인터넷주소 체계가 IPv4에서 IPv6로 전환되면서 보안이 새로운 화두로 떠오르고 있다. IPv4와 IPv6가 호환이 되지 않는 프로토콜이기 때문에 전환과정에서 기술적 보안 취약점이 생길 수 있다는 우려가 나왔기 때문이다.
지난해 인터넷주소를 관리하고 있는 NRO(Number Resource Organization)가 IPv4체계 기반 인터넷 주소 공간 고갈로 IPv6방식 주소를 할당하겠다고 밝히면서 네트워크 보안 이슈에 대한 논의가 시작됐다.
IPv6는 인터넷 네트워크 속도가 빠른 것은 물론 특정 패킷을 인식해 사용자별 맞춤형 서비스 제공이 가능하다. 개인정보 보호도 강화할 수 있게돼 보안성이 높아졌다는 평가를 받기도 했다.
■IPv6보안, 무엇이 문제 길래?
전문가들은 IPv6주소 체계에서 스팸문제를 가장 우려했다. IPv6로의 확장으로 스패머들의 활동영역이 더욱 넓어졌다는 것이다. 새롭게 기술적 이슈가 발생하는 것은 아니지만 이용가능한 주소가 많은 만큼 스팸이 사회적으로 더욱 골칫거리가 될 가능성이 높아졌다.
현재 스팸을 차단하기 위해 이용하고 있는 블랙리스트와 그레이리스트 기능을 IPv6에 그대로 적용하면 IPv4에 비해 스팸메일을 걸러내기가 쉽지 않은 것으로 알려졌다. 이 때문에 기존 평판기반 시스템이나 블랙리스트 기반 차단법에 대해 다시 생각해 볼 필요가 있다는 것이다.
IPv4에서 IPv6로 전환되면서 생겨나는 보안 취약점도 무시할 수 없는 부분이 됐다. 통신망상의 두 점 간의 통신이 되도록 해주는 터널링 기술에서 발생하는 보안 취약점이나 변환기술에서 발생하는 보안 취약점이 있을 수 있다.
한국인터넷진흥원(KISA) 조사 보고서에 따르면, 터널링에서 발생하는 보안 취약점은 주로 비인가된 터널링 생성으로 인해 발생하고 있는 것으로 나타났다. 또한 두 프로토콜 간 호환성 부족으로 인해 발생하는 보안 취약점도 등장했다.
■IPv6보안 위협, 방패막 어떻게 세워야 할까?
IPv6보안 위협에 대응하기 위해서는 크게 가입자망, 백본망, 서비스망에서의 보안 취약점을 분석해 보안을 강화해 나가야 한다. 위협이 발생할 수 있는 다양한 경로에서의 보안위협을 고려할 필요가 있다는 것이다.
먼저 가입자망에 따라서 ▲암호화 기법, 단말인증을 통한 와이파이에서의 위협 방지 ▲통신장비 접근제어, 암호화 기법, 송수신 단말 인증을 이용한 VoIP ▲단말과 스위치, 단말과 라우터간 인증, 접근제어, 암호화 등을 이용한 이더넷/가정 내 광케이블(FTTH)/초고속인터넷(VDSL) 기술에 보안성 향상이 필요하다.
백본망에서는 ▲IPv4에서 IPv6로의 변환기술인 네트워크주소변환(NAT)-PT에 단말 인증, 접근제어, 암호화 ▲침입차단시스템에서의 패킷차단 및 폐기 ▲패킷 필터링 시스템 이용이 가능하다.
서비스망에서는 서버상에서 발생할 수 있는 문제점에 대한 보안 대응책이 필요하다. 암호화 접근제어, 단말과 서버 간 인증, 가입자 식별 인증 등을 통해 보안위협 원천차단이 요구된다.
그러나 보안업계는 IPv6에서 보안이슈를 해결하기가 쉽지 않을 것으로 전망하고 있다. IP주소 변화가 이뤄지고 있는 추세지만 IPv6 체계에서 네트워크에 존재하는 보안정책을 적용할 수 없기 때문이다.
관련기사
- 티브로드, IPv6 전환 기술 적용 서비스2012.02.03
- 판도라TV, 에브리온TV에 IPv6 도입2012.02.03
- KISA, 중소기업에 IPv6 전환 종합지원 컨설팅2012.02.03
- 윈스테크넷, 자사 솔루션 3종 IPv6지원 TTA인증2012.02.03
이스라엘 컴터치 사의 아사프 그레인 부회장은 “IPv6 패킷구조에서 현재 어떻게 주소를 생성하는지 고려해 보안을 적용해 나가야 한다”면서 “IPv6를 다룰 수 있는 새 정책을 적용하기 위해 방화벽 테스트는 물론 방화벽에서 보안 프로토콜과 다른 네트워크 장치 변환에 대한 이해가 필요하다”고 말했다.
최원식 포티넷코리아 지사장은 “현재 네트워크에 연결된 모든 기기의 상태를 상세히 파악해야 한다”면서 “IPv6로드맵과 컴플라이언스 준수 계획부터 IPv4체계에서 탐지되는 위협이 어떻게 동일하게 이용되는지 보안 기술지원 제품에 대해서도 확인해야 한다”고 말했다.
