934. 라우팅 프로토콜 인증 방어망 - MD5/SHA 인증 해시 키 연동 BGP TCP 세션 탈취 방지 RST 스푸핑 우회 라우터 연계 BCP 설정 보안 모델

핵심 인사이트: 전 세계 인터넷 길잡이인 BGP 라우터들은 서로 이웃을 맺고 "네이버로 가는 길은 내가 잘 알아!"라며 경로 장부를 공유한다. 이 대화는 너무나 평화로워서 맹점이 있다. 해커가 옆에서 쓱 나타나 "안녕! 내가 KT 메인 라우터야! 앞으로 네이버 트래픽 나한테 다 보내(경로 조작)!"라고 사기를 치면, 순진한 라우터들은 의심 없이 모든 데이터를 해커에게 바친다. 인터넷 지도 전체가 해커에게 넘어가는 참사다. "야! 길바닥에서 아무 라우터나 믿지 마! 이웃 맺을 때 무조건 우리끼리만 아는 '비밀번호(해시 키)'를 대라고 해! 비밀번호 모르는 놈이 보낸 라우팅 정보는 묻지도 따지지도 않고 다 찢어발겨버려!" 인터넷 대동맥을 지키는 1차 보안 방어선, 라우팅 프로토콜 인증이다.

Ⅰ. BGP 라우팅망의 치명적 허점 (TCP 기반 통신의 약점)

  • BGP(국가 간 라우팅 프로토콜)는 1번 라우터와 2번 라우터가 서로 TCP (179번 포트) 세션을 연결하고 대화를 나눕니다.
  • 해커의 TCP 세션 하이재킹 (Session Hijacking/RST 스푸핑):
    • 해커가 가짜 패킷의 IP 주소를 1번 라우터인 척 위조(스푸핑)합니다.
    • 2번 라우터에게 "야 나 1번인데, 아까 보낸 경로 다 취소할게(TCP RST 패킷)!"라고 쏘면, 둘 사이의 끈끈했던 BGP 세션이 툭 끊어집니다(통신 마비).
    • 그 틈을 타 해커가 가짜 경로를 집어넣어(경로 위조) 수백만 명의 트래픽을 해커의 컴퓨터로 납치(Blackhole)해 버립니다.

Ⅱ. 라우팅 프로토콜 인증 방어망의 원리 🌟

이 해커의 사기극(스푸핑)을 100% 막아내는 가장 고전적이자 확실한(BCP: Best Current Practice) 방어 세팅입니다.

1. MD5/SHA 인증 해시 연동 (Authentication Key) 🌟

  • 세팅: 관리자가 1번 라우터와 2번 라우터의 설정창에 똑같은 비밀번호(Password=KOREA123)를 타이핑해 둡니다.
  • 동작 (해시 서명): 1번 라우터가 BGP 경로 업데이트 정보를 보낼 때, 그냥 보내지 않습니다. [라우팅 데이터] + [비밀번호 KOREA123]을 믹서기(MD5 또는 SHA-256 알고리즘)에 넣고 팍 갈아버립니다. 그러면 ax8f9... 같은 해시(Hash) 지문 도장이 쾅 찍힙니다.
  • 패킷에는 오직 '데이터'와 '해시 지문'만 날아갑니다(비밀번호 자체는 날아가지 않음).

2. 수신 측 라우터의 깐깐한 검증 (세션 탈취 방지)

  • 2번 라우터가 데이터를 받으면, 자기가 알고 있는 비밀번호(KOREA123)를 꺼내서 도착한 데이터와 함께 똑같이 믹서기(MD5)에 갈아봅니다.
  • 자기가 갈아본 지문 모양과, 패킷에 찍혀 온 지문 모양이 100% 일치해야만 "아! 나랑 비밀번호를 공유한 진짜 1번 라우터 맞구나!" 하고 장부에 기록합니다.
  • 해커의 몰락: 해커가 IP를 1번 라우터로 똑같이 위조(스푸핑)해서 쓰레기 경로를 보내도, 해커는 라우터 안의 '비밀번호'를 모르기 때문에 믹서기 해시 지문을 절대 위조할 수 없습니다. 2번 라우터가 지문을 맞춰보고 "지문이 다르네? 해커 놈이 보낸 가짜 패킷이군!" 하고 즉각 찢어서 버려버립니다(우회 패킷 Drop). TCP 연결 끊기 공격(RST)도 완벽히 무효화됩니다.

Ⅲ. MD5의 한계와 SHA 연계 모델의 진화

  • 과거 20년 동안 라우터는 MD5 믹서기를 썼습니다(RFC 2385). 하지만 해커들의 컴퓨터가 좋아지면서 MD5 믹서기의 지문 구조를 수학적으로 역추적해 박살 내는(해시 충돌) 기법이 등장했습니다.
  • 방어 진화: 최근 최신 시스코/주니퍼 라우터들은 보안을 위해 MD5를 버리고, 깨는 데 수백 년이 걸리는 **SHA-1, SHA-256 같은 훨씬 복잡한 믹서기 엔진(TCP-AO, Authentication Option)**으로 업그레이드하여 BGP의 목숨줄을 더 질기게 보호하고 있습니다.

📢 섹션 요약 비유: BGP 라우터들은 전국을 누비며 택배 박스(패킷)를 어떻게 보낼지 주소 장부를 주고받는 '지역 물류 센터장'들입니다. 옛날엔 해커가 센터장 유니폼을 훔쳐 입고(IP 스푸핑) 가짜 주소 장부를 뿌리면, 아무도 의심하지 않고 그 가짜 장부대로 트럭을 보냈다가 택배가 모조리 해커 집으로 도둑맞았습니다. 라우터 MD5 인증 방어망은 센터장들끼리만 아는 **'절대 복제 불가능한 비밀 도장(해시 키)'**을 만든 것입니다. 이제 센터장이 진짜 주소 장부를 보낼 땐 무조건 장부 모서리에 이 암호 도장을 쾅 찍어 보냅니다. 해커가 껍데기 유니폼을 감쪽같이 베껴 입고 쳐들어와 가짜 장부를 내밀어도, 그 장부엔 비밀 도장(해시값)이 찍혀있지 않습니다. 물류 직원(수신 라우터)은 내용물을 읽어보지도 않고 "도장 없는 쓰레기 문서네!"라며 현장에서 북북 찢어 화롯불에 태워버려, 인터넷 대동맥의 길안내 장부가 사기꾼에게 털리는 대참사를 완벽히 막아내는 최강의 1차 바리케이드입니다.