인터넷 주소자원 관련 동향 및 주요...
TRANSCRIPT
인터넷 주소자원 관련동향 및 주요 이슈
-2015년 5월호-
1. 국제인터넷주소관리권(IANA) 도메인 이양모델 최종안 ···· 1
2. 한국어코드 생성규칙 (LGR) 현황공유 ·································· 3
3. VERISIGN 2014년 4분기 DDoS 공격 동향 보고서 ··········· 6
4. RPKI BGP-Route-Origin-Validation 데이터 통계 ··············· 9
5. 월간 인터넷주소 동향 보고서 ············································· 13
6. RIPE NCC 아틀라스(Atlas) ···················································· 18
목 차
인터넷 주소자원 관련 동향 및 주요 이슈
- 1 -
구분 현재 이양 후 비고
IANA
관리권
계약 美 정부 ICANN
관리·
감독美 정부
ICANN 內 IANA 기능 검토팀(IFR) 멀티스테이크홀더로 구성
ICANN 內 고객상임위원회(CSC)도메인 레지스트리, 루트서버
운영자 등 고객으로 구성IANA 운영 ICANN ICANN 자회사(PTI) 법적 분리
국 인터넷주소 리권(IANA) 도메인 이양모델 최종안
계약 은 정부를 신하여 운 에
한 계약 체결
기능 운 법 으로 분리된 완 소유의
자회사 를 설립하여 기능 운
기존의 도메인 이름 련된 기능 행 직원 자원 차
데이터 노하우는 법 으로 에 승계
기 내에서의 기능 법 분리를 가능하게 함
- 2 -
자회사 사이의 계약을 통해 자회사는 기능을 운 할
권리와 의무를 갖게 되며 계약은 서비스 수 계약도 포함됨
기존의 책임성 메커니즘과 책임성 워킹그룹 이
작업 인 책임성 메커니즘을 수한다는 조건으로 운 은
내에 남게 됨
일상 운 검토 의 직 인 향을 받는 고객 으로
고객상임 원회 를 구성하여
자회사가 계약 조건 서비스 수 을 수하여 수행하고
있는지 검토
는 도메인 지스트리 루트서버 운 자 등으로 구성
차 서비스 문제 이슈에 해 운 자와 직 으로
해결하며 해결이 불가능 한 경우 상 로 상정할 수 있음
필요한 경우 고객상임 원회는 자회사에 한 특별 검토를 요청
할 수 있음
자회사 검토 기능 검토 을
멀티스테이크홀더로 구성하여 자회사의 주기 검토 특별
검토를 수행
기능 검토의 범 는 미리 규정되거나 제한되지 않음
기능 검토 은 계약의 갱신 여부에 해서
이사회에 권고할 수 있음
문제 해결 메커니즘 구성 문제 발생 시 효율 으로 해결하기
한 문제 해결 메커니즘 구성
문제 리를 한 새로운 메커니즘을 구축하거나 문제
해결 로세스 수정할 수 있음
책임성 워킹그룹 이 개발하는 책임성 메커니즘 이용
□ 출처
o https://www.icann.org/en/system/files/files/cwg-stewardship-draft-pr
oposal-with-annexes-22apr15-en.pdf
- 3 -
한국한자코드 생 규칙(LGR) 황
배 경
국제인터넷주소기구에서 한자 최상 도메인 생성을 한
국제 생성규칙 제정을 진행 으로
은 한자 언어권에 속하는 주요국한 일에게 개국이 합의한
한자 최상 도메인 생성규칙 안 을 제출하여 것을 요청
국과 일본은 한 일 공용 한자 최상 도메인 국제 생성규칙
제정을 한 의를 목 으로 서울에서 한 일 합동회의 개최를 제안
개국의 이체자 범 가 서로 달라 공용 한자 범 에서 이체자 목록
처리방안에 한 합의 필요
* 모양은 다르나 뜻이 같은 문자로 한·중·일의 이체자 범위가 서로 달라 이에 대한 합의 필요
- 이체자 예시1) 國(나라 국,번체)와 国(나라 국, 간체)
- 이체자 예시2) 一(한 일)과 壹(한 일)
활동경과
한국어패
월 구성
한 일 합동회의 참석 싱가폴
월 한 일 합동회의 참석
한 일 합동회의 참석 한국 황 발표 런던
제 차 회의개최
제 차 회의개최
한 일 합동회의 참석
제차 회의개최 패 재구성 한자 문가 인 입 등
한 일 합동회의 참석 한국 황 발표 싱가폴
제 차 회의개최
제 차 회의개최
제 차 회의개최
제 차 회의개최
- 4 -
명단
이름 소속기관 이름 소속기관
김경석 (의장) 부산대학교 박민정 KISA
강경란 아주대학교 김민지 KISA
최정도 국립국어연구원 최윤미 KISA
이영음 한국방송통신대학교 채령 KISA
이동만 카이스트 신상현 고려대학교
고양우 카이스트 조성덕 성균관대학교
박윤정 한국뉴욕주립대
