제목 : Security-Enhanced Future Internet (Content-Centric Networking)
작성자 : 김재연
현재의 인터넷 보안 문제는 근본적으로 현재 인터넷 기반 기술들의 초기 디자인 당시 오늘날 같이 인터넷의 폭발적인 활용을 전혀 예상하지 못했기 때문에 발생한 일입니다.
인터넷이 처음 개발되던 1960년대는 기존 전화망처럼 양 종단간의 통신에 집중하여 인터넷의 개발이 이루어지게 됩니다. 그리고, 컴퓨팅 자원(컴퓨터, 디스크, 프린터)이 고가였기 때문에 서버 컴퓨터 자원의 공유가 컴퓨터 시스템 설계의 중요한 고려사항이었습니다. 보통, 한대의 서버에 다수의 클라이언트 터미널 컴퓨터들이 접속하여 자원을 나누어 쓰는 방식이라 모든 자료는 서버의 저장공간에 저장되고 네트워크 트래픽도 낮았죠.
이러한 당시 상황하에서는 그 누구도 인터넷이 이렇게 폭발적으로 성장하고 트래픽 및 보안 관련 문제점들이 심각해질 것이라고는 상상하지 못했습니다. 그래서 인터넷을 간단하고 효율적으로 설계하는 것에 집중하였습니다.
하지만, 이제는 컴퓨터 시스템과 저장장치의 가격이 급격히 낮아져 이제 일반인들도 테라바이트 용량의 하드 디스크를 구입하여 각종 음악, 영화 등의 파일을 저장하고, 웹하드와 P2P 파일 공유 프로그램 등을 이용하여 인터넷을 통해 서로 쉽게 대용량 파일을 공유하고 있습니다. 인터넷 서비스 제공자(ISP)들은 증가하는 인터넷 트래픽이 골치 거리가 되어 버렸고, 과도한 트래픽 사용자들에게는 트래픽 제한 같은 극단의 조치를 내리기도 하여 문제가 된 적이 많습니다.
예전에는 인터넷이 단순히 철수가 친구 영희에게 연락을 하는 통신 수단이었다면, 현재는 단순한 통신 수단이 아닌 영희가 가진 콘텐츠를 얻는 수단으로서 인터넷이 더 유용하게 쓰이고 있는 셈이죠. 인터넷에서 음악, 영화 콘텐츠를 다운로드 하거나 Youtube 등의 실시간 동영상 감상 사이트 이용이 늘어나면서 기존의 인터넷 설계로는 감당이 힘든 상황에 까지 이르고 있습니다. 그래서 기존의 인터넷을 보완하기 위한 각종 기술이 활발히 연구되고 적용되고 있죠.
하지만, 근본적인 인터넷 인프라스트럭처의 변화없이는 현재의 트래픽 증가 및 각종 보안 문제들까지 해결하는 것이 힘든 상황입니다. 허술한 인터넷 기본 설계 자체가 해결책 마련의 최대 걸림돌인 셈이죠.
이런 문제를 근본적으로 해결하기 위해 팔로 알토 리서치 센터(PARC) 선임 연구원이신 벤 제이콥슨은 연구를 활발히 진행 중입니다.
참고로, 벤 제이콥슨은 TCP/IP 헤더 압축으로 유명하신 분으로 traceroute 같은 인터넷 관련 응용 프로그램의 개발자이시기도 합니다. 2001년에 인터넷 프로토콜 설계에 대한 공로를 인정받아 ACM 시그콤(SIGCOMM) 상도 받으셨습니다.
어쨌거나, 간단히 벤 제이콥슨의 Content-Centric Networking(CCN)에 대한 연구 내용을 살펴보겠습니다. 지금까지의 인터넷이 Host간의 통신을 위한 Host-Centric Networking 이라면 벤 제이콥슨의 연구는 Content중심의 인터넷을 만들자는 겁니다. 기존의 문제가 많은 IP를 대체하기 위해 데이터 Packet을 Data Object와 Interest로 Address를 Names of Objects 로 바꾸자는 것이 새로운 인터넷 설계의 핵심입니다. CCN은 2개의 패킷 종류를 가지고 있는데http의 get과 같은 “Interest Packet”과 http의 response와 같은 “Data Packet”입니다.
Content-Centric Networking에서는 CCN Name을 사용하여 자료 송수신을 하게 되는데 /parc.com/videos/WidgetA.mpg/_v<timestampe>/_s3 와 같이 도메인 이름과 비슷한 구조를 가질 수 있습니다.
