'전 세계 라우팅 취약점 개선' MANRS 계획을 아시나요?

본래 인터넷은 튼튼하고 장애가 없는 커뮤니케이션을 위해 탄생했지만 그 기반이 되는 글로벌 라우팅 인프라는 생각보다 취약하다. 글로벌 라우팅의 중심에 위치한 7000~10,000개 중 1개 네트워크의 라우팅 정보만 잘못돼도 광범위한 서비스 중단 사태가 발생하고, 스푸핑 소스 IP 주소를 이용한 트래픽 방해 등으로 DDoS 공격이 초래될 수 있다.


Image Credit: Getty Images Bank

표준 기구인 IETF(Internet Engineering Task Force)의 상위 단체이며, 개방적인 인터넷의 개발과 발전, 활용이라는 대의를 추구하는 비영리 단체인 ISOC(Internet Society)가 이를 개선하기 위한 행보를 재촉하고 있다. ISOC는 2014년 MANRS(Mutually Agreed Norms for Routing Security) 이니셔티브를 발표했다. 그리고 이후 2년 만에 참여기업이 9개 네트워크 사업자에서 42개 사업자로 4배 이상 늘어났다.

가장 최근에는 스칸디나비아 반도의 연구 및 교육 네트워크인 SUNET과 NORDUnet이 가입했다. 현재 MANRS의 회원사 42개는 21개 국가에서 ASN(Autonomous System Networks)을 운영하고 있다. 아시아와 북미, 남미, 아프리카, 유럽에서 MANRS 이니셔티브가 시작된 상태이다.

ISOC의 기술 프로그램 매니저 안드레이 로바체브스키는 "많은 발전과 인식의 제고가 있었다. 현재 글로벌 라우팅은 5만 여 네트워크로 구성돼 있다. 글로벌 라우팅의 근간을 이루는 네트워크는 7000~10,000개인데, 이들 대부분이 MANRS에 가입하면 글로벌 라우팅 환경이 크게 개선될 것이다"라고 말했다.

유튜브 서비스를 중단시킨 파키스탄
로바체브스키는 ISOC가 충분한 수의 ASN으로 하여금 MANRS에서 제안한 대책을 지원하도록 만들면, 지난 2008년 파키스탄이 전 세계 인터넷의 약 2/3에서 유튜브를 몇 시간 동안 사라지게 만들었던 것과 같은 문제를 방지할 수 있다고 말했다.

당시 파키스탄은 국내의 유튜브 접속을 차단하려 했다. 파키스탄 통신부 장관은 이슬람에 적대적인 동영상이 있다는 이유로 70개 ISP에 유튜브 접속을 차단하라고 명령했다. 이에 파키스탄 최대 통신 회사인 파키스탄 텔레콤(Pakistan Telecom)은 유튜브 인터넷 주소 접속을 시도하는 사람들에게 유튜브 주소로 위장했지만 실제는 유튜브가 아닌 사이트에 접속하도록 라우팅 정보를 설정했다.

본래는 파키스탄 국내에서 유튜브를 차단하는데 목적이 있었지만, 이 라우팅 정보는 국외로 확산됐다. 그 결과 전 세계 2/3 지역에서 유튜브 서비스가 중단됐고, 파키스탄 텔레콤은 스스로 불러온 DDoS 공격에 시달렸다.

로바체프스키는 "2시간 넘게 상당 수의 인터넷 공간에서 유튜브 서비스가 중단됐다. 파키스탄 텔레콤도 스스로 만든 DDoS 트래픽 아래 묻히고 말았다. 인터넷에서는 이런 유형의 사고가 매일 발생한다. 대부분이 잘못된 설정(구성)이 원인이다. 대책을 마련하지 않으면 누구나 잘못된 설정으로 인해 큰 혼란을 초래할 수 있다"라고 말했다.

