Border Gateway Protocol (BGP): 보안 우선 가이드

경계 게이트웨이 프로토콜이란?

BGP는 트래픽이 보안 제어에 도달하기 전에 어떤 네트워크를 경유할지 제어하며, 공격자는 이 라우팅 계층을 악용해 방화벽 보안이나 엔드포인트 탐지가 트래픽을 확인하기 전에 데이터를 가로챕니다. NIST SP 800-189는 BGP를 서로 다른 자율 시스템 간에 라우팅 정보를 교환하고 인터넷 트래픽의 최적 경로를 결정하는 라우팅 프로토콜로 정의합니다. 2022년 8월 17일, 공격자는 Celer Bridge를 대상으로 한 BGP 하이재킹을 통해 약 23만 5천 달러 상당의 암호화폐를 탈취했으며, 약 3시간 동안 트래픽을 공격자 제어 서버로 리디렉션했습니다.

CISA는 BGP를 "아마 들어본 적 없는 인터넷의 가장 중요한 부분"이라고 설명합니다. 방화벽은 경계를 보호하고, 엔드포인트 탐지는 악성코드를 차단합니다. 그러나 BGP는 이러한 보안 제어에 도달하기 전에 트래픽이 경유하는 네트워크를 제어하는 근본적인 계층으로, 대부분의 엔터프라이즈 보안 방어 아래에 위치합니다.

신뢰 기반의 근본적으로 안전하지 않은 프로토콜을 운영하고 있습니다. RFC 4272는 BGP가 본질적으로 보안이 적용되지 않은 프로토콜임을 명시합니다. 이 프로토콜은 IP 프리픽스 소유 여부, 라우팅 경로의 진위, 전송 중 변경 여부를 검증할 암호화 메커니즘이 없습니다.

경계 게이트웨이 프로토콜과 사이버보안의 관계

BGP 하이재킹은 공격자가 방화벽이 트래픽을 검사하기 전에 이를 가로채 사용자와 경계 방어 사이에 위치할 수 있게 합니다. 인증 실패를 모니터링하고 수평 이동을 탐지하더라도, BGP 하이재킹은 SIEM 플랫폼이 트래픽을 보기 전 라우팅 계층에서 발생합니다.  Singularity Data Lake와 같은 플랫폼에 BGP 모니터링을 통합하면, 라우팅 이상 현상이 인증 실패 및 데이터 유출 지표와 자동으로 연관됩니다.

BGP 보안이 중요한 이유는 라우팅 계층이 침해되면 엔터프라이즈 경계 보안 제어를 우회하고 인터넷 규모의 중간자 공격을 가능하게 하기 때문입니다. CISA는 BGP 하이재킹이 트래픽을 공격자 제어 네트워크로 리디렉션해 기업 정보를 노출시키고 국가 차원의 스파이 행위를 촉진한다고 경고합니다. 공격자가 BGP를 어떻게 악용하는지 이해하려면 프로토콜의 핵심 아키텍처 구성요소를 살펴봐야 합니다.

내부 BGP와 외부 BGP (iBGP vs eBGP)

BGP는 서로 다른 신뢰 모델과 보안 영향을 가진 두 가지 모드로 동작합니다. 외부 BGP(eBGP)는 자율 시스템 간 라우팅을, 내부 BGP(iBGP)는 단일 AS 내에서 경로 분배를 담당합니다. 보안 태세는 두 모드의 취약점을 모두 고려해야 합니다.

eBGP 세션은 신뢰 경계를 넘는 서로 다른 자율 시스템의 라우터를 연결합니다. 이 세션은 조직이 ISP, 클라우드 제공업체 또는 기타 네트워크와 피어링하는 네트워크 경계 라우터 간에 주로 구성됩니다. eBGP는 기본적으로 TTL 1을 적용해 피어 라우터가 직접 연결되어야 합니다. 공격자는 이러한 연결을 침해하면 인터넷 규모의 트래픽 가로채기가 가능하기 때문에 eBGP 세션을 주요 표적으로 삼습니다.

iBGP는 eBGP 피어로부터 학습한 라우팅 정보를 내부 네트워크 전체에 분배합니다. iBGP는 AS 내 모든 BGP 스피커 간 풀 메쉬 연결 또는 라우트 리플렉터, 컨페더레이션을 통한 확장이 필요합니다. iBGP 세션은 AS 경로 속성을 수정하지 않으므로, iBGP로 학습한 경로는 루프 방지를 위해 원래의 AS 경로를 유지합니다.

