[펌] IPv6 Security 동향

2002.09.18 IPv6 Security 동향 권혁찬* 나재훈** 손승원*** 인터넷 주소의 고갈문제가 매우 심각한 문제로 대두되면서 IPv6를 도입하고자 하는 연구가 최근 매우 활발히 진행되고 있다. IPsec(IP Security)은 차세대인터넷의 보안표준으로 자리잡을 만큼 중요시 되는 프로토콜이며, 실제 IETF의 표준화 문서에서 IPsec은 IPv4에서는 선택기능(optional)으로 IPv6에서는 필수기능(mandatory)로 권고하고 있다. 본 고에서는 IPv6의 보안표준으로 자리잡고 있는 IPv6 IPsec 기술 동향을 살펴보고자 한다. ▧ I. 서 론 IETF Security area의 IPsec 워킹그룹은 네트워크계층에서 정보보호를 제공하는 프로토콜 제정 그룹으로, Internet Protocol에 인증, 기밀성, 무결성을 제공하는 것이 목표이다. 현재 IPsec 워킹그룹에서는 관련된 18개의 RFC가 채택되었으며 많은 플랫폼에서 구현이 완료되었거나 진행중이다. IPsec(IP Secuity)은 IETF의 차세대인터넷(IPng)인 IPv6 개발 노력의 일환으로 추진되고 있는 인터넷 보안 기술이다. 실제 IPv6 규격에 정의된 확장헤더에는 IPsec 프로토콜에 사용되는 AH(Authentication Header)와 ESP(Encapsulating Security Payload) 헤더가 포함되어 있다. 인터넷 주소의 고갈문제가 매우 심각한 문제로 대두되면서 IPv6(Internet Protocol version 6)를 도입하고자 하는 연구가 다각적으로 진행중에 있다. 한국의 정보통신부에서는 IPv6의 도입시기를 2002년부터 점차적으로 도입하여 2011년에서는 IPv6 순수망으로 완전 변환할 것으로 예측하며 이에 대비한 연구를 활성화 하고자 하고 있다[1]. IPv6의 도입을 위해 필요한 연구로는 IPv6 순수망이 되기 까지는 IPv4와 IPv6망을 혼용하여 사용하는 것을 피할 수 없으므로, 우선 IPv4 망과 IPv6 망의 호환을 위한 IPv4/v6 전환기술에 대한 연구가 필요하다. 또한 IPv6 자동 네트워킹 표준 기술과 멀티캐스트, QoS, 보안 등의 IPv6 기반 차세대 인터넷 프로토콜에 대한 기술의 연구가 필요하다. 그 외 IPv6 응용 기술, 컨텐트 개발 등에 대한 연구도 필요하다. 현재 여러 기관과 업체에서 위에 나열한 기술 개발을 수행하고 있다. 본 고에서는 이 중 IPv6의 보안 표준으로 자리잡고 있는 IPv6 IPsec기술 개발 현황에 대해 살펴본다. II. IPv6 기술 동향 IPv6 연구동향은 주간기술동향 1018, 1033호에 기술된 바 있으며, 본 절에서는 현재 IPv6 기술을 선도하고 있는 일본의 최신 동향과 국내의 동향에 대해서만 살펴보도록 한다. 1. 일본의 기술 동향 현재 IPv6관련 연구를 가장 활발히 진행하고 있는 나라는 일본이다. 일본의 경우 대규모의 IPv6관련 프로젝트가 다수 존재하고 있다. 1998년에 시작한 WIDE프로젝트는 일본 내에 초고속 IPv6 테스트베드 JB(Japan Backbone)을 구축하고 그 위에 여러 IPv6 기술을 시험하고 있다[2]. 역시 1998년에 시작한 KAME프로젝트는 실제 IPv6 관련 코드를 구현하고 있다[3]. 현재 IPv6기본 규격, DNS, BGP4+, RIPng 그리고 SMTP, POP, HTTP, Telnet, X11등의 IPv6 기반 응용 소프트웨어를 구현하였다. 또한 IPv6의 보안을 위한 IPsec프로토콜도 상당부분 구현하였다. 