ASN
1. 개요
1. 개요
ASN은 인터넷에서 각 자율 시스템을 고유하게 식별하는 번호이다. 자율 시스템은 단일한 라우팅 정책 하에 운영되는 네트워크 또는 네트워크들의 집합을 의미한다. 이 번호는 BGP와 같은 EGP에서 네트워크 경로 정보를 교환할 때 핵심적인 식별자로 사용된다.
인터넷은 수많은 자율 시스템이 상호 연결되어 구성된 네트워크의 네트워크이다. 각 ASN은 특정 조직(예: ISP, 대학, 대기업)이 운영하는 네트워크 범위를 대표한다. 이 번호를 통해 데이터 패킷이 인터넷을 가로지르며 어떤 네트워크들을 거쳐 이동하는지, 즉 AS 경로를 추적하고 제어할 수 있다.
ASN은 IANA가 전역적으로 관리하며, RIR을 통해 지역별로 할당된다. 초기에는 2바이트(16비트) ASN 체계가 사용되어 1부터 65534까지의 번호를 사용할 수 있었다. 그러나 인터넷의 급격한 성장으로 인해 4바이트(32비트) ASN 체계가 도입되어 현재는 4200000000 이상의 번호도 사용된다.
ASN의 존재는 인터넷의 분산형 구조와 라우팅 자율성을 구현하는 기반이 된다. 이를 통해 각 네트워크 운영자는 외부 네트워크와의 연결 및 트래픽 교환에 관한 정책을 독립적으로 수립하고 실행할 수 있다.
2. ASN의 구조와 할당
2. ASN의 구조와 할당
AS 번호는 인터넷에서 자율 시스템을 고유하게 식별하는 번호이다. 이 번호는 BGP와 같은 EGP에서 라우팅 정보를 교환할 때 해당 네트워크의 출처를 나타내는 데 사용된다. ASN의 할당과 관리는 계층적 구조를 통해 이루어진다.
최상위 할당 기관은 IANA이다. IANA는 전 세계적으로 사용되는 번호 자원을 총괄 관리하며, 대량의 ASN 블록을 지역별 RIR에 할당한다. 전 세계에는 총 5개의 RIR이 존재하여 각 관할 지역의 네트워크 운영자에게 ASN을 할당하는 업무를 담당한다[1]. 각 RIR은 자체 정책에 따라 할당을 수행하며, 할당 정보는 공개 WHOIS 데이터베이스에 등록된다.
ASN에는 크게 두 가지 체계가 존재한다. 초기에는 16비트(2바이트) 공간을 사용하는 1부터 65534까지의 번호가 표준이었다. 그러나 인터넷의 성장으로 인해 이 공간이 고갈되자, 32비트(4바이트) ASN 체계가 도입되었다. 4바이트 ASN은 65536부터 4294967295까지의 훨씬 더 넓은 범위를 제공한다. 현재는 두 체계가 공존하며, 대부분의 현대 BGP 구현체가 둘 다 지원한다.
ASN 유형 | 범위 | 용도 |
|---|---|---|
2바이트 ASN | 1 - 65534 | 전통적인 공용 AS 번호 |
4바이트 ASN | 65536 - 4294967295 | 확장된 공용 AS 번호 |
사설 ASN (2바이트) | 64512 - 65534 | 내부 라우팅 또는 특수 목적[2] |
사설 ASN (4바이트) | 4200000000 - 4294967294 | 내부 라우팅 또는 특수 목적 |
할당된 ASN은 다시 공용과 사설로 구분된다. 공용 ASN은 글로벌 인터넷 라우팅 테이블에 고유하게 등장해야 하며, 다른 AS와 BGP 피어링을 통해 인터넷에 연결하는 네트워크에 할당된다. 반면, 사설 ASN은 특정 범위(예: 2바이트의 경우 64512-65534)로 예약되어 있으며, 글로벌 라우팅 테이블에 등록되지 않는다. 사설 ASN은 일반적으로 단일 조직 내부의 라우팅을 분리하거나, 멀티홈 환경에서 업스트림 공급자에게 경로를 발표할 때 특정 용도로 사용된다.
2.1. AS 번호 체계 (2바이트 vs 4바이트)
2.1. AS 번호 체계 (2바이트 vs 4바이트)
초기 인터넷의 확장 가능성을 고려하여 설계된 AS 번호 체계는 2바이트(16비트) 길이를 가졌다. 이는 0부터 65535까지의 범위, 총 65,536개의 번호를 제공했다. 이 중 0과 65535는 예약되었으며, 64512부터 65534까지의 범위(1023개)는 사설 ASN으로 지정되어 인터넷 백본에 연결되지 않는 내부 네트워크에서 사용하도록 남겨졌다. 따라서 공용으로 할당 가능한 2바이트 ASN은 원칙적으로 64,510개였다.
인터넷의 급격한 성장으로 2바이트 ASN의 고갈이 예상되자, IETF는 2007년 RFC 4893을 통해 4바이트(32비트) AS 번호 체계를 도입했다. 4바이트 ASN은 0부터 4,294,967,295까지의 훨씬 더 넓은 주소 공간을 제공한다. 새로운 체계는 기존 2바이트 ASN 범위(0-65535)를 완전히 포함하는 하위 호환성을 유지하도록 설계되었다.
