IPv6 시대, 보안은 준비됐나

인터넷 주소 체계가 IPv4에서 IPv6 기반으로 전환됐다.

인터넷주소를 관리하고 있는 NRO(Number Resource Organization)가 최근 IPv4 체계 기반 인터넷 주소 공간이 고갈됐다고 밝힘에 따라 앞으로는 IPv6 방식의 주소가 할당된다.

차세대 인터넷 프로토콜인 IPv6는 인터넷에 접속 가능한 기기가 빠르게 증가하면서 기존 IPv4 기반 주소 체계로는 한계가 있다는 상황과 함께 등장했다. 128비트 주소체계를 지원해 사용 가능한 주소 숫자가 거의 3.4X10의 38제곱개에 달한다.

인터넷 네트워크 속도도 빠르고, 특정 패킷도 인식할 수 있어 사용자별로 높은 수준의 맞춤형 서비스 제공도 가능해진다. 개인정보 보호도 강화할 수 있게 됐다. 그러나 보안 측면에서 보면 IPv6 시대에는 준비할게 적지 않다. IPv6 환경에서도 네트워크 보안 이슈는 터질 수 밖에 없기 때문이다.전문가들은 IPv6 네트워크 주소변화로 기업과 기관들이 이를 안전한 환경에서 사용할 수 있도록 준비단계

에 들어갈 것으로 전망했다. 내부 IT 환경을 본격적으로 점검하려는 움직임이 있을 것이란 얘기다.

블루코트 시스템스의 칭리 수석 연구원은 스패머들의 움직임에 대해 우려했다. 그는 스패머들은 IPv6를 통해 활동 공간을 보다 넓힐 수 있을 것이다면서 IPv6로 이동하면서 새로운 스팸문제가 발생하는 것은 아니지만 이용가능한 주소가 많기 때문에 문제가 될 수 있다고 지적했다.

지난해 3월 유럽의 인터넷 관련 비영리기관인 리페 네트워크 코디네이션 센터(RIPE NCC)랩이 진행한 연구결과에 따르면, 유럽 지역인터넷 레지스트리(RIR) IPv6 네트워크에서 전체 이메일에서 스팸메일이 차지하는 비중은 3.5%였다. 같은 기간 기존 IPv4에서 차지한 비중이 31%였던 것과 비교하면 적은 양이다. 그러나 이것은 스패머들이 이미 조직적으로 IPv6체계로 이동을 시작했다는 것을 의미한다고 전문가들은 지적한다.

칭리 수석 연구원은 현재 IPv6체계에서 전체 스팸양이 1.89% 수준이라고 밝혔다. 하지만 RIPE연구에 따르면 방화벽이 블랙리스트 도메인네임서버(DNS)호스트와 그레이리스트 기반 설정 방법을 차단하기 때문에 모든 스팸을 포함하는 것은 아니다. 정확한 추정은 아닌 셈이다. 그레이리스트는 스팸을 차단할 수 있는 방어 방법의 한 종류다.

블랙리스트와 그레이리스트를 IPv6에 그대로 적용하면 IPv4에 비해 상대적으로 스팸메일을 걸러내기 어렵다는 지적도 있다. 이에 대해 칭리 수석연구원은 평판기반 시스템과 블랙리스트 기반 차단 방법은 다시 생각해 볼 필요가 있다고 설명했다.

그는 보안정책이 미흡하다는 점도 지적했다. IP주소 변화가 역동적으로 이뤄지고 있기 때문에 IPv6네트워크에 현존하는 보안정책을 적용할 수 없다는 것이다. IT전문가들은 기업들이 새로운 IPv6 패킷구조에 맞춘 보안정책들과 어떻게 주소를 생성해야 하는지 생각해볼 필요가 있다고 주문하고 있다.

이스라엘 컴터치 아사프 그레이너 부회장은 조직들은 IPv6를 다룰 수 있는 새로운 정책을 확실시하기 위해 방화벽을 테스트할 필요가 있다며 인터넷 서비스 제공자들도 IPv4와 동일하게 더 많은 주소를 가지고 있는 IPv6을 취급할 수 없을 것이라고 말했다. 방화벽에서 보안 프로토콜과 다른 네트워크 장치 변환에 대한 이해가 필요하다는게 그의 설명이다.

사용자들은 IPv4와 IPv6 모두 보안변화를 위한 조치를 취할 것이라고 그레이더 부회장은 예측했다. 네트워크 정책 담당자들도 공격자들이 IPv6환경에 존재하는 결함을 통해 활동할 수 있기 때문에 네트워크 보호를 위해 방화벽 규정과 보안정책을 만들어나가야 한다고 강조했다.

국내 전문가들도 IPv6 사용 확산에 발맞춰, 대비책을 준비할 필요가 있다는 입장이다.