RPKI (리소스 공개 키 인프라)

RPKI 정의

Resource Public Key Infrastructure (RPKI)는 인터넷이 원활히 작동하기 위해 중요한 Border Gateway Protocol (BGP)을 보호하기 위해 설계된 시스템입니다. RPKI는 네트워크 운영자가 IP 주소 접두사와 이를 알리는 자율 시스템의 정당성을 암호학적으로 검증할 수 있게 합니다.

RPKI 작동 방식

RPKI는 IP 주소 공간 소유자가 특정 IP 접두사와의 연관성을 디지털 서명된 인증서를 통해 검증할 수 있는 기구를 제공합니다. 이러한 인증서는 Regional Internet Registries (RIRs)에 의해 발급되며, IP 주소 블록을 이를 발표하는 것이 허가된 자율 시스템과 일치시킵니다. RPKI를 사용하면 네트워크 운영자는 RPKI 데이터를 기반으로 경로 광고의 유효성을 확인함으로써 발표된 경로가 정당한 출처에서 나오는지 확인할 수 있습니다.

RPKI는 계층적 모델로 운영됩니다. 최상위 레벨에는 IP 주소 할당을 관리하고 인증서를 발급하는 RIR이 있습니다. America Registry for Internet Numbers (ARIN) 및 Asia-Pacific Network Information Centre (APNIC)와 같은 RIR은 Internet Service Providers (ISPs) 및 다른 IP 주소 공간을 소유한 엔티티에 인증서를 발급합니다. 이러한 인증서는 IP 주소 블록과 이를 발표할 권한이 있는 자율 시스템에 대한 정보를 포함합니다.

ISP 또는 네트워크 운영자가 BGP를 통해 경로 광고를 받을 때, RPKI를 사용하여 그 유효성을 검증할 수 있습니다. 이는 발표의 디지털 서명을 확인하고 IP 접두사 및 자율 시스템 번호 (ASN)를 RPKI 데이터와 대조하는 것을 포함합니다. 발표가 RPKI 저장소에 있는 유효한 인증서와 일치하면 합법적인 것으로 간주됩니다. 그렇지 않을 경우, 네트워크 운영자는 필터링 또는 경로 거부와 같은 적절한 조치를 취할 수 있습니다.

예방 팁

BGP 라우팅의 보안 및 신뢰성을 강화하기 위해 네트워크 운영자는 다음과 같은 조치를 취할 수 있습니다:

• RPKI 검증 배포: 인터넷 라우터가 RPKI 검증을 수행하도록 구성합니다. 이렇게 하면 RPKI 데이터와 검증된 경로 광고만 수용됩니다.
• 정기적으로 RPKI 상태 확인: 네트워크 운영자는 RPKI 검증자를 사용하여 자신의 IP 주소 공간의 RPKI 상태를 주기적으로 확인해야 합니다. 이러한 도구는 경로 출처 허가 (ROAs)의 유효성에 대한 실시간 정보를 제공하여 잠재적인 잘못된 구성이나 비인가 광고를 식별하는 데 도움을 줍니다.
• RPKI 참여: 네트워크 운영자는 자신의 IP 주소 공간에 대한 ROAs를 획득하고 유지함으로써 RPKI에 적극 참여해야 합니다. ROAs는 권한 있는 자율 시스템 (AS)이 기원을 발표할 수 있는 접두사를 명시한 디지털 서명 문서입니다. ROAs를 생성하고 발표함으로써 네트워크 운영자는 경로 출처 검증을 시행하고 경로 도용 및 우발적인 경로 유출로부터 보호할 수 있습니다.

관련 용어

• BGP (Border Gateway Protocol): 자율 시스템 간 인터넷 트래픽의 라우팅을 가능하게 하는 프로토콜.
• ROA (Route Origin Authorization): 권한 있는 AS가 발표할 수 있는 접두사를 명시한 디지털 서명 문서.