구분 | 2바이트 ASN (AS2) | 4바이트 ASN (AS4) |
|---|---|---|
비트 길이 | 16비트 | 32비트 |
최대 값 | 65,535 | 4,294,967,295 |
할당 가능 범위 | 1 - 64511 (공용) | 65536 - 4,294,967,295 (주로 신규 할당) |
표기법 | 평범한 십진수 (예: AS65501) | 평범한 십진수 (예: AS131072) 또는 점 표기법 (AS2.0)[3] |
현재 IANA와 지역 인터넷 레지스트리(RIR)들은 2바이트 ASN이 고갈된 상태이며, 신규 할당은 거의 모두 4바이트 ASN에서 이루어진다. 기존에 할당받은 2바이트 ASN은 계속 사용 가능하다. 네트워크 장비와 BGP 구현은 4바이트 ASN을 완전히 지원해야 하며, 이는 현대 인터넷 라우팅 인프라의 기본 요구사항이 되었다.
2.2. 할당 기관 (IANA, RIR)
2.2. 할당 기관 (IANA, RIR)
AS 번호의 최상위 할당 권한은 IANA가 보유한다. IANA는 인터넷 할당 번호 관리기관의 약자로, 인터넷 프로토콜 주소, 도메인 이름 및 기타 인터넷 프로토콜 관련 번호를 전 세계적으로 관리하는 기관이다. IANA는 AS 번호 블록을 5개의 지역 인터넷 등록기관에 할당하는 역할을 수행한다.
5개의 RIR은 각각 지정된 지리적 지역을 담당하며, 최종 사용자(주로 인터넷 서비스 제공자 및 대형 기업)에게 AS 번호를 할당한다. 각 RIR의 관할 지역은 다음과 같다.
RIR 약어 | RIR 명칭 | 담당 지역 |
|---|---|---|
아프리카 네트워크 정보 센터 | 아프리카 | |
아시아 태평양 네트워크 정보 센터 | 아시아, 태평양 지역 | |
아메리카 인터넷 번호 등록기관 | 캐나다, 미국, 카리브해 일부 지역 | |
라틴 아메리카 및 카리브해 네트워크 정보 센터 | 라틴 아메리카, 카리브해 일부 지역 | |
RIPE 네트워크 조정 센터 | 유럽, 중동, 중앙아시아 |
AS 번호를 필요로 하는 조직은 소속 지역의 RIR에 신청하여 할당을 받는다. 할당 기준은 일반적으로 조직이 다중 상위망 연결(멀티홈)을 보유하거나, 다른 자율 시스템과 BGP를 사용하여 라우팅 정책을 독립적으로 운영할 필요가 있을 때 충족된다. RIR은 할당된 AS 번호와 소유 조직 정보를 WHOIS 데이터베이스에 공개하여 인터넷 라우팅 시스템의 투명성을 유지한다.
2.3. 공용 ASN과 사설 ASN
2.3. 공용 ASN과 사설 ASN
자율 시스템 번호(ASN)는 공용(Public) ASN과 사설(Private) ASN으로 구분된다. 공용 ASN은 인터넷 상에서 고유하게 식별되며 BGP 라우팅을 통해 전 세계적으로 경로를 발표하는 데 사용된다. 이 번호는 IANA로부터 RIR에 할당되고, RIR을 통해 최종 사용자인 네트워크 운영자에게 할당된다. 공용 ASN을 보유한 자율 시스템(AS)은 다른 AS와 피어링(Peering)이나 트랜짓(Transit) 계약을 맺고 인터넷 트래픽을 교환할 수 있다.
반면, 사설 ASN은 인터넷 상에서 고유성을 보장받지 못하며, 공용 인터넷에 직접 연결되지 않는 네트워크 내부에서 사용하기 위해 예약된 번호 범위이다. 주로 멀티홈 환경에서 업스트림(Upstream) 인터넷 서비스 제공자(ISP)에게 BGP 경로를 발표할 때, 또는 대규모 조직의 내부 라우팅 구조를 모델링하는 데 활용된다. 사설 ASN을 사용하는 네트워크는 업스트림 ISP에 연결될 때, ISP가 해당 경로를 자신의 공용 ASN으로 대체하여 재발표(AS_PATH 재작성)하는 것이 일반적이다[4].
사설 ASN으로 예약된 번호 범위는 다음과 같다.
AS 번호 범위 | 설명 |
|---|---|
64512 - 65534 (2바이트) | 사설 AS 번호 (RFC 6996) |
4200000000 - 4294967294 (4바이트) | 확장된 사설 AS 번호 (RFC 6996) |
공용 ASN과 사설 ASN의 구분은 인터넷 라우팅 테이블의 크기 관리와 주소 자원의 효율적 활용에 중요하다. 모든 네트워크가 공용 ASN을 사용하면 유한한 ASN 자원이 빠르게 고갈되고, 전역 라우팅 테이블이 불필요하게 팽창할 수 있다. 따라서 인터넷에 독립적인 경로를 발표할 필요가 없는 네트워크는 사설 ASN을 사용하는 것이 권장된다.
3. BGP와 ASN의 관계
3. BGP와 ASN의 관계
자율 시스템 번호는 BGP 프로토콜이 인터넷의 라우팅을 구성하는 핵심 식별자 역할을 한다. BGP는 서로 다른 자율 시스템 간의 라우팅 정보를 교환하는 데 사용되는 EGP이며, 각 AS는 고유한 ASN을 통해 네트워크 경로를 발표하고 수신한다. BGP 라우터는 자신이 속한 AS의 번호와 연결된 IP 주소 블록(CIDR)을 인접한 다른 AS의 라우터에게 알린다. 이 과정에서 ASN은 경로의 출발점과 중간 경유지를 명확히 구분하는 데 필수적이다.
