인터넷은 자율 시스템이라는 IP 네트워크나 라우터 집합으로 이뤄져 있다. 자율 시스템 사이 통신 경로를 결정하는 라우팅은 BGP(Border Gateway Protocol)라는 프로토콜을 이용한다. 하지만 BGP는 BGP하이재킹이라는 공격에 의해 통신 경로를 빼앗기는 문제가 발생한다. 클라우드플레어(Cloudflare)가 이 같은 문제에 자신이 이용하는 인터넷 공급자 ISP가 처리할 수 있는지 확인할 수 있는 웹사이트(Is BGP safe yet?)를 공개했다.
BGP는 1989년 제정된 인터넷 공급자 등 자율 시스템간 라우팅을 맡는 프로토콜이다. BGP의 안전성이 높다고 할 수는 없어 과거에는 BGP 하이재킹에 의한 네트워크 납치 피해가 발생하기도 했다.
이런 문제를 해결하기 위해 BGP 보안 기능으로 개발된 게 RPKI. RPKI는 각 자율 시스템에 할당된 고유 번호인 AS번호와 IP주소 올바른 조합을 나타내는 ROA, 실제로 라우터의 경로 정보를 비교해 IP 주소 오용과 BGP 하이재킹을 검출한다.
RPKI를 통한 안전한 인터넷을 제공하려면 IPS는 RPKI를 지원해야 한다. 클라우드플레어가 공개한 웹사이트를 이용하면 자신이 사용하는 ISP가 RPKI를 대응하는지 여부를 알 수 있다. 버튼(Test your ISP)을 누르면 곧바로 결과가 표시된다.
클라우드플레어가 공개한 RPKI 대응 상황을 IP 주소 공간에 나타낸 걸 보면 노란색은 RPKI 대응 IP 주소 공간, 파란색은 지원하지 않는 곳을 나타낸다. 아직은 지원하지 않는 쪽이 더 많다.
이 사이트의 동작은 간단하며 RPKI 대응에 관계없이 액세스할 수 있다. 대응 여부 관계없이 액세스할 수 있는 사이트(valid.rpki.cloudflare.com), RPKI에 해당하는 경우 액세스할 수 있는 사이트(invalid.rpki.cloudflare.com) 양쪽에 액세스를 시도해 2곳 모두에서 응답하면 RPKI에 대응한다고 판단한다. 클라우드플레어 측은 BGP 문제에 의한 경로 정보 유출이나 네트워크 탈취를 과거의 것이라고 말할 날이 오기를 기대한다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.