NDN 기반 익명 통신 시스템 ANDaNA

초록

본 논문은 콘텐츠‑중심 네트워킹인 Named Data Networking(NDN)에서 이름의 의미론적 풍부함이 초래하는 프라이버시 위협을 분석하고, Tor의 onion 라우팅 개념을 차용한 NDN 전용 익명화 도구 ANDaNA를 설계·구현한다. ANDaNA는 이름 암호화와 다중 중계 노드를 이용해 소비자의 요청을 은폐하고, Tor 대비 라우터 홉 수를 줄여 오버헤드를 감소시킨다. 실험 결과는 낮은 지연과 적은 대역폭 비용으로 Tor 수준의 익명성을 제공함을 보여준다.

상세 분석

NDN은 패킷에 출발지·목적지 주소가 없고, 모든 콘텐츠에 서명을 부여한다는 점에서 기존 IP 기반 네트워크보다 보안 친화적이라고 평가받는다. 그러나 이름 자체가 의미를 내포하고 있기 때문에, 관심(Interest) 패킷에 포함된 이름만으로도 어떤 콘텐츠를 요청했는지를 쉽게 추론할 수 있다. 이는 ‘이름 프라이버시’, ‘콘텐츠 프라이버시’, ‘캐시 프라이버시’, ‘서명 프라이버시’라는 네 가지 주요 위협을 만든다. 특히, 동일 이름에 대한 반복 요청은 캐시 히트와 PIT(Pending Interest Table) 콜랩싱을 통해 네트워크 관측자가 소비자를 식별하거나 행동을 연관짓는 데 이용될 수 있다.

ANDaNA는 이러한 문제를 해결하기 위해 NDN 위에 온리온 라우팅을 구현한다. 발신자는 먼저 목적지 노드의 공개키를 이용해 다중 레이어의 암호화된 이름을 생성하고, 이를 순차적으로 세 개의 중계 노드(가드, 미들, 엑시트)에게 전달한다. 각 중계 노드는 자신에게 해당하는 레이어를 복호화하고, 남은 암호화된 이름을 다음 노드로 전달한다. 최종 엑시트 노드는 복호화된 원본 이름을 사용해 실제 콘텐츠를 요청하고, 반환된 데이터는 역순으로 다시 암호화되어 발신자에게 돌아온다. 이 과정에서 NDN의 PIT와 캐시 메커니즘을 그대로 활용하면서도, 이름 자체가 암호화돼 관측자가 의미를 파악하기 어렵게 만든다.

보안 모델에서는 ‘전역 수동 적대자’와 ‘지역 활성 적대자’를 가정하고, 익명성(발신자와 수신자를 구분할 수 없음)과 연결 끊김성(동일 소비자의 여러 요청을 연관짓지 못함)을 형식적으로 정의한다. 논문은 ANDaNA가 이러한 정의를 만족함을 증명하고, Tor보다 적은 라우터 홉(3 vs. 3)과 NDN 특유의 라우팅 상태(PIT)를 이용해 타이밍 공격에 대한 내성을 강화한다는 점을 강조한다.

프로토타입 구현은 CCNx 기반 테스트베드에서 수행되었으며, 웹 브라우징과 인스턴트 메신저 트래픽을 대상으로 지연, 대역폭 오버헤드, 캐시 히트 비율을 측정했다. 결과는 ANDaNA가 Tor 대비 평균 20 % 정도 낮은 지연과 30 % 이하의 추가 대역폭 사용을 보였으며, 특히 짧은 세션과 빈번한 요청이 섞인 패턴에서 효율성이 두드러졌다. 다만, 중계 노드의 신뢰성 확보와 키 관리, 대규모 네트워크에서의 라우터 부하 문제는 향후 연구 과제로 남는다.