IPv6 보안을 재정의하는 엣지 제로트러스트 데이터플레인 설계

초록

IPv6 네트워크의 핵심 프로토콜인 ND·RA·ICMPv6를 보호하기 위해, 외부·내부 스푸핑과 플러딩을 하나의 P4 파이프라인에서 통합 처리하는 엣지‑중심 제로트러스트 아키텍처를 제안한다. 프리픽스‑단계 Hop‑Limit 검증, DAD 기반 주소‑포트 바인딩, 그리고 Count‑Min Sketch 기반 윈도우 카운팅을 결합해 대규모 주소공간에서도 라인레이트 방어를 구현하고, BMv2와 Netronome NFP‑4000 SmartNIC에서 15가지 복합 공격 시나리오를 평가하였다.

상세 분석

본 논문은 IPv6 환경에서 기존 방어 메커니즘이 직면한 세 가지 근본적 한계—ICMPv6/ND의 필수성, 주소공간의 폭발적 규모, 그리고 외부·내부 위협의 동시 존재—를 명확히 규정하고, 이를 해결하기 위한 ‘제로트러스트 엣지’ 설계를 제시한다. 설계는 네 개의 모듈을 순차적으로 배치한 단일 P4 파이프라인으로 구성된다. 첫 번째 모듈은 외부 스푸핑 방지를 위해 소스 프리픽스별 Hop‑Limit 허용 구간을 LPM 테이블에 저장하고, 패킷 도착 시 Hop‑Limit이 해당 구간에 속하는지 즉시 판단한다. 이는 per‑host 상태를 유지할 수 없는 IPv6에서 프리픽스 수준의 통계적 신뢰성을 제공한다는 점에서 혁신적이다. 두 번째 모듈은 내부 스푸핑을 방지한다. IPv6 호스트가 DAD 과정에서 전송하는 Neighbor Solicitation(NS) 메시지를 최초 관찰 시, 해당 주소와 수신 포트를 바인딩하고, 이후 동일 주소가 다른 포트에서 나타날 경우 즉시 드롭한다. 주소 회전 공격을 억제하기 위해 포트당 바인딩 수를 제한하고, Bloom‑filter 기반 중복 삽입 방지를 적용한다. 세 번째·네 번째 모듈은 각각 외부와 내부 플러딩을 완화한다. 외부 플러딩은 소스 프리픽스별로 Count‑Min Sketch(CMS)를 이용해 윈도우 내 패킷 수를 근사하고, 사전에 정의된 임계값을 초과하면 드롭한다. 내부 플러딩은 흐름(5‑tuple) 기반 CMS를 사용하고, 멀티캐스트와 유니캐스트에 서로 다른 임계값을 적용함으로써 LAN 환경에서 멀티캐스트 폭주를 효과적으로 제어한다. 중요한 설계 원칙은 ‘스푸핑 검증 → 레이트 검증’ 순서이며, 이는 스푸핑된 트래픽이 플러딩 카운터를 오염시키는 것을 방지한다. 구현 측면에서는 BMv2 에뮬레이터와 Netronome Agilio CX(NFP‑4000) SmartNIC 양쪽에 동일한 P4 코드를 배포했으며, LPM 테이블, 레지스터 기반 CMS, 해시 외부 함수 등을 활용해 라인레이트 처리와 메모리 효율성을 동시에 달성했다. 평가에서는 5개의 ISP‑레벨 /32 프리픽스와 다중 하위 프리픽스를 포함한 토폴로지를 구성하고, 스푸핑·플러딩 단일, 이중, 다중 벡터 15가지 시나리오를 실행했다. 결과는 외부·내부 스푸핑 탐지 정확도 99 % 이상, 플러딩 차단 지연 10 ms 이하, 그리고 스마트NIC 상에서도 동일한 검출률을 유지함을 보여준다. 논문은 또한 바인딩 테이블 과부하, CMS 해시 충돌, 그리고 복잡한 정책 업데이트 시 발생할 수 있는 제어 평면 부하와 같은 제한점을 솔직히 기술하고, 동적 프리픽스‑Hop‑Limit 학습, 다중 스케치 레이어, 그리고 머신러닝 기반 임계값 자동조정 등 향후 연구 방향을 제시한다. 전체적으로 이 설계는 IPv6 주소공간의 특성을 고려한 확장 가능한 데이터플레인 방어를 구현함으로써, 기존에 분리되어 있던 스푸핑·플러딩 방어를 하나의 파이프라인으로 통합하는 데 성공하였다.