Skip to content

기글하드웨어기글하드웨어

인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

Extra Form
참고/링크 https://blog.cloudflare.com/is-bgp-safe-...nitiative/

혹시 예전에 이곳에서 ‘중국 차이나텔레콤이 캐나다에서 한국 정부로 오는 트래픽을 납치했었다’는 기사를 읽은 분이 계신지 모르겠습니다. 지난 2016년 2월부터 약 6개월 동안 캐나다에서 한국 정부 웹사이트로 접속하려는 트래픽은 중간에 중국 땅을 지나서 오는 현상이 있었습니다. 이는 중국 통신사인 차이나텔레콤이 해당 트래픽을 ‘납치’했었기 때문입니다.

이런 일이 일어나는 근본 원인은 바로 현재의 인터넷이 설계되던 때는 보안이 지금처럼 중요하게 여겨지지 않던 시대였기 때문입니다. 인터넷은 서로 다른 수많은 네트워크가 전세계적으로 연결된 통신망인데, 이를 이루는 각각의 네트워크는 AS(Autonomous System, 자치 시스템)라고 합니다. 각 AS는 관할지역 인터넷 관리기구로부터 ASN(망식별번호)을 부여받아 서로를 구분합니다. 예를 들면 KT는 ISP(인터넷 서비스 공급회사)이고 4766이라는 ASN을 APNIC(아태지역네트워크정보센터)으로부터 부여받았지요. KT, SKB, 유플러스 같은 통신사나 구글, MS, 아마존, 클라우드플레어 같은 대형 IT 기업은 각자 자신만의 네트워크를 가지고 고유한 ASN을 부여받았습니다. 이러한 AS들을 서로 연결해야 진정한 인터넷이 되는 것인데, 이때 사용되는 것이 BGP(Border Gateway Protocol)입니다.
 

BGP를 간단히 설명하면 이렇습니다. 각 AS들은 서로 다른 여러 IP 주소대역을 할당받고 있으며, 이를 다른 AS에게 알리는 BGP 라우터란 것을 두고 있습니다. 각 AS에 속한 BGP 라우터는 서로 이웃한 BGP 라우터에 자신이 속한 IP 주소대역에 대해 알려줍니다. 예를 들어 123이라는 ASN을 부여받은 네트워크에 1.2.3.0/24 대역(1.2.3.0부터 1.2.3.255까지)의 IP 주소가 할당되어 있다면, 이 AS의 BGP 라우터에서는 이웃한 네트워크의 BGP 라우터에 “1.2.3.0/24 대역에 속한 IP 주소로 가는 패킷이 있으면 ASN 123 쪽으로 보내달라”고 알리는 것입니다. 그렇게 해서 다른 네트워크에서 123 AS로 패킷이 오면, 그 안에서의 패킷 처리는 123 네트워크의 내부 라우팅 정책에 따라 결정됩니다. 그래서 ‘자치 시스템’인 것이지요.
 

문제는 이 BGP라는 프로토콜은 순전히 상호간의 신뢰에만 의존하고 있어서, 누군가 잘못된 정보를 뿌려도 이를 전혀 의심하지 않는다는 심각한 취약점이 있습니다. 원래 BGP는 1980년대에 만들어졌는데, 그 당시에는 네트워크끼리 서로를 속일 수도 있다는 생각을 전혀 하지 않은 채 이를 설계했기 때문이지요. 그래서 종종 실수로 이게 잘못 설정되어 문제가 되는 경우가 있기도 한데(예를 들어 국내에서는 2004년에 충남대학교의 라우터에 전국의 트래픽이 몰려 국내 인터넷이 1시간 가량 마비된 사건이 있었습니다), 근래에 들어서 점차 실수가 아니라 의도적으로 잘못된 정보를 뿌리는 경우가 늘어나고 있습니다. 이렇게 하면 글 맨 처음에 서술한 것과 같이 트래픽을 다른 곳으로 납치하는 것이 가능하지요. 실제로 이를 해킹에 사용하는 사례도 발견되고 있습니다. 예를 들면 2018년 4월에는 어떤 해커가 이더리움 전자지갑 사이트인 myetherwallet.com에 접속하는 사용자들을 노리고 이와 같은 수법을 응용하여 1700만 달러 상당의 이더리움을 빼돌린 사건이 있었습니다. 사용자는 분명히 올바른 URL을 입력했지만 해커가 준비한 러시아의 가짜 서버에 접속하고 만 것이지요. 사건이 벌어지던 2시간 동안 아마존 소유의 IP 1275개가 이 해커의 손아귀에 들어 있었습니다. 이외에도 이러한 수법을 일부 국가에서 인터넷 검열 등에 사용하고 있다고 합니다.
 