BGP 업데이트 메시지에는 발표되는 네트워크 경로뿐만 아니라, 그 경로가 통과해 온 일련의 AS 번호 목록인 AS 경로 속성이 포함된다. AS 경로는 경로 벡터 프로토콜인 BGP의 핵심 메커니즘으로, 라우팅 루프를 방지하고 경로 선택 시 정책 기반의 결정을 내리는 데 사용된다. 예를 들어, 라우터는 일반적으로 AS 경로가 더 짧은 경로를 선호한다. 또한, AS 경로를 분석함으로써 특정 트래픽이 어떤 상위망(트랜짓 AS)들을 거쳐 흐르는지 추적할 수 있다.
AS 간의 라우팅은 계약과 정책에 의해 주로 결정된다. 각 AS의 운영자는 BGP 피어링을 설정할 때, 인접 AS로부터 어떤 경로를 수신할지, 그리고 자신의 경로를 누구에게 발표할지에 대한 정책을 정의한다. 이러한 정책은 주로 상업적 관계(트랜짓, 피어링, 고객)에 기반한다. 예를 들어, 트랜짓 AS는 고객 AS로부터 받은 경로를 다른 모든 피어와 트랜짓 제공자에게 발표하지만, 경쟁 관계에 있는 다른 트랜짓 제공자에게는 발표하지 않을 수 있다. ASN은 이러한 복잡한 정책 기반 라우팅 구조에서 각 참여자를 식별하는 기본 단위이다.
3.1. 경로 발표와 AS 경로
3.1. 경로 발표와 AS 경로
자율 시스템 번호를 할당받은 네트워크는 BGP를 통해 자신의 네트워크 IP 주소 블록(IP 프리픽스)을 다른 자율 시스템에 알린다. 이 과정을 '경로 발표' 또는 '경로 광고'라고 한다. 경로 발표 메시지에는 해당 네트워크의 AS 번호와 도달 가능한 IP 프리픽스 정보가 포함된다.
BGP 라우터는 이러한 경로 정보를 수신하여 라우팅 테이블을 구성한다. 특히 중요한 것은 'AS 경로' 속성이다. AS 경로는 특정 IP 프리픽스에 도달하기 위해 거쳐야 하는 자율 시스템들의 AS 번호를 순서대로 나열한 목록이다. 예를 들어, AS 64500이 발표한 경로를 AS 64501이 수신하고 다시 AS 64502에게 전파할 때, AS 경로는 [64502, 64501, 64500]과 같이 기록된다. 이는 루프 방지와 경로 선택의 핵심 메커니즘으로 작동한다.
AS 경로의 길이(홉 수)는 라우팅 결정의 주요 기준 중 하나이다. 일반적으로 BGP는 AS 경로가 짧은 경로를 더 선호하는 '최단 AS 경로' 원칙을 적용한다. 아래 표는 간단한 AS 경로 예시를 보여준다.
목적지 프리픽스 | 수신한 AS 경로 | 경로 길이 |
|---|---|---|
203.0.113.0/24 | [64500] | 1 |
198.51.100.0/24 | [65530, 64501, 64500] | 3 |
192.0.2.0/24 | [64510, 64502, 64501, 64500] | 4 |
이러한 경로 발표와 AS 경로 정보의 누적을 통해, 인터넷 전체에 걸친 복잡한 트래픽 흐름 경로가 동적으로 형성된다. 각 자율 시스템은 자신의 라우팅 정책에 따라 특정 경로를 수용하거나 거부하며, 선택한 최적의 경로를 다시 이웃 AS에게 전파한다[5].
3.2. AS 간 라우팅 정책
3.2. AS 간 라우팅 정책
각 자율 시스템은 자신의 네트워크 정책에 따라 다른 AS와의 트래픽 흐름을 제어합니다. 이 정책은 주로 BGP 프로토콜을 통해 구현되며, 수신한 경로 정보를 기반으로 어떤 경로를 수용하거나 선호할지, 그리고 자신의 경로를 어떤 이웃 AS에게 발표할지 결정합니다. 이러한 결정은 일반적으로 상업적 계약 관계, 기술적 성능, 보안 요구사항 등에 기반을 둡니다.
라우팅 정책의 핵심 구성 요소는 인바운드 필터링, 로컬 프리퍼런스 설정, 그리고 아웃바운드 발표 정책입니다. 인바운드 필터링에서는 다른 AS로부터 수신한 경로 광고를 검증하고, 신뢰할 수 없는 경로나 정책에 맞지 않는 경로를 차단합니다. 로컬 프리퍼런스는 수용된 여러 경로 중에서 최적의 출구 경로를 선택하는 데 사용되는 로컬 가중치입니다. 아웃바운드 정책은 자신의 네트워크 경로나 타 네트워크로부터 학습한 경로를 다시 다른 이웃 AS에게 발표할지 여부를 규정합니다. 예를 들어, 트랜짓 AS는 일반적으로 한 이웃으로부터 학습한 경로를 다른 이웃에게 재발표하는 반면, 스텁 AS는 주로 자신의 경로만 발표합니다.
AS 간의 상업적 관계는 라우팅 정책을 형성하는 주요 요인입니다. 일반적인 관계 모델은 다음과 같습니다.
관계 유형 | 설명 | 경로 발표 예시 |
|---|---|---|
공급자-고객 | 고객 AS가 공급자 AS에게 트랜짓 서비스 비용을 지불합니다. | 고객은 자신의 경로를 공급자에게 발표합니다. 공급자는 고객의 경로와 자신의 다른 고객 및 공급자의 경로를 고객에게 발표합니다. |
피어-피어 | 두 AS가 대등한 위치에서 상호 간의 트래픽을 무료로 교환합니다. | 피어는 각자 자신의 경로와 자신의 고객들의 경로를 상대방에게 발표합니다. 일반적으로 피어의 공급자로부터 학습한 경로는 피어에게 발표하지 않습니다. |
스텁 | 말단 네트워크로, 트랜짓 서비스를 제공하지 않습니다. | 자신의 경로를 공급자에게 발표하며, 다른 네트워크로의 트랜짓 경로는 발표하지 않습니다. |
이러한 정책적 결정의 집합체가 전체 인터넷의 라우팅 테이블을 구성하며, BGP의 경로 선택 알고리즘을 통해 최종적인 데이터 전송 경로가 결정됩니다. 라우팅 정책의 오설정이나 악의적 조작은 BGP 하이재킹과 같은 보안 사고로 이어질 수 있습니다.