일본에서는 상업적인 IPv6전용망을 운영하는 업체들이 일부 있는데 그 대표적인 회사가 NTT Communications이다[4]. NTT Communications는 1996년부터 IPv6에 대한 연구를 진행하여 왔으며 2001년 4월 27일에는 IPv6 게이트웨이 서비스를 시작하였고, 2001년 6월 11일엔 OCN IPv6 Tunneling 서비스를 시작하였다. NTT Communications는 일본에서 상업적인 IPv6전용망을 운영할 뿐 아니라 미국 유럽 등과도 지사를 두어 IPv6 시험 망을 연결하여 운용하고 있다. NTT Communications의 v6망 운용을 위한 외국지사는 다음과 같다: Verio in North America, NTT Europe in Europe, NTT MCL in North America, HKNet in Hong Kong, DAVNET in Austrailia. 또한 메일서버, NMS(Network Management System) 등의 IPv6용 소프트웨어도 개발하였다. (그림 2)는 NTT communications에서 운용하고 있는 망의 구조를 보여준다[4]. POWEREDCOM사[5]는 상용으로 IPv6 Tunneling 서비스와 IPv6/v4 hybrid 서비스를 제공하고 있다. Yokogawa Electric사[6]는 LCNA(Low Cost Network Appliance)를 위한 최소의 IPv6 IPsec 스펙을 개발하고 있다. LCNA는 sensor, AV equip., home appliance와 같은 장치를 말하는 것이며 이러한 장비에 IPv6 IPsec의 모든 기능을 탑재하기에는 무리가 따르기 때문에 최소한으로 필요한 IPv6 IPsec 스펙을 정의하고 있다. MGCS사[7]에서는 IPv6 멀티캐스트를 이용한 Movie Distribution System을 개발하여 서비스하고 있다. 2. 국내의 기술 동향 국내에서는 ETRI를 중심으로 IPv6도입을 위한 연구가 활발히 진행되고 있다[9]. 현재 ETRI는 6Bone 최상위 주소인 pTLA(pseudo Top Level Aggregation) 주소 3ffe:2e00:/24를 할당 받아 국내 6Bone-KR을 운영하고 있다. 또한 IPv4/IPv6 주소 및 프로토콜 전환기술, IPv4/IPv6 dual protocol stack 등의 개발을 완료하였다. 현재 NAT-PT, SIIT, DSTM 등 다양한 IPv4/ IPv6 전환기술을 제공하는 6TALK(TrAnsLator Krv6) 시스템과 IPv6 보안을 위한 IPsec 기술을 개발하고 있다. 아이엠넷피아[10]는 IPv6를 무선랜과 블루투스 플랫폼에 적용하기 위한 Mobile IPv6 기술을 개발하는 중이다. 아이투소프트[11]는 ETRI와 공동으로 IPv6망에서 IPv4 애플리케이션을 수행할 수 있도록 해주는 BIA(Bump-in-the-API)를 개발하였다. 이 기술을 기반으로 2002년 봄에 ‘Verto IPv6 transware’라는 상용화 제품을 출시하였다. 오피콤[12]은 ETRI와 공동으로 IPv4/IPv6 주소 변환기를 개발하였다. 서강대ㆍ포씨소프트ㆍ세종대 등도 IPv6 멀티캐스트를 이용한 실시간 가상학술회의 시스템을 개발하여 상용화를 추진하고 있으며, 위즈정보기술ㆍ선테크놀로지ㆍ한국외국어대 등도 오는 11월까지 차세대 인터넷 응용수준의 계측제어시스템 통합 인터페이스를 발표할 예정이다[13]. 에스넷시스템[14]은 올해 정보통신부 선도기반기술과제로 연구비를 지원 받아 IPv4/IPv6 상호연동을 위한 DSTM(Dual Stack Transition Mechanism)에서의 DHCPv6 서버 개발에 대한 연구를 수행할 예정이다. III. IPv6 Security 기술 동향 1. IPsec 기술 IPsec은 IP계층에서 기밀성과 인증 서비스를 제공하기 위하여 개발된 프로토콜이다. 현재 대다수의 IPsec구현은 IPv4에서 이루어지고 있으나 최근 IPv6도입의 필요성이 구체화되면서 IPv6에서의 IPsec구현에 대한 연구도 활성화 되고 있는 추세이다. IPsec에 의해 제공되는 보안 서비스로는 접근제어(access control), 기밀성(confidentiality), 비연결형 무결성(connectionless integrity), 재현공격방지(anti-replay service), 원적지 인증(data origin authentication) 그리고 제한된 트래픽 흐름 기밀성(limited flow confidentiality)이 있다. IPsec의 기본문서체계는 (그림 3)과 같다. IPsec 구조를 기능적 관점으로는 다음과 같이 구분할 수 있다. - 보안 프로토콜(AH,ESP) - Security Association(SA) - Key Exchange & Management(IKE) - Authentication/Encryption Algorithm IPv6 패킷에 AH와 ESP가 적용된 경우 패킷의 구조는 각각 (그림 4), (그림 5)와 같다. 2. 