이런 보안 문제점을 해결하기 위해 RPKI라는 라우팅 인증 시스템이 제안되었습니다. 대략적으로 비유하자면, http에 암호키 서명이 담긴 인증서를 적용하여 https로 만드니 보안성이 향상된 것처럼 BGP에도 인증서 기술을 적용하는 것입니다. 사실 이것만으로는 완벽하게 안전하다고 볼 수가 없어서 중간에 지나가는 모든 경로를 검증하는 BGPsec이라는 표준이 새로 제정되었지만, 이는 아직 완전히 성숙하지 않은 기술이라고 합니다. 그러나 클라우드플레어에 따르면 이제 RPKI 정도는 충분히 성숙했다고 하네요. 그럼에도 불구하고 RPKI조차 적용되지 않은 네트워크가 아직 대다수입니다. 심지어는 구글이나 마이크로소프트와 같은 선도적인 IT 기업조차 이를 적용하지 않고 있지요. 미국 NIST(국립표준기술연구소)의 자료에 따르면, 지난달(2020년 3월)까지도 전세계 RPKI 적용 비율은 채 20%를 넘기지 못했습니다.
 

그래서 클라우드플레어는 RPKI 적용을 촉진하기 위해, 지금 자신이 사용하고 있는 ISP가 RPKI를 적용했는지 여부를 확인할 수 있는 웹사이트를 개설하였습니다. 아래 사이트에 접속해서 [Test your ISP] 버튼을 누르면 지금 사용중인 ISP의 ASN과 함께 해당 ISP의 RPKI 적용 여부가 출력됩니다.
 

https://isbgpsafeyet.com/
 

아마도 이 글을 쓰는 현재 시점에서는 위 사이트에서 테스트를 해보면 대부분의 사람이 [실패]라고 뜰 것입니다. 현재 이와 같은 조치를 제대로 한 통신사는 세계적으로도 일본의 NTT나 스웨덴의 Telia 정도밖에 없다고 하는군요. 미국 AT&T와 같은 다른 외국 ISP는 부분 적용이라고 나오고, 프랑스의 오랑주나 독일의 도이치텔레콤은 이제 작업을 시작했다고 합니다. 앞서 언급한 것처럼 구글이나 마이크로소프트 같은 대형 IT기업도 아직 미적용한 조치이니만큼, 이게 적용되지 않았다고 해서 아직 세계적 추세에 뒤떨어졌다고 판단하기는 이릅니다. 그래도 이런 것이 국내 통신사에도 하루빨리 적용되었으면 좋겠군요.
 

참고 - KRNIC(한국인터넷정보센터)의 RPKI 설명 :
https://krnic.or.kr/jsp/resources/rpki.jsp
 



  • profile
    雨日      뚯뚜루~ 2020.04.22 05:47
    IX 게이트웨이의 경우 현재 100만개 이상 public route가 존재하는것으로 알고 있는데 bgp 컨버젼스때마다 이걸 검증한다고 하면 그것대로 잘 될지 모르겠네요. 그리고 컨버젼스 시간동안 라우팅이 되지 않거나, 인증 서버가 터져서 응답을 하지 않으면 그 시간 동안 만큼은 장애가 날텐데 이런 부분은 어떻게 처리 할런지...
  • profile
    쮸쀼쮸쀼 2020.04.22 07:05
    검증 작업 쪽은 아마 fallback이 있겠지요. 통계를 보면 invalid가 뜨는 것도 실제로 좀 있나 봅니다.
    https://rpki-monitor.antd.nist.gov/

