인터넷의 우편 시스템, BGP를 아시나요?
인터넷에서 데이터가 목적지까지 도착하려면 수많은 네트워크를 거쳐야 해요. 이때 "이 데이터는 어디로 보내야 하지?"를 결정해주는 게 바로 BGP(Border Gateway Protocol)라는 프로토콜이에요. 쉽게 말하면 인터넷 세계의 우편 배달 시스템이라고 보면 돼요. 각 네트워크(ISP, 클라우드 사업자 등)가 "이 IP 주소 범위는 내가 담당해!"라고 주변에 알려주고, 그 정보를 바탕으로 데이터가 올바른 경로를 찾아가는 거죠.
문제는 이 BGP라는 프로토콜이 1989년에 설계됐다는 거예요. 그때는 인터넷에 연결된 네트워크가 몇 개 안 됐고, 서로 신뢰할 수 있는 환경이었거든요. 그래서 BGP에는 "이 경로 정보가 진짜인지 검증하는 장치"가 기본적으로 없어요. 누군가 "이 IP 대역은 내 꺼야"라고 거짓 광고를 하면, 트래픽이 엉뚱한 곳으로 빨려 들어갈 수 있는 거죠. 이걸 BGP 하이재킹이라고 부르는데, 실제로 크고 작은 사고가 꾸준히 일어나고 있어요.
RPKI, BGP를 지키기 위한 해결책
이 문제를 해결하기 위해 나온 게 RPKI(Resource Public Key Infrastructure)예요. 이게 뭐냐면, IP 주소의 진짜 주인이 "이 IP 대역은 이 네트워크(AS 번호)가 광고해도 된다"는 걸 디지털 서명으로 등록해두는 시스템이에요. 마치 부동산 등기부등본처럼, IP 주소에 대한 공식적인 소유권 증명서를 만들어두는 거죠.
ISP나 클라우드 사업자가 RPKI를 적용하면, 들어오는 BGP 경로 정보가 진짜인지 서명을 확인하고, 가짜 경로는 걸러낼 수 있어요. 이걸 ROV(Route Origin Validation)라고 부르는데요, "이 경로 광고가 정당한 권한이 있는 네트워크에서 온 건지" 검증하는 과정이에요.
isbgpsafeyet.com 사이트는 Cloudflare에서 만든 도구로, 여러분이 사용하는 ISP가 RPKI/ROV를 제대로 적용하고 있는지 간단하게 테스트할 수 있어요. 사이트에 접속해서 테스트를 돌리면, 여러분의 ISP가 잘못된 BGP 경로를 차단하는지 아니면 그냥 통과시키는지 바로 확인할 수 있죠.
현재 도입 현황, 어디까지 왔나
결론부터 말하면, 아직 갈 길이 멀어요. 주요 클라우드 사업자들인 AWS, Google Cloud, Cloudflare, Azure 같은 곳은 이미 RPKI를 적용하고 있어요. 하지만 전 세계 ISP 전체로 보면 RPKI 검증을 제대로 수행하는 비율은 아직 절반에도 못 미쳐요. 특히 소규모 지역 ISP일수록 도입이 느린 편이에요.
이게 왜 느리냐면, RPKI를 적용하려면 라우터 설정을 바꿔야 하고, ROA(Route Origin Authorization) 레코드를 등록해야 하고, 검증 실패 시 트래픽을 어떻게 처리할지 정책도 정해야 하거든요. 잘못 설정하면 오히려 정상적인 트래픽이 차단될 수도 있어서, 운영 부담이 꽤 있는 작업이에요. 그래서 "되는데 굳이?"라는 생각으로 미루는 ISP가 많은 거죠.
한국은 어떤 상황일까
한국의 주요 ISP인 KT, SK브로드밴드, LG유플러스의 경우, RPKI 도입 상황은 직접 테스트해보시는 게 가장 정확해요. 글로벌 흐름에 비추어보면 대형 통신사들은 점진적으로 도입하고 있지만, 완전한 적용까지는 시간이 걸리는 상황이에요. 특히 국내에서 BGP를 직접 다루는 분들이라면—IDC 운영자, 네트워크 엔지니어, 자체 AS를 가진 회사의 인프라 담당자—ROA 레코드 등록은 지금 당장 할 수 있는 일이에요. KISA나 각 RIR(Regional Internet Registry)에서 ROA 생성 가이드를 제공하고 있으니까요.
백엔드 개발자나 DevOps 엔지니어 입장에서도 BGP 보안은 알아둘 가치가 있어요. 서비스 장애의 원인이 "우리 코드 버그"가 아니라 "BGP 하이재킹으로 트래픽이 다른 데로 갔다"일 수도 있거든요. 실제로 2018년에 아마존 Route 53이 BGP 하이재킹 당해서 암호화폐 지갑 서비스의 트래픽이 탈취된 사건도 있었어요.
정리하면
인터넷 라우팅의 근본적인 보안 취약점은 30년 넘게 존재해왔고, 해결책(RPKI)도 있지만 도입은 여전히 느리다는 게 현실이에요. 한번 isbgpsafeyet.com에서 본인 ISP를 테스트해보세요. 결과가 "Safe"가 아니라면, 그건 여러분의 인터넷 트래픽이 누군가에 의해 가로채질 수 있다는 뜻이니까요.
여러분이 사용하는 ISP는 테스트 결과가 어떻게 나왔나요? 혹시 실무에서 BGP 관련 이슈를 겪어보신 분이 있다면 경험을 나눠주세요.
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공
