벤더 없는 가용성 공격: 기업 LAN에서 도킹 스테이션이 초래하는 RSTP 재계산

초록

본 논문은 사내 직원이 노트북을 도킹·언도킹할 때 발생하는 물리적 링크 변화가 Rapid Spanning Tree Protocol(RSTP)의 제어 평면을 반복적으로 재계산하게 만들고, 이로 인해 2~4초 정도의 일시적 포워딩 중단이 발생함을 실증한다. 이러한 현상은 악의적 행위가 없으며 기존 보안 모니터링에도 포착되지 않지만, 실시간 음성·영상 서비스의 품질을 저하시키는 가용성 위협으로 작용한다. 논문은 이를 NIST·MITRE 내부 위협 프레임워크에 매핑하고, Edge‑Port에 PortFast와 유사한 설정을 적용해 문제를 완화할 수 있음을 제시한다.

상세 분석

이 연구는 현대 기업 환경에서 흔히 사용되는 USB‑C 도킹 스테이션이 레이어‑2 스위치에 “중간 장치”로 인식되면서, 물리적 링크 업/다운 이벤트를 유발한다는 점을 핵심으로 삼는다. RSTP는 IEEE 802.1w 표준에 따라 몇 초 이내에 토폴로지를 수렴하도록 설계되었지만, 설계 전제는 토폴로지 변화가 드물고 주로 장애나 관리 작업에 한정된다는 것이다. 논문은 실제 운영 중인 멀티‑브랜치 기업 LAN에서 동일한 VLAN 1에 속한 Meraki MS250 스위치 스택을 대상으로 3개 지점에서 데이터를 수집하였다. 스위치 로그와 사용자 활동 기록을 정밀히 시간 동기화한 결과, 도킹·언도킹 한 번당 평균 2.3 초(최소 2 초, 최대 4 초)의 포워딩 중단이 발생했으며, 이는 VoIP와 영상 회의 세션에서 오디오 클리핑, 비디오 프리즈, 세션 재협상 등 눈에 띄는 품질 저하로 이어졌다.

보안 관점에서 이 현상은 ‘악의적 의도’가 없으므로 전통적인 침입 탐지 시스템(IDS)이나 DoS 방어 메커니즘에 의해 탐지되지 않는다. 그러나 NIST SP 800‑61이 정의한 “가용성 저하가 심각한 경우는 보안 사고로 간주”한다는 원칙에 따라, 이 사건은 내부 위협(Insider Threat)으로 분류될 수 있다. 저자들은 NIST 내부 위협 분류와 MITRE ATT&CK의 T​A0040(DoS) 전술, 그리고 STRIDE의 ‘Denial of Service’ 카테고리에 모두 매핑함으로써, 비의도적 내부 행위가 실제로는 저속 내부 DoS와 동등한 영향을 미친다는 점을 체계화했다.

완화 방안으로 제시된 것은 Edge‑Port에 PortFast(또는 equivalent) 설정을 적용해 해당 포트를 “호스트 전용”으로 지정하고, 스패닝 트리 계산에서 제외시키는 것이다. 이를 적용한 후 동일 환경에서 재실험한 결과, 도킹·언도킹 시 발생하던 RSTP 토폴로지 변화 알림이 사라지고, 실시간 서비스 품질이 정상 수준으로 회복되었다. 이 해결책은 루프 방지 기능을 손상시키지 않으며, 스위치 기본 설정을 약간 수정하는 수준이므로 운영 비용이 거의 들지 않는다.

기술적 시사점은 다음과 같다. 첫째, 레이어‑2 제어 평면의 설계 가정이 현대 사무 환경의 동적 토폴로지와 맞지 않을 수 있음을 경고한다. 둘째, 기존 보안 모니터링은 “악의적 트래픽”에 초점을 맞추는 경우가 많아, 비의도적 프로토콜 동작에 의한 가용성 저하를 놓치기 쉽다. 셋째, 내부 위협 프레임워크를 ‘의도’가 아닌 ‘영향’ 중심으로 재해석함으로써, 비악의적 행위도 보안 사고로 포착할 수 있는 정책적 기반을 제공한다. 마지막으로, 간단한 포트 레벨 설정 변경만으로도 대규모 네트워크 재구성 없이 문제를 해결할 수 있다는 점은 실무 적용 가능성을 크게 높인다.