인터넷의 한계

 

1970년대부터 개발된 인터넷은 다양한 온라인 서비스의 기반 기술로 폭넓게 활용되면서 기술적 측면과 아울러 산업적 측면에서도 그 중요성이 지속해서 증가해 왔다. TCP/IP 기술연구와 함께 초기 인터넷 기술의 주요 목표는 원거리에 있는 기기 사이에 안전한 네트워크 채널을 생성하고 관리하는 것이었다. 그러나 유/무선을 이용하는 다양한 기기의 급속한 보급과 콘텐츠 서비스의 폭발적인 증가와 같은 현상을 초기 인터넷 개발자들은 고려하지 못했다. 이와 같은 인터넷 사용 증가는 네트워크 병목과 기기의 빈번한 이동으로 인한 서비스 지연을 일으키고 있으며, 이를 해결하기 위하여 물리적으로 네트워크 설비를 확충하려는 노력이 계속되고 있지만, 비용 문제와 함께 이와 같은 설비 확충이 늘어나는 네트워크 수요 요구를 충족시키기 힘들 것이라는 것이 일반적인 예상이다.^{(1) (2)}또한, 취약한 보안 구조로 인하여 서비스 거부 공격과 같은 다양한 해킹 공격의 대상이 되고 있다.

 

네트워킹 패러다임의 변화

 

인터넷을 활용하는 기기와 콘텐츠의 폭발적인 증가 추세는 앞으로도 지속할 것으로 예상하며, 이로 인한 문제들을 근본적으로 해결하려는 움직임이 2010년 이후로 계속되고 있다. 이와 같은 해결 방안으로 제안된 기술 중 하나가 정보중심 네트워킹 아키텍처(Information Centric Networking Architecture, ICN) 기술이다.

주요 ICN 기술은 사용자가 요구하는 콘텐츠를 빠르고 효율적으로 사용자에게 제공하는 것을 목표로 한다. 앞서 언급한 것처럼 기존 인터넷 기술의 주요 목적이 기기 사이의 안전한 네트워크 채널을 구축하는 것이었다면, 주요 ICN 기술은 기기가 아닌 사용자가 요청한 콘텐츠와 사용자를 연결하는 것을 주목적으로 한다. 그러므로 기존 인터넷 기술이 기기의 식별자와 위치에 기반을 둔 네트워킹 기술이라고 한다면, 주요 ICN 기술은 콘텐츠의 식별자와 위치에 기반을 둔 네트워킹 기술이라 할 수 있다.

 

이러한 목적을 실제 구현하기 위하여 주요 ICN 기술들은 콘텐츠의 생성자(Original Creator/Publisher/Provider)가 제공하는 콘텐츠 외에 네트워크에 산재되어 있는 콘텐츠의 복사본(Cache)을 활용하는 방안을 모색한다. 콘텐츠 캐시는 다른 사용자의 요청 때문에 이전에 배포된 콘텐츠일 수도 있고, 네트워크 사업자 또는 콘텐츠 서비스 사업자가 운영하는 콘텐츠 서버에 저장된 콘텐츠일 수도 있다. 콘텐츠 캐시를 활용한 네트워킹 기술은 기존 P2P 네트워킹 기술이나 CDN 기술에서도 이미 활용되고 있는 방법이다. 그러나 ICN 기술은 콘텐츠 캐시 활용 기술을 일반적인 네트워크 플랫폼을 통하여 제공 한다는 점에서 기존 P2P/CDN과 차별화된다고 할 수 있다. 표1은 주요 ICN 기술들의 특징을 요약하여 설명 한다.⁽³⁾

ICN 기술 특성

	DONA	CCN/NDN	PSIRP	NetInf
Namespace	Flat	Hierarchical	Flat	Flat
Integrity	Signature	Signature	Signature	Signature
Routing Content Request	Name-based	Name-based	Name Resolution System	Name Resolution System
Routing Content	Reverse request path	Reverse request path	Source routing using Bloom filter	Reverse request path

 

콘텐츠 중심 네트워킹

 