이 두 모드의 보안 영향은 다음과 같습니다:

• eBGP 세션은 관리 경계를 넘으므로 엄격한 필터링 정책이 필요합니다
• iBGP는 신뢰할 수 있는 내부 환경을 전제로 하므로, 공격자가 내부 네트워크에 접근하면 위험이 발생합니다
• 라우트 리플렉터 오구성은 잘못된 경로가 AS 전체에 전파될 수 있습니다
• iBGP 세션 하이재킹은 내부 접근 권한을 가진 공격자가 라우팅 결정을 조작할 수 있게 합니다

네트워크 보안 전략은 유형에 관계없이 모든 BGP 세션에 MD5 인증을 적용해야 합니다.  MANRS 엔터프라이즈 가이드는 모든 eBGP 피어링 지점에서 엄격한 프리픽스 필터링을 권장합니다. iBGP의 경우, 라우트 리플렉터 클러스터를 분리하고 AS 내 무단 BGP 스피커를 모니터링해야 합니다.

경계 게이트웨이 프로토콜의 핵심 구성요소

세 가지 아키텍처 요소가 BGP의 신뢰 기반 설계에서 공격자가 악용하는 취약점을 만듭니다: 인증 메커니즘 부재, 피어 간 암묵적 신뢰, 경로 검증 기능의 부재.

• 자율 시스템(AS)은 관리 통제 하에 있는 독립 네트워크를 의미합니다. 엔터프라이즈 네트워크, ISP, 클라우드 제공업체 각각은 고유한 AS 번호를 가진 자율 시스템으로 운영됩니다.
• BGP 피어링 세션은 서로 다른 자율 시스템의 라우터 간 인증된 연결을 설정해 라우팅 정보를 교환합니다. 이 연결은 공급자-고객, 피어-피어, 고객-공급자 관계로 구성되며 각각 보안 영향이 다릅니다.
• 경로 공지는 피어 네트워크에 IP 주소 프리픽스를 광고합니다. AS가 "203.0.113.0/24로 가는 최적 경로를 보유"한다고 공지하면, 인접 네트워크는 라우팅 테이블을 이에 맞게 업데이트합니다. RFC 4272는 프로토콜이 피어를 신뢰한다고 가정하며, 라우팅 정보를 검증할 메커니즘이 없음을 확인합니다. 본인 또는 피어가 문법적으로 유효한 경로 공지를 보내면, BGP는 해당 공지가 합법적이든 악의적이든 인터넷 전체에 전파합니다.

이러한 아키텍처 취약점을 이해하면 공격자가 BGP의 경로 선택 과정을 악용해 트래픽을 하이재킹하는 방식을 설명할 수 있습니다.

경계 게이트웨이 프로토콜의 동작 방식

공격자가 203.0.113.0/24 프리픽스를 정당한 203.0.113.0/20 공지보다 더 구체적으로 광고하면, 전 세계 라우터는 공격자의 경로를 선호합니다. 이는 BGP 경로 선택이 권한보다 구체성을 우선하는 알고리즘(가장 긴 프리픽스 일치 하이재킹)을 따르기 때문입니다.

경로 권한 보호는 하위 네트워크가 경로를 검증할 때만 효과가 있습니다. 상위 제공업체가 Route Origin Validation을 구현하지 않으면, 유효한 ROA를 게시했더라도 공격자가 트래픽을 하이재킹할 수 있습니다.

BGP는 로컬 프리퍼런스, AS 경로 길이, 오리진 타입, 멀티-엑시트 디스크리미네이터 등 다양한 기준으로 경로를 평가합니다. 공격자는 이러한 파라미터를 조작해 트래픽을 하이재킹할 수 있습니다. NIST SP 800-189 Rev. 1은 BGP가 내장된 암호화 인증 메커니즘 없이 설계되었음을 확인합니다.

BGP를 악용하는 일반적인 공격 기법

공격자는 BGP의 신뢰 기반 아키텍처를 여러 기법으로 악용하며, 보안팀은 이를 인지하고 방어해야 합니다.  2025년 6월 루트 DNS 서버 하이재킹은 8개 서버에 동시 영향을 미치며 이러한 기법이 중요 인프라에도 여전히 효과적임을 보여줍니다.

