페이지 상단으로

인터넷주소자원

라우팅 인증(RPKI)

홈으로 > 인터넷주소자원 > 라우팅 인증(RPKI)

인터넷주소자원 기반의 인터넷 통신

인터넷주소자원 IP주소∙AS번호를 기반(Infrastructure)으로 한 인터넷 통신 프로토콜 BGP(Border Gateway Protocol)의 IP주소 라우팅 경로정보(Table)규모는 2021년 6월 기준 약 900,000개이며, IP주소를 광고(Advertising)하는 네트워크 세그먼트인 AS번호는 약 70,000개가 인터넷 통신 기반에 사용 중입니다.
그러나 인터넷 통신 프로토콜 BGP의 결함(缺陷)으로 발생하는 경로누수(Route Leak), 경로하이재킹(Route Hijacking) 등의 라우팅 장애 사례도 지속적으로 발생 중에 있습니다.

<BGP 라우팅 장애 사례>

  • ∙ 2017년 01월, 이란 국영통신사(TIC)에서 해외 256개 성인 사이트 차단위해 가짜 BGP 경로를 28시간 동안 광고
  • ∙ 2018년 11월, 러시아 해커에 의한 BGP 하이재킹으로 암호화폐 사이트를 위조 사이트로 리디렉션하여 15만2천 달러 상당의 암호화폐 갈취
  • ∙ 2019년 06월, 중국 차이나텔레콤에서 70,000개 이상의 인터넷 경로를 재라우팅하여 유럽쪽 인터넷 2시간 장애
  • ∙ 2020년 04월, 러시아 국영통신사(Rostelecom)에서 구굴, 아마존, 페이스북의 트래픽 하이재킹
<2020년 전 세계 BGP 라우팅 장애(Hijaks, Leaks) 사례 발생현황(출처 bgpmon.net)>

라우팅 인증(RPKI)이란?

BGP의 결함(缺陷) 즉 보안취약점에 대응하고자 2012년부터 인터넷주소자원 사용에 대한 보안기술 표준들이 발표되기 시작했습니다.
인터넷주소자원 IP주소, AS번호를 PKI 표준(RFC3779) 기반에 암호화된 인증서를 발행하고, 해당 주소의 라우팅 정보 무결성을 보장하는 인터넷 라우팅 보안 기술인 RPKI가 발표되었습니다.(RFC6480, 2012. 2)
IP주소, AS번호 인터넷주소자원(Resource)을 PKI(Public Key Infrastructure) 표준 기반으로 암호화된 인증서를 발행하여 "Resource Public Key Infrastructure(RPKI)"로 정의하여 지칭하고 있습니다.

BGP 보안취약점, RPKI 비교표 입니다
BGP 보안취약점 RPKI
  • ∙ AS 간의 통신에 사용되는 메시지에 대한 무결성, 상호 인증 등의 메커니즘 부재
  • ∙ IP주소∙AS번호 인증
    • - 인터넷주소를 보유한 기관의 IP주소 대역과 AS번호 할당정보 인증으로 BGP announce 정보의 인증 방법 정의
  • ∙ 인터넷에 Announce하는 IP 대역과 AS번호의 이용 권한 증명 방법 미정의
  • ∙ BGP speaker 정보 검증
    • - 라우팅 정보 교환 시, BGP 라우팅 광고의 시작점(Announce Origin) 검증
  • ∙ AS에 의해 전달되는 경로정보(AS-Path) 의 신뢰성 확인 방법 불투명
  • ∙ 변조된 BGP 라우팅 정보 탐지 및 차단
    • - 라우팅 경로의 시작점과 경로원점 인증서(ROA)를 비교하여, 변조된 정보를 탐지 및 차단
<BGP보안취약점 vs RPKI>

