BGP 하이재킹 공격의 원리와 이를 방어하기 위한 RPKI 기술의 구조

BGP 하이재킹: 인터넷의 교통 표지판을 조작하는 공격

인터넷은 수많은 자율 시스템(Autonomous System, AS)들이 복잡하게 연결된 네트워크의 네트워크입니다. 이 거대한 망에서 데이터 패킷이 올바른 목적지로 가려면 ‘길 찾기’가 필요하며, 이를 담당하는 핵심 프로토콜이 BGP(Border Gateway Protocol)입니다. BGP는 각 AS가 자신이 소유한 IP 주소 블록(프리픽스)에 대한 경로 정보를 이웃 AS들에게 광고하고, 이 정보를 전파하여 전 세계 라우팅 테이블을 만드는 역할을 합니다, 그렇지만 bgp는 설계 당시의 신뢰 기반 환경을 반영하여, 기본적으로 ‘누가 어떤 경로를 광고하든’ 이를 검증하지 않고 신뢰하는 구조적 취약점을 안고 있습니다. BGP 하이재킹은 바로 이 취약점을 악용한 공격으로, 공격자가 합법적 소유권이 없는 IP 주소 블록에 대한 경로를 허위로 광고하여 인터넷 트래픽을 자신이 원하는 방향으로 끌어오는(하이재킹) 행위를 의미합니다.

BGP 하이재킹 공격의 구체적 원리와 유형

공격의 핵심은 라우팅 정보의 ‘신원’을 위조하는 데 있습니다. 공격자는 자신이 운영하는 AS 번호를 이용해, 피해자의 IP 프리픽스를 마치 자신의 소유인 것처럼 BGP 메시지에 담아 전 세계에 광고합니다. 이때, 공격자의 AS 경로가 더 짧거나(AS-PATH 속성 조작), 다른 ISP들에게 더 선호되는 방식으로 광고되면, 전 세계의 많은 라우터들은 본래의 합법적 경로 대신 이 위조된 경로를 더 우선시하여 라우팅 테이블에 학습하게 됩니다.

• **목적지 하이재킹:** 특정 목적지(예: 한 금융기관의 서버 IP 대역)로 가는 트래픽을 모두 공격자의 네트워크로 유인합니다. 이는 트래픽 감시(도청), 메인 페이지 변조를 통한 피싱, 또는 서비스 거부(DDoS)에 활용될 수 있습니다.
• **구간 하이재킹:** 특정 통신사 간의 트래픽이 공격자의 네트워크를 경유하도록 만들어 트래픽을 감시하거나, 불필요한 통로를 거치게 하여 성능을 저하시킬 수 있습니다.
• **자원 소진 공격:** 존재하지 않는 수많은 IP 대역을 광고하여 전 세계 라우터의 라우팅 테이블을 과도하게 채움으로써, 라우터의 성능을 저하시키거나 장애를 유발할 수 있습니다.

이러한 공격의 성공 가능성은 BGP의 신뢰 기반 모델에서 비롯됩니다. 수신측 라우터는 광고된 경로의 진위를 검증할 수단이 원천적으로 부족합니다. 2018년 발생한 아마존 Route 53 DNS 서비스에 대한 하이재킹 사건은 마이닝 풀 트래픽을 탈취하려는 시도였으며, 수많은 소규모 사건들이 끊임없이 보고되고 있어 이 문제가 이론이 아닌 지속적인 현실 위협임을 보여줍니다.

RPKI: BGP 라우팅의 신원증명 시스템

BGP 하이재킹의 근본적 해결책은 ‘광고하는 자가 진짜 소유주인가’를 검증할 수 있는 인프라를 구축하는 것입니다. 중요한 점은 rPKI(Resource Public Key Infrastructure, 자원 공개 키 기반 구조)는 바로 이를 위한 표준화된 보안 프레임워크입니다. RPKI는 X.509 PKI(공개키 기반구조)를 인터넷 자원(IP 주소와 AS 번호)의 소유권 인증에 적용한 것으로, 인터넷 레지스트리(RIR, 예: APNIC, ARIN)가 최상위 인증기관(CA) 역할을 하여, 각 자원 소유자(ISP, 기업)에게 그들이 소유한 자원에 대한 디지털 인증서를 발급합니다.

RPKI의 핵심 구성 요소와 작동 흐름

RPKI 시스템은 크게 ‘서명’과 ‘검증’의 두 가지 흐름으로 구분됩니다.