도메인 이름은 http://www.example.kr/movie1.mpg 와 http://www.example.kr/movie2.mpg 파일 모두가www.example.kr의 단일 IP 주소를 통해 파일 송수신이 이루어 지는데 벤 제이콥슨의 인터넷 설계에서는movie1.mpg와 movie2.mpg 가 각기 다른 IP 주소를 통해 파일 송수신이 가능하게 됩니다. DNS 가 지닌 제약 하나가 해결되는 셈이죠.
콘텐츠를 원하는 이용자는 연결 가능한 모든 네트워크 장비를 통해 단순히 해당 콘텐츠 이름을 넣어 Interest packet을 보내고(broadcast), 해당 콘텐츠를 가진 오브젝트들은 Data Packet을 통해 요청한 이용자에게 전송하게 되는 것입니다.
콘텐츠를 원하는 이용자 주변의 모든 오브젝트들(컴퓨터, 모바일 기기 등)이 파일 송수신에 참여하게 되고, 주위 오브젝트들이 같은 콘텐츠를 가지고 있는 경우 이용자는 그곳에서 바로 파일을 전송받게 됩니다. 각 콘텐츠들은 그 자체가 디지털 서명이 되고 효율적으로 암호화가 가능합니다. 굳이 HTTPS 프로토콜을 사용하지 않아도 되는 것입니다.
Content-Centric Networking의 장점은 DDoS 공격도 근본적으로 차단이 가능합니다. 공격자가 목적지 콘텐츠에 대해 수많은 요청을 하여도 해당 콘텐츠가 경유 네트워크에서 발견되면 그 요청은 최종 목적지에 도달하지 않고 중간 집합 지점(aggregation point)에서 처리되어 요청자에게 응답을 주게 됩니다.
한가지 우려되는 부분은 전자우편 송수신 같은 경우 기존 인터넷보다 CCN이 비효율적으로 느껴지네요. 주위에 자신의 전자우편 메시지를 무작정 브로드캐스팅해서 수신자에게 도착되기를 기도하는 셈이니까요. 기존의 IP 를 완전히 대체하지는 못할 것 같다는 생각도 드네요.
어쨌거나, 현재의 Botnet을 이용한 무차별 DDoS 공격은 완벽한 방어 자체가 불가능하기 때문에 CCN 과 같은 근본적인 해결책 연구가 좀 더 활발히 이루어졌으면 하는게 제 바램입니다.
더 자세한 내용은 http://www.ccnx.org 를 참고해 주시고요. 제가 본 게시물에 첨부한 종합 정리 파워포인트 파일을 참고하셔도 됩니다.
****************************************************************************************************작성자 : 김재연
현재의 인터넷 보안 문제는 근본적으로 현재 인터넷 기반 기술들의 초기 디자인 당시 오늘날 같이 인터넷의 폭발적인 활용을 전혀 예상하지 못했기 때문에 발생한 일입니다.
인터넷이 처음 개발되던 1960년대는 기존 전화망처럼 양 종단간의 통신에 집중하여 인터넷의 개발이 이루어지게 됩니다. 그리고, 컴퓨팅 자원(컴퓨터, 디스크, 프린터)이 고가였기 때문에 서버 컴퓨터 자원의 공유가 컴퓨터 시스템 설계의 중요한 고려사항이었습니다. 보통, 한대의 서버에 다수의 클라이언트 터미널 컴퓨터들이 접속하여 자원을 나누어 쓰는 방식이라 모든 자료는 서버의 저장공간에 저장되고 네트워크 트래픽도 낮았죠.
이러한 당시 상황하에서는 그 누구도 인터넷이 이렇게 폭발적으로 성장하고 트래픽 및 보안 관련 문제점들이 심각해질 것이라고는 상상하지 못했습니다. 그래서 인터넷을 간단하고 효율적으로 설계하는 것에 집중하였습니다.
하지만, 이제는 컴퓨터 시스템과 저장장치의 가격이 급격히 낮아져 이제 일반인들도 테라바이트 용량의 하드 디스크를 구입하여 각종 음악, 영화 등의 파일을 저장하고, 웹하드와 P2P 파일 공유 프로그램 등을 이용하여 인터넷을 통해 서로 쉽게 대용량 파일을 공유하고 있습니다. 인터넷 서비스 제공자(ISP)들은 증가하는 인터넷 트래픽이 골치 거리가 되어 버렸고, 과도한 트래픽 사용자들에게는 트래픽 제한 같은 극단의 조치를 내리기도 하여 문제가 된 적이 많습니다.
예전에는 인터넷이 단순히 철수가 친구 영희에게 연락을 하는 통신 수단이었다면, 현재는 단순한 통신 수단이 아닌 영희가 가진 콘텐츠를 얻는 수단으로서 인터넷이 더 유용하게 쓰이고 있는 셈이죠. 인터넷에서 음악, 영화 콘텐츠를 다운로드 하거나 Youtube 등의 실시간 동영상 감상 사이트 이용이 늘어나면서 기존의 인터넷 설계로는 감당이 힘든 상황에 까지 이르고 있습니다. 그래서 기존의 인터넷을 보완하기 위한 각종 기술이 활발히 연구되고 적용되고 있죠.