한자목록 범 를 자로 합의 년 월기
한국 어문회의 한자 능력 검정시험 한국기술표 한자로 지정된 한자의
합집합인 자를 한국 최상 도메인에 사용할 한자 범 로 규정
한국어문회의 한자능력 검정시험 범 자
에 정의된 남한 북한 한자와 한자 자
1) IICORE (International Ideographs Core): ISO/IEC 10646 (= Unicode 유니코드) 국제 표준 글자 부호계에 있
는 한자 약 76,000 자 가운데, 국제적으로 가장 널리 쓰는 핵심 한자 9,810 자만 뽑아놓은 한자 부분
집합
2) KS (Korean Standard) X 1001 : 국가 기술 표준원 및 표준 협회에서 관리하는 정보 기술 분야의 한
국 산업 표준으로 국내 한글 및 한자 부호계의 국가표준
- 5 -
이체자 목록 안 검토 년 월기
한국한자목록으로 정의된 자 내의 이체자는 기 자 자로 확인됨
이체자가 한 종류인 기 자 수 자
이체자가 두 종류인 기 자 수 자
이체자 세트를 최소화하기 해 개별 으로 의미가 생성될 수 있는
이체자에 해 재검토 정
재검토한 이체자 목록은 와 가 작성한 의 테이블
형식과 유사하게 구성키로 함
이체자 목록표에 할당과 블락 등 처리방안 표시 필요
이체자 그룹 베리언트 그룹 별 각각의 상황에 맞는 처리방안
아래 개 택 결정 필요
※ (예시) 却(물리칠 각, 05374), 卻(물리칠 각, 0537B)의 경우 :
- 처리방안 1 : 却을 신청하면, 却허용, 이체자인 卻는 블락
- 처리방안 2 : 却을 신청하면, 却허용, 이체자인 卻도 허용 (소유자에게 2글자 할당)
- 처리방안 3 : 却을 신청하면, 却허용, 이체자인 卻는 블락,
卻을 신청하면, 卻허용, 이체자인 却는 블락
처리방안 신청 한자 할당(Allocatable, A) 블락(Block, b)
1 却 却 卻
2却 却, 卻 -
卻 卻, 却 -
3却 却 卻
卻 卻 却
요네야 알고리즘
의 가 제 차 달라스 회의 기간
개최된 일 합동회의 결과를 바탕으로 제안한 한 일 공통
한자테이블 작성을 한 알고리즘
- 6 -
한 일 국가별 한자테이블 정리하여 로 정의
한 일의 한자테이블을 합친 공통 한자테이블 생성
공통 한자테이블에 포함된 한자 범 내에서 자국의
언어특수성을 반 하여 할당 블락 등 처리규칙 용
공통 한자테이블에 포함된 한자를 사용하여 자국의 언어
특수성을 반 한 생성
한 일 합동회의 결과
일본 자국 한자 목록 을 확정 약 자 하 으며 자국
한자 범 내 이체자 는 없다고 확인
국 자국 한자 목록 을 재 약 자 와 같이 제안
하게 된 경과 배경을 설명하고 향후 자국의 한자 목록은 일본과
한국의 한자와 복되지 않음을 제로 추가될 수 있음을 설명
한국 자국 한자 목록 안 자 을 작성하 으며 향후
국내 의견수렴을 거쳐 수정될 수 있음을 설명
- 7 -
VERISIGN 2014년 4분 DDos 공격 동향 보고
□ 개요
o VERISIGN에서 2014년도 4분기 DDoS 공격 동향 보고서를 배포
o 4분기 동안 공격의 크기 분기 비 증가율 그리고 공격
상 등을 그래 로 표시
o VERISIGN이 리하고 있는 고객을 상으로 데이터를 수집 반
하 으나 보안 업계의 측이나 정책 수립에 있어 도움이 되는
자료
□ 주요 내용
o 2014년도 4분기 DDoS 공격 동향
- 기간은 2014년도 10월1일부터 2014년도 12월 31일까지의 주요 동향
으로서 4분기 평균 DDoS 공격의 크기는 7.39Gbps로서 3분기에 비해서
14% 증가하 으며, 2014년도 비 245% 증가함
출처: VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT ISSUE 4 – 4TH QUARTER 2014
<분기별 평균 공격 크기, 출처: >
- 8 -
- DDoS 공격 트래픽은 1Gbps를 넘는 공격이 체 공격의 42%를 넘어
섰으며 10Gbps 이상이 되는 공격도 17% 정도로 높은 편임
- 최 공격은 UDP 60Gbps, TCP 55Gbps 음
출처: VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT ISSUE 4 – 4TH QUARTER 2014
<분기별 DDoS 공격 크기별 분포, 출처:>
o DDoS 공격 규모 공격 상
- DDoS 공격은 특정한 산업에 한정되어 있지 않으며 여러 분야에 걸
쳐서 공격이 진행되고 있는데, 그 IT/서비스/클라우드/SaaS 는 4분
기에 가장 자주 공격 상이 된 산업이며, 체 공격의 33%정도를
