외부 IP 선별, 관리자 실수 예방하기 어려워...기존 네트워크 보안의 한계
2025년 RPKI 보급 확대 위한 예산 ‘0원’...국내 구축에 어려움 예상
[보안뉴스 박은주 기자] 한국이 네트워크 간 라우팅 인증 ‘RPKI’ 적용률이 2023년 기준 0.27%로 OECD 국가 중 최하위를 기록했다. 안정적인 인터넷을 구축하기 위한 글로벌 수준에 뒤처지고 있는 셈이다.
[이미지=gettyimagesbank]
‘RPKI(Resource Public Key Infrastructure)’란 네트워크 보안 메커니즘이다. BGP(Border Gateway Protocol, 경계 경로 프로토콜) 라우팅 정보를 인증해 관리자 실수로 인한 잘못된 경로 설정이나 해킹 등 외부 공격으로 인한 하이재킹을 방지한다. 즉, IP나 AS 등 인터넷 리소스와 보유 기관 정보를 공개 키 기반 구조로 전자서명 인증서(ROA)를 발급해 보호하는 것이다. BGP 경로에서 전파되는 권한을 검증하고 잘못된 경로를 차단하는 방식이다.
AS(Autonomous System)란 동일한 라우팅 정책으로 단일 관리자에 의해 관리되는 단일 네트워크다. BGP는 데이터가 이동할 수 있는 가용 경로를 확인해 최적의 경로를 선택하는 프로토콜을 말한다. BGP는 상호 신뢰를 바탕으로 연결돼 있어 아웃 라우터의 경로 전파를 신뢰해 자신의 경로를 업데이트하고 전파한다. 이때, 보안이 고려되지 않은 프로토콜 설계가 존재하면 △할당받지 않은 임의 IP 대역 경로 전파 △전달받은 경로 정보 오류 및 위변조 여부를 확인할 수 없는 취약점이 존재한다. 이는 BGP가 라우팅 경로를 선택할 때 자세한 경로와 짧은 경로를 우선으로 선택한다는 특징 때문이다.
일례로 2008년 파키스탄에서 BGP 하이재킹으로 발생한 유튜브 접속차단 시도를 들 수 있다. 파키스탄은 유튜브에 무하마드를 모욕하는 영상이 올라오자, 자국 내 유튜브 접속을 차단했다. 이때 파키스탄 내 유튜브 차단을 위해 사용된 네트워크 경로가 기존보다 짧고 자세해 BGP가 우선으로 선택받았다. 아웃 라우터의 경로 전파를 신뢰한 취약한 BGP가 전 세계 망으로 전파돼 전 세계 유튜브 접속에 장애가 발생한 것.
▲라우트 릭 흐름도[자료=KISA]
또한 의도된 범위를 넘어 라우팅이 전파되는 ‘Route Leak(라우트 릭)’ 오류가 있다. 실제 소유한 IP 대역과 다른 IP를 입력했을 때 문제가 생기는 것이다. 의도적으로 틀린 경로를 유포하는 경우도 있지만, 대부분 관리자 실수로 인해 오류가 발생한다. 2021년 KT에서 발생한 장애 역시 관리자 실수로 인한 라우트 릭 오류로 밝혀졌다.
이러한 BGP 취약점을 보완하고 네트워크 안정성을 유지할 대안으로 RPKI가 제시된다. 미국 바이든 행정부가 2023년 3월 발표한 ‘국가 사이버보안 전략’에 따르면 RPKI 같은 보안 인터넷 라우팅 기법 및 기술을 연방정부와 민간 부문에서 채택하기를 촉진한다는 내용이 담겨 있다. 네덜란드 정부는 2023년부터 모든 정부 망에 RPKI를 적용하기로 했다. 한편, 주변국인 중국은 21.94%, 일본 39.56%가 RPKI를 도입했다. 반면 한국은 OECD 국가 최하위인 0.27%로 저조한 도입률을 보였다.
▲한국인터넷진흥원 인프라보호단 박정석 단장[사진=KISA]
RPKI 도입이 미흡한 이유는 역설적이게도 한국의 네트워크가 ‘안정적’이기 때문이다. 한국인터넷진흥원(KISA) 인프라보호단 박정석 단장은 “우리나라는 AS를 통해 안정적으로 네트워크가 관리되고 있어 RPKI 도입이 미비한 상황”이라고 설명했다.
박 단장은 “그러나 해외에서 들어오는 오류 IP 선별에 어려움이 따른다”며 “또한 담당자 실수로 발생하는 라우트 릭 같은 사고 역시 예방하기 힘들다”고 AS를 통한 기존 네트워크 보안의 한계를 지적했다.
이어 “극단적인 경우 미국 등 해외에서 네트워크 보안 정책을 강화하고 RPKI 도입이 안 된 프로토콜 연결을 제한하면 우리나라에서 외국 사이트로 접속할 수 없게 되는 것”이라고 설명했다.
2023년 기준 전 세계적으로 1.1만 건의 네트워크 사고가 발생했고 이 중 180건은 인터넷 중단을 초래했다. 인터넷이 멈추면 일상이 멈추는 디지털 시대에 네트워크 안정성을 위한 인증체계 도입이 필요하다는 목소리가 높아지고 있다.
국내에서는 인터넷 서비스 제공자(ISP)가 RPKI에 관한 인식 부족과 서비스 중인 인터넷 장비 구성 변경에 따른 장애 우려 등으로 RPKI 도입이 늦어지고 있다. 이에 KISA는 RPKI 국내 도입확대 노력을 위해 인식을 제고하고 RPKI 시스템 구축 기술 교육, 협력 채널 개설 등의 노력을 이어가겠다는 계획이다. 그러나 RPKI 도입과 관련된 2025년 예산이 편성되지 않아 RPKI 국내 구축에 어려움이 예상된다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>