    클라우드플레어에서 제시하는 아키텍쳐를 보면, 인증 서버 쪽은 하나의 인증 서버 밑에 여러 캐시 서버를 두고 인증 서버는 캐시 서버와만 통신하는 구조인 모양입니다. 라우터와 연결되는 것은 수평 확장이 가능한 캐시 서버 쪽이죠. 설령 인증 서버가 뻗는다고 해도, 캐시 서버의 정보가 유효할 동안에 최대한 빨리 복구하면 피해가 최소화될 수 있지 않을까 합니다. 그리고 클라우드플레어는 이런 아키텍쳐의 시스템을 자사뿐만이 아니라 모든 ISP가 갖추도록 장려하기 위해서 관련 소프트웨어들을 오픈소스로 공개하고 시스템을 바로 띄울 수 있는 Docker 이미지로 만들어 두었습니다. 각 통신사가 모두 이런 시스템을 갖추면 그만큼 위험성이 분산되겠지요.
    https://m.blog.naver.com/aepkoreanet/221486234966
    https://blog.cloudflare.com/cloudflares-rpki-toolkit/
    https://blog.cloudflare.com/rpki-and-the-rtr-protocol/
    https://github.com/cloudflare/cfrpki
  • ?
    키리바시 2020.04.22 07:24
    일본은 소뱅 au 다 나가리군요
    도코모 가야하나…
  • profile
    쮸쀼쮸쀼 2020.04.22 12:51
    본문에서 언급했다시피, 전세계적으로도 이걸 적용한 ISP는 아직 드물긴 합니다. 따지자면 이 부분에서는 NTT가 특이하게 앞서나간 셈이죠.
  • profile
    유우나      7460 2020.04.22 13:51
    BGP짬뽕질 되어있는건 언제 해결인가 생각 들지만은 그래도 꽤 좋은 방향으로 제시되고 적용되고 있군요
  • profile
    쮸쀼쮸쀼 2020.04.22 14:01
    흑흑 저는 네트워크 알못이라 무슨 이야긴지 하나도 모릅니다

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.


  1. No Image

    일론 머스크의 윈도우 계정정책 비판 트윗을 SW 회사 CEO가 비판

      일론 머스크가 새로 산 윈도우 랩탑을 쓰려면 MS 어카운트를 만들어 MS AI가 들어오게 한다고 까니까, 한 소프트웨어 회사 CEO가 새로 산 테슬라를 쓰려면 테슬라 어카운트를 만들어서 테슬라 AI가 들어오게 한다고 고대로 돌려줬습니...
    Date2024.02.28 소식 By핫돌이 Reply55 Views1826 file
    Read More
  2. No Image

    마이크로소프트, 2018년에 빙을 애플에게 팔겠다고 제안했음

    구글이 공개한 반독점 소송 자료에 따르면 마이크로소프트는 애플에게 빙 검색 엔진을 매각하거나 함께 투자를 하지고 제안했습니다. 이런 제안은 2009년, 2013년, 2015년, 2016년, 2018년, 2020년에 다양한 형태로 이루어졌습니다. 빙을 ...
    Date2024.02.27 소식 By낄낄 Reply6 Views995
    Read More
  3. No Image

    일론 머스크, 윈도우 11의 온라인 계정 요구를 깜

    일론 머스크가 새로운 컴퓨터를 샀는데, 윈도우 11이 쓸모없는 온라인 계정을 입력하라고 했다며 투덜거렷습니다. 예전에는 우회가 가능했지만 그것도 안 되며, MS 액세스 권한을 무조건 줘야 한다면서요. 댓글로 로그인을 피하는 방법들...
    Date2024.02.27 소식 By낄낄 Reply11 Views945
    Read More
  4. 마이크로소프트 CO-Pilot, 4월에 한국어 지원이 유력함

    ▶ 마이크로소프트, 올해 4월 중 'CO-Pilot'이 한국어도 지원한다는 전망이 있음 - 26일(관련 업계) : 마이크로소프트 'CO-Pilot'이 4월 중 출시될 가능성이 많음 - 업계 관계자 : 일정이 조금 앞당겨질 가능성이 많음 - 마이크로소프트 :...
    Date2024.02.27 소식 By블레이더영혼 Reply3 Views498 file
    Read More
  5. 윈도우 11, Wi-Fi 7을 곧 지원

    윈도우 11 인사이더 프리뷰 빌드 26063에서 Wi-Fi 7을 지원합니다. Wi-fi 6/6E보다 4배, Wi-fi 5보다 6배 빠르며, 레이턴시를 줄여 응답성이 향상됩니다.
    Date2024.02.27 소식 By낄낄 Reply2 Views489 file
    Read More
  6. No Image