차지함
- 주로 433포트를 상으로 한 NTP 반사 공격으로 16Mbps~60Gbps 규
모의 공격이었으며, 가장 큰 TCP 기반 공격은 미디어 엔터테인
먼트 산업의 고객에 한 SYN flood 공격으로 사용자 지정의 게임
포트를 상으로 60Mbps~55Gbps 정도 음
- 4분기에는 공공 조직에 한 공격의 수가 크게 증가 하 으며
융 서비스 산업에 한 공격은 지난 분기에 비해 두배 이상 증가
하 음
※ SaaS(Software as a Service)
- 9 -
- 소 트웨어의 기능 유 가 필요로 하는 것만을 서비스로 배포해 이용이 가
능하도록 한 소 트웨어의 배포 형태.
출처: VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT ISSUE 4 – 4TH QUARTER 2014
<DDoS 공격 상>
□ 출처
o “ Public Sector Experiences Largest Increase in DDoS Attacks (V
erisign's Q4 2014 DDoS Trends)”, CircleID 2015.2.19
- http://www.circleid.com/posts/20150219_public_sector_experiences_l
argest_increase_in_ddos_attacks_q4//
o VERISIGN DISTRIBUTED DENIAL OF SERVICE TRENDS REPORT
ISSUE 4 – 4TH QUARTER 2014
- https://www.verisigninc.com/assets/report-ddos-trends-Q42014.pdf
- 10 -
RPKI BGP-Route-Origin-Validation 데이터 통계
□ 개요
o RPKI 용을 해 각 RIR에서 2012년 4월 ~ 2014년 8월까지 수행
한“BGP-Route-Origin-Validation”데이터 통계
o 데이터 통계에서 발견된 문제 을 분석하여 개선 방향 제시
□ 주요 내용
o 데이터 수집 환경
- 연구에 사용한 데이터는 년 월부터 년 월까지 매 시
간마다 의 로부터 다운받은 데이터 동일한 기간 동안
에 매 사간 마다 로부터 다운로드한 덤 데
이터 연구 네트워크에 있는 라우터의 실시간 데이터
- 의 덤 데이터를 주 데이터로 을 진행하 고 다
른 지역에 한 데이터는 상 울로 시드니
으 모니터링 데이터를 사용함
※ LINX(London Internet Exchange) : 영국 Internet Exchange Point 서비스 업체
※ RIB: Routing information Base
※ RuouteViews : 실시간 인터넷 경로 정보 모니터링 프로젝트 툴
- 데이터는 의
트러스트앙커로 부터 툴을 사용하여 다운로드 하 고
의 데이터 의 정책에 의해 다운로드가 불가하여
의 데이터로 치함
※ rcynic : RPKI.NET에서 제공하는 RPKI 데이터 수집 툴
- 11 -
o RPKI 배치 황
RIRROA로 커버되는
IPv4 개수(/32)보유한 IPv4 개수(/32) 커버율
RIPE NCC 125,133,312 797,906,680 15.68%
ARIN 30,187,520 1,733,372,928 1.74%
LACNIC 19,0089,408 189,833,472 10.05%
AfriNIC 2,814,464 119,534,080 2.35%
APNIC 744,960 872,194,816 0.08%
Total 177,969,744 3,712,841,976 4.79%
출처: Measuring BGP Route Origin Registration and Validation
<테이블 1. 2014년 9월8일 기준으로 RIR별 등록된 IPv4(/32) 주소에 대한 RPKI 적용현황>
- RPKI 배치 황은 RIPE NCC가 자장 주도 으로 진행하고 있으며 그
다음으로 LACNIC이 활발하고, 나머지들은 비슷하게 진행이 조함
o Route-Origin-Validation 결과
- 의 덤 데이터들의 기간별 결과
는 아래 결과유형에 따라 테이블 로 구분되어짐
Validation 결과 유형
ㆍ Valid only : 해당 프리픽스에 대해 “valid”로 광고된 것 모두
ㆍ Invalid only : 해당 프리픽스에 대해 “invalid”로 광고된 것 모두
ㆍ Valid and Invalid : 해당 프리픽스에 대해 “valid” 와 “Invalid” 모두로 광고된 것, 일부
origin AS가 다른 광고도 있음