ICN 기술들은 콘텐츠 캐시를 활용하는 방법에 따라 크게 두 가지 종류로 구분해서 생각할 수 있다. 첫 번째 종류는 콘텐츠 서버를 운영하고, 사용자가 콘텐츠를 요청하는 메시지를 생성하면, 해당 사용자에게 가장 빠르고 효율적으로 콘텐츠를 제공할 수 있는 콘텐츠 서버를 식별하여 사용자에게 이를 알려줌으로써 사용자가 콘텐츠 서버로부터 콘텐츠를 수신할 수 있도록 하는 기술이다. 이와 같은 ICN 기술은 Name Resolution System (NRS) 운영이 필요하다. 두 번째 종류는 네트워크 노드들에 콘텐츠를 임시 저장할 수 있는 기능을 구현한 후, 콘텐츠가 사용자에게 전송될 때 콘텐츠 전송에 이용된 네트워크 노드가 해당 콘텐츠를 임시 저장한 후, 이처럼 저장된 콘텐츠 캐시를 다른 사용자가 요청할 때, 네트워크 노드가 콘텐츠 캐시를 이용하여 직접 응답하는 기술이다. 후자와 같은 ICN 기술을 콘텐츠 중심 네트워킹 (Content-centric Networking, CCN) 또는 콘텐츠 이름에 기반을 둔 네트워킹 (Named Data Networking, NDN)이라 한다. ⁽⁴⁾그림1은 CCN/NDN의 운영 절차를 설명한다.

 

CCN/NDN 운영 절차

CCN/NDN은 사용자가 생성한 콘텐츠 요청 메시지와 응답 메시지를 각각 Interest와 Data라고 표기한다. 사용자 A가 생성한 Interest가 네트워크 a, b, c를 통해서 콘텐츠 원제작자에게 전송되면, Interest가 전송된 네트워크 경로의 역순으로 Data가 전송된다. 이 때, 네트워크 노드 c, b, a는 차례로 Data를 임시 저장한다. 이후, 사용자 B가 같은 콘텐츠를 요청하기 위해 Interest를 생성/전송하면, Interest가 전송되는 경로 상의 네트워크 노드 b가 캐시를 활용하여 사용자 B에게 직접 응답할 수 있다. 이와 같은 네트워크 캐시를 활용하여 Interest/Data를 효과적으로 처리하기 위하여 CCN/NDN은 기존 인터넷에서 사용하는 IP 주소와 같은 호스트 식별 정보 대신에, 계층적으로 구성된 콘텐츠 이름을 패킷 주소로 활용하고 이를 기반으로 Interest를 라우팅 한다.

 

보안 패러다임의 변화

 

호스트 중심의 전통적인 인터넷은 호스트 식별/인증과 호스트 간 통신채널 보안을 근간으로 보안 프레임을 구축하고 있다. 호스트 중심의 보안 프레임은 특정 호스트와의 네트워크 채널 생성 및 관리가 주요 목적인 전통적인 인터넷에 매우 적합한 방법이었다. 그러나 주요 ICN 기술들은 사용자에게 콘텐츠를 제공할 수 있는 호스트가 네트워크에 다수가 존재하고, 가변적일 수 있으므로 기존의 호스트 중심의 보안 체계를 그대로 적용할 수 없다. 특히 CCN/NDN의 경우, 콘텐츠를 제공하는 네트워크 노드를 사용자가 식별할 수 없으므로, 사용자와 콘텐츠 제공자 사이에 기존의 식별/인증/접근통제와 같은 보안 기술을 적용하는 것이 매우 어렵다.

 

그러므로 ICN 기술에 맞는 새로운 보안 체계를 구성하는 것이 매우 중요하다. 표 2는 ICN 기술에 적용 가능한 다양한 공격들을 요약하고 있다.⁽⁵⁾

 

ICN ATTACKS VS. SECURITY REQUIREMENTS (H: HIGH; M: MEDIUM; L: LOW; BLANK: NO IMPACT)

Attack	Confidentiality	Integrity	Availability	Privacy
Watchlist	L		L	H
Sniffing	L		L	H
Source			L
Flooding			M
Timing			M
Jamming			L
Hijacking	L		L
Interception	L			M
Time Analysis				M
Packet Mistreatment		H	M
Breaching signer’s Key	H	H		H
Unauthorized Access	M	M

 

이와 같은 공격들은 콘텐츠 식별자 및 캐시 이용과 같은 ICN이 가진 몇 가지 주요 특징에 기인한 것들이다. 그러므로 이러한 특징들을 더 안전하고 효율적으로 구현하기 위하여 다음과 같은 요구사항들에 대한 필수적인 고려가 필요하다.

 

• 콘텐츠 식별 정보 인증 기술: 콘텐츠 캐시를 효율적으로 이용하기 위하여 주요 ICN 기술들은 콘텐츠 식별 정보를 패킷 헤더에 삽입하여 패킷 라우팅에 활용한다. 콘텐츠 식별 정보를 위/변조할 경우 악성 콘텐츠를 유포하는 방법으로 악용될 수 있다. 그러므로 콘텐츠 식별 정보와 콘텐츠를 페어링 하는 기술이 고려되어야 한다.

