BGP는 아직 안전하지 않은가

 (isbgpsafeyet.com)
1P by GN⁺ 21시간전 | ★ favorite | 댓글 1개
  • 인터넷의 핵심 라우팅 프로토콜인 BGP(Border Gateway Protocol) 은 경로 선택 기능을 담당하지만 보안 검증 기능이 내장되어 있지 않음
  • 이로 인해 잘못된 경로 정보가 전파되면 트래픽 탈취나 대규모 장애가 발생할 수 있으며, 이를 방지하기 위해 RPKI(Resource Public Key Infrastructure) 가 도입됨
  • RPKI는 경로의 진위를 암호학적으로 검증해 잘못된 경로를 ‘invalid’로 판정하고 차단할 수 있음
  • Cloudflare는 전 세계 주요 ISP와 트랜짓 사업자의 RPKI 적용 현황을 추적·공개하며, 일부 사업자는 여전히 ‘unsafe’ 상태로 남아 있음
  • 모든 주요 네트워크 사업자가 RPKI와 필터링을 완전 도입해야 인터넷 라우팅이 안전해질 수 있음

BGP는 아직 안전하지 않은가

  • Border Gateway Protocol(BGP) 은 인터넷의 ‘우편 서비스’로, 데이터가 이동할 수 있는 경로 중 최적의 경로를 선택하는 역할을 담당
  • 그러나 보안 기능이 내장되어 있지 않아, 잘못된 경로 정보가 전파되면 대규모 인터넷 장애나 트래픽 탈취가 발생할 수 있음
  • 이를 해결하기 위해 Resource Public Key Infrastructure(RPKI) 라는 인증 체계를 도입하면 경로의 진위를 검증할 수 있음
  • 여러 글로벌 ISP와 트랜짓 사업자가 RPKI를 도입 중이며, Cloudflare는 이를 추적해 공개
  • 모든 주요 네트워크 사업자가 RPKI를 채택해야 인터넷 라우팅이 안전해질 수 있음

최신 업데이트

  • 2026년 2월 3일, 글로벌 Tier-1 트랜짓 사업자 Sparkle(AS6762) 이 RPKI-invalid 프리픽스를 거부
  • 2025년 10월 1일, 슬로바키아의 주요 트랜짓 사업자 Energotel(AS31117) 이 RPKI-invalid 경로 필터링 시작
  • 2025년 8월 28일, 캐나다의 대형 ISP Bell Canada(AS577) 가 네트워크 내 RPKI-invalid 경로 필터링
  • 2024년 2월 22일, 유럽 최대 ISP 중 하나인 Deutsche Telekom(AS3320) 이 글로벌 네트워크에 RPKI Origin Validation 적용
  • 2024년 1월 24일, 미국의 Verizon(AS701) 이 네트워크 전반에 RPKI Origin Validation 완전 배포

주요 사업자 상태

  • Cloudflare는 31개 주요 사업자의 RPKI 서명 및 필터링 상태를 공개
  • Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone 등 주요 트랜짓 사업자가 모두 ‘safe’ 상태
  • Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada 등 주요 ISP들도 서명 및 필터링 완료
  • 일부 사업자(Google, IIJ, OCN, Vivacom 등)은 부분적으로만 적용되어 ‘partially safe’ 로 분류
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH 등은 여전히 ‘unsafe’ 상태로 남아 있음

BGP 하이재킹이란

  • 인터넷은 수천 개의 자율 시스템(AS) 으로 구성된 분산 네트워크 구조
  • 각 노드는 자신과 직접 연결된 노드로부터 받은 정보만으로 경로를 결정
  • BGP 하이재킹은 악의적인 노드가 잘못된 경로 정보를 전파해 트래픽을 가로채는 행위
  • 보안 프로토콜이 없으면 이 잘못된 정보가 전 세계로 확산되어, 잘못된 경로로 데이터가 전송될 수 있음
  • RPKI는 암호학적 검증을 통해 이러한 잘못된 경로를 무효화하고 차단할 수 있게 함

RPKI의 역할

  • RPKI(Resource Public Key Infrastructure) 는 경로와 자율 시스템을 암호학적으로 연결해 검증하는 보안 프레임워크
  • 80만 개 이상의 인터넷 경로를 수동으로 검증하는 것은 불가능하므로, RPKI가 이를 자동화
  • RPKI가 활성화되면 잘못된 경로 정보가 전파되더라도 라우터가 이를 ‘invalid’로 판정하고 거부
  • Cloudflare 블로그에서는 RPKI의 작동 원리와 배포 사례를 상세히 설명

