aspa

ASPA: 인터넷 라 (새 탭에서 열림)

인터넷 라우팅의 핵심 프로토콜인 BGP는 설정 오류나 악의적인 공격으로 인해 트래픽이 엉뚱한 경로로 흐르는 '경로 리크(Route Leak)' 취약점을 안고 있습니다. 이를 해결하기 위해 기존의 목적지 검증 기술인 ROA를 넘어, 전체 이동 경로를 암호화 기술로 보호하는 새로운 표준인 ASPA(Autonomous System Provider Authorization)가 도입되고 있습니다. 클라우드플레어는 이러한 흐름에 발맞춰 ASPA 채택 현황을 실시간으로 추적할 수 있는 모니터링 기능을 Radar 서비스에 추가하며 더욱 안전한 인터넷 환경 구축을 지원합니다. ### ASPA의 개념과 필요성 * **기존 RPKI(ROA)의 한계**: 현재 사용되는 ROA(Route Origin Authorization)는 특정 IP 주소를 선언할 권한이 있는 AS(자율 시스템)가 누구인지, 즉 '목적지'만 확인하며 트래픽이 거치는 중간 경로는 검증하지 못합니다. * **경로 검증의 도입**: ASPA는 각 AS가 자신의 상위 프로바이더(Upstream Provider) 목록을 RPKI 시스템에 공식적으로 등록하게 함으로써, 데이터가 승인된 네트워크 체인을 통해서만 이동하는지 확인합니다. * **디지털 인증 기반**: ASPA 레코드는 일종의 인증서 역할을 하여, 수신 측 네트워크가 BGP 내의 AS_PATH를 보고 해당 경로가 사전에 정의된 상위 공급자 관계와 일치하는지 대조할 수 있게 합니다. ### "Valley-Free" 원리를 이용한 리크 탐지 * **상향 및 하향 램프 검증**: 인터넷 라우팅은 일반적으로 고객에서 프로바이더로 올라갔다가(Up-Ramp), 다시 목적지 고객으로 내려가는(Down-Ramp) 산 모양의 계층 구조를 가집니다. * **경로 일관성 확인**: ASPA는 경로의 양단에서 검증을 시작합니다. 출발지부터 상위 프로바이더로 이어지는 체인과 목적지부터 거꾸로 올라오는 체인이 정상적으로 만나는지 확인하여 경로의 유효성을 판단합니다. * **계곡(Valley) 현상 방지**: 고객 네트워크가 두 대형 프로바이더 사이에서 원치 않는 중계 역할을 할 때 발생하는 '경로 리크'는 ASPA 검증 과정에서 두 체인이 연결되지 않는 '단절'로 나타나며, 시스템은 이를 즉시 차단 대상으로 식별합니다. ### 위조된 근원지 하이재킹 방어 * **공격 차단**: 공격자가 실제 목적지 AS인 것처럼 속이면서 가짜 BGP 경로를 생성하는 '위조된 근원지 하이재킹(Forged-origin hijack)' 상황에서 ASPA는 강력한 방어 수단이 됩니다. * **관계의 진실성**: 공격자가 경로 상에 존재하더라도 피해 네트워크가 사전에 정의한 '승인된 프로바이더' 목록에 공격자가 포함되어 있지 않다면, 해당 경로는 유효하지 않은 것으로 간주되어 거부됩니다. * **기술적 한계**: 다만, 프로바이더가 자신의 고객에게 직접 가짜 경로를 광고하는 특수한 형태의 위조 공격 등은 ASPA만으로는 완벽하게 방어하기 어려운 영역으로 남아 있습니다. 인터넷 보안 강화를 위해 네트워크 운영자는 자신의 AS에 대한 ASPA 레코드를 발행하고, 클라우드플레어 Radar와 같은 도구를 통해 전 세계적인 ASPA 채택 추이를 주시하며 라우팅 보안 표준을 준수할 것을 권장합니다.

양자 내성 암호 사용 (새 탭에서 열림)

Cloudflare는 인터넷 보안의 투명성을 높이기 위해 Radar 플랫폼에 양자 내성 암호(PQ), 메시징 시스템의 키 투명성(Key Transparency), 그리고 라우팅 보안(ASPA)과 관련된 새로운 데이터셋과 도구를 대거 도입했습니다. 이번 업데이트는 클라이언트 측에 국한되었던 보안 모니터링을 오리진 서버와 메시징 인프라까지 확장하여, 다가오는 양자 컴퓨팅 시대와 고도화되는 네트워크 공격에 대비한 가시성을 제공하는 것을 핵심으로 합니다. **오리진 서버의 양자 내성 암호(PQ) 지원 모니터링** * **지원 범위 확장:** 기존 클라이언트 측 PQ 지원 모니터링을 넘어, Cloudflare 에지 서버와 고객의 오리진 서버 간 연결에 대한 PQ 호환성 데이터를 Radar에 추가했습니다. * **하이브리드 알고리즘 추적:** 고전적 방식인 X25519와 격자 기반 PQ 방식인 ML-KEM을 결합한 'X25519MLKEM768' 알고리즘의 채택 현황을 중점적으로 추적합니다. * **성장 지표:** 오리진 서버의 PQ 지원율은 2025년 초 1% 미만에서 2026년 2월 기준 10%로 약 10배 급증했으며, 이는 OpenSSL, Go 등 주요 암호화 라이브러리의 기본 설정 변경이 주도하고 있습니다. * **실시간 테스트 도구:** Cloudflare Containers를 활용하여 특정 호스트네임의 PQ 지원 여부를 즉시 확인할 수 있는 도구를 출시했으며, 이는 실제 TLS 핸드셰이크를 수행하여 협상된 알고리즘을 보여줍니다. **종단간 암호화(E2EE) 메시징을 위한 키 투명성** * **신뢰 문제 해결:** WhatsApp이나 Signal 같은 서비스에서 사용자가 서비스 제공자의 공공 키 배포를 무조건 신뢰해야 했던 취약점을 보완하기 위해 '키 투명성(Key Transparency)' 섹션을 신설했습니다. * **공개 감사 대시보드:** Cloudflare가 독립적인 감사자(Auditor)로서 WhatsApp 등의 메시징 서비스가 제공하는 공공 키 로그의 무결성을 실시간으로 검증하고 그 결과를 공개합니다. * **조작 방지:** 공격자가 공공 키를 가로채거나 교체하는 중간자 공격(MITM)을 방지할 수 있도록, 누구나 API를 통해 감사 증명을 독립적으로 검증할 수 있는 인터페이스를 제공합니다. **라우팅 보안 및 ASPA 배포 현황** * **BGP 경로 누출 방지:** 인터넷 라우팅의 고질적인 문제인 BGP 경로 누출을 탐지하고 방지하기 위한 새로운 표준인 ASPA(Autonomous System Provider Authorization) 관련 정보를 제공합니다. * **다각적 분석:** 글로벌 수준은 물론 국가 및 개별 네트워크(AS) 단위에서 ASPA가 얼마나 도입되었는지에 대한 상세한 인사이트를 확인할 수 있습니다. **결론 및 권장 사항** 인프라 운영자는 Cloudflare Radar의 새로운 PQ 테스트 도구를 활용해 자사 오리진 서버의 양자 내성 암호 준비 상태를 점검해야 합니다. 특히 최신 보안 표준을 유지하기 위해 OpenSSL 3.5.0+, Go 1.24+ 등 하이브리드 PQ를 기본으로 지원하는 최신 암호화 라이브러리로의 업데이트를 적극 권장합니다.