라우팅 인증(RPKI)은 인터넷주소자원 소유기관 및 IP주소, AS번호 등을 PKI(공개키 기반 암호화)를 기반으로 전자서명 처리하여 해당 라우팅 정보의 무결성을 인증하는 것입니다.
할당된 IP주소에 대한 전자 서명된 증명서를 주소자원 인증서(Resource Certification)라 하고, 이 인증서를 기반으로 IP주소에 대한 BGP 라우팅 권한이 있음을 AS 번호와 함께 신뢰할 수 있는 객체(Objcets) 정보들로 작성하여 전자 서명한 것을 경로원점인증서(ROA, Route Origin Authorization)라고 합니다.
라우팅 인증(RPKI)은 경로원점인증서(ROA)를 이용하여 인터넷 통신 상의 비정상 경로(Route) 정보를 식별하는 것입니다.

roa
<경로원점인증서(ROA) 파일 구조>

라우팅 인증(RPKI) 동작 개요

AS4745의 IP주소와 동일한 주소 대역 1.16.66.0/24를 AS3357에서 실수 또는 악의적으로 라우팅 경로 광고 시에 BGP 특성상 기존 정상 경로 AS9695 – AS9568 - AS4745 보다도 경로가 짧은 비정상 경로 AS9695 - AS3357로 패킷이 라우팅 됩니다.

인터넷주소 인증(RPKI) 동작 원리 설명 이미지

AS9695의 라우터가 RPKI를 활성화하게 되면 RPKI 서버로부터 받은 ROA(Route Origin Authorization)정보와 BGP 정보의 비교 결과인 ROV(Route Origin Validation) 정보를 통해 비정상 경로(Invaild)를 탐지할 수 있습니다.

인터넷주소 인증(RPKI) 동작 원리 설명 이미지

AS4745 네트워크 운영자는 IP주소 대역 1.16.66.0/24에 대한 BGP 라우팅 권한이 AS4745에 있음을 사전에 인증 받은 ROA(Route Origin Authorization) 인증서를 글로벌 RPKI 시스템에 반영시켜 놓으면 RPKI 캐시(Cache) 서버에서 ROA 정보를 RPKI 라우터로 제공하여 비정상 라우팅 경로를 탐지 또는 차단할 수 있습니다.

인터넷주소 인증(RPKI) 동작 원리 설명 이미지

라우팅 인증(RPKI) 체계

  • ∙ 인증체계 구조
    • - 대륙별 인터넷주소관리기관(RIR), 국가별 인터넷주소관리기관(NIR), 국내 인터넷주소관리기관(LIR)의 계층적 인증체계.
  • ∙ RIR(Regional Internet Registry) 역할
    • - RPKI 루트 인증서버(CA) 역할로 RIR 보유 인터넷주소에 대한 인증권한 보유와 리소스(Resource)∙ROA 인증서의 최상위 등록관리 역할 수행.
  • ∙ NIR(National Internet Registry) 역할
    • - LIR에 할당한 인터넷주소에 대해 위임(Delegation) 방식 또는 통합(Hosted) 방식으로 ROA 인증서 등록 역할 수행.
  • ∙ LIR(Local Internet Registry)역할
    • - NIR에서 할당받은 인터넷주소 중 인터넷으로 라우팅하는 주소자원에 대해 ROA 인증서 신청 역할 수행.
  • ∙ 인증체계 지원방식
    • - 위임(Delegation) 방식 : RIR-NIR-LIR 주소 관리기관 간에 각각의 인증서버(CA)를 구축하여 리소스∙ROA 인증서를 등록 관리하는 방식.
    • - 통합(Hosted) 방식 : RIR은 할당한 인터넷주소에 대한 인증 권한을 보유한 RPKI 시스템을 구축하고, 소속된 NIR, LIR은 RIR의 시스템에 접속하여 ROA 인증서를 신청 등록하는 방식. 주소자원 인증서, ROA 인증서의 생성, 인증서 키 갱신과 같은 모든 암호화 작업이 RIR의 RPKI 시스템에서 처리되고 관리.
    • ※ 현재 KIAS에서는 통합(Hosted)방식만 지원하고 있습니다. 아래 '한국인터넷진흥원(KISA) 라우팅 인증(RPKI) 지원 안내' 내용을 참조하십시오.
인터넷주소 인증(RPKI) 체계 설명 이미지
<인터넷주소자원 할당과 인증 체계>