• **ROA 생성 (서명 과정):** 자원 소유자는 자신의 IP 주소 블록(예: 203.0.113.0/24)과 이 블록을 광고할 권한이 있는 자신의 AS 번호(예: AS64512)를 결합한 객체인 ROA(Route Origin Authorization, 경로 발신 인가)를 생성합니다. 이 ROA는 소유자의 개인키로 서명되어, 해당 자원을 해당 AS가 광고할 수 있는 합법적 권한을 암호학적으로 증명합니다.
• **RPKI 저장소:** 생성된 ROA는 RPKI 저장소에 게시됩니다. 이 저장소는 전 세계적으로 동기화되는 분산 데이터베이스 시스템으로, 누구나 접근하여 검증 데이터를 조회할 수 있습니다.
• **RPKI 검증기:** ISP는 RPKI 검증기(Relying Party) 소프트웨어를 운영하여, 저장소로부터 모든 ROA 데이터를 주기적으로 가져오고 그 신뢰 체인을 검증합니다. 이를 통해 유효한 ROA 목록을 로컬에 유지합니다.
• **BGP 결정 과정에의 통합 (검증 과정):** ISP의 라우터(또는 라우터와 연동된 외부 장비)는 BGP 세션을 통해 이웃 AS로부터 경로 광고를 받을 때, RPKI 검증기로부터 받은 유효 ROA 정보를 참조합니다. 이제 라우터는 수신된 BGP 경로에 대해 다음과 같은 상태를 판단할 수 있게 됩니다.
  • **Valid (유효):** 광고된 IP 프리픽스와 AS 번호가 ROA와 정확히 일치합니다. 가장 신뢰할 수 있는 경로입니다.
  • **Invalid (무효):** ROA가 존재하지만, 광고하는 AS 번호가 ROA에 명시된 AS와 다르거나, 프리픽스가 ROA의 범위를 벗어납니다. 이는 명백한 하이재킹 시도로 간주되어 경로를 거부할 수 있습니다.
  • **NotFound (찾을 수 없음):** 해당 프리픽스에 대한 ROA가 존재하지 않습니다. RPKI 검증을 수행하지 않는 기존 BGP 동작으로 폴백합니다.

RPKI 도입의 실질적 이점과 경제적 효과 분석

RPKI의 도입은 단순한 기술적 보안 강화를 넘어, 네트워크 운영의 효율성과 신뢰도에 직접적인 영향을 미칩니다.

• **트래픽 가로채기 위험 제거:** 무효(Invalid) 상태로 판별된 경로를 사전에 필터링함으로써, 하이재킹에 의한 데이터 유출, 피싱, 서비스 장애 사고를 근본적으로 차단합니다, 이는 금융, 헬스케어, 정부 기관 등 고신뢰성 네트워크 운영에 필수적인 요소가 되고 있습니다.
• **라우팅 테이블 안정성 향상:** 악의적이거나 실수로 인한 잘못된 경로 광고가 네트워크 전반으로 전파되는 것을 억제합니다. 이는 전 세계 BGP 라우팅 테이블의 불필요한 변동(Churn)을 줄여 라우터의 CPU 부하를 경감시키고, 전체 인터넷의 안정성을 높입니다.
• **네트워크 장애 복구 시간 단축:** 장애 발생 시 백업 경로로 전환하는 과정에서, 유효(Valid) 상태의 경로를 우선적으로 선택함으로써 다시 하이재킹 위험에 노출될 가능성을 낮추고, 보다 예측 가능한 복구 경로를 보장합니다.

경제적 관점에서, RPKI 검증을 전면 적용한 네트워크는 ‘신뢰할 수 있는 트래픽 경로’를 보장하는 서비스 차별화 요소로 활용할 수 있습니다. 클라우드 서비스 제공자나 콘텐츠 전송 네트워크(CDN)와의 피어링 시 RPKI 준수는 더욱 안전한 상호연결의 기준이 되고 있으며, 이로 인한 잠재적 사고 비용(브랜드 이미지 실추, 고객 이탈, 복구 비용)을 절감하는 효과는 간접적이지만 매우 큽니다.

RPKI 구현 방식 및 주요 운영 모델 비교

RPKI를 네트워크에 도입하는 방식은 주로 두 가지로 나뉘며, 각각 장단점이 있습니다. 네트워크의 규모와 운영 역량에 따라 선택이 필요합니다.

