 RPKI를 채택하는 조직이 더 많아지면서 RPKI는 라우팅 보안 개선을 위한 필수 요소로 자리 잡고 있습니다. BGP(Border Gateway Protocol) 하이재킹 및 잘못된 구성의 확산을 제한하여 네트워크 보안, 운영 안정성, 금융 상태, 규정 준수 및 경쟁 우위에 도움이 됩니다. BGP 하이재킹을 방지하고 완화하는 조치에 투자함으로써 조직은 자원, 평판, 수익원을 보호하는 동시에 고객 신뢰도와 만족도를 높일 수 있습니다.
RPKI의 간략한 히스토리
BGP는 원래 보안을 염두에 두고 설계되지 않았기 때문에 경로가 하이재킹되었을 때 운영자가 선택할 수 있는 옵션이 제한적입니다. 보다 구체적인 접두사를 보급할 수 없을 경우 유일한 방법은 피어에 직접 연결하는 것입니다. 이러한 문제를 해결하기 위해 라우팅 커뮤니티에서는 보급할 수 있는 최대 접두사를 설정하고 경로 필터링을 사용하는 등 다양한 모범 사례를 채택했습니다.
지난 10년 동안 악의적이고 우발적인 경로 하이재킹을 모두 방지할 수 있는 RPKI를 구축하고 수준을 올리기 위해 상당한 노력을 기울여 왔습니다. 현재, 약 53%의 IPv4 접두사와 약 60%의 IPv6 접두사에 유효한 ROA(Route Origin Authorization)가 적용되어 있습니다.
이러한 진전에도 불구하고 RPKI와 같은 보안 조치 구축이 네트워크 운영자에게 필수로 지정된 것은 아니며, 이는 BGP 보안을 완벽하게 구축하려면 앞으로도 긴 여정이 남아 있음을 의미합니다. 하지만 긍정적인 트렌드도 있습니다. NTT, Cogent, Lumen과 같은 주요 트랜짓 제공업체는 물론 Amazon, Netflix와 같은 대형 콘텐츠 제공업체가 함께 RPKI 검증을 구축하여 더욱 안전한 인터넷에 기여하고 있습니다. 운영자는 더 많은 제공업체가 이러한 관행을 채택하고 모든 사람에게 더 안전한 인터넷을 만들 수 있도록 함께 노력해야 합니다.
RPKI의 작동 원리
RPKI는 디지털 인증서를 사용하여 특정 AS 번호가 특정 IP 주소 블록을 알릴 수 있는지 확인합니다. 그런 다음 서명과 검증의 두 단계를 거칩니다. 다음은 프로세스를 간략하게 분석한 내용입니다.
-
인증 기관(CA): 인증 기관이라는 신뢰할 수 있는 엔터티가 IP 및 AS 접두사 보유자에게 디지털 인증서를 발급합니다. 이러한 인증서는 엔터티가 ROA를 발급할 수 있는 IP 접두사 및 AS를 확인합니다.
-
ROA(Route Origin Authorization): IP 접두사 보유자는 ROA를 생성하여 IP 주소 블록을 알릴 권한이 부여된 AS 번호를 지정합니다. 이러한 ROA는 CA가 발급한 디지털 인증서로 서명됩니다.
-
검증: 네트워크 운영자는 RPKI 유효성 검사기를 사용하여 ROA의 신뢰성을 확인합니다. ROA가 유효하고 경로 알림이 일치하면 해당 경로는 허용되고, 그러지 않으면 거부됩니다. 이 프로세스를 ROV(Route Origin Validation)라고 합니다.
RPKI 검증 실제 동작
그림 1에서는 ThousandEyes BGP 경로 시각화를 통해 특정 접두사의 경로 변경을 보여줍니다. 빨간색 실선은 새로 설치되는 경로를 나타내고, 빨간색 점선은 철회되는 경로를 나타냅니다. 뉴욕과 암스테르담에 있는 두 대의 ThousandEyes BGP 모니터가 접두사 연결 불가 상태를 보고합니다. 이는 AT&T 및 KPN이라는 두 제공업체가 보급된 접두사에 대해 유효하지 않은 ROA를 탐지하기 때문입니다. ROV 구축으로 인해 두 제공업체가 이 보급을 삭제하여 접두사 가시성이 부족하게 된 것입니다. 이런 상황은 악성 활동이 아닌 ROA의 잘못된 구성으로 인해 발생합니다. 하지만 이 시나리오를 통해 하이재킹 발생 시 RPKI가 어떻게 잘못된 알림의 확산을 방지할 수 있는지 확인할 수 있습니다.
네트워크 운영자가 ROA를 수정하면 아래 그림 2에 표시된 대로 모든 경로가 정상적으로 작동합니다.
RPKI 시작하기
RPKI 구축은 어렵게 들릴 수 있지만 생각보다 간단합니다. 시작하는 단계는 다음과 같습니다.
-
RIR(Regional Internet Registries)의 역할 이해: Regional Internet Registries(RIR, ARIN, RIPE NCC, APNIC, LACNIC 및 AFRINIC)는 RPKI 서비스의 루트 CA 역할을 하며 신뢰 앵커 역할을 합니다. 먼저 RIR의 포털에 로그인하고 ROA 생성 방법에 대한 가이드를 검토합니다.
-
ROA 생성: RIR의 웹 인터페이스 또는 API를 사용하여 ROA를 생성합니다. ROA는 특정 IP 주소를 시작할 권한이 부여된 AS를 지정합니다. 대부분의 경우 RIR이 자동으로 제안하므로 확인하기만 하면 됩니다.
-
모니터링: ThousandEyes를 사용하여 유효하지 않은 RPKI를 모니터링합니다.
-
유지: 또한 운영자는 최대 접두사 길이를 설정하고 DDoS 완화 등 기존 시스템에 미치는 영향을 평가하며 관련 워크플로우 업데이트를 통해 ROA를 최신 상태로 유지하여 지속적인 보안 및 컴플라이언스를 보장하고 글로벌 중단을 방지해야 합니다. (참고: 이 블로그의 목적상 일부 세부 정보를 간략하게 정리했습니다.)
ThousandEyes에서의 RPKI 모니터링
ASN 접두사 쌍에 대해 ROA를 설정한 후 ThousandEyes의 새로운 RPKI 상태 알림 유형(그림 3 참조)을 사용하여 BGP 모니터에서 탐지된 RPKI의 유효하지 않은 알림을 모니터링하도록 알림을 설정할 수 있습니다. 이러한 알림을 모니터링하려는 특정 테스트 또는 접두사에 연결하세요.
ThousandEyes의 BGP 모니터가 RPKI의 유효하지 않은 알림을 탐지하면 그림 4와 같이 알림이 수신되고 BGP 뷰에 시각적으로 표시되어 RPKI의 유효하지 않은 접두사를 알리는 AS를 나타냅니다.
결론
RPKI는 BGP 상태의 보안과 안정성을 향상시킬 수 있는 강력한 보안 프레임워크입니다. RPKI는 잘못된 구성과 BGP 하이재킹의 영향을 완화하여 데이터를 더 쉽게 보호하고 신뢰할 수 있는 인터넷 상태를 유지할 수 있습니다. 지금 바로 RPKI 여정을 시작하고 기업을 위한 보안 라우팅 가능성을 최대한 활용하세요.
