아카이브사이트맵
© 2026 Rayon. All rights reserved.
DevDay
아티클랭킹스페이스채용
클라우드플레어 favicon클라우드플레어

BGP 라우팅 보안, 첫 번째 AS 검증으로 강화하세요!

by DD
2026-06-03
1개월 전
조회수 12

BGP 라우팅 보안 위협으로 가짜 AS_PATH를 이용한 트래픽 탈취 시도 증가

첫 번째 AS 검증 부재로 인해 공격자가 자신의 AS를 숨기고 트래픽을 가로채는 문제 발생

ASPA(Autonomous System Provider Authorization)만으로는 해결 어려운 포지드 오리진 공격(Forged Origin Attack) 방어 필요성 대두

RFC 7606 기반의 첫 번째 AS 강제 적용으로 라우팅 보안 강화 가능성 제시

포지드 AS_PATH를 이용한 트래픽 탈취 메커니즘

공격자는 사용되지 않는 AS 번호(Unused ASN)를 악용하여 실제 경로와 무관한 가짜 AS_PATH(Forged AS_PATH)를 생성합니다. 이는 마치 자신이 해당 네트워크의 출발점인 것처럼 위장하여 트래픽을 가로채거나 악의적인 목적으로 사용하려는 시도입니다. 특히, ASPA(Autonomous System Provider Authorization)와 같은 보안 메커니즘을 우회하기 위해 RPKI-ROV 유효한 AS만 포함하거나 합법적인 ASPA 업스트림 AS를 활용하는 방식으로 공격이 이루어질 수 있습니다. 이러한 공격은 첫 번째 AS 검증(First AS Verification)이 제대로 이루어지지 않을 때 성공 가능성이 높아집니다.

첫 번째 AS 검증(First AS Enforcement)의 중요성

BGP 라우팅에서 첫 번째 AS 검증은 수신된 AS_PATH의 첫 번째 AS 번호가 실제 연결된 BGP 피어의 AS 번호와 일치하는지 확인하는 절차입니다. 이는 RFC 4271 및 RFC 7606에서 명시된 보안 권고 사항으로, AS_PATH 조작을 통한 트래픽 탈취 및 오리진 공격을 방지하는 핵심 메커니즘입니다. 일부 네트워크에서는 이 검증을 기본적으로 비활성화하여 보안 취약점(Security Vulnerability)에 노출되어 있으며, 이는 인터넷 전체의 라우팅 안정성에 영향을 미칩니다.

주요 네트워크 장비 벤더의 BGP 구현 현황

본문에서 실시한 측정 결과, 주요 Tier 1 네트워크 중 절반 가량이 첫 번째 AS 규칙 위반에 취약한 것으로 나타났습니다. 특히 Juniper Networks 장비에서 이러한 경향이 두드러졌습니다. Cisco, Arista, Huawei 등 일부 벤더는 기본적으로 첫 번째 AS 검증을 활성화하지만, Junos OS, Nokia SR OS, Extreme SLX-OS 등은 기본 설정이 비활성화되어 있어 추가적인 설정이 필요합니다. 인터넷 교환(IX) 라우트 서버와 같이 특수한 경우를 제외하고는 대부분의 EBGP 세션에서 첫 번째 AS 검증을 활성화하는 것이 권장됩니다.

ASPA와 첫 번째 AS 검증의 상호 보완

ASPA는 AS 간의 신뢰 관계를 정의하여 라우팅 보안을 강화하지만, AS_PATH 정보가 심각하게 손상된 경우(예: 모든 중간 AS 제거)에는 유효성 검증에 한계가 있습니다. 이러한 상황에서 첫 번째 AS 검증은 공격자가 자신의 AS를 숨기고 마치 다른 AS인 것처럼 위장하는 포지드 오리진 공격(Forged Origin Attack)을 효과적으로 차단하는 보완적인 역할을 수행합니다. 따라서 ASPA와 첫 번째 AS 검증을 함께 적용하는 것이 종합적인 BGP 라우팅 보안(Comprehensive BGP Routing Security)을 구축하는 데 필수적입니다.

첫 번째 AS 규칙 위반 측정 및 결과 분석

연구팀은 의도적으로 첫 번째 AS 규칙을 위반하는 BGP 광고를 설정하여 실제 인터넷 환경에서의 수용 여부를 측정했습니다. 그 결과, AS174(Cogent), AS1299(Arelion) 등 일부 Tier 1 네트워크는 이러한 비정상적인 경로를 거부했지만, AS701(Verizon), AS2914(NTT) 등 다수의 네트워크는 이를 수용하여 라우팅 경로의 신뢰성(Routing Path Integrity)에 대한 우려를 제기했습니다. 이는 네트워크 운영자(Network Operator)의 적극적인 보안 설정 적용이 시급함을 시사합니다.

Enforcing the First AS in BGP AS_PATHs
고급
Security
BGP
AS_PATH
RPKI
ASPA
Backend
Security
원문 읽기
원문 읽기

댓글 0

첫 번째 댓글을 남겨보세요!

관련 추천 글

ASPA로 인터넷 라우팅 보안 강화: 경로 누출을 막아라!

클라우드플레어 로고

베네수엘라 BGP 이상 현상, 라우팅 정책 오류가 원인?

클라우드플레어 로고

클라우드플레어(Cloudflare), 500Tbps 네트워크 돌파! DDoS 방어, 엣지 컴퓨팅까지

클라우드플레어 로고

AI 에이전트, DN42 스캔 시도하다 운영자에 6천 달러 AWS 폭탄 투하

랍스타즈 로고

자체 IPv4 블록으로 이메일 서버를 직접 운영한다는 것

랍스타즈 로고

Cloudflare, BYOIP API 출시! IP 주소 관리를 자동화하다

클라우드플레어 로고
클라우드플레어 favicon클라우드플레어
고급
Security
BGP
AS_PATH
RPKI
ASPA
Backend
Security

관련 추천 글

ASPA로 인터넷 라우팅 보안 강화: 경로 누출을 막아라!

클라우드플레어 로고

베네수엘라 BGP 이상 현상, 라우팅 정책 오류가 원인?

클라우드플레어 로고

클라우드플레어(Cloudflare), 500Tbps 네트워크 돌파! DDoS 방어, 엣지 컴퓨팅까지

클라우드플레어 로고