BGP 안정성은 위태롭다

본 논문은 인터넷의 핵심 라우팅 프로토콜인 BGP (Border Gateway Protocol)의 의사결정 과정에 대한 수정이 네트워크 안정성에 미치는 영향을 이론적으로 분석한다. 저자는 BGP 의 의사결정 과정을 Stable Paths Problem(SPP) 라는 형식화된 모델로 표현한다. SPP 에서는 그래프 G=(V,E) 와 각 라우터 v∈V 에 대한 순위 함수 λᵥ 가 주어지며, λᵥ (P₁) > λᵥ (P₂) 일 때 v 는 경로 P₁ 을 P₂ 보다 선호한다. 경로는 단순 경로(루프가 없는)만 고려하고, “null path” ε 도 유효한 선택지로 포함한다. 라우터는 주기적인 “활성화”에 따라 현재 이웃이 광고한 경로 중 가장 선호하는 경로를 선택한다. 모든 라우터가 무한히 자주 활성화될 경우, 시스템이 결국 안정적인 경로 할당 π 에 도달하는지를 “안전(safe)” 여부로 정의한다. 논문의 핵심 질문은 “표준 BGP 가 수렴하는 상황에서, 의사결정 로직을 약간이라도 바꾸면 발산할 수 있는가?”이다. 이를 위해 저자는 두 개념을 도입한다. 첫 번째는 ‘안전하게 구별된(safely distinct)’ 순위 함수이다. 두 순위 함수 λ와 λ′ 가 존재하는 네트워크 N 에 대해 (N,λ) 와 (N,λ′) 가 모두 안전하지만 최종 안정 상태가 서로 다를 때, λ와 λ′ 를 안전하게 구별된다고 정의한다. 이는 두 함수가 단순히 동등한 결과만 내는 경우를 배제한다. 두 번째는 ‘부분 배포(partial deployment)’와 ‘전체 배포(full deployment)’이다. 부분 배포는 λ′ 를 특정 서브그래프 N₀ ⊆ G 에만 적용하고, 나머지 노드들은 기존 λ 를 그대로 사용하는 상황을 의미한다. 이를 수식적으로 λ* 로 정의하고, N₀ 외부의 경로는 ε 보다 낮게 평가해 N₀ 내부에서만 λ′ 가 작동하도록 만든다. **정리 1 (부분 배포)** λ와 λ′ 가 안전하게 구별된다면, 어떤 SPP 인스턴스 (G,λ_G) 를 구성했을 때 λ 를 부분 배포하면 시스템은 항상 안정적인 경로 할당을 갖지만, λ′ 를 동일한 방식으로 부분 배포하면 안정적인 할당이 존재하지 않는다. 증명은 다음과 같다. 1. λ와 λ′ 가 안전하게 구별되는 네트워크 N 을 찾는다. 2. G 에는 N 과 N′ (N의 복제) 를 포함하고, 두 복제 사이에 새로운 노드 x 를 연결한다. 3. 또한 a‑b‑c 로 이루어진 삼각형 “오실레이터 가젯”을 추가하고, a 를 x 와 연결한다. 4. λ_G 를 정의하면서 x 가 N 과 N′ 양쪽에서 오는 경로를 교차 비교하도록 순위를 매긴다. 특히, λ_G(x→w→P₁) > λ_G(x→w′→P′₁) > … 와 같은 체인을 만든다. 5. a 라우터는 x 를 통해 들어오는 특정 경로를 가장 선호하도록 설정한다. λ 를 N′ 에만 부분 배포하면, N 과 N′ 은 각각 자체적인 안정 상태 (P_i , P′_i) 로 수렴하고, x 는 N 의 경로 P_i 를 지속적으로 선택한다. 그 결과 a‑b‑c 삼각형은 “Bad Gadget” 의 전형적인 안정 상태 (a→x→P_i, b→bc→0, c→0) 로 고정된다. 반면 λ′ 를 N′ 에만 부분 배포하면, x 가 N′ 의 경로를 선호하게 되고 a‑b‑c 삼각형은 서로를 계속 교체하며 무한히 진동한다. 따라서 λ′ 의 부분 배포는 발산을 초래한다. **정리 2 (전체 배포와 표현력 보존)** 전체 배포 상황에서는 λ와 λ′ 가 단순히 다른 최종 상태를 갖는 것만으로는 위 정리를 바로 적용할 수 없다. 예를 들어, 최단 경로 라우팅은 부분 배포 시 발산을 일으키지만 전체 배포 시에는 항상 수렴한다. 이를 보완하기 위해 논문은 ‘표현력 보존(preserving expressiveness)’이라는 제약을 추가한다. 각 라우터는 부분 순위 함수 ˆλᵥ 를 지정하고, 의사결정 프로세스 d 가 ˆλᵥ 의 동점을 깨는 방식으로 전체 순위 λᵥ = d(ˆλᵥ) 를 만든다. 이렇게 하면 운영자는 원하는 대로 모든 경로에 서로 다른 값을 부여해 임의의 총 순서를 구현할 수 있다. 두 의사결정 프로세스 d와 d′ 가 안전하게 구별된다면, 앞서 사용한 G 와 ˆλ_G 를 구성해 전체 네트워크에 d 를 적용하면 안정적인 할당이 존재하고, d′ 를 적용하면 안정적인 할당이 존재하지 않는다. 증명은 정리 1 의 구조를 그대로 차용하면서, 각 라우터의 부분 순위 함수를 적절히 설정해 d 혹은 d′ 가 동일한 효과를 내도록 만든다. **확장 및 논의** 논문은 또한 두 순위 함수가 동적 수렴 과정 중 어느 순간이라도 다른 경로를 선택한다면, 특정 활성화 순서에 대해 한쪽은 수렴하고 다른 쪽은 발산한다는 stronger result 를 제시한다. 이는 “Disagree” 가젯을 삽입해 과거 차이를 기억하도록 함으로써 구현한다. 또한, 라우터가 시간에 따라 선호도를 바꾸는 플랩 억제와 같은 상태 기반 의사결정 모델에도 동일한 논리를 적용할 수 있음을 언급한다. **결론** 본 연구는 BGP 의 의사결정 로직을 수정할 때, 설계자는 “수정이 안전성을 해치지 않는다”는 일반적인 보장을 기대해서는 안 된다는 중요한 교훈을 제공한다. 어떤 작은 변경이라도, 특히 부분 배포 상황에서는 기존에 수렴하던 네트워크를 발산하게 만들 수 있다. 반대로, 기존에 발산하던 경우를 수정해 수렴시킬 수도 있다. 따라서 새로운 의사결정 메커니즘을 도입할 때는 실제 토폴로지와 트래픽 패턴을 반영한 실증적 평가가 필수적이며, 이론적 안전성 검증만으로는 충분하지 않다.