• 프리픽스 하이재킹은 공격자가 타 조직의 IP 프리픽스를 광고할 때 발생합니다. 공격자의 AS가 소유하지 않은 주소 공간의 경로를 기원지로 광고하면, 경로 검증을 수행하지 않는 네트워크는 이를 수용합니다. 정당한 소유자에게 향하던 트래픽이 공격자에게 전달되어 자격 증명 탈취, 데이터 가로채기, 암호화폐 탈취가 가능합니다.
• 서브프리픽스 하이재킹은 더 표적화된 변형입니다. 공격자가 정당한 소유자보다 더 구체적인 프리픽스를 광고합니다. 조직이 192.0.2.0/23을 광고할 때, 공격자가 192.0.2.0/24를 광고하면 BGP는 더 긴 프리픽스를 선호해 공격자 경로가 선택됩니다.  Root Server Operators 보고서는 공격자가 이 가장 긴 프리픽스 일치 동작을 지속적으로 악용함을 확인합니다.
• AS 경로 조작은 공격자가 AS 경로 속성을 인위적으로 단축하거나 수정해 경로 선택에 영향을 미치는 기법입니다. BGP는 더 짧은 경로를 선호하므로, 공격자는 더 적은 ASN을 추가해 악의적 경로를 더 매력적으로 만들 수 있습니다. 일부 공격자는 탐지를 피하기 위해 합법적인 ASN을 가짜 경로에 삽입합니다.
• BGP 세션 하이재킹은 BGP 피어링 관계의 TCP 세션을 표적으로 합니다. 세션에 패킷을 주입할 수 있는 공격자는 연결을 리셋하거나, 허위 경로를 삽입하거나, 라우팅 불안정을 유발할 수 있습니다. TCP 시퀀스 번호 예측 및 중간자 위치 선정이 이러한 공격을 가능하게 합니다.
• 경로 누출은 악의적 의도보다는 오구성에서 비롯되지만 유사한 보안 영향을 초래합니다. 한 네트워크가 한 피어로부터 학습한 경로를 다른 피어에게 잘못 전파해 예상 라우팅 정책을 위반합니다. MANRS 사고 분석은 이러한 오구성이 Time Warner Cable, Rogers, Charter에 미친 영향을 문서화합니다.

이러한 기법에 대응하려면 RPKI 도입, 엄격한 프리픽스 필터링, BGP 세션 인증, 라우팅 이상 탐지 등 계층적 통제가 필요합니다.

경계 게이트웨이 프로토콜의 주요 이점

BGP는 독립 네트워크와의 조정을 통해 인터넷 규모의 라우팅을 제공합니다. RFC 4271은 자율 시스템이 라우팅 정보를 교환하고 네트워크 간 관계에 따라 인터넷 트래픽의 최적 경로를 결정하는 방식을 설명합니다.

경로 중복성은 다수의 공지 소스와 분산된 경로 선택을 통해 확보됩니다. 기본 ISP 연결이 실패하면, BGP는 경로 메트릭과 로컬 정책에 따라 보조 제공업체를 통한 백업 경로로 수렴합니다.

정책 기반 라우팅을 통한 세분화된 트래픽 엔지니어링으로 트래픽 흐름의 양방향을 제어할 수 있습니다. AS 경로 프리펜딩을 조정해 인바운드 트래픽을, 로컬 프리퍼런스 설정으로 아웃바운드 트래픽을 제어하며, 잠재적으로 위험한 네트워크를 경유하지 않도록 필터링 정책을 구현할 수 있습니다. 이러한 라우팅 기능은 신중한 관리가 필요한 중요한 보안 트레이드오프를 동반합니다.

경계 게이트웨이 프로토콜의 과제와 한계

BGP의 근본적인 인증 부재는 경로를 광고하는 AS가 실제로 해당 주소를 소유하는지 암호화 검증을 불가능하게 합니다. 이로 인해 모든 하이재킹 공격이 가능해집니다. NIST SP 800-189r1은 BGP 라우터가 기원 인증, 경로 검증, 공지 무결성에 대한 암호화 검증 없이 라우팅 공지를 수용하는 문제를 보여줍니다.

사고 빈도는 인식이 높아졌음에도 계속 증가하고 있습니다. Internet2 라우팅 보안 분석은 2024년 연구 및 교육 네트워크에 영향을 준 세 건의 주요 라우팅 보안 사고를 문서화하며, BGP 취약점이 여전히 중요 인프라를 교란함을 보여줍니다.