표준화 동향 IPv6 규격에 대한 표준화는 IETF[15] IPv6 워킹그룹에서 진행하고 있으며, IETF NGTrans (Next Generation Transition) WG에서는 IPv4/IPv6 전환기술과 6Bone(IPv6 Backbone)에 대한 표준화를 진행하고 있다. 또한 mobileip WG에서는 Mobile IPv6에 대한 표준화가 진행중이며, 현재는 draft문서만 올라와 있는 상태이다. Mobile IPv6의 표준화 작업에서도 현재 보안문제가 주요 이슈로 떠오르고 있다. IPv6 도입을 위한 국제협의회로는 전세계적으로 120여 개의 기관이 참여하고 있는 IPv6 포럼이 있다. IPv6 포럼[16]은 IPv6 Summit 등의 회의를 개최하여 각국의 IPv6 연구동향을 파악하며 정보를 교류하고 있다. 2002년도엔 1월(Bangalore, India), 3월(Madrid, Spain), 5월(Beijing, China), 6월(Washington, USA) 그리고 7월에 한국에서 IPv6 Summit이 개최되었다. IPsec에 대한 표준화는 IETF Security area의 IPsec 워킹그룹에서 제정하고 있으며 현재 18개의 RFC가 채택되어 있다. 현재 보안정책을 제외한 거의 대부분의 표준화가 완료된 상태이다. 3. IPv6 IPsec 연구동향 가. BSD 계열 BSD계열의 운영체제에 대한 IPv6 IPsec구현에 대한 연구를 가장 활발히 진행하고 있는 프로젝트는 일본의 KAME 프로젝트[3]이다. KAME 프로젝트는 IPv6, IPv4와 IPv6 용 IPsec 그리고 진보된 packet queueing, ATM, mobility등의 진보된 네트워킹 기술에 대한 Free 참조 구현을 제공하고자 하는 목적으로 1998년에 시작한 프로젝트이다. KAME프로젝트는 일본의 많은 기관이 함께 참여하고 있는 대규모의 프로젝트로서 Fujitsu, Hitachi, IIJ lab., NEC, Toshiba, Yokogawa Electric 등의 업체들이 참여하고 있다. 또한 WIDE, USAGI, TAHI 등의 프로젝트가 KAME와 함께 공동 프로젝트로 참여하고 있다. IPv6 보안과 관련하여서 TAHI프로젝트는 IPv6 제품에 대한 상호 운용성 시험을 위한 시험 규격 개발과 환경을 제공하는 부분을 담당하고 있다[25]. KAME 프로젝트에서 대상으로 하는 플랫폼은 BSD계열로, 현재 FreeBSD 4.6, NetBSD 1.5.2, OpenBSD 3.1, BSD/OS 4.3의 플랫폼에서 KAME 코드의 설치가 가능하다. 현재까지의 구현 상황은 다음과 같다. - IPv6, IPv4 IPsec 프로토콜, IPv6 IPsec 프로토콜: 구현 완료 - IKE: “racoon”이라는 IKE 데몬 구현 완료 - Cert 지원: 구현되었으나 일부 안정화 작업 필요하며 현재 진행중 - SMTP, POP, ftp, telnet, ssh, PPP, apache6, v4/6 name server, v4/v6 resolver: 구현 완료 및 정상 동작 - Multicast DNS resolver, Practical v6 net, v6 DHCP: 현재 테스트 작업 수행중 TAHI 프로젝트에서는 KAME에서 개발한 IPv6 IPsec에 대한 conformance test를 수행하였으며, 그 결과를 홈페이지에 제공하였다. [17]에서 구체적인 테스트 항목과 결과를 확인할 수 있다. 