클라우드 데이터 전송 보안을 위한 식별 패킷 및 UDT 인증 옵션 도입

초록

본 논문은 클라우드·그리드 환경에서 대용량 데이터를 전송하는 UDP 기반 전송 프로토콜인 UDT에 보안성을 강화하기 위해 식별 패킷(IP)과 인증 옵션(AO) 필드를 추가하는 설계를 제안한다. IP는 송신자를 명시적으로 식별하고, AO는 메시지 무결성과 인증을 제공한다. 설계 원리, 패킷 구조, 상태 전이, 그리고 구현 시 발생하는 오버헤드와 호환성 문제를 분석하고, 시뮬레이션을 통해 전송 효율성과 보안 강화 효과를 검증한다.

상세 분석

UDT는 고속 WAN 환경에서 TCP의 혼잡 제어 한계를 극복하기 위해 설계된 UDP 기반 전송 프로토콜로, 대용량 파일 전송, 스트리밍, 그리드·클라우드 컴퓨팅 등에 널리 활용된다. 그러나 전송 계층에서 인증·무결성 검증 메커니즘이 부재한 점은 데이터 변조, 스푸핑, 중간자 공격 등에 취약하게 만든다. 기존 연구들은 애플리케이션 레벨에서 TLS·DTLS 등을 적용하거나, 별도의 보안 터널을 구축하는 방식을 제안했지만, 이는 추가적인 설정 비용과 성능 저하를 초래한다.
본 논문이 제시한 두 가지 보안 확장은 UDT 자체에 저수준 보안 기능을 삽입함으로써 이러한 문제를 근본적으로 해결한다. 첫 번째인 식별 패킷(IP)은 초기 핸드쉐이크 단계에서 송신자의 고유 ID(예: UUID 또는 인증서 해시)를 포함한다. 이를 통해 수신자는 연결 요청 시점에 상대방을 검증하고, 악의적인 IP 스푸핑을 차단한다. 두 번째인 인증 옵션(AO)은 각 데이터 세그먼트에 HMAC 기반 인증 코드를 부착한다. AO는 UDT 헤더의 옵션 필드에 삽입되며, 선택적 사용이 가능하도록 설계돼 기존 UDT 구현과의 하위 호환성을 유지한다.
패킷 구조 변경은 헤더 길이 증가와 연산 비용을 동반한다. HMAC 계산은 대칭키 암호화 연산이므로 CPU 사용량이 증가하지만, 현대 서버·클라우드 인프라에서는 이 비용이 네트워크 대역폭 제한보다 작다. 또한, 옵션 필드가 가변 길이이므로 MTU 초과 위험을 최소화하기 위해 옵션 크기를 16바이트 이하로 제한하고, 필요 시 세그먼트 분할 로직을 추가한다.
프로토콜 상태 전이 모델은 기존 UDT의 3‑way 핸드쉐이크에 IP 교환 단계를 삽입하고, 데이터 전송 단계에서 AO 검증을 수행하도록 확장된다. 수신자는 AO 검증에 실패할 경우 해당 세그먼트를 폐기하고, 재전송 요청을 트리거한다. 이 과정은 UDT의 자체 재전송 메커니즘과 연계되어 전반적인 신뢰성을 향상시킨다.
보안 분석에서는 기밀성은 제공하지 않지만, 무결성·인증을 통해 데이터 변조와 세션 하이재킹을 효과적으로 방어한다. 또한, IP 기반 인증은 중간자 공격을 사전에 차단하고, AO는 재전송 공격을 억제한다. 성능 평가 결과, 평균 RTT가 10 ms인 환경에서 AO를 적용한 경우 전체 전송량이 3 % 정도 감소했으며, 이는 헤더 오버헤드와 HMAC 연산 비용에 기인한다. 그러나 전송량이 10 Gbps 수준으로 확대될 때는 CPU 사용률이 15 % 상승했지만, 네트워크 포화 상태를 초과하지 않아 실용적인 수준으로 판단된다.
결론적으로, IP와 AO를 도입한 UDT는 기존 애플리케이션 레벨 보안 대비 설정 복잡성을 크게 낮추면서도, 클라우드·그리드 환경에서 요구되는 고성능·고보안 전송을 동시에 만족한다. 향후 연구에서는 공개키 기반 인증과 암호화 옵션을 추가해 기밀성까지 확보하는 방향으로 확장할 수 있다.