ㆍ ROA not found : 해당 프리픽스를 커버하는 ROA가 없음
날짜 총계 Valid Invalid Valid and
Invalid
RPKI-
coveredReachable
Un-
reachable
invalid
covered
20120601 432,516 7,253 1,621 0 2.05% 8,648 226 86.05%
20121128 454,601 9,258 2,123 13 2.50% 11,149 245 88.45%
20121228 458,955 5,097 1,368 16 1.41% 6,276 205 85.04%
20130924 504,733 17,567 3,400 8 4.15% 20,537 438 87.11%
20130522 525,241 23,531 2,693 31 4.99% 25,731 525 80.50%
20140721 534,519 24,511 2,916 18 5.13% 26,904 541 81.44%
20140820 538,926 25,973 3,168 17 5.41% 28,565 493 81.28%
출처: Measuring BGP Route Origin Registration and Validation
- 12 -
<테이블2. Validation 결과>
- 이 데이터는 LINX 모니터가 Invalid로 정하여 라우 이 차단되어
야 하는 리픽스가 차단되지 않고 라우 경로가 활성화
(reachability) 되었는가를 확인하기 해 validation 결과 유형별로
리픽스들을 비교한 것인데 부분의 invalid 리픽스들이 차단되
지 않고 라우 경로가 활성화 되어 있는데 그 이유는 LINX 모니터
가“invalid”로 정한 리픽스들을 “valid”와 “ROA not
found”로 정된 리픽스들이 커버하기 때문임 그래서 일부 ISP나
IXP에서 차단되지 않는 경우가 있음
o invalid 발생원인
-“route origin validation”이 “invalid only” 는 “valid and invali
d”되는 원인은 validation을 진행하는 에 고되는 정보와 ROA r
adix tree 노드의 longest-prefix가 일치하지 않을 때 인데, 이 조사
에서 다른 리픽스들에 의해서 자신의 리픽스 범 를 침해받아 i
nvalid가 되는 경우를 다음과 같이 3가지 카테고리로 나눠 보았고
그 분석 데이터는 테이블3과 같음
ㆍ Invalid maximum prefix length : 광고되는 프리픽스의 length가 ROA max-length 큼
예) 광고되어 수신 받은 10.1.2.0/24의 ROA가 10.1.0.0/16
ㆍ Invalid origin AS number : 광고되는 프리픽스의 origin ASN과 ROA ASN이 일치하지 않음
예) 광고되어 수신 받은 10.1.2.0/24의 origin ASN은 666인데 ROA의 ASN 42
ㆍ Both maximum length and AS number : max-length의 범위와 origin ASN 불일치
날짜 MaxLength 범위 잘못된 ASN MaxLength 와 ANS
20120601 989(61.01%) 387(23.87%) 245(15.11%)
20121128 1,053(49.30%) 644(30.15%) 439(20.55%)
20120621 1.661(55.61%) 463(15.47%) 864(28.93%)20140721 1,690(57.60%) 411(14.01%) 833(28.39%)
20140820 1,736(54.51%) 584(18.34%) 865(27.16%)출처: Measuring BGP Route Origin Registration and Validation
<테이블3. invalid 발생 원인별 프리픽스의 비율(LINX 모티터의 route-views 데이터)>
- 13 -
o 문제 개선안
- RIR의 주소자원에 한 RPKI-covered 비율이 4.79%로 많이 조하
여 증가가 필요함
- RPKI 용 부분에서 네트워크 운 자들은 valid된 리픽스가 invali
d로 오탐되어 네트워크에서 해당 리픽스의 라우 경로가 비활성
화(Unreachable)되어 서비스 장애가 되는 것에 해 부정 으로 생
각함
- 그러나 이번 조사에서 오탐되어 라우 경로가 비활성화된(Unreach
able) 리픽스들의 부분은 운 자의 잘못된 ROA 발 에 의한 것
으로 분석되었으며, ROA를 validation 알고리즘에 맞게 수정하면
되는 간단 문제들이었음.
