인터넷은 자율 시스템(AS)이라는 IP 네트워크와 라우터의 집합으로 구성되어 있으며, AS 사이의 통신 경로를 결정하는 라우팅에는 BGP라는 프로토콜이 사용되고 있다.
하지만, BGP는 BGP 하이잭(납치)이라는 공격에 의해 통신 경로를 빼앗겨 버리는 문제가있고, 이 문제에 자신이 이용하고있는 인터넷 공급자(ISP)가 처리 할 수 있는지를 확인할 수있는 웹 사이트 "Is BGP safe yet?"을 Cloudflare가 공개하고있다.
BGP는 1989년에 제정 된, 인터넷 공급자(ISP)등의 AS간의 라우팅을 담당하는 프로토콜. BGP의 안전성은 높다고 할 수 없으며, 과거에는 BGP 하이잭에 의한 네트워크의 납치 피해가 발생한 사례도있다.
이러한 문제를 해결하기 위해, BGP의 보안 기능으로서 "RPKI"이 개발되었다. RPKI는 각 AS에 할당 된 고유 번호 인 AS 번호와 IP 주소의 올바른 조합을 나타내는 ROA와, 실제로 라우터에서 광고되는 경로 정보를 비교하고, IP 주소의 오용과 BGP 납치를 검출하는 방법이다.
RPKI에 의한 안전한 인터넷을 실현하는데에는, 각 ISP가 RPKI에 대응해야한다. Cloudflare가 공개 한 웹 사이트 "Is BGP safe yet?"을 사용하면, 자신이 사용하는 프로 바이더가 RPKI에 대응하고 있는지 확인할 수 있다.
웹 사이트를 방문하여 "Test your ISP"를 클릭하면....
곧 결과가 표시되어진다. 이번 테스트 한 ISP는 RPKI에 대응하고 있지 않은것 같다는.
Cloudflare가 공개하고 있는 RPKI의 대응 상황을 IP 주소 공간상에 나타낸 이미지가 다음. 노란색이 RPKI에 대응하는 공간으로, 파란색이 지원하지 않는 IP 주소 공간을 나타내고 있고, 아직 지원하지 않는 IP 주소 공간이 크다는 것을 알 수있다.
"Is BGP safe yet?"의 동작은 단순하고, RPKI의 대응에 관계없이 액세스 가능한 "valid.rpki.cloudflare.com"과 RPKI에 대응하고 있는 경우는 액세스 할 수없는"invalid.rpki.cloudflare.com"의 두 궵 사이트에 액세스를 시도, 2개 모두 응답이 있으면 RPKI에 대응하고 있지 않다고 판단한다고.
Cloudflare는 "BGP의 문제에 의한 경로 정보의 유출이나 네트워크의 탈취를 과거의 것이라고 말할 수있는 날을 기대하고 있습니다"라고 언급.