현재 진행중이거나 계획중인 연구로는 multi-homing renumbering, mobile IPv6, scoped routing, Multicast 등이 있다. IPsec 구현과 관련하여 서는 AES 지원, policy engine/API의 기능 확장 및 성능 향상, 하드웨어로 암호화, IKE를 간소화 하는 등의 작업이 진행중이거나 계획중에 있다. NRL(US Naval Research Laboratory)[18]에서도 Internet Security Technology 연구 프로젝트의 일환으로 IPv6 IPsec의 구현 작업을 하고 있다. 대상 플랫폼은 BSD계열로 BSD/OS4.0, FreeBSD3.0, NetBSD1.3, OpenBSD2.3 이다. NRL 프로젝트는 키교환을 위해 NRL key 엔진을 구현하였다. 나. 리눅스 계열 리눅스에 IPsec을 구현하는 대표적인 프로젝트는 독일의 FreeS/Wan[19]이다. FreeS/Wan 프로젝트의 시작은 리눅스에 IPv4 IPsec을 구현하기 위한 목적으로 시작되었다. IPv4에 대한 IPsec구현은 이미 완료되어 코드가 공개된 상태이며 현재는 IABG라는 프로젝트에서 FreeS/ Wan1.8에 IPv6의 구현하는 작업을 수행하고 있다. FreeS/Wan1.8은 리눅스 2.2.14에서 구현이 되고 있다. FreeS/Wan Kernel의 개략적인 구조는 (그림 6)과 같다. FreeS/Wan 1.8의 경우 커널에서 IPsec을 지원하기 위하여 최대 4개의 virtual device를 보유하는 KLIPS라는 모듈을 추가하였다. Virtual device는 IP layer에서 physical network 디바이스로 전달되는 패킷을 hooking 하기 위한 목적으로 사용된다. 키교환과 관련해서는 IKE 데몬인 Pluto를 확장하여서 ISAKMP SA와 IPSEC SA협상을 수행하도록 현재 구현중이다. 또한 키관리를 위한 소프트웨어 툴도 현재 구현중이다. 일본의 USAGI 프로젝트도 리눅스 계열에 IPv6 IPsec을 구현하는 작업을 진행하고 있다[20]. 현재 KAME와의 공동연구를 진행중이며, KAME의 연구결과를 linux2.2.x 와 linux2.4.x 운영체제에 제공하고자 하는 연구를 2000년부터 진행하고 있다. 현재까지 완성된 구현 물은 IPsec 프로토콜의 트랜스포트 모드만을 지원하고 있으며 나머지 부분에 대한 구현 작업이 계속 진행 중에 있다. USAGI의 홈 페이지[20]에서는 개발된 소스 코드를 공개하고 있으며 IPv6용 rpm 등의 자료들을 제공하고 있다. 다. 기타 Sun Microsystem은 Solaris 8 version에 IPv6를 구현 하였으며, IPv6 IPsec에 대한 구현도 계획중이다[21]. Mentat사[22]에서는 Mentat TCP4.0이라는 STREAM을 기반으로 하는 TCP/IP 프로토콜 suite을 개발하였다. Mentat TCP4.0은 IPv4와 IPv6의 이중스택을 제공하며 IPsec의 기본기능은 이미 구현이 완료되었다. IPsec은 hooking 방식으로 구현하였다. 키교환과 관련해서는 IKE는 구현되지 않았고, 현재는 PF_KEY 인터페이스를 통한 매뉴얼 키를 이용하고 있다. Mentat TCP4.0은 HP-UX, Apple Mac OS, Linux, Solaris, Windows NT 등에 포팅이 가능하다. 라. 라우터 6 Wind의 IP edge device6200 series와 Internet share의 AllAboard 등은 VPN을 지원하는 라우터 장비로서 IPv6 IPsec을 포함한다[23,24]. 상기 라우터는 2001년에 상용화 제품이 출시된 상태이다. 6Wind의 경우 유럽에서 실시한 IPv4/6 IKE interoperability 테스트를 통과하였다. 6Wind의 라우터의 기본 스펙은 <표 1>과 같다. <표 2>는 IPv6 IPsec 구현물들을 비교하였다. <표 2>에 나와있는 KAME, USAGI, FreeS/ Wan 그리고 NRL Project의 경우 프로토타입 코드를 계속 공개하고 있다. IV. 