RPKI 주요 운영 모델 비교

구분	RPKI-to-Router (RTR) 프로토콜 방식	BGP Flowspec 확장 방식
개념	RPKI 검증기가 유효/무효 ROA 목록을 라우터에게 전달하면, 라우터가 자체적으로 BGP 결정 과정에서 이를 적용합니다.	RPKI 검증기가 무효(Invalid) 경로에 대한 차단 규칙을 BGP Flowspec 메시지 형태로 라우터에 직접 설치합니다.
장점	표준화된 방식(IETF RFC 8210)으로, 주요 라우터 벤더(Cisco, Juniper 등)에서 네이티브 지원합니다. 라우터의 자율적 판단에 기반합니다.	중앙 집중식 정책 관리가 용이하며, 무효 경로에 대한 차단 행위를 더 세밀하게 제어할 수 있습니다.
단점	모든 라우터에서 RTR 클라이언트를 구성해야 하며, 라우터 성능에 일부 부하가 발생할 수 있습니다.	BGP Flowspec 기능에 대한 추가 구성과 이해가 필요하며, 일부 오래된 장비에서는 지원하지 않을 수 있습니다.
적합한 환경	대부분의 일반적인 ISP 및 엔터프라이즈 네트워크에 권장되는 표준 방식입니다.	소수의 중앙 집중식 장비에서 전체 네트워크에 대한 RPKI 정책을 강력하게 제어해야 하는 대규모 서비스 제공자 네트워크에 적합합니다.

도입을 위한 실전 절차

RPKI 도입은 단계적으로 진행됩니다. 첫째, 소유한 IP 자원을 관리하는 인터넷 레지스트리(예: APNIC의 MyAPNIC 포털)에 접속하여 RPKI 인증서를 활성화하고 ROA를 생성합니다. 둘째, 네트워크 내부에 RPKI 검증기 소프트웨어(예: Cloudflare의 OctoRPKI, NLnet Labs의 Routinator)를 설치 및 운영합니다. 셋째, 라우터 장비에서 RTR 프로토콜을 구성하여 검증기와 연동하고, 수신 경로에 대한 RPKI 상태 검증을 활성화합니다. 마지막으로, 무효(Invalid) 상태의 경로를 필터링하거나 우선순위를 낮추는 라우팅 정책을 적용합니다.

RPKI의 현실적 한계와 주의사항

RPKI는 BGP 보안을 위한 강력한 도구이지만, 만능 해결책이 아니며 새로운 운영상의 책임과 주의사항을 동반합니다.

• **ROA 관리 책임:** ROA 생성은 강력한 권한 부여 행위입니다. 잘못 구성된 ROA(예: 권한이 없는 AS를 등록하거나, 너무 넓은 프리픽스를 허용)는 정상적인 경로 광고를 무효로 판단하게 만들어, 자신의 네트워크에 대한 서비스 거부를 유발할 수 있습니다. ROA 관리는 반드시 체계적인 변경 관리 절차 하에 이루어져야 합니다.
• **부분적 적용의 문제:** RPKI의 효과는 적용 범위에 비례합니다. 전 세계 모든 네트워크가 RPKI 검증을 하지 않는 한, 여전히 검증하지 않는 네트워크를 통한 간접적 하이재킹 위협은 잔존합니다. 그러나 자신의 네트워크로 직접 유입되는 트래픽에 대해서는 완전한 보호를 제공합니다.
• **기술적 복잡성:** PKI 기반 시스템의 운영, 검증기 소프트웨어의 유지보수, 라우터 구성 등 초기 도입에는 기술적 학습 비용이 수반됩니다.
• **최대 길이 프리픽스 문제:** 하나의 ROA가 /24 프리픽스와 /25 프리픽스 모두를 광고할 수 있도록 허용했다면, 공격자가 더 구체적인 /25 경로를 하이재킹할 여지가 이론적으로 남아있습니다. 이는 BGP의 ‘가장 구체한 경로(Longest Prefix Match) 우선’ 원리에 기인한 것으로, RPKI만으로는 완전히 차단되지 않는 시나리오입니다. 이를 보완하기 위한 BGP 보안 확장(예: ASPA)이 현재 표준화 진행 중에 있습니다.

리스크 관리 핵심 요약: RPKI는 BGP 하이재킹에 대한 현재 최선의 방어 수단이지만, 그 자체가 새로운 운영 리스크를 생성합니다. 가장 큰 위험은 ROA의 잘못된 구성에서 비롯됩니다. 따라서 도입 전 철저한 테스트와, ROA 생성/수정에 대한 이중 점검 절차를 마련하는 것이 필수적입니다. 더불어 RPKI는 라우팅 보안의 한 층위일 뿐, 네트워크 보안을 위한 다층적 방어(망 분리, DDoS 대응, 트래픽 암호화 등)와 함께 통합적으로 관리되어야 그 진가를 발휘합니다.