BGP가 안전하지 않은 이유

  • 기본적으로 BGP는 보안 프로토콜이 내장되어 있지 않음
  • 각 자율 시스템이 자체적으로 잘못된 경로 필터링을 수행해야 함
  • 경로 누출(route leak)은 잘못된 구성이나 악의적 행위로 인해 발생하며, 인터넷 일부를 접속 불가 상태로 만들 수 있음
  • BGP 하이재킹은 트래픽을 다른 시스템으로 유도해 정보 탈취나 감청을 가능하게 함
  • 모든 AS가 합법적인 경로만 발표하고 필터링을 수행해야 안전한 라우팅이 가능

테스트 방법

  • Cloudflare는 ISP가 안전한 BGP를 구현했는지 테스트하는 기능 제공
  • 합법적이지만 의도적으로 ‘invalid’로 표시된 경로를 발표하고, 사용자가 해당 웹사이트에 접근 가능한지 확인
  • 접근이 가능하다면 해당 ISP가 잘못된 경로를 수용하고 있음을 의미

추가적인 보안 노력

  • 네트워크 운영자와 개발자들은 안전하지 않은 라우팅 프로토콜을 개선하기 위한 표준화 작업을 진행 중
  • Cloudflare는 MANRS(Mutually Agreed Norms for Routing Security) 이니셔티브에 참여
    • MANRS는 라우팅 인프라를 강화하기 위한 글로벌 커뮤니티로, 회원들은 필터링 메커니즘을 구현하기로 동의
  • 더 많은 사업자가 참여할수록 인터넷 전체의 라우팅 보안 수준이 향상

사용자가 할 수 있는 일

  • isbgpsafeyet.com 페이지를 공유해 RPKI 도입의 필요성을 널리 알릴 수 있음
  • 자신의 ISP나 호스팅 사업자에게 RPKI 도입과 MANRS 가입을 요청
  • 주요 ISP들이 RPKI를 채택해야 인터넷 전체가 안전해질 수 있음
  • Cloudflare는 “인터넷이 안전해지면 모두가 이익을 얻는다”는 메시지를 강조

함께 보면 좋은 글 β

GN⁺ 21시간전  [-]
Hacker News 의견들

  • RPKI는 BGP를 완전히 안전하게 만드는 게 아니라 단지 더 안전하게 만드는 것임
    여전히 BGP 하이재킹은 가능하며, RPKI는 프리픽스의 소유권만 검증할 뿐 경로 자체는 보호하지 않음
    공격자는 여전히 피해자 AS의 경로상에 있는 척하며 트래픽을 가로챌 수 있음
    이를 해결하기 위해 제안된 BGPSec은 현실적으로 배포가 어렵다고 평가받음

    • BGP의 보안 문제를 해결할 방법으로 Proof-Carrying Data를 제안함
      각 메시지가 올바르게 생성되었다는 암호학적 증명을 포함하는 방식으로, 네트워크 크기나 홉 수와 상관없이 검증 시간이 일정함
      BGP는 지연이 크리티컬하지 않고 프로토콜이 단순해 이 접근이 현실적일 수 있음
      자세한 내용은 rot256.dev의 글 참고
      RPKI는 여전히 필요하지만 BGPSec은 불필요해짐
    • 현재 이 문제를 완화하려는 시도로 ASPA가 있음
      아직 갈 길이 멀지만 주요 기관들이 참여 중임
      IETF 초안 링크
    • RPKI는 프리픽스 소유권을 검증 가능하게 하지만, 경로는 여전히 신뢰 기반임
      검증이 쉬운 부분만 강화된 느낌임
    • ‘안전’이라는 이상적인 상태는 불가능함
      결국 모든 암호 시스템은 인간이 운영하는 레지스트리나 기관의 신뢰에 의존함
      RPKI가 없는 것보다 낫지만, “이제 충분히 안전하다”는 식의 해석은 위험함

  • 주요 미국 ISP와 모바일 사업자들이 이 기능을 지원하는 걸 보면 꽤 보급률이 높아 보임
    하지만 ‘안전하다’고 부를 만큼 충분한 ISP가 얼마나 필요한지, 지역별 차이가 있는지 궁금함