하지만, 근본적인 인터넷 인프라스트럭처의 변화없이는 현재의 트래픽 증가 및 각종 보안 문제들까지 해결하는 것이 힘든 상황입니다. 허술한 인터넷 기본 설계 자체가 해결책 마련의 최대 걸림돌인 셈이죠.
이런 문제를 근본적으로 해결하기 위해 팔로 알토 리서치 센터(PARC) 선임 연구원이신 벤 제이콥슨은 연구를 활발히 진행 중입니다.
참고로, 벤 제이콥슨은 TCP/IP 헤더 압축으로 유명하신 분으로 traceroute 같은 인터넷 관련 응용 프로그램의 개발자이시기도 합니다. 2001년에 인터넷 프로토콜 설계에 대한 공로를 인정받아 ACM 시그콤(SIGCOMM) 상도 받으셨습니다.
어쨌거나, 간단히 벤 제이콥슨의 Content-Centric Networking(CCN)에 대한 연구 내용을 살펴보겠습니다. 지금까지의 인터넷이 Host간의 통신을 위한 Host-Centric Networking 이라면 벤 제이콥슨의 연구는 Content중심의 인터넷을 만들자는 겁니다. 기존의 문제가 많은 IP를 대체하기 위해 데이터 Packet을 Data Object와 Interest로 Address를 Names of Objects 로 바꾸자는 것이 새로운 인터넷 설계의 핵심입니다. CCN은 2개의 패킷 종류를 가지고 있는데http의 get과 같은 “Interest Packet”과 http의 response와 같은 “Data Packet”입니다.
Content-Centric Networking에서는 CCN Name을 사용하여 자료 송수신을 하게 되는데 /parc.com/videos/WidgetA.mpg/_v<timestampe>/_s3 와 같이 도메인 이름과 비슷한 구조를 가질 수 있습니다.
도메인 이름은 http://www.example.kr/movie1.mpg 와 http://www.example.kr/movie2.mpg 파일 모두가www.example.kr의 단일 IP 주소를 통해 파일 송수신이 이루어 지는데 벤 제이콥슨의 인터넷 설계에서는movie1.mpg와 movie2.mpg 가 각기 다른 IP 주소를 통해 파일 송수신이 가능하게 됩니다. DNS 가 지닌 제약 하나가 해결되는 셈이죠.
콘텐츠를 원하는 이용자는 연결 가능한 모든 네트워크 장비를 통해 단순히 해당 콘텐츠 이름을 넣어 Interest packet을 보내고(broadcast), 해당 콘텐츠를 가진 오브젝트들은 Data Packet을 통해 요청한 이용자에게 전송하게 되는 것입니다.
콘텐츠를 원하는 이용자 주변의 모든 오브젝트들(컴퓨터, 모바일 기기 등)이 파일 송수신에 참여하게 되고, 주위 오브젝트들이 같은 콘텐츠를 가지고 있는 경우 이용자는 그곳에서 바로 파일을 전송받게 됩니다. 각 콘텐츠들은 그 자체가 디지털 서명이 되고 효율적으로 암호화가 가능합니다. 굳이 HTTPS 프로토콜을 사용하지 않아도 되는 것입니다.
Content-Centric Networking의 장점은 DDoS 공격도 근본적으로 차단이 가능합니다. 공격자가 목적지 콘텐츠에 대해 수많은 요청을 하여도 해당 콘텐츠가 경유 네트워크에서 발견되면 그 요청은 최종 목적지에 도달하지 않고 중간 집합 지점(aggregation point)에서 처리되어 요청자에게 응답을 주게 됩니다.
한가지 우려되는 부분은 전자우편 송수신 같은 경우 기존 인터넷보다 CCN이 비효율적으로 느껴지네요. 주위에 자신의 전자우편 메시지를 무작정 브로드캐스팅해서 수신자에게 도착되기를 기도하는 셈이니까요. 기존의 IP 를 완전히 대체하지는 못할 것 같다는 생각도 드네요.
어쨌거나, 현재의 Botnet을 이용한 무차별 DDoS 공격은 완벽한 방어 자체가 불가능하기 때문에 CCN 과 같은 근본적인 해결책 연구가 좀 더 활발히 이루어졌으면 하는게 제 바램입니다.
더 자세한 내용은 http://www.ccnx.org 를 참고해 주시고요. 제가 본 게시물에 첨부한 종합 정리 파워포인트 파일을 참고하셔도 됩니다.
본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
****************************************************************************************************