 

• 콘텐츠 인증 기술: 사용자에게 콘텐츠를 제공하는 호스트/노드가 네트워크에 다수가 존재하며, 사용자는 실제 자신에게 콘텐츠를 제공한 호스트/노드를 식별할 수 없는 경우도 많으므로 이와 같은 특징을 악용하여 콘텐츠를 위/변조하려는 다양한 공격이 가능하다. 그러므로 사용자가 콘텐츠를 수신한 후, 해당 콘텐츠의 위/변조 여부를 포함한 무결성 확인이 가능해야 한다. 일부 ICN 기술은 전자서명 기술을 활용하여 콘텐츠 생성자가 해당 콘텐츠에 자신의 전자 서명을 첨부하는 것을 추천하고 있다. 그러나 ICN 기술이 서비스/애플리케이션 계층의 기술이 아닌 네트워크 계층의 일반화된 플랫폼을 제공하는 기술임을 고려할 때 전자서명 기반의 콘텐츠 인증을 적용하기 위해서는 글로벌한 PKI 시스템 구축과 같은 추가적인 문제를 양산할 수 있다.

 

• 안전한 패킷 라우팅 기술: 콘텐츠 식별자 정보를 기반으로 패킷을 라우팅하기 위하여 ICN 기술은 NRS 시스템 운영이 필요하거나 네트워크 노드의 FIB 테이블 운영이 필요하다. 그러나 네트워크를 통해 배포되는 콘텐츠의 양을 고려할 때, 기존 호스트의 IP 주소를 기반으로 운영하는 DNS나 FIB 테이블과 비교하면 이와 같은 시스템은 매우 많은 양의 정보를 관리해야 한다. 이 경우, 서비스 지연의 주요 요인이 될 수 있으며, 기존 인터넷에서와같이 서비스 거부 공격의 주요 공격 목표가 될 수도 있다. 또한, CCN/NDN의 경우, Data 전송을 위해 각각의 네트워크 노드가 관리하고 참조하는 PIT 정보를 대상으로 플러딩 공격이 가능하며, 이 경우 Data는 사용자에게 전송되지 않고 폐기된다. 그러므로 공격에 사용되는 Interest를 식별하고 처리하기 위한 Interest 인증과 같은 별도의 패킷 인증 기술도 고려되어야 한다.

 

• 캐시 관리 정책: 네트워크를 통해 배포되는 콘텐츠의 양은 앞으로도 지속해서 증가할 것이다. 그러므로 콘텐츠 캐시를 관리하는 시스템과 네트워크 노드의 저장 공간에 대한 플러딩 공격이 가능하다. 또한 캐시의 저장 위치는 네트워크 성능에 직접적인 영향을 줄 수 있으므로 효율적으로 캐시를 관리하는 기술이 고려되어야 한다.

 

• 프라이버시: 일부 ICN 기술은 가독성이 있는 콘텐츠 식별 정보를 사용한다. 이 경우, 콘텐츠 생성자의 정보가 그대로 유출될 수 있으며, 사용자 주변 네트워크를 모니터링 함으로써 사용자의 콘텐츠 이용에 대한 정보도 수집/분석할 수 있다. 그러므로 콘텐츠 식별자에 대한 블라인딩 기술이 요구된다. 또한 콘텐츠 캐시를 이용하기 때문에 콘텐츠 생성자가 콘텐츠 배포를 제어할 수 없다. 이 경우, 생성자가 실수로 배포한 콘텐츠를 회수하거나 삭제할 수 없으므로 심각한 프라이버시 침해의 요인이 될 수 있다. 그러므로 콘텐츠 캐시에 대한 추가적인 접근통제 기술이 고려되어야 한다.

 

현재 미래 인터넷 기술은 안전성과 효율성 함께 고려하여 연구가 진행되고 있다. 미래 인터넷 기술이 실제 적용되기 위해서는 기존 인터넷을 기반으로 구축된 시스템과 서비스를 전반적으로 교체해야하기 때문에 가까운 시일 내에 적용될 수는 없을 것으로 예상하나, 대형 네트워크 장비 업체에서도 이미 캐시 관리 기능을 네트워크 장비에 구현하는 것을 고려하고 있으며, MEC 기술에서도 캐시를 활용하는 방안이 계속 논의되고 있으므로 점진적으로 네트워크 패러다임은 ICN이 추구하는 방향으로 변해갈 것이다. 그러나 이와 같은 연구 개발이 유럽과 미국을 중심으로 진행되고 있어 한국을 포함한 아시아 국가들의 연구는 매우 미진한 상태라 할 수 있다. 그러므로 미래 인터넷을 선도하기 위해서는 기술 격차를 줄이기 위한 정책 수립이 요구된다.