□ 출처
o “ Measuring BGP Route Origin Registration and Validation” Dan
iele Iamartino, Cristel Pelsser and Randy Bush1, 2015.1)
- http://wan.poly.edu/pam2015/papers/42.pdf
- 14 -
월간 인터넷주소 동향 보고
개요
o Regional Internet Registry(RIR)의 RPKI 동향
o WHOIS Accuracy Pilot Study Report
o APNIC IPv6 Policy (IPv6 정책)
o VERISIGN 2014년 4분기 DDoS 공격 동향 보고서
o RIR의 RPKI BGP-Route-Origin-Validation 데이터 통계
주요 내용
o Regional Internet Registry(RIR)의 RPKI 동향
- 각 RIR(ARIN, APNIC, RIPE NCC, LACNIC, AFRINIC)에서 설명한
RPKI의 필요성/도입 권고에 련된 내용
- 각 RIR의 RPKI 용 황(인터넷주소자원 인증)
o WHOIS Accuracy Pilot Study Report
- 미국 시카고 학의 NORC에서 자문을 받은 WHOIS 공개 의견
수렴을 통한 WHOIS 정확도 시범연구 결과 보고서
- WHOIS 공개 의견에 한 피드백을 수렴하여 WHOIS 정확도에
한 근방식과 WHOIS Accuracy Reporting System(ARS)의 최종
디자인을 형성하는데 목 있음
o APNIC IPv6 Policy (IPv6 정책)
- 아시아 태평양 지역의 IPv4, IPv6를 배포 리를 한 정책 설명
- APNIC 인터넷번호 자원 정책 내용 IPv6 Policy정책 부분으로
- 15 -
IPv6배정/할당/이 에 한 설명
o VERISIGN 2014년 4분기 DDoS 공격 동향 보고서
- VERISIGN에서 발표한 2014년도 4분기 DDoS 공격 동향 보고서
- 4분기 동안 공격의 크기 분기 비 증가율과 주요 공격
상 등을 그래 로 제시
o RIR의 RPKI BGP-Route-Origin-Validation 데이터 통계
- RPKI 용을 해 각 RIR에서 2012년 4월 ~ 2014년 8월까지 수
행한“BGP-Route-Origin-Validation”데이터 통계
- 데이터 통계에서 발견된 문제 을 분석하여 개선 방향 제시
o 인터넷주소자원 통계
- 국내 도메인등록 행자 신규 gTLD 등록 행 황(2015.4.29. 기 )
순
번업체명
신규
gTLD
(개)
순
번업체명
신규
gTLD
(개)
순
번업체명
신규
gTLD
(개)
1 ㈜후이즈 254 10 삼정데이타서비스(주) - 19 ㈜코리아서버호스팅 -
2 ㈜가비아 248 11 ㈜아사달 - 20 ㈜코리아센터닷컴 -
3 ㈜인터넷나야나 130 12 ㈜아이넴즈 - 21 한강시스템(주) -
4 ㈜닷네임코리아 104 13 ㈜아이네트호스팅 - 22 한국전자인증 -
5 메가존 71 14 ㈜더블유에이치티 - 23 한국정보인증(주) -
6 ㈜웹티즌 45 15 ㈜미리내닷컴 - 24 호스트센타 -
7 ㈜아이비아이닷넷 4 16 이호스트데이터센터 - 25 ㈜다우기술 -
8 ㈜블루웹 - 17 리눅스웨어(주) -
9 비아웹 - 18 ㈜정보넷 -