    Tails 5.22에서 TL-WN725N USB 무선랜카드 사용 불가

    [참고]   글 작성일 현재 Tails 최신판은 5.22 입니다. 컴퓨존에서 TL-WN725N 벌크가 저렴하게 나왔길래 이 테스트 하려고 하나 구입했는데, 호환이 안 됩니다.   Tails에서는 RTL8188EUS로, Windows(10 22H2)에서는 RTL8188EU로 잡힙니다...
    Date2024.02.26 소식 By임시닉네임 Reply9 Views516
    Read More
  7. 마이크로소프트, 다이렉트X의 '다이렉트 슈퍼 해상도(DSR)' 기술을 공개할 예정(GDC 2024)

    ▶ 마이크로소프트, GDC 2024 컨퍼런스에서 다이렉트X의 '다이렉트 슈퍼 해상도(DSR)'을 공개할 예정 - 주요 내용 : '윈도우 OS'의 게이밍 PC용 업스케일링 기술을 통한 통합 접근 방식을 공개할 예정 - 벤더사와 협력 : '엔비디아 & ...
    Date2024.02.26 소식 By블레이더영혼 Reply0 Views1223 file
    Read More
  8. 마이크로소프트 OS/2 개발 키트 프리 릴리즈가 650달러에 낙찰

    마이크로소프트의 OS/2 소프트웨어 개발 키트 버전 2.0 프리 릴리즈 2 사본이 이베이 경매에서 650달러에 낙찰됐습니다. OS/2는 IBM PS/2 시스템을 위한 운영체제지만, MS가 윈도우 3.1을 출시하면서 IBM과의 협업은 중단됐습니다.
    Date2024.02.25 소식 By낄낄 Reply0 Views762 file
    Read More
  9. No Image

    윈도우 11, 재부팅 없이 업데이트 적용?

    마이크로소프트가 새로운 업데이트 절차를 테스트하고 있습니다. 재부팅 없이 업데이트를 적용하는 새로운 기능인 핫 패치가 윈도우 11 24H2에 추가됩니다. 핫 패치는 윈도우 서버나 Xbox에서 이미 도입한 기능입니다. 프로세스를 재시작...
    Date2024.02.25 소식 By낄낄 Reply6 Views1292
    Read More
  10. FurMark 2 발표

    FurMark 2 버전이 나왔습니다. 2007년부터 나오기 시작한 이 유서깊은 프로그램은 정말 오랫동안 버전 1대에 머무르다가 2022년 말부터 2.0 버전의 베타 버전을 내놓기 시작했고 이제야 정식 버전이 나왔습니다. 오픈GL 3.2, 벌칸 1.1 등...
    Date2024.02.25 소식 By낄낄 Reply5 Views1176 file
    Read More
  11. No Image

    제미나이의 사람 이미지 생성에 문제가 있어 일시 중단

    구글은 제미나이 AI에서 사람의 이미지를 만드는 기능을 일시 중단한다고 발표했습니다. 제미나이의 이미지 생성 기능을 개발할 때 폭력적이거나 성적인 이미지, 실제 사람은 만들지 않도록 조치를 취했는데요. 이것 때문에 이상한 프롬프...
    Date2024.02.25 소식 By낄낄 Reply1 Views541
    Read More
  12. No Image

    구글, 올해 말까지 구글 페이 앱을 종료

    구글이 '미국에서 결제 앱 단순화'라는 제목의 글을 올렸습니다. 올해 말까지 구글 페이 앱의 운영을 중단하겠다는 것입니다. 미국에서 주로 사용하는 구글의 비접촉 결제 앱은 구글 페이입니다. 하지만 구글 월렛이라는 대체제가...
    Date2024.02.25 소식 By낄낄 Reply1 Views550
    Read More
  13. 강력한 컴퓨터가 장착된 자동판매기 - 무허가로 안면인식

      대충 레딧에서 먼저 폭발한 건데, 캐나다의 워털루 대학교 M&M 자판기의 오류입니다. 보면 '안면인식.앱.exe' 라고 되어 있죠. 여튼 안면인식 데이터베이스로 학생 신원을 파악한 이 자판기와 다수 자판기가 대학교에서 퇴출되었습...
    Date2024.02.24 소식 By책읽는달팽 Reply3 Views1012 file
    Read More
  14. NVIDIA 앱 발표. 지포스 익스피리언스와 제어판 통합