4. ASN의 종류와 역할
4. ASN의 종류와 역할
자율 시스템 번호를 할당받은 네트워크 도메인, 즉 자율 시스템은 인터넷에서 수행하는 역할과 다른 AS와의 연결 방식에 따라 크게 트랜짓 AS, 스텁 AS, 멀티홈 AS로 분류할 수 있다.
트랜짓 AS는 다른 자율 시스템들 간의 트래픽을 중계(Transit)하는 서비스를 제공하는 네트워크이다. 이들은 일반적으로 대규모 인터넷 서비스 제공자에 해당한다. 트랜짓 AS는 계층에 따라 다시 구분되는데, 최상위 계층인 티어 1 네트워크는 유료 트랜짓 계약 없이도 전 세계 모든 다른 네트워크에 도달할 수 있는 완전한 인터넷 라우팅 테이블을 보유한다. 이들은 피어링을 통해 서로 직접 연결되어 있다. 티어 2 네트워크는 하나 이상의 티어 1 네트워크로부터 트랜짓 서비스를 구매하면서, 동시에 일부 다른 네트워크와는 피어링 관계를 맵으로써 트래픽 비용을 최적화한다.
스텁 AS는 일반적으로 한 개의 업링크 연결만을 통해 인터넷에 접속하는 말단 네트워크이다. 대부분의 기업, 대학교, 소규모 ISP 네트워크가 이에 해당한다. 스텁 AS의 주요 목적은 자체 네트워크 내부의 트래픽을 오가게 하는 것이며, 다른 AS 간의 트래픽을 중계하지 않는다. 따라서 인터넷의 다른 부분으로 가는 트래픽은 모두 자신의 업스트림 제공자(트랜짓 AS)를 통해 전달된다.
멀티홈 AS는 두 개 이상의 다른 AS와 연결되어 있지만, 다른 네트워크 간의 트래픽 중계 서비스는 제공하지 않는 네트워크이다. 주로 연결성의 신뢰성 향상과 트래픽 제어를 목적으로 한다. 두 개의 다른 ISP로부터 트랜짓 서비스를 받는 기업 네트워크가 대표적인 예이다. 이를 통해 한 업링크에 장애가 발생하더라도 다른 경로를 통해 인터넷 접속성을 유지할 수 있으며, 인바운드 및 아웃바운드 트래픽에 대한 라우팅 정책을 세밀하게 제어할 수 있다.
AS 종류 | 주요 역할 | 연결 특성 | 일반적인 예 |
|---|---|---|---|
트랜짓 AS (Tier-1) | 전역적 트래픽 중계 | 다른 모든 Tier-1과 피어링 | 대형 국제 ISP |
트랜짓 AS (Tier-2) | 지역적/국가적 트래픽 중계 | Tier-1으로부터 트랜짓 구매, 일부 피어링 | 국가별 주요 ISP |
스텁 AS | 말단 네트워크 접속 제공 | 단일 업링크 연결 | 일반 기업, 소규모 조직 네트워크 |
멀티홈 AS | 고가용성 연결 제공 | 다중 업링크 연결, 트랜짓 제공 안 함 | 대형 기업, 콘텐츠 제공자 네트워크 |
4.1. 트랜짓 AS (Tier-1, Tier-2)
4.1. 트랜짓 AS (Tier-1, Tier-2)
트랜짓 AS는 다른 AS들 간의 트래픽을 중계하는 역할을 하는 자율 시스템이다. 이들은 인터넷 백본의 핵심을 구성하며, 일반적으로 대규모 인터넷 서비스 제공자나 통신 사업자가 운영한다. 트랜짓 AS는 자신의 고객 네트워크(다운스트림 AS)에게는 물론, 다른 트랜짓 AS(피어 AS)에게도 연결성을 제공한다. 이 서비스에 대한 대가로 요금을 징수하는 경우가 많다.
트랜짓 AS는 계층 구조로 구분된다. Tier-1 AS는 최상위 계층에 위치하며, 전 세계 인터넷에 도달하기 위해 다른 어떤 AS에게도 트랜짓 요금을 지불할 필요가 없다. 이들은 순전히 상호 합의(피어링)를 통해 다른 모든 Tier-1 AS와 직접 연결되어 전 세계 라우팅 테이블을 완전히 소유한다. Tier-1 AS의 수는 매우 제한적이다. Tier-2 AS는 중간 계층의 트랜짓 제공자이다. 이들은 일반적으로 하나 이상의 Tier-1 AS에게 트랜짓 요금을 지불하여 전 세계 인터넷에 접근하며, 동시에 자신의 다운스트림 고객(스텁 AS나 소규모 ISP)에게는 유료로 트랜짓 서비스를 제공한다. 또한 다른 Tier-2 AS와는 지역적 또는 비용 절감을 위해 피어링 관계를 맺기도 한다.