RPKI의 이점과 중요성

RPKI는 인터넷 라우팅 인프라의 보안 및 강인성을 개선하는 데 중요한 역할을 합니다. IP 주소 접두사와 이를 발표하는 자율 시스템의 정당성을 암호학적으로 검증함으로써, RPKI는 경로 도용, 우발적인 경로 유출, IP 주소 스푸핑 등의 다양한 라우팅 위협을 완화하는 데 도움을 줍니다.

1. 경로 도용 방지: 경로 도용은 비인가 엔티티가 IP 주소 접두사의 소유를 거짓으로 발표하여 인터넷 트래픽이 비인가 네트워크로 우회되는 경우 발생합니다. RPKI는 네트워크 운영자가 경로 광고의 정당성을 검증할 수 있게 하여 경로 도용의 위험을 줄이고 인터넷 트래픽이 의도된 경로를 따르도록 보장합니다.

2. 우발적인 경로 유출 완화: 우발적인 경로 유출은 자율 시스템이 자신에게 발표 권한이 없는 경로를 실수로 광고하여 인터넷의 안정성에 영향을 미치거나 혼란을 초래할 수 있는 경우 발생합니다. RPKI를 사용하면 네트워크 운영자는 경로 광고의 허가를 검증하여 우발적인 경로 유출을 방지하고 라우팅 정보의 정확성을 보장할 수 있습니다.

3. IP 주소 스푸핑 방지: IP 주소 스푸핑은 공격자가 네트워크 패킷의 출발 IP 주소를 위조하여 분산 서비스 거부(DDoS) 공격 및 네트워크 정찰과 같은 다양한 악의적 활동을 가능하게 하는 기술입니다. RPKI는 BGP 접두사 필터링과 같은 다른 보안 조치와 결합하여 IP 주소 접두사의 소유 및 허가를 검증함으로써 IP 주소 스푸핑을 완화하는 데 도움을 줍니다.

4. 향상된 라우팅 보안: RPKI는 인터넷 라우팅의 근본인 BGP의 전반적인 보안을 강화합니다. 암호학적 검증 메커니즘을 제공함으로써, RPKI는 BGP 관련 보안 사고의 가능성을 줄이고 인터넷 연결을 방해하고 데이터의 무결성을 위협할 수 있는 경로 도용, 경로 누출 및 기타 라우팅 공격으로부터 보호하는 데 도움을 줍니다.

5. 인터넷의 안정성과 신뢰성: RPKI를 구현하고 검증 프로세스에 참여함으로써 네트워크 운영자는 인터넷의 전반적인 안정성과 신뢰성에 기여합니다. 경로 광고를 검증하고 비인가 광고를 방지함으로써 보다 강력하고 신뢰할 수 있는 라우팅 기반 구조를 구축하는 데 도움을 주며, 최종 사용자 경험을 개선하고 네트워크 간 통신의 무결성을 보장합니다.

RPKI가 BGP 라우팅의 보안에 상당한 이점을 제공하지만, 그 채택과 배포는 진행 중인 과정임을 주목할 필요가 있습니다. 네트워크 운영자, ISPs 및 RIR 간의 광범위한 참여와 협력을 장려하는 것이 RPKI의 효과를 극대화하고 글로벌 라우팅 시스템의 보안을 더욱 강화하는 데 필수적입니다.

요약하자면, RPKI (Resource Public Key Infrastructure)는 네트워크 운영자가 IP 주소 접두사와 이를 발표하는 자율 시스템의 정당성을 검증할 수 있게 함으로써 BGP (Border Gateway Protocol)를 보호하기 위해 설계된 시스템입니다. RPKI 데이터를 기반으로 경로 광고를 암호학적으로 검증함으로써, RPKI는 경로 도용, 우발적인 경로 유출 및 IP 주소 스푸핑을 방지하는 데 도움을 줍니다. 그 이점에는 향상된 라우팅 보안, 악의적 활동의 위험 감소 및 인터넷 안정성 및 신뢰성 개선이 포함됩니다. RPKI 검증의 배포, RPKI 상태의 정기적인 확인 및 RPKI에 적극적으로 참여하는 것은 네트워크 운영자가 BGP 라우팅의 보안 및 신뢰성을 보장하는 주요 예방 조치입니다.