· 국내 25개의 도메인등록 행자 7개 업체가 신규 gTLD 등록을 받
고 있으며 그 ㈜후이즈가 254개로 가장 많음
- 국내 도메인등록 행자 해외 ccTDL 등록 행 황(2015.4.29. 기 )
- 16 -
순
번업체명
ccTLD
(개)
순
번업체명
ccTLD
(개)
순
번업체명
ccTLD
(개)
1 ㈜가비아 99 10 ㈜아이비아이닷넷 9 19 ㈜다우기술 1
2 ㈜웹티즌 75 11 비아웹 9 20 리눅스웨어(주) -
3 ㈜더블유에이치티 67 12 ㈜인터넷나야나 8 21 ㈜미리내닷컴 -
4 메가존 46 13 ㈜아사달 7 22 삼정데이타서비스(주) -
5 ㈜코리아서버호스팅 36 14 이호스트데이터센터 5 23 ㈜아이넴즈 -
6 ㈜닷네임코리아 31 15 ㈜블루웹 4 24 ㈜아이네트호스팅 -
7 ㈜코리아센터닷컴 15 16 ㈜정보넷 4 25 호스트센타 -
8 ㈜후이즈 14 17 한국전자인증 3
9 한강시스템(주) 11 18 한국정보인증(주) 2
· 국내 25개의 도메인등록 행자 19개 업체가 해외 ccTLD 등록을
받고 있으며 그 ㈜가비아가 99개로 가장 많음
o 인터넷주소자원 련 보도 자료
- [DNSSEC] ICANN Announces 2015 Hardware Security Module
Replacement Project for the Root Key Signing Key (2015.3.23.)
▪ 현재 운영중인 하드웨워 루트서명키를 교체하기 위한 프로젝트 공고, 현재 운영
중인 키는 10년수명에 5년차로 운영상 문제가 없으나 안전성을 위하여 새로이 교
하고 자 함
- [보안] Buck Stops With Beijing Over Google MITM Attack
(2015.3.25.)
- 17 -
▪ 중국발 MITM 공격격에 사용된 해당 도메인에 대한 무단 TLS 인증서 문제에 대
해 중국정부에 책임을 전가
▪ 중국 정부는 해당 인증을 발급하지 않았으며 보호된 환경에서 모의 환경 실험용
으로 사용된 인증서는 페기처분 되었음
※ Clarification on some media’s claim that “CNNIC has issued certificates for
MITM attack” CNNIC 홈페이지 2015.3.25
(http://www1.cnnic.cn/AU/MediaC/Announcement/201503/t20150325_52019.htm)
▪ 구글은 CNNIC와 계약을 맺고 보안인증서를 발급 대행하는 MSC홀딩스에서 무허
가 인증서가 대량 발행돼 해당 기관의 보안인증서를 거부하기로 결정
▪ 구글은 허가받지 않은 인증서가 통신 내용을 도청하는 ‘중간자공격
(man-in-the-middle attack)’에 쓰일 수 있고, 가짜 사이트가 진짜 사이트 인냥 행
세하는 것도 가능함을 경고
▪ CNNIC는 즉각 반발 성명으로 “구글의 결정을 용납할 수 없고 이해하기 힘들다”
며 “구글이 이용자 권리와 이익을 깊이 고려하기를 촉구한다”고 전함. 또 CNNIC
인증서를 사용하고 있는 이들에게 “여러분의 법적 권리와 이익에 영향이 없을 것
을 보장한다”고 덧붙임
(전자신문: http://www.etnews.com/20150402000247)
- [인터넷기술] “HTML5 확산, 속도 보다는 충분한 비로 새 기
만들어야” (2015.4.2.)