트랜짓 AS의 운영은 복잡한 BGP 정책에 기반한다. 이들은 고객으로부터 받은 경로는 일반적으로 모든 피어와 업스트림 제공자에게 발표하지만, 피어나 업스트림으로부터 받은 경로는 고객에게만 발표하는 것이 일반적이다. 이 정책 모델을 종종 "고객->모두, 피어/업스트림->고객만"으로 요약한다. 아래 표는 주요 트랜짓 AS 유형의 특징을 비교한다.
유형 | 업스트림 제공자 | 전 세계 도달성 확보 방식 | 일반적인 고객 대상 |
|---|---|---|---|
Tier-1 AS | 없음 | 다른 모든 Tier-1 AS와의 무료 피어링 | 대규모 Tier-2 ISP, 콘텐츠 제공자, 대기업 |
Tier-2 AS | 하나 이상의 Tier-1 AS (유료) | 유료 트랜짓 계약 | 소규모 ISP, 스텁 AS(기업, 대학), 지역 사업자 |
이 계층 구조는 인터넷의 확장성과 경제적 모델을 가능하게 하지만, 특정 Tier-1 사업자에 대한 의존성이나 경쟁 부재와 같은 문제점을 내포하기도 한다.
4.2. 스텁 AS (말단 네트워크)
4.2. 스텁 AS (말단 네트워크)
스텁 AS는 일반적으로 단일 업링크 연결을 통해 인터넷에 접속하는 말단 네트워크를 의미한다. 이는 트래픽을 다른 AS에게 전달(트랜짓)하지 않고, 오직 자신의 네트워크와 그 내부 사용자들만을 위한 트래픽을 처리하는 것이 주된 목적이다. 대부분의 기업, 대학, ISP가 아닌 조직의 네트워크가 이 범주에 속한다. 스텁 AS는 외부로 나가는 트래픽을 자신의 업스트림 공급자에게 보내고, 들어오는 트래픽은 해당 업스트림 공급자를 통해서만 수신한다.
스텁 AS의 주요 특징은 다른 AS에 대한 트랜짓 서비스를 제공하지 않는다는 점이다. 즉, 한 AS에서 다른 AS로 가는 트래픽의 중계 지점이 되지 않는다. 이로 인해 BGP 라우팅 정책이 상대적으로 단순하며, 주로 자신의 네트워크 IP 주소 블록(프리픽스)을 업스트림 공급자에게 발표하고, 업스트림 공급자로부터 받은 기본 경로 또는 전체 인터넷 라우팅 테이블을 수용하는 구성이 일반적이다.
스텁 AS의 예시는 다음과 같다.
AS 유형 | 설명 | 일반적인 예 |
|---|---|---|
기업 네트워크 | 단일 ISP와 연결된 회사 내부 네트워크 | 대기업, 금융기관, 공공기관의 자체 ASN |
캠퍼스 네트워크 | 대학이나 연구기관의 네트워크 | 대학교 내부 LAN을 인터넷에 연결 |
소규모 ISP | 최종 사용자에게만 서비스를 제공하고, 상위 ISP에게 트랜짓을 구매하는 사업자 | 지역 케이블 ISP, 소형 통신사 |
스텁 AS는 인터넷 라우팅 구조의 기초를 이루는 가장 많은 수의 자율 시스템이다. 이들은 트랜짓 AS에 의존하여 인터넷의 나머지 부분과 연결성을 유지하며, 복잡한 BGP 피어링 정책이나 대규모 라우팅 테이블을 유지할 필요가 없어 운영 부담이 적은 편이다.
4.3. 멀티홈 AS
4.3. 멀티홈 AS
멀티홈 AS는 단일 업스트림 인터넷 서비스 제공자에만 연결된 스텁 AS와 달리, 둘 이상의 다른 자율 시스템에 연결된 네트워크를 의미한다. 이는 주로 연결성의 향상과 내결함성 확보를 목적으로 한다. 하나의 업스트림 연결이 단절되더라도 다른 연결을 통해 인터넷 접근성을 유지할 수 있으며, 트래픽 엔지니어링을 통해 특정 경로로 트래픽을 우회시켜 성능을 최적화하거나 비용을 절감할 수 있다.
멀티홈 AS는 일반적으로 두 가지 주요 형태로 구현된다. 첫째는 단일 ISP의 서로 다른 두 개의 접속점에 연결하는 방식이다. 둘째는 완전히 다른 두 개 이상의 ISP에 각각 연결하는 방식이다. 후자의 경우 네트워크 운영자는 각 ISP와 별도의 BGP 피어링 세션을 설정하고, 자신의 IP 주소 블록을 양쪽으로 모두 발표한다. 이를 통해 한 ISP의 네트워크에 장애가 발생하더라도 다른 ISP를 통한 경로가 자동으로 활성화되어 서비스 중단을 방지한다.
멀티홈 구성은 다음과 같은 장점을 제공한다.
장점 | 설명 |
|---|---|
연결성 향상 | 다중 업스트림 경로를 통해 인터넷 접근성과 신뢰성이 높아진다. |
하나의 연결 또는 ISP에 장애가 발생해도 서비스가 유지된다. | |
비용, 대역폭, 지연 시간 등을 고려해 특정 트래픽의 경로를 제어할 수 있다. | |
성능 최적화 | 특정 목적지에 대해 더 짧거나 빠른 경로를 선택할 수 있다. |
그러나 멀티홈 AS 운영은 단일 연결에 비해 복잡도와 비용이 증가한다는 단점이 있다. 네트워크 운영자는 BGP 라우팅 정책을 직접 구성하고 관리해야 하며, 두 개의 ISP와의 계약 및 물리적 연결을 유지해야 한다. 또한, 부적절한 BGP 설정은 라우팅 루프를 초래하거나, 자신의 네트워크를 의도치 않게 트랜짓 AS처럼 동작하게 만들어 트래픽을 전달하는 역할을 수행할 수 있다[6].
