[월드브리프]IPv6, 기업 보안 책임자는 괴롭다

설 연휴 동안 IPv4 주소가 완전히 고갈되었다고 하죠. 이에 따라 전세계 인터넷 주소는 IPv6139 체계로 전면 전환됩니다.

우리나라에서도 올해 ‘IPv6 전환 실행단계’로 본격 돌입한다고 발표했는데요, 새 주소체계에 따라 기업의 보안 관리자도 새로운 보안 정책을 시급히 마련해야 합니다. IPv4 시대의 보안 정책으로는 구멍이 뚫릴 수 있다는군요.

◇스패머들도 IPv6로 전환 서두르고 있어=128비트의 주소공간을 제공하는 IPv6는 방대한 인터넷 주소를 지원합니다. 각각의 장치(디바이스)에도 주소를 할당해 스마트 가전이나 멀티미디어 기기, 홈 보안장치 등 지능화된 스마트 기기들 간 상호 통신을 하도록 할 수 있죠. 또 네트워크의 물리적 위치에 제한받지 않고 같은 주소를 유지하면서도 자유롭게 이동할 수 있고요.

IPv6는 많은 장점을 제공하지만 기존 보안 정책을 IPv6에서 그대로 사용할 경우 위험해질 수 있습니다. IPv6의 방대한 주소 자원은 스팸메일 발송자에게도 똑같은 기회를 주기 때문입니다.

eWEEK는 블루코트의 최고과학자인 큉 리, 컴투치의 아사프 그레이너 부사장 등 업계 전문가들의 인터뷰를 통해, 기업들에게 IPv6로 전환하기 전에 보안 정책과 인프라를 검토하고 전환 준비가 되었는지 확인하라고 조언하고 있습니다.

이들 전문가는 IPv6 환경에서는 스팸메일 문제가 더욱 심각해질 것이라고 전망하는데요, 스패머들 역시 발빠르게 IPv6로 전환하고 있다고 합니다.

지난해 3월 유럽지역 인터넷등록기관(RIR)의 보안연구소인 리페에 따르면 일주일의 조사 기간 동안 IPv6 네트워크를 통해 수신된 이메일 중 3.5%가 스팸이었습니다. 같은 기간 IPv4에서는 31%가 스팸메일이었고요.

숫자는 아직 미미할지 몰라도 스패머들이 이미 IPv6로 전환하고 있음을 알려주는 조사였습니다. 또 이 연구 결과는 방화벽(파이어월)에 의해 차단된 블랙리스트의 DNS호스트 등을 포함하지 않았기 때문에 IPv6를 이용하는 전체 스팸메일은 파악되지 않고 있고요.

◇동적으로 주소 할당하는 IPv6=블랙리스트와 그레이리스트, 평판 기반 시스템과 같은 보안 기법도 IPv6에서는 달리 생각해야 합니다. 평판 기반 시스템과 블랙리스트는 IPv6에서 스팸메일/메시지를 걸러낼 수 있는 방법이지만 IPv6에서 디바이스들은 24~48시간마다 주소를 새롭게 받게 됩니다.



* IPv6의 특징

IPv6 주소는 △개별 네트워크에 의해 할당되는 프리픽스(고정 값을 가진 비트를 표시하는 주소의 일부분이거나 네트워크 IP의 비트 수) △각각의 장치들에 의해 자동으로 생성되는 액세스 할당의 두 부분으로 구성됩니다.

그 결과, 디바이스는 자신의 IPv6 주소를 갖게 되며 이 주소는 정해진 시간마다 새롭게 자동으로 생성됩니다. 따라서 특정 숫자조합에 대입하는 방법만으로는 스팸메시지들을 완벽히 막기는 어려워집니다.

IP주소가 자동으로 바뀐다는 것은 IT관리자들이 기존 보안 정책을 IPv6 네트워크에 단지 대입시켜서는 안 된다는 뜻입니다. 평판 메커니즘은 평판보다 이메일 콘텐츠 스캐닝 방법론에 보다 의지할 필요가 있고요.

또 IPv6는 모바일 기기에 대해서는 네트워크와의 기존 접속이 끊어지는 일 없이 위치 변경에 따라 어드레스를 동적으로 변경할 수 있도록 해줍니다. 이런 특성들도 방화벽 규칙과 네트워크 정책을 개발할 때 고려되어야 합니다.

◇확장 헤더도 보안 구멍이 될 수 있어=보안 관리자는 IPv6가 갖는 확장 헤더의 속성도 이해해야 합니다.

IPv6 헤더는 패킷 처리에 대한 부하를 최소화하기 위해 IPv4의 헤더에 비해 명확하고 단순하게 구성되어 있습니다. IPv4에서 별로 사용되지 않았던 일부 헤더 필드를 삭제하고 확장 헤더를 도입하여 선택적으로 사용할 수 있게 했는데요, 이에 따라 패킷을 중계하는 라우터725들에서는 부하를 줄일 수 있습니다.

전체 구조를 단순화하기 때문에 성능은 향상되지만 방화벽과 네트워크 장비들의 보안 프로토콜은 IPv6 확장 헤더의 변화(다양성)을 이해해야겠죠. 또한 보안 위협자(공격자) 역시 이 헤더들을 조정해 기업 네트워크에 침입할 수 있다는 사실을 명심해야 하고요.

IPv4/IPv6 듀얼스택 역시 고려해야 할 요소입니다. IPv6/IPv4 듀얼스택은 IPv6 노드가 IPv4 전용 노드와 호환성을 유지하는 가장 쉬운 방법인데요, IPv6/IPv4 듀얼스택 노드는 IPv4와 IPv6 패킷을 모두 주고 받을 수 있습니다.

많은 통신 사업자들이 이를 이용하고 있는데요, 네트워크 관리자는 두 종류의 네트워크를 보호할 수 있는 보안 정책과 방화벽 규칙을 생성해야 한다는 뜻입니다.

박현선기자 hspark@etnews.co.kr

관련 정보: IPv6 사내도입, 어떻게 할 것인가(http://conference.etnews.com/ipv6 )