▪ 정부가 민간 영역에서 플러그인 방식 프로그램 ‘액티브 엑스’(Active X)를 퇴출하
는 대안으로 국제 웹 표준인 ‘HTML5’의 적용을 추진하면서 이 환경에서의 보안이
슈화 됨
▪ 보안업계에선 HTML5에서 외부 프로그램 설치 최소화란 편리성을 유지하며 보안
성도 지키려면, 충분한 준비를 통해 변화한 환경을 충족시킬 새로운 기술기준이
필요하다는 의견들이 많음
▪ 미래부는 올해 10곳을 시작으로 2017년까지 매년 10개씩 민간 사이트들에 대해
HTML5로 전환하겠다며 추진의사를 밝혔지만 충분한 시간을 갖고 시장에서의 새
기술표준을 만들어가야 한다는 지적이 적지 않음
- [보안] IoT 환경에서 PKI보다 안 한 인증방식 ‘KIDS’(2015.4.13)
- 18 -
▪ IoT(Internet of Things, 사물인터넷) 환경에서 PKI보다 안전한 인증방식인 ‘키 없
는 전자서명기술, KIDS(Keyless Infrastructure for Digital Signature)’에 대한 관심
이 높아지고 있음
▪ KIDS의 가장 큰 장점은 저렴한 전자서명 비용으로 대용량 데이터의 전자서명이
가능하고 전자적 증거물이 법적 효력을 갖기 위한 디지털 포렌식 친화성으로 데이
터 생성시점부터 증명 하고 특히, 실시간 인증으로 IoT와 M2M과 같은 자동화된
스마트 기기간 통신에서 메시지 생성 주체에 인증이 가능하고 불필요한 키 관리
로 비밀정보 노출로 인한 전자서명 조작의 위험이 없다는 점에서 IoT 보안 인증
등에서 널리 활용될 전망임
출처
o ICANN Announces 2015 Hardware Security Module Replacement
Project for the Root Key Signing Key, ICANN, 2015.3.23
- https://www.icann.org/news/announcement-3-2015-03-23-en
o Buck Stops With Beijing Over Google MITM Attack, HackDig,
2014.3.24
- http://en.hackdig.com/?18910.htm
- https://en.greatfire.org/blog/2015/mar/evidence-shows-cnnic-and-cac-
behind-mitm-attacks
o HTML5 확산, 속도 보다는 충분한 비로 새 기 만들어야, 이데
일리 뉴스, 2015.4.2.
- http://www.edaily.co.kr/news/NewsRead.edy?newsid=04008166609332184
&SCD=JE41&DCD=A00504
o IoT 환경에서 PKI보다 안 한 인증방식, 보안뉴스, 2015.4.13
- http://www.boannews.com/media/view.asp?idx=45913&kind=4
- 19 -
RIPE NCC 아틀라스(Atlas)
개요
o RIPE NCC 아틀라스(Atlas) 서비스의 운 목 과 기능
o 아틀라스(Atlas) 서비스의 활용방안
주요 내용
o 아틀라스(Atlas) 서비스란?
- RIPE NCC가 인터넷 네트워크의 데이터를 수집하여 그 결과를 사
용자들이 편리하게 사용하도록 지도 그래 형태로 제공하는
서비스로 테이터 수집은 RIPE NCC에서 제공하는 로 (Porbe)
가 로칼 지역에 설치되어 RIPE 아틀라스 네트워크내의 데이터를
수집하고 지역별로 아틀라스 앙카(Anchor)가 주변 로 들의 데
이터를 수집 함
o 서비스 목적
- 사용자가 개별로 네트워크 데이터에 한 필요한(맞춤식) 요구사
항과 기본사항에 해 측정할 수 있는 도구를 사용자들에게 제공
- 인터넷 “트래픽 지도”와 그 외에 기술자들의 커뮤티니에 사용
될 수 있는 네트워크 데이터 생성
- 실제 인 네트워크의 활성화 정도를 측정하여 신뢰성 있는 네트워
크 데이터 소스 구축
o 서비스 구조
- 아들라스는 사용자, 호스트, 스폰서, 엠버써더로 구성되어 있으며
공개 자료에 한 지도와 통계자료는 구나 사용이 가능함
- 20 -
▪ 사용자(User) :
공개 자료를 사용하는 모든 클라이언트(기관, 개인)
▪ 호스트(Host) :
RIPE NCC에서 제공한 프로브(Probe)와 앙카(Anchor)에 연결되어있는 모든 사용