5. ASN 등록 및 조회
5. ASN 등록 및 조회
ASN은 IANA가 전 세계적으로 관리하는 유일한 자원이다. IANA는 대륙별로 지정된 5개의 지역 인터넷 레지스트리(RIR)에게 ASN 블록을 할당하며, 최종 사용자인 네트워크 운영자는 소속된 RIR을 통해 ASN을 신청하고 할당받는다. 각 RIR은 할당 정책을 수립하며, 일반적으로 네트워크가 다중 상위망 연결(멀티홈)을 증명해야 할당 자격을 얻는다.
할당된 ASN과 그 소유자에 대한 정보는 WHOIS 데이터베이스에 기록된다. 각 RIR은 자체 WHOIS 서비스를 운영하며, AS 번호, 소유 조직명, 연락처, 등록 날짜, 그리고 해당 AS가 발표하는 IP 주소 블록(경로) 등의 정보를 제공한다. 이 정보는 네트워크 운영 및 문제 해결, 그리고 BGP 라우팅 보안을 위한 검증에 필수적이다.
RIR별 등록 절차는 유사하지만 세부 요건과 비용은 차이가 있다. 일반적인 절차는 다음과 같다.
단계 | 주요 내용 |
|---|---|
1. 자격 확인 | 소속 RIR의 정책에 따라 ASN 필요 요건(예: 멀티홈) 충족 여부 확인 |
2. RIR 회원 가입 | |
3. 자원 신청 | 온라인 포털을 통해 ASN 할당을 공식적으로 신청하고 필요성 증명 |
4. 검토 및 할당 | RIR의 검토를 거쳐 ASN이 할당되고 연간 유지비가 부과됨 |
5. WHOIS 등록 | 할당된 ASN 정보를 WHOIS 데이터베이스에 등록 및 공개 |
할당 후에는 네트워크 운영자가 자신의 자율 시스템 번호를 BGP 설정에 구성하고, 상위 또는 피어 ISP와 협의하여 인터넷 라우팅 테이블에 자신의 네트워크 경로를 발표한다. ASN 정보의 정확한 유지는 BGP 라우팅의 안정성과 신뢰성에 직접적인 영향을 미친다.
5.1. WHOIS 데이터베이스
5.1. WHOIS 데이터베이스
WHOIS 데이터베이스는 AS 번호를 포함한 인터넷 자원(IP 주소, 도메인 이름 등)의 등록 정보를 저장하고 조회할 수 있는 공개 데이터베이스이다. 각 지역 인터넷 레지스트리는 자신이 관리하는 ASN과 IP 주소 블록에 대한 WHOIS 서비스를 운영하며, 여기에는 ASN 소유 조직의 이름, 연락처, 등록 일자, 기술 연락처 정보 등이 기록된다.
WHOIS 조회는 주로 네트워크 운영 및 문제 해결, 법적 조사, 스팸 차단 등에 활용된다. 예를 들어, 특정 IP 주소에서 발생한 문제의 원인을 추적하거나, 특정 ASN을 운영하는 조직의 신원을 확인할 때 사용된다. 주요 RIR별 WHOIS 서비스 접근 주소는 다음과 같다.
RIR | WHOIS 서비스 URL |
|---|---|
ARIN (북미) | https://whois.arin.net/ |
RIPE NCC (유럽, 중동, 중앙아시아) | https://apps.db.ripe.net/db-web-ui/#/query |
APNIC (아시아-태평양) | https://www.apnic.net/whois |
LACNIC (라틴아메리카, 카리브해) | https://www.lacnic.net/1010/2/lacnic/whois |
AFRINIC (아프리카) | https://www.afrinic.net/whois |
WHOIS 데이터베이스의 정보는 정확성과 최신 상태를 유지하는 것이 중요하지만, 등록자의 프라이버시 문제와 정보 갱신 지연으로 인해 항상 완벽하지는 않을 수 있다. 이에 따라 일부 RIR들은 등록자 프라이버시를 보호하는 RDAP(Registration Data Access Protocol) 서비스를 점차 도입하고 있다[7]. 네트워크 운영자는 자신의 ASN에 대한 WHOIS 정보가 정확한지 주기적으로 확인하고 갱신하는 것이 좋다.
5.2. RIR별 등록 절차
5.2. RIR별 등록 절차
AS 번호를 할당받기 위해서는 해당 지역의 지역 인터넷 레지스트리에 신청해야 한다. 전 세계는 다섯 개의 RIR이 관할하며, 각 RIR은 관할 지역 내의 기관이나 기업에 ASN을 할당하는 책임을 진다. 신청자는 일반적으로 해당 RIR의 회원이어야 하며, 할당 정책을 충족하는 기술적, 행정적 요건을 입증해야 한다.
각 RIR의 할당 절차는 기본 원칙은 유사하지만 세부 사항에서 차이를 보인다. 일반적인 절차는 다음과 같다.
1. 자격 요건 확인: 신청 조직이 RIR의 서비스 지역에 위치해 있어야 하며, 독립적인 라우팅 정책을 운영할 기술적 필요성을 증명해야 한다. 이는 일반적으로 멀티홈 연결을 보유하거나, 공용 인터넷에서 독립적인 라우팅 정책을 수립할 계획이 있음을 의미한다.
2. 신청서 제출: RIR의 온라인 포털을 통해 공식 신청서를 제출한다. 신청서에는 조직 정보, 기술적 정당성(예: 연결된 업스트림 제공업체 목록 및 라우팅 계획), 요청하는 ASN 유형(2바이트 또는 4바이트) 등이 포함된다.