결 론 최근 IPv6 도입이 가속화되면서 각국에서 IPv6를 도입하고자 하는 연구가 다각적인 측면에서 진행중에 있다. IPsec 프로토콜은 차세대 인터넷에서 정보보호 서비스를 제공하기 위한 표준화된 프로토콜로 이미 자리잡고 있다. 현재 IPv4 환경에서는 다수의 VPN 장비에 IPsec이 탑재되어 있고, 많은 플랫폼에서 IPsec의 구현이 완료되고 있는 상황이다. IPv6의 경우에 현재 히타치, 주니퍼, 6Wind 등의 벤더들이 IPv6를 지원하는 라우터를 개발하였고, Solaris 8, Windows XP, 리눅스 등의 OS에 IPv6기능이 구현되면서, IPv6 보안을 위한 IPsec에 대한 개발작업도 점차 활성화 되는 추세이다. <참 고 문 헌> [1] 정보통신부, http://www.mic.go.kr [2] WIDE Project, http://wide.ad.jp [3] KAME, http://www.kame.net [4] NTT Communications, http://www.v6.ntt.net/globe/index_e.html [5] POWERCOM, Inc., http://poweredcom.net [6] Yokogawa Electric, http://www.yokogawa.co.jp/ [7] Matsushita Graphic Communication Sytstems, Inc., http://v6.mgcs.co.jp/ [8] IPv6 Global Summit in Japan 2001 Proceeding. [9] Protocol Engineering Center(PEC), ETRI, http://pec.etri.re.kr/ [10] 아이엠넷피아, http://www.imnetpia.com [11] 아이투소프트, http://www.i2soft.net [12] 오피콤, http://www.opicom.com [13] 디지털 타임즈, IPv6 응용솔루션 잇따라, http://www.dt.co.kr, 2002. 2. 10. [14] 에스넷시스템, http://snetsystems.co.kr [15] IETF Working Group, http://www.ietf.org [16] IPv6 포럼, http://www.ipv6forum.com [17] IPv6 Conformance Test for IPv6 IPsec, http://www.linux-ipv6.org/linux-test-en/freebsd34-stable-20000704/host/ipsec/index.html [18] NRL Project, http://web.mit.edu/network/isakmp/, http://www.nrl.navy.mil/, http://tonnant.itd.nrl. navy.mil/ipresearch/ipv6.html [19] FreeS/WAN, http://www.ipv6.iabg.de/, http://www.freeswan.org [20] USAGI Project, http://www.linux-ipv6.org/ [21] Solaris 8, http://www.sun.com/solaris/ipv6/ [22] Mentat TCP, http://www.mentat.com/tcp/tcp.html [23] IP edge device6200 series, http://www.6wind.com [24] AllAboard, http://www.internetshare.com [25] TAHI Project, http://www.wide.ad.jp/wg/ipv6/, http://www.tahi.org/ [26] KRv6프로젝트, http://www.krv6.net [27] 6Bone-KR, http://www.6bone.ne.kr [28] IPv6 포럼코리아, http://www.ipv6.or.kr

출처 : http://kidbs.itfind.or.kr/new-bin/WZIN/WebzineRead.cgi?recno=0901013327&mcode=jugidong