자로(기관, 개인) 다른 곳의 RIPE 아틀라스 프로브를 사용하여 자신의 네트워크에
대한 필요한 정보를 맞춤식으로 얻을 수 있음
▪ 스폰서(Sponsor) :
RIPE NCC에 재정적 지원을 하는 기관이나 개인
▪ 엠버써더(Ambassador) :
RIPE 아틀라스 프로브를 배포하는데 도움을 주는 기관이나 개인
o 로 (Probe)
- USB 원의 작은 하드웨어 장치로 사용자의 라우터와 이더넷 포
트에 연결하여 사용자 지역의 네트워크 데이터 정보를 수집하여
RIPE 아틀라스 네트워크로 계하는 기능을 함
[그림1 아틀라스 프로브]
- 로 네트워크 황
․ 세계에 로 의 분포 황을 AS, IPv4, IPv6로 구분하고,
세계 지도 상에서 분포 황을 확인 할 수 있으며, 로 에서
- 21 -
수행한 측정 이력도 확인 가능
․ Global RIPE Atlas Network Coverage(https://atlas.ripe.net/results/
maps/network-coverage/)
- 로 를 이용한 측정 항목
․ IPv4/IPv6 기반의 Ping, Traceroute, DNS A/AAAA, SOA 질의,
HTTP/HTTPS, SSL Cert 측정 항목만 제공
[그림2 DNS 측정결과 일반정보]
- 22 -
[그림3 Probe 별 DNS 측정 결과]
[그림4 Probe 별 DNS 측정결과 Map]
- 23 -
- 로 신청 차 웹페이지
․ https://atlas.ripe.net/get-involved/become-a-host/
o RIPE 아틀라스 앙카(Anchor)
- RIPE 아틀라스 앙카는 RIPE 아틀라스 로 의 모든 기능을 가
지면서 로 보는 더 큰 측정용량을 가지고 있어 RIPE 아틀라
스의 네트워크보다 더 큰 지역들의 네트워크를 측정 할 수 있음.
그래서 그 주변에 있는 RIPE 아틀라스 네트워크에 있는 다수의
로 들로부터 생성된 많은 측정데이터들을 처리 하는 역할을
하여 해당 지역의 내부와 외부에 있는 인터넷의 연결 근성
에 한 유요한 정보를 제공함
[그림5 아틀라스 앙카]
- 로 기능외에 추가된 기능
- 24 -
▪ 여러 다른 호스트와 시스템으로부터 측정데이터를 수집
▪ 자체 스케쥴에 의한 측정
▪ 타겟을 측정하기 위해 자체적으로 다수의 데몬을 구동 할 수 있으며 현제 지원되
는 데몬은 ping, traceroute, DNS, HTTP와 HTTPS가 있음
- DNS : 서비스 권한이 있는 DNS 서버와 같이 되도록 BIND 설정이 가능
- HTTP(S) : 고객 질의에 대해 응답을 제어 할 수 있는 웹서버 사용이 가능
- SSL : 128비트 키와 유효기간을 가진 self 서명된 SSL 인증 사용 가능
- 아틀라스 앙카 신청 차 웹페이지
․ https://atlas.ripe.net/about/anchors/
o 크 딧 시스템
- 크 딧은 로 호스트들이 그들의 로 를 네트워크에 연결하는
시간 동안에 생성되어 립되기 때문에 아틀라스 네트워크 참여자
들의 기여도를 알 수 있고 립된 크 딧은 호스트가 필요한 서비
스(user-defined 측정)를 요청할 때 차감되어 사용됨
- 크 딧 립
▪ 프로브의 네트워크 데이터 페이지의 접속정보가 “CONNECTED”된 기간 동안에만
크레딧이 생성되어 적립됨
▪ 크레딧 적립은 하루에 한번 진행됨
▪ 크레딧은 1분에 15점씩 생성되어 24시간동안 21,600점이 적립됨
o 활용 방안
- 아틀라스가 제공하는 측정항목은 주로 서비스 가용성, 서비스 응
답 품질 등의 측정에
- DNS, 웹 등 인터넷 서비스의 응답품질 황을 로벌 수 에서
악하고자 할 때, 아틀라스 활용 가능
․ 황 실태 악 작업에 활용 가능
- 지스트리 시스템, kr DNS 시스템 등의 라우 장애 등이 발생
- 25 -
하는 경우, 로벌 인터넷 수 에서의 서비스 장애 황을 악
하는 데에 아틀라스 활용 가능
․ IPv4/IPv6 TraceRoute, IPv4/IPv6 DNS 질의 활용하여 로벌 인터
넷에서의 서비스 장애 향 범 등 악 가능 상
출처
o “What is RIPE Altas?” RIPE NCC 홈페이지
- https://atlas.ripe.net/about/