라우팅 인증(RPKI) 시스템 구성 요소

  • ∙ CA(Certificate Authority)서버
    • - 인터넷주소에 대한 인증서의 생성, 폐지, 저장 및 분배 등을 담당하는 PKI의 핵심 구성요소로서 독립된 신뢰기관 역할을 수행(위임 방식).
  • ∙ 저장소(Repository)
    • - CA서버로 부터 서명된 인증서 객체와 ROA 인증서를 저장 관리하고 캐시(검증)서버에 제공하는 기능을 수행.
  • ∙ RPKI 캐시(Cache) 서버
    • - RIR RPKI 시스템의 TAL(Trust Anchor Locator) 정보를 이용해 RSYNC 또는 RRDP 프로토콜을 이용해 저장소와 통신하고, RPKI 저장소의 보안 인증된 ROA 데이터 제공 받아 RPKI 라우터에게 제공하는 기능 수행.
  • ∙ RPKI 라우터
    • - RTR(RPKI to Router) 프로토콜을 사용하여 RPKI 캐시 서버로 부터 ROA 데이터를 수신하여 BGP 라우팅 정보를 검증할 수 있는 기능을 수행.
인터넷주소 인증(RPKI) 체계 설명 이미지
<라우팅 인증(RPKI) 시스템 구성>

라우팅 인증(RPKI) 지원 S/W

∙ RPKI 지원 라우터 운영체제(Operation System)

RPKI 지원 라우터 제조사별 운영체제 표입니다.
라우터 제조사 운영체제(O/S)
주니퍼네트웍스
www.junifer.net 		∙ Junos OS 12.2 버전 이상
시스코시스템즈
www.cisco.com 		∙ IOS 15.2 버전 이상
∙ IOS/XR 4.3.2 버전 이상
노키아
www.infocenter.nokia.com 		∙ SR OS R12.0R4 버전 이상

∙ RPKI 캐시(검증)서버 오픈 소프트웨어

RPKI 캐시(검증)서버 오픈 소프트웨어 표입니다.
소프트웨어 웹사이트
OctoRPKI https://github.com/cloudflare/cfrpki
GoRTR https://github.com/cloudflare/gortr
Routinator https://nlnetlabs.nl/projects/rpki/routinator
RTRlib https://rpki.realmv6.org

한국인터넷진흥원(KISA) 라우팅 인증(RPKI) 지원 안내

한국인터넷진흥원(KISA)은 IP주소/AS번호 할당관리 홈페이지(ip.kisa.or.kr)의 'Route등록신청' 페이지에서 라우팅 인증에 필요한 정보를 신청 받아 APNIC 시스템(IRR, RPKI)에 등록해주는 서비스를 제공 중입니다.

<RPKI 서비스 등록신청 방법>

  • ∙ 한국인터넷진흥원(KISA)의 IP/AS회원기관(관리대행자, 독립사용자)에 한하여 제공 중이며, 회원기관은 한국인터넷진흥원(KISA)로부터 할당받은 IP주소의 사용정보(BGP를 사용하여 인터넷으로 광고하고 있는 보유 IP주소의 대역/길이, 사용 AS번호)를 입력
  • ∙ IP주소 사용(라우트) 정보에 대한 라우팅 인증(RPKI) 필요시에는 반드시 ‘ROA 생성 여부’에 ‘Y’체크, 미 체크 시에는 해당 IP주소 사용정보는 APNIC의 IRR(Internet Routing Registry), Whois 데이터베이스만 반영되고 RPKI 시스템에는 반영되지 않음
  • ∙ Route 등록신청관련 문의
    • - 이메일 : hostmaster@nic.or.kr
    • - 전 화 : 061-820-2851, 2853