• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

IPv6, 보안 담당자에게는 ‘약’이 아닌 ‘독’이 될 수도 2011.02.21

전환 작업 본격화...기업 내 새로운 보안 정책 마련 시급


[보안뉴스 호애진] 인터넷 자원을 관할하는 NRO(Number Resource Organization)가 4일 최상위의 IPv4 주소 잔여 공간이 완전히 고갈됐다고 발표함에 따라 차세대 IP 주소인 IPv6로의 전환 작업이 급물살을 타고 있다.

 

이에 따라 기업 내 보안 관리자 및 담당자들은 IPv6에 대한 이해를 높이고 이에 맞는 새로운 보안 정책을 마련해야 한다는 목소리가 높다.


현재 스마트폰의 빠른 확산, 지능형 전력망(Smart Grid) 표준화를 통한 활발한 사업전개 등으로 국내 IP 주소 수요가 급격히 증가하고 있는 가운데 IPv6로의 전환은 이와 같이 늘어나는 수요를 충당하기에 충분하다. IPv4 주소는 43억개로 한정적이지만 IPv6 주소는 거의 무한대이기 때문이다.


IPv6는 IPv4에 비해 많은 강점을 지니고 있다. 예를 들어 IPv6 호스트는 IPv6 네트워크에 접속하는 순간 자동으로 네트워크 주소를 부여받는다. IPv4는 네트워크 관리자로부터 IP 주소를 부여받아 수동으로 설정해야 했다.


특히 기존 IPv4에서 패킷크기는 64KB로 제한돼 있었지만 IPv6의 옵션을 사용하면 특정 호스트 사이에는 임의로 큰 크기의 패킷을 주고 받을 수 있도록 제한이 없어지게 된다. 따라서 대역폭이 넓은 네트워크를 더 효율적으로 사용할 수 있다.


아울러 IPv6는 IP 패킷을 신속히 처리할 수 있도록 고정크기의 단순한 헤더를 사용하는 동시에 확장헤더를 통해 네트워크 기능이나 옵션 기능을 쉽게 확장할 수 있다.


이 외에도 플로 라벨(Flow Label) 개념을 도입해 특정 트래픽은 별도의 특별한 처리를 통해 높은 품질의 서비스를 제공할 수 있도록 하는 등 IPv6는 IPv4에 비해 현저히 높은 기능성을 앞세우며 주목을 받고 있다.


무엇이 문제인가?

IPv6는 두 가지 자동설정 기법을 지원한다. 하나는 DHCPv6를 의미하는 Stateful Autoconfiguration으로 현재 DHCP 프로토콜을 업그레이드 시킨 것이다. 또 한가지는 Stateless Autoconfiguration으로 시스템에서 고유 IP 주소를 생성해 주소 중복 여부를 확인한다.


Stateless Autoconfiguration은 시스템 관리 측면에서 더 편할 수는 있지만 네트워크 자원 사용을 감시 및 추적해야 하는 보안 담당자로서는 어려움이 있을 수밖에 없다.


또한 터널링 프로토콜은 새로운 위험을 낳는다. 네트워킹 및 보안 업계에서는 IPv6가 보안성을 지닌 프로토콜이라는 점을 입증하려고 많은 시간과 노력을 투자해왔다. 하지만 이 프로토콜 이전 과정에 내재된 가장 큰 위험 중 하나는 터널링 프로토콜을 써서 IPv6 이전을 지원한다는 점이다.


이 프로토콜은 IPv6 비호환 장치들 사이에 트래픽을 중개할 목적으로 IPv4 데이터 스트림 안에 IPv6 트래픽을 앤캡슐레이션(Encapsulation) 처리하도록 허용하고 있다. 따라서 보안 담당자는 공식적으로 양산 과정에 IPv6를 지원할 채비를 갖추기 전에 네트워크 사용자가 이 터널링 프로토콜을 이용해 IPv6 프로토콜을 가동시킬 수 있다. 문제가 된다면 네트워크 경계에 위치한 보안장비에서 IPv6 터널링 프로토콜(SIT, ISATAP, 6to4 등)을 차단해야 한다.


이에 앞서 보안 담당자는 우선적으로 보안 툴을 업그레이드할 필요가 있다. IPv6는 역방향(구형 프로토콜 지원) 호환성을 지니고 있지 않다. 네트워크 트래픽을 라우팅하고 보안을 분석할 때 쓰는 하드웨어와 소프트웨어는 IPv6 프로토콜을 지원하는 버전으로 업그레이드하지 않는 한 IPv6 트래픽을 처리하지 못한다.


네트워크 경계에 위치한 장비의 경우 특히 이 점을 주의해야 한다. IPv6와 ‘의사소통┖을 하려면 라우터, 방화벽, 침입탐지 시스템은 소프트웨어 또는 하드웨어를 업그레이드 해야 한다.


기존 장비도 추가 구성을 해야 할 필요가 있다. IPv6를 지원하지 않는 장치는 대개 이 프로토콜을 전혀 별개의 프로토콜로 취급한다. 따라서 접근 제어 목록, 규칙 베이스 그리고 기타 구성 매개변수는 재평가를 거쳐 IPv6 환경을 지원하도록 바꿔야 한다.


임준형 한국인터넷진흥원 책임연구원은 “IPv4가 현재 소진된 만큼 IPv6의 확산에 따라 향후 등장할 보안문제에 대해서도 지속적인 관심이 필요하다”며 “특히 인터넷 환경이 장기간 IPv4와 IPv6가 공존할 것으로 예상되는 만큼 기업의 보안관리자 및 담당자들은 이에 대해 충분히 인지하고 대비를 해둬야 한다”고 말했다. 

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>