    NVIDIA가 'NVIDIA 앱(App)을 발표했습니다. 지포스 익스피리언스와 제어판 등의 기능을 하나로 통합하고, 데스크탑과 모바일에서 모두 사용할 수 있습니다 제어판의 여러 옵션을 만질 필요 없이 통합 최적화 기능을 제공하며, 글로벌 ...
    Date2024.02.24 소식 By낄낄 Reply18 Views1395 file
    Read More
  15. No Image

    방통위, 'VOD 중단' 트위치에 과징금 4억3500만원

    불법촬영 유통방지 조치 미이행도 과태료 부과 화질 제한 위반 없지만…망 대가 자료 미제출 "韓 사업 종료지만 이용자 보호 원칙 하 처분"   방송통신위원회가 VOD 서비스를 중단한 트위치에 과징금 4억3500만원을 부과했다.   ----------...
    Date2024.02.23 소식 Bytitle: 가난한카토메구미 Reply17 Views1155
    Read More
  16. No Image

    윈도우 11, 23H2로 자동 업데이트

    마이크로소프트가 윈도우 11을 이제 23H2로 자동 업데이트합니다. 23H2는 작년 10월에 출시된 버전입니다. 지금까지는 22H2로 자동 업데이트가 됐습니다. 상위 버전으로 업데이트 강제는 어쩔 수 없지만, 이번에는 별 탈 없이 조용히 좀 ...
    Date2024.02.23 소식 By낄낄 Reply4 Views1627
    Read More
  17. No Image

    구글 원 AI 프리미엄 플랜 발표

    구글 원 AI 프리미엄 플랜이 발표됐습니다. 가격은 메달 19.99달러. 제미나이 1.0 울트라 기반 제미나이 어드밴스드를 지메일이나 문서 등에서 쓸 수 있습니다. 지메일에서 초대장을 만들고 문서를 작성하고 스프레드시트에서 가계부를 쓰...
    Date2024.02.23 소식 By낄낄 Reply1 Views543
    Read More
  18. No Image

    NVIDIA GPU, Gemma 최적화

    NVIDIA가 구글의 대규모 언어 모델인 제미니의 공개 모델, Gemma에 최적화했다고 발표했습니다. 젬마 LLM를 NVIDIA GPU에서 최적화하는데 필요한 오픈소스 라이브러리인 텐서RT-LLM에서 지원해 젬마의 실행 속도를 높일 수 있습니다. 또 ...
    Date2024.02.23 소식 By낄낄 Reply0 Views414
    Read More
  19. No Image

    미국 특허청, GPT 상표 출원 불허

    미국 특허청은 GPT가 특정 상품이나 서비스의 특징, 기능, 특성을 기술한 것에 불과하기에 상표 출원을 불허한다고 반려했습니다. 오픈AI는 GPT의 상표를 작년부터 내려고 시도했으나 10월에 반려당했고, 이번에 또 허가가 나지 않으면서 ...
    Date2024.02.22 소식 By낄낄 Reply0 Views472
    Read More
  20. iMessage, 양자 컴퓨터 내성 시스템인 PQ3 도입

      애플이 보안 블로그에서 iMessage가 이제 시그널보다 더 빡세졌다고 발표했습니다.   그러니까, 그림에서 보듯이 E2EE가 기본이었는데(렙1), 이제 각 기기에서 로컬로 생성하고 Apple 서버로 전송하는데 Kyber 양자컴퓨터 내성 공개키...
    Date2024.02.22 소식 By책읽는달팽 Reply0 Views755 file
    Read More
목록
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 286 Next
/ 286

최근 코멘트 30개
360Ghz
10:32
딱풀
10:23
아라
10:21
카토
10:21
wwsun98
10:09
낄낄
10:08
낄낄
10:05
텐타
10:01
툴라
09:58
아라
09:55
탐린
09:52
책읽는달팽
09:51
M16
09:42
아무개
09:40
아무개
09:39
dmy01
09:27
프로리뷰어
09:26
아무개
09:22
TundraMC
09:13
AKG-3
09:07
임시닉네임
09:04
임시닉네임
09:00
임시닉네임
08:46
임시닉네임
08:45
임시닉네임
08:44
임시닉네임
08:41
임시닉네임
08:40
photino65
08:34
임시닉네임
08:33
임시닉네임
08:31

더함
한미마이크로닉스
AMD
MSI 코리아

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소