1061. BGP RPKI 라우팅 보안 망 - Resource Public Key Infrastructure BGP 라우팅 하이재킹 차단 경로 검증 BGPsec

핵심 인사이트: 전 세계 인터넷은 BGP라는 "내가 네이버로 가는 지름길 알아!"라고 소리치는 라우터들의 입소문으로 굴러간다. 그런데 2008년, 파키스탄의 작은 통신사가 실수로 "내가 유튜브 본사야!"라고 소리쳤더니, 전 세계 유튜브 트래픽이 파키스탄으로 빨려 들어가며 유튜브가 2시간 동안 지구상에서 사라졌다(BGP 하이재킹). 아무나 소리치면 다 믿어주는 멍청한 BGP의 맹점을 고치려고 전 세계가 빡쳤다. "야! 이제부터 인터넷 라우터에서 소리칠 때, 무조건 국제기구(RIR)에서 발급받은 '이 IP 주소 내 거 맞음'이라는 공인 인증서(ROA)를 보여줘라! 인증서 없으면 무시해버려!" BGP의 신뢰를 암호학으로 강제하는 철통 방패, RPKI다.

Ⅰ. BGP 라우팅의 근본적 취약점 (맹신주의)

  • BGP (Border Gateway Protocol, 996번): 전 세계 통신사(AS)들끼리 길을 공유하는 프로토콜입니다.
  • 재앙의 원인: BGP는 서로를 100% 믿습니다. 러시아 해커(AS 123)가 BGP로 **"나 구글(8.8.8.8) 가는 길이야!"**라고 거짓 광고(BGP Hijacking)를 뿌리면, 전 세계 라우터들은 의심 없이 그 길을 주소록에 적어버립니다. 누군가의 실수(Route Leak)나 악의적 해킹으로 전 세계 금융망이 한순간에 마비될 수 있는 구조적 폭탄이었습니다.

Ⅱ. RPKI (Resource Public Key Infrastructure)의 탄생 🌟

  • 개념: IP 주소와 AS 번호의 '진짜 소유자'를 암호학적으로 증명하기 위해, 국제 인터넷 주소 관리 기구(RIR, 한국은 KISA)가 공인 인증서 체계(PKI)를 도입하여 라우팅 광고의 진위 여부를 검증하는 BGP 라우팅 보안 프레임워크입니다.

Ⅲ. RPKI의 3대 핵심 작동 아키텍처 🌟 핵심 기출 🌟

1. ROA (Route Origin Authorization) 발급 - "땅문서"

  • 네이버(AS 100)가 10.0.0.0/24 IP 대역을 샀습니다.
  • 네이버는 국제기구에 가서 **ROA(경로 발원지 인증서)**를 발급받습니다. ROA에는 "이 10.0.0.0/24 대역은 무조건 AS 100번만 방송할 수 있다!"라고 적혀있고, 기관의 전자서명이 쾅 찍혀 있습니다. 이 ROA들은 전 세계 중앙 클라우드 저장소(RPKI Repository)에 모조리 저장됩니다.

2. 라우터의 ROV (Route Origin Validation) 검증 - "신분증 검사"

  • KT 라우터가 러시아 해커(AS 123)로부터 "나 10.0.0.0/24 구글 가는 길이야!"라는 BGP 광고를 받습니다.
  • KT 라우터는 주소록을 업데이트하기 전에, 중앙 RPKI 저장소에 보관된 ROA(땅문서)와 대조해 봅니다.
  • 결과 판정:
    • Valid (정상): ROA에 적힌 AS 번호와 광고한 AS 번호가 일치함 (수락)
    • Invalid (비정상): ROA에는 AS 100번 거라고 적혀있는데, 광고는 AS 123번이 함 ➜ "이거 해커 놈의 구라 핑이네! 라우팅 테이블에서 즉시 삭제(Drop)!"
    • Not Found (미등록): ROA가 발급되지 않은 옛날 주소 (일단 봐줌)

3. BGPsec (BGP Security)로의 진화 (경로 전체 검증)

  • RPKI (ROV)는 "출발지(Origin)"가 진짜인지만 검증합니다. 중간에 길을 전달하는 놈들이 구라를 치는 건 못 잡습니다.
  • BGPsec: 출발지뿐만 아니라 패킷이 거쳐 온 AS 1번 ➜ AS 2번 ➜ AS 3번 모든 경로마다 각 라우터가 릴레이로 전자서명을 덧씌우며(Path Validation) 암호학적으로 길 전체를 증명하는 궁극의 BGP 보안 기술입니다. (연산이 너무 무거워서 전 세계 상용화는 지지부진합니다.)

Ⅳ. RPKI 도입의 현실적 장벽

  • 전 세계 모든 통신사가 ROA(인증서)를 만들어 올리고, 모든 라우터가 이 인증서를 검사하도록 소프트웨어를 올려야 합니다.
  • 내가 검사(ROV)를 열심히 해도, 나한테 길을 알려주는 윗동네 미국 통신사가 검사를 안 하고 해커의 길을 덥석 믿어버리면 방어가 뚫리는 '집단 면역'의 한계 때문에 글로벌 100% 도입까지 긴 시간이 걸리고 있습니다.

📢 섹션 요약 비유: 기존 BGP 인터넷망은 아무나 자기 집에 '구글 본사 가는 길' 표지판을 달아놓으면 모든 택시 기사(라우터)들이 그 표지판을 의심 없이 믿고 따라가는 **'순진한 동네'**였습니다. 나쁜 놈(해커)이 자기 집 앞에 '구글' 표지판을 걸어두면 전 세계 택시가 나쁜 놈 집으로 빨려 들어갔습니다(BGP 하이재킹). RPKI 보안망은 택시 기사들에게 **'경찰청 공인 땅문서(ROA) 조회 앱'**을 깔아준 것입니다. 길가에 '구글' 표지판이 보이면 기사는 무조건 앱을 켜서 조회합니다. "이 땅주인 AS 번호랑 표지판 세운 놈 번호랑 다르네? 이거 가짜 표지판이네!" 하고 즉시 표지판을 부숴버립니다. 국제기구의 엄격한 암호화 인증서를 통해 라우팅 사기극을 원천 차단하는 BGP의 절대 면역 백신입니다.