3. 심사 및 평가: RIR의 할당 팀이 신청 내용을 검토하여 정책 적합성을 평가한다. 필요한 경우 추가 정보를 요청할 수 있다.
4. 할당 및 등록: 신청이 승인되면 특정 ASN이 신청 조직에 할당되고, RIR의 WHOIS 데이터베이스에 등록 정보가 갱신된다. 할당과 동시에 해당 ASN을 사용하기 위한 최소한의 IP 주소 블록(일반적으로 /24 이상)도 함께 할당되거나, 이미 보유한 주소 블록과 연계된다.
주요 RIR별 특징은 아래 표와 같다.
RIR | 관할 지역 | 주요 특징 |
|---|---|---|
미국, 캐나다, 카리브해 지역 | 역사적으로 많은 초기 ASN을 할당했으며, 자원 고갈 문제에 대응한 정책을 발전시켰다. | |
유럽, 중동, 중앙아시아 | 세계에서 가장 큰 RIR 중 하나로, 상세한 기술 평가 절차를 갖추고 있다. | |
아시아-태평양 지역 | 급속한 인터넷 성장 지역을 담당하며, 4바이트 ASN의 초기 채택을 촉진했다. | |
라틴 아메리카 및 카리브해 일부 | 지역 내 인터넷 자원 관리 및 기술 역량 강화에 중점을 둔다. | |
아프리카 지역 | 최신에 설립된 RIR으로, 지역 내 인터넷 인프라 발전을 지원한다. |
할당 절차는 RIR의 정책 문서에 의해 규정되며, 정책은 지역 인터넷 커뮤니티의 합의를 통해 지속적으로 개정된다. 할당을 받은 조직은 할당된 자원을 정책에 명시된 목적으로만 사용해야 하며, 정기적으로 RIR에 연락처 정보를 최신 상태로 유지할 의무가 있다.
6. 보안 및 운영상 고려사항
6. 보안 및 운영상 고려사항
BGP는 신뢰 기반의 프로토콜로 설계되어, 네트워크 운영자가 발표하는 경로 정보를 기본적으로 신뢰합니다. 이로 인해 악의적이거나 실수로 잘못된 경로를 발표하는 BGP 하이재킹 사고가 빈번히 발생합니다. 하이재킹은 특정 IP 주소 블록에 대한 라우팅 권한이 없음에도 불구하고, 자신의 AS를 통해 해당 트래픽이 흐르도록 경로를 광고하는 행위입니다. 이는 트래픽 감청, 서비스 거부, 또는 단순한 오류로 인해 발생할 수 있으며, 인터넷의 일부 구간에 심각한 연결 장애를 초래합니다.
이러한 위협을 완화하기 위해 자율 시스템 번호와 IP 주소 블록의 소유권을 검증하는 인프라가 개발되었습니다. 주요 방법은 RPKI입니다. RPKI는 인터넷 자원 번호 할당 기관이 할당한 자원(AS 번호, IP 주소)의 소유권을 암호학적으로 서명하고 검증할 수 있는 체계입니다. 자원 소유자는 ROA를 생성하여, 특정 IP 주소 블록을 어떤 AS 번호가 발표할 권한이 있는지 명시합니다. 그러면 상위 ISP나 라우터는 이 ROA 정보를 검증하여, 권한 없는 AS로부터의 경로 발표를 필터링할 수 있습니다.
운영상, 네트워크 관리자는 자신의 AS와 피어링하는 다른 AS로부터 수신하는 경로 정보를 필터링해야 합니다. 일반적인 실천법은 다음과 같습니다.
* 사설 AS 번호 범위(64512-65534)로부터 발표된 경로를 거부합니다.
* 예약된 또는 미할당 IP 주소 공간으로의 경로를 거부합니다.
* 자신의 AS 번호가 경로 상에 포함된 경로(AS 경로 루프)를 거부합니다.
* 가능한 한, 고객으로부터는 오직 그 고객이 소유한 IP 주소 블록에 대한 경로만 수락합니다.
이러한 필터링 정책은 수동으로 구성되거나, RPKI 기반의 유효성 검사 결과를 활용하여 자동화될 수 있습니다. 효과적인 필터링은 실수로 인한 라우팅 오류의 전파를 막고, 악의적인 하이재킹 시도를 차단하는 첫 번째 방어선 역할을 합니다.
6.1. BGP 하이재킹
6.1. BGP 하이재킹
BGP 하이재킹은 악의적인 행위자가 합법적인 ASN 소유자의 IP 주소 블록을 사칭하여 잘못된 경로 정보를 인터넷에 광고하는 공격이다. 이 공격은 BGP 프로토콜이 발표된 경로의 진위를 기본적으로 검증하지 않는 신뢰 기반의 특성을 악용한다. 공격자는 자신의 AS 경로를 통제하는 라우터를 조작하여 다른 자율 시스템의 IP 주소 공간에 대한 라우팅 경로를 자신의 네트워크로 향하도록 선언한다. 이로 인해 해당 IP 주소로 향하는 트래픽이 의도하지 않은 악성 경로로 우회되어 트래픽 차단, 감시 또는 변조의 대상이 될 수 있다.
BGP 하이재킹은 주로 다음과 같은 형태로 발생한다.
