BGP 라우팅 보안, 첫 번째 AS 검증으로 강화하세요!

공격자는 사용되지 않는 AS 번호(Unused ASN)를 악용하여 실제 경로와 무관한 가짜 AS_PATH(Forged AS_PATH)를 생성합니다. 이는 마치 자신이 해당 네트워크의 출발점인 것처럼 위장하여 트래픽을 가로채거나 악의적인 목적으로 사용하려는 시도입니다. 특히, ASPA(Autonomous System Provider Authorization)와 같은 보안 메커니즘을 우회하기 위해 RPKI-ROV 유효한 AS만 포함하거나 합법적인 ASPA 업스트림 AS를 활용하는 방식으로 공격이 이루어질 수 있습니다. 이러한 공격은 첫 번째 AS 검증(First AS Verification)이 제대로 이루어지지 않을 때 성공 가능성이 높아집니다.

BGP 라우팅에서 첫 번째 AS 검증은 수신된 AS_PATH의 첫 번째 AS 번호가 실제 연결된 BGP 피어의 AS 번호와 일치하는지 확인하는 절차입니다. 이는 RFC 4271 및 RFC 7606에서 명시된 보안 권고 사항으로, AS_PATH 조작을 통한 트래픽 탈취 및 오리진 공격을 방지하는 핵심 메커니즘입니다. 일부 네트워크에서는 이 검증을 기본적으로 비활성화하여 보안 취약점(Security Vulnerability)에 노출되어 있으며, 이는 인터넷 전체의 라우팅 안정성에 영향을 미칩니다.

본문에서 실시한 측정 결과, 주요 Tier 1 네트워크 중 절반 가량이 첫 번째 AS 규칙 위반에 취약한 것으로 나타났습니다. 특히 Juniper Networks 장비에서 이러한 경향이 두드러졌습니다. Cisco, Arista, Huawei 등 일부 벤더는 기본적으로 첫 번째 AS 검증을 활성화하지만, Junos OS, Nokia SR OS, Extreme SLX-OS 등은 기본 설정이 비활성화되어 있어 추가적인 설정이 필요합니다. 인터넷 교환(IX) 라우트 서버와 같이 특수한 경우를 제외하고는 대부분의 EBGP 세션에서 첫 번째 AS 검증을 활성화하는 것이 권장됩니다.

ASPA는 AS 간의 신뢰 관계를 정의하여 라우팅 보안을 강화하지만, AS_PATH 정보가 심각하게 손상된 경우(예: 모든 중간 AS 제거)에는 유효성 검증에 한계가 있습니다. 이러한 상황에서 첫 번째 AS 검증은 공격자가 자신의 AS를 숨기고 마치 다른 AS인 것처럼 위장하는 포지드 오리진 공격(Forged Origin Attack)을 효과적으로 차단하는 보완적인 역할을 수행합니다. 따라서 ASPA와 첫 번째 AS 검증을 함께 적용하는 것이 종합적인 BGP 라우팅 보안(Comprehensive BGP Routing Security)을 구축하는 데 필수적입니다.

연구팀은 의도적으로 첫 번째 AS 규칙을 위반하는 BGP 광고를 설정하여 실제 인터넷 환경에서의 수용 여부를 측정했습니다. 그 결과, AS174(Cogent), AS1299(Arelion) 등 일부 Tier 1 네트워크는 이러한 비정상적인 경로를 거부했지만, AS701(Verizon), AS2914(NTT) 등 다수의 네트워크는 이를 수용하여 라우팅 경로의 신뢰성(Routing Path Integrity)에 대한 우려를 제기했습니다. 이는 네트워크 운영자(Network Operator)의 적극적인 보안 설정 적용이 시급함을 시사합니다.