    • 주요 트랜짓 ISP들이 모두 적용하면 충분할 것 같음
      비RPKI 경로가 트랜짓을 통과하지 못하면 자연히 무의미해짐
    • 실제로는 4개보다 훨씬 많은 254개 사업자가 ‘unsafe’로 표시되어 있음
      ‘Show all’을 눌러야 전체 목록이 보임
    • 영국의 Sky를 쓰는데 ‘unsafe’로 표시됨
      국가별, 사업자 유형별로 필터링할 수 있는 표가 있으면 좋겠음
    • T-Mobile USA는 테스트 결과가 통과와 실패가 동시에 표시되어 혼란스러움
    • British Telecom, NTT Docomo, Vodafone Espana, Starlink, Rogers 등 주요 사업자들도 ‘unsafe’로 나옴
      31개만 안전하다는 건 지나치게 낙관적인 그림임

  • Cloudflare가 만든 사이트라는 점이 아이러니함
    2026년에 인터넷을 깨뜨릴 가능성이 가장 높은 주체일지도 모름

    • 요즘 기업들은 자신에게 유리한 방향으로 대중을 설득하는 캠페인을 벌이는 게 일반적임
      RPKI가 이익이 되면 ‘인터넷 안전을 위한 필수 기술’이라 홍보하고,
      신원 인증이 필요하면 ‘아동 보호’를 내세움
      이런 식의 마케팅은 백신, 무기, 담배 산업에서도 반복되어 왔음

  • RPKI는 이제 단순히 ROA만이 아님
    BGP 하이재킹은 첫 홉이나 마지막 홉 외의 지점에서도 발생할 수 있음
    사이트가 ASPA-invalid 프리픽스도 테스트하도록 업데이트되어야 함

  • Free SAS ISP가 ‘unsafe’로 표시되지만 실제 테스트에서는 성공으로 나옴
    valid.rpki.isbgpsafeyet.com에서는 유효 프리픽스를,
    invalid.rpki.isbgpsafeyet.com에서는 무효 프리픽스를 올바르게 처리함

  • ISP가 표에서는 unsafe로 표시되지만 테스트에서는 안전하다고 나옴

    • 표의 마지막 업데이트가 2월 3일이라, 그 사이에 RPKI가 적용된 듯함

  • 공격자가 트래픽을 악성 사이트로 라우팅하는 그래픽은 약간 오해의 소지가 있음
    SSL 인증서가 유효하지 않으면 브라우저가 차단하므로 실제 피해는 제한적임
    다만 서비스 거부 공격(DoS) 용도로는 여전히 악용 가능함

    • 목적지를 장악한 공격자는 Let’s Encrypt 등으로 유효한 SSL 인증서를 발급받을 수도 있음

  • RPKI와 ASPA는 다른 네트워크로부터는 더 안전하게 해주지만, 레지스트리 의존성을 높임
    만약 자국이 제재를 받아 레지스트리 접근이 차단되면 기록을 갱신할 수 없게 됨

    • 사실 레지스트리는 예전부터 번호 할당을 취소할 수 있었음
      RPKI는 그 권한을 더 강력하게 만든 것뿐임
      우리는 결국 IANA의 승인 아래 네트워킹을 하는 셈이며,
      이를 벗어나려면 ASN과 IP 할당 체계를 완전히 재설계해야 함

  • BGP가 정말 안전해지는 시점은 우리가 그것을 버리고 SCION을 사용할 때일 것 같음
    SCION 위키 문서 참고

    • 하지만 SCION은 네트워크 운영자들 사이에서 snake oil로 여겨짐
      단일 벤더 중심 구조, ASIC 미지원, 블록체인과 그린워싱 등으로 신뢰를 잃었음
      스위스에서는 실험 중이지만 업계 전반에서는 진지하게 받아들여지지 않음
    • 진짜 안전해지려면 Yggdrasil 같은 새로운 라우팅 구조로 가야 함
      Yggdrasil 프로젝트 참고
    • 왜 이런 전환이 아직 일어나지 않았는지 의문임

  • RPKI는 BGP를 조금 더 안전하게 만들 뿐 완전한 해결책은 아님
    일부 하이재킹을 막지만, 여전히 신뢰 기반 시스템을 임시로 덧대는 수준

답변달기