유형 | 설명 |
|---|---|
특정 접두사 하이재킹 | 한 AS의 특정 IP 주소 블록을 탈취하여 광고한다. |
좀 더 구체적인 경로 하이재킹 | 합법적인 광고보다 더 길이가 긴(더 구체적인) 서브넷 경로를 광고하여, 라우터가 가장 구체적인 경로를 선호하는 원칙을 악용한다. |
부분적 하이재킹 | 합법적인 AS 경로의 일부를 포함시켜 신뢰성을 높이는 변형된 공격이다. |
이러한 공격의 결과는 심각하다. 트래픽이 공격자의 네트워크를 통과하면서 서비스 거부 공격이 발생하거나, 민감한 데이터가 유출될 수 있다. 또한 하이재킹된 트래픽이 다른 대형 네트워크를 통해 전 세계로 확산되면 광범위한 인터넷 장애를 초래할 수 있다. 역사적으로 2008년 파키스탄의 한 인터넷 서비스 제공자가 유튜브의 IP 주소를 차단하려다 전 세계로 잘못된 경로를 유포한 사건이 대표적이다.
이를 방지하기 위해 RPKI 기반의 ROA와 같은 경로 출처 인증 기술이 도입되고 있다. ROA는 IP 주소 블록의 소유자가 어떤 AS 번호가 해당 블록을 광고할 권한이 있는지를 암호화 방식으로 등록하는 체계이다. 수신측 라우터는 이 정보를 검증하여 권한 없는 경로 광고를 필터링할 수 있다. 그러나 RPKI의 전 세계적 배포는 아직 완전하지 않아, 많은 네트워크 운영자들은 수동으로 구성된 접두사 필터 목록을 통해 BGP 하이재킹 위험을 완화한다.
6.2. AS 경로 필터링 (ROA, RPKI)
6.2. AS 경로 필터링 (ROA, RPKI)
BGP 라우팅의 무결성을 보호하고 잘못된 경로 발표를 방지하기 위해 여러 보안 메커니즘이 개발되었다. 이 중 ROA와 RPKI는 AS 경로의 유효성을 검증하는 데 핵심적인 역할을 한다. ROA는 IP 주소 블록을 소유한 자가 특정 AS 번호만이 해당 블록에 대한 경로를 발표할 수 있도록 권한을 부여하는 암호화 서명 객체이다. RPKI는 이러한 ROA를 생성, 배포, 검증하는 데 필요한 공개 키 인프라 전체를 지칭한다.
라우터는 RPKI 검증기를 통해 수신한 BGP 경로의 유효성을 확인할 수 있다. 검증 결과는 일반적으로 다음 세 가지 상태로 분류된다.
유효성 상태 | 의미 |
|---|---|
Valid | 경로 발표자가 IP 주소 블록과 AS 번호에 대한 유효한 ROA를 보유하고 있음 |
Invalid | 경로 발표자가 IP 주소 블록에 대한 권한이 없거나, ROA에 명시된 AS 번호와 불일치함 |
NotFound | 해당 IP 주소 블록에 대한 ROA가 RPKI 시스템에 존재하지 않음 |
네트워크 운영자는 이러한 검증 결과를 기반으로 라우팅 정책을 수립하여 Invalid 상태의 경로를 필터링할 수 있다. 이를 통해 실수나 악의적인 목적의 BGP 하이재킹으로 인한 트래픽 차단 또는 편향을 효과적으로 방지한다. RPKI의 채택은 전 세계적으로 증가하는 추세이나, 모든 네트워크가 이를 구현하는 것은 아니므로 보안 수준은 네트워크마다 차이가 있다.
7. ASN의 역사와 발전
7. ASN의 역사와 발전
ASN의 개념은 인터넷이 단일 네트워크에서 여러 독립적인 네트워크들의 집합체로 진화하는 과정에서 등장했다. 초기 인터넷에서는 ARPANET이 중심 백본을 이루었고, 모든 라우팅 결정은 중앙 집중식으로 관리되었다. 그러나 1980년대에 상용 네트워크 서비스 제공자와 대학, 기업 네트워크가 등장하면서, 이들 독립적인 네트워크 간에 경로 정보를 교환할 표준화된 메커니즘이 필요해졌다. 이에 따라 1989년 경계 게이트웨이 프로토콜(BGP)이 개발되었고, BGP가 각 독립 네트워크(자율 시스템)를 고유하게 식별하기 위해 도입한 번호 체계가 ASN이다.
ASN은 초기에는 2바이트(16비트) 정수로 정의되어 1부터 65534까지 총 65,534개의 번호를 사용할 수 있었다(0과 65535는 예약됨). 인터넷의 폭발적 성장으로 1990년대 후반부터 2바이트 ASN의 고갈이 예측되기 시작했다. 이에 대응하여 2007년, 인터넷 표준(RFC 4893)을 통해 4바이트(32비트) ASN 체계가 도입되었다. 4바이트 ASN은 약 43억 개의 번호를 제공하여 장기적인 주소 공간 확보를 가능하게 했다. 할당 기관인 IANA는 2010년 1월에 공식적으로 2바이트 ASN 풀을 고갈 선언했으며, 그 이후부터는 신규 할당이 4바이트 ASN으로 전환되었다.
ASN의 운영 및 보안 측면에서도 중요한 발전이 이루어졌다. 초기 BGP 라우팅은 상호 신뢰에 기반하여 상대방이 발표하는 경로 정보를 기본적으로 수용했으나, 이는 악의적이거나 실수로 인한 잘못된 경로 발표(BGP 하이재킹)로 인한 라우팅 장애를 초래할 수 있었다. 이를 완화하기 위해 자원 공개키 인프라(RPKI)와 같은 검증 메커니즘이 개발되어, ASN과 IP 주소 블록의 소유권을 암호학적으로 검증하고 올바른 경로 발표를 보장하는 데 활용되고 있다. 이러한 발전은 인터넷의 핵심 라우팅 인프라를 보다 견고하고 안정적으로 만드는 데 기여하고 있다.
