피드로 돌아가기
GeekNewsInfrastructure
원문 읽기
BGP는 아직 안전하지 않은가
RPKI가 BGP를 완전 안전하게 만드는 것이 아니라 부분적 보안을 제공하는 것에 그침
AI 요약
Context
RPKI는 BGP 경로의 프리픽스 소유권만 검증하며, 공격자가 경로상에 있는 척하며 트래픽을 가로채는 형태의 하이재킹은 여전히 가능함. BGPSec은 암호학적 경로 보호를 제공하지만 현실적 배포가 어렵다는 한계가 있음.
Technical Solution
- RPKI: ROA를 통해 프리픽스의 정당한 소유자를 검증하나 경로 무결성은 보장하지 않음
- Proof-Carrying Data: 각 BGP 메시지에 암호학적 증명을 포함하여 네트워크 크기와 무관하게 일정 시간 검증함
- ASPA: 현재 RPKI의 한계를 보완하기 위한 IETF 초안 단계의 완화 기법으로 업데이트됨
- SCION: 새로운 라우팅 구조 제안이나 ASIC 미지원과 단일 벤더 의존성으로 업계 채택이 더딤
Impact
Cloudflare의 isbgpsafeyet.com 테스트에서 254개 사업자가 unsafe로 표시되며, 31개만 안전으로 판정됨.
Key Takeaway
모든 암호 시스템은 궁극적으로 인간이 운영하는 레지스트리나 기관의 신뢰에 의존하며, RPKI는 검증이 쉬운 부분만 강화한 임시 방편에 해당함.
실천 포인트
BGP 보안 향상을 위해서는 RPKI 배포를 검토하되, 이것이 완전한 해결책이 아님을 인식해야 함. 프리픽스 소유권 검증만으로 충분한 환경에서는 RPKI 적용으로 부분적 보안 강화를 도모할 수 있으나, 레지스트리 의존성 증가에 따른 운영 리스크도 함께 평가해야 함.