글로벌 인증 인프라를 위한 SAINT 설계

초록

본 논문은 DNSSEC, BGPSEC, TLS와 같은 기존 인증 메커니즘이 전 세계적으로 단일 신뢰 루트에 의존하거나 모든 루트에 동등한 권한을 부여함으로써 발생하는 확장성·격리·신뢰 민첩성 문제를 해결하고자 한다. 저자들은 인터넷을 ‘격리 도메인(ISD)’으로 분할하고, 각 ISD마다 독립적인 신뢰 루트를 두며, 라우팅 연결이 존재하는 ISD 간에 교차 서명을 강제하는 SAINT(Scalable Authentication Infrastructure for Next‑generation Trust) 구조를 제안한다. TRC 파일을 통해 신뢰 루트 정보를 라우팅 메시지와 함께 빠르게 전파하고, 사용자는 언제든지 TRC 파일을 교체함으로써 신뢰 루트를 자유롭게 선택·갱신할 수 있다. 이를 통해 격리된 인증, 신뢰 민첩성·이동성, 전역 검증 가능성, 투명 인증, 빠른 업데이트 등 6가지 목표 특성을 동시에 달성한다.

상세 분석

SAINT은 기존 인증 체계가 가진 ‘단일점 장애’와 ‘최약점 보안’ 문제를 근본적으로 재구성한다는 점에서 혁신적이다. 가장 핵심적인 설계 요소는 ‘격리 도메인(ISD)’이며, 이는 지리적·정책적 경계에 따라 AS 집합을 묶어 각각 고유한 신뢰 루트 집합을 보유하도록 한다. ISD 내부에서는 DNSSEC, BGPSEC, TLS가 각각 해당 도메인의 루트에 의해 서명되고 검증되므로, 한 ISD의 루트가 손상되더라도 다른 ISD에 미치는 영향을 최소화한다.

교차 서명 메커니즘은 라우팅 연결이 존재하는 ISD 쌍 사이에만 적용된다. 즉, 물리적으로 트래픽을 교환하는 두 도메인만 서로의 루트를 인증한다는 전제하에, 경로가 존재하면 해당 경로를 따라 연쇄적인 서명 체인이 형성된다. 이는 ‘전역 검증 가능성(Global Verifiability)’을 보장하면서도 불필요한 전 세계적 신뢰 관계를 강요하지 않는다. 또한, 교차 서명은 TRC 파일에 포함된 루트 공개키를 이용해 서명되므로, 사용자는 인증 과정에서 어느 ISD의 루트가 어떤 단계에 관여했는지 명확히 파악할 수 있다(‘투명 인증’).

TRC 파일은 기존 라우팅 프로토콜(BGPSEC)과 동일한 전파 경로를 이용해 배포된다. 라우팅 업데이트가 실시간으로 전파되는 것과 동일한 메커니즘을 활용함으로써, 루트 키 교체·폐기와 같은 보안 이벤트가 발생했을 때 수분 이내에 전 세계에 전파될 수 있다. 사용자는 운영 체제나 브라우저를 업데이트하지 않고도 새로운 TRC 파일을 다운로드해 신뢰 루트를 교체할 수 있어 ‘신뢰 민첩성(Trust Agility)’과 ‘업데이트 효율성(Update Efficiency)’을 동시에 제공한다.

SAINT은 인증을 라우팅과 서비스(이름·EE 인증)로 명확히 분리한다. 라우팅 인증은 ISD 간 교차 서명에 의존하고, 서비스 인증은 사용자의 홈 ISD 루트에서 시작해 목적지 ISD까지 연쇄 서명을 따라 검증한다. 이 구조는 라우팅 인증과 서비스 인증 사이의 순환 의존성을 차단하고, 사용자가 어느 위치에 있든 동일한 신뢰 루트 집합을 유지할 수 있게 함으로써 ‘신뢰 이동성(Trust Mobility)’을 실현한다.

보안 모델은 암호학적 원시 연산이 안전하다는 가정 하에, 신뢰 루트가 손상되거나 메시지가 변조·재전송·삭제되는 공격을 고려한다. SAINT은 손상된 루트가 속한 ISD 내부에서만 영향을 미치게 설계되어 있어, 공격자는 전체 인터넷을 위협할 수 없으며, 손상된 루트를 빠르게 폐기하고 새로운 루트를 배포함으로써 피해를 최소화한다.

전체적으로 SAINT은 기존 인증 인프라의 구조적 한계를 ‘도메인 기반 격리 + 라우팅 연계 교차 서명 + TRC 기반 동적 신뢰 관리’라는 세 축으로 해결한다. 이 설계는 기존 DNSSEC·BGPSEC·TLS와 병행 운용이 가능하도록 설계돼 전환 비용을 낮추면서도, 향후 글로벌 인증 체계의 확장성과 보안성을 크게 향상시킬 수 있다.