로바체프스키에 따르면, MANRS에는 네트워크 보안 사업자가 이행해야 할 4가지 툴이 포함돼 있다. 필터링, 안티-스푸핑, 조율, 글로벌 검증 등이다. 그는 "MANRS는 매우 실용적이다. 새로운 기준으로 도입할 수 있는 최소한의 기준선이다. 있으면 좋은 것이 아니라 최소한의 기준이 돼야 한다. 우리는 누구나 참여할 수 있도록 기준을 지나치게 높이지 않았다. 대규모로 확산이 되면 글로벌 라우팅 시스템을 크게 개선할 수 있을 것이다"라고 말했다.

그 결과 이니셔티브에 가입한 사업자 대부분이 4가지 툴을 모두 도입해 활용하고 있다. 세계 최대 브로드밴드 사업자인 컴캐스트(Comcast)가 대표적인데, 33개 ASN에서 이를 구현했다. 3개 이하로 툴을 도입한 회원사는 단 한 곳도 없다.


잘못된 라우팅 정보 확산을 방지하는 필터링
첫 번째 툴은 잘못된 라우팅 정보의 확산을 방지하는 데 도움을 주는 필터링이다. 로바체프스키는 "네트워크 사업자는 라우팅 정책을 명확히 규정하고, 자신의 정확한 라우팅 정보와 고객 정보를 자세한 AS-경로 및 프리픽스(Prefix)를 곁들여 인접 네트워크에 전달해야 한다"라고 말했다.

네트워크 사업자는 인접 네트워크에 정확한 정보를 전달하고, 고객의 정보가 정확한지 실제 확인할 수 있는 능력을 갖추고 있어야 한다. 이를 통해 다른 네트워크로 이동하는 트래픽 해킹을 발생시키는 '팻 핑거(Fat-finger)' 오류를 방지할 수 있다. 또 라우팅 정보가 목적한 범위를 벗어나 확산되는 '루트 유출(Route Leaks)' 문제를 줄일 수 있다.

스푸핑 IP 주소 트래픽을 예방
ISOC에 따르면, 네트워크 사업자는 최소한 싱글-홈 스터브(Single-homed Stub) 고객 네트워크, 최종 사용자 및 인프라의 소스 주소를 검사할 수 있는 시스템을 구현해야 DDoS 공격과 그 영향을 크게 줄일 수 있다. 네트워크 사업자는 안티-스푸핑 필터링을 도입해 잘못된 소스 주소를 가진 패킷이 네트워크로 유입 또는 네트워크 밖으로 유출되는 것을 막아야 한다.

사업자간 커뮤니케이션과 조율을 촉진
네트워크 사업자는 원활한 운영을 위해 전 세계에서 액세스 할 수 있는 최신 연락처 정보를 유지하고 다른 사업자와의 커뮤니케이션 및 조율 활동을 촉진할 필요가 있다. 로바체프스키에 따르면, 이는 사고를 줄이고 네트워크 전체의 기술적 품질을 높이는 데 필수적이다.

글로벌 수준에서 라우팅 정보를 검증
앞서 3가지 툴은 내부에서 구현해야 할 것들이다. 그러나 4번째 툴은 외부와 관련이 있다. 글로벌 수준에서 라우팅 정보를 검증하면, 라우팅 관련 사고의 범위를 좁히고 글로벌 라우팅 시스템의 복원력을 높일 수 있다.

로바체프스키는 이 4가지 툴이 인터넷 보안과 복원력 개선에 도움을 준다고 말했다. 또 네트워크 사업자와 고객 모두에 혜택을 주는 지속 가능한 기업 환경을 만든다. 잘못된 설정과 구성이 초래하는 비정상적인 트래픽을 방지하고, 더 효율적으로 설정을 하도록 도와준다. 또 사업자는 토론 포럼과 자신의 네트워크(관계)를 이용해 협업, 조율할 수 있다.

로바체프스키는 MANRS 참여 업체 가운데 일부로 구성된 팀이 MANRS 구현 과정을 단계적으로 소개하는 BCOP(Best Current Operational Practices) 문서를 작성하고 있다고 밝혔다. 이 문서는 10월 말 마드리드에서 개최되는 RIPE 73에서 공개될 예정이다. ciokr@idg.co.kr