시스템적 위험은 단일 조직의 통제를 넘어서는 의존성을 만듭니다. Internet Society 정책 분석은 BGP의 분산적이고 상호 연결된 특성이 악의적 행위자가 악용할 수 있는 취약점을 도입한다고 경고합니다. 라우팅 보안은 전 세계 수천 개 네트워크에 의존하며, 단일 BGP 오구성이 국제적으로 연쇄적인 영향을 미치는 공급망과 유사한 의존성을 만듭니다. 이러한 시스템적 취약점은 보안팀이 인지하고 방지해야 할 구체적 운영 실패로 나타납니다.

경계 게이트웨이 프로토콜의 일반적인 실수

많은 조직이 RPKI 검증 인프라를 배포하지만 모니터링 단계에서 정책 적용까지 진행하지 않습니다. 모니터링 대시보드는 무단 AS에서 프리픽스가 광고되는 것을 보여주고, RPKI 검증기는 이를 무효로 표시합니다. 그러나 수개월 전 구성된 모니터링 전용 모드는 정책 적용으로 전환되지 않아, 대시보드에 문제가 표시되는 동안 트래픽이 하이재킹됩니다. NRO RPKI 모범 사례는 BGP에서 광고하는 것과 정확히 일치하는 ROA만 생성할 것을 요구합니다.

불완전한 RPKI 배포는 여러 방식으로 실패를 초래합니다:

• 광고 예정이지만 아직 광고하지 않은 프리픽스에 대한 ROA 생성
• 지나치게 관대한 최대 길이 값 설정
• BGP 공지 변경 시 ROA 업데이트 누락

이러한 ROA 오구성은 검증 인프라가 존재해도 프리픽스를 취약하게 만듭니다. NDSS Symposium 연구는 운영자가 수동 검증에서 적극적 정책 적용으로 전환하지 못하게 하는 체계적 과제를 지적합니다.

불충분한 필터링 정책은 공격 전파를 허용합니다. CAIDA의 MANRS 생태계 분석은 RPKI 무효 및 잘못된 프리픽스 길이의 BGP 공지가 보안 약속에도 불구하고 네트워크를 통해 전파됨을 밝혔습니다. 일반적인 문제는 IPv4에서 /24보다 긴 프리픽스 수용, 최신 RIR 할당과 동기화되지 않은 보곤 필터, 누락된 AS-path 무결성 검사 등입니다. 이러한 필터링 결함은 라우팅 인프라 전반에 연쇄적 취약점을 만듭니다.

불충분한 모니터링은 사고가 발생한 후에야 발견됩니다. 프리픽스 기원 AS 변경, 주소 공간과 겹치는 신규 구체적 공지, RPKI 검증 상태 전환에 대한 알림이 없으면 라우팅 변경이 보이지 않습니다.  사고 대응 프로세스에 BGP 텔레메트리를 통합하는 것이 필수적입니다. 이러한 실수를 피하려면 BGP 보안에 대한 문서화된 모범 사례를 구현해야 합니다.

경계 게이트웨이 프로토콜 모범 사례

Resource Public Key Infrastructure 배포는  NIST SP 800-189 Revision 1을 따라야 합니다. 조직이 BGP에서 기원하는 모든 IP 프리픽스에 대해 Route Origin Authorization을 생성하고, 이중화를 위해 최소 두 개의 RPKI 검증기를 배포해야 합니다.

Route Origin Validation은 NRO 모범 사례에 따라 단계적으로 구현할 때 가장 효과적입니다:

• 모니터링 모드(30~60일): 라우팅에 영향 없이 RPKI 검증 결과 관찰
• 선호도 조정(60~90일): RPKI 무효 경로의 로컬 프리퍼런스 하향
• 정책 적용(90일 이상): 무효 공지 완전 차단

모든 피어링 지점에서 엄격한 프리픽스 필터링은 일반적인 공격 벡터를 차단합니다. 최대 프리픽스 길이 제한은 구체적 경로 하이재킹을 방지하고, 동기화된 보곤 필터는 무효 주소 공간을 차단하며, AS-path 필터링은 비현실적인 경로 길이나 사설 ASN 유출을 방지합니다.

라우트맵 정책은 관계 유형을 명확히 인코딩해야 합니다. 모든 BGP 경로에 공급자, 피어, 고객 기원을 나타내는 커뮤니티를 태깅합니다.

BGP 모니터링을 보안 플랫폼과 통합하면 라우팅 이상에 대한  위협 헌팅 워크플로우를 지원합니다. 피어 세션 상태 변경, 프리픽스 기원 AS 수정, RPKI 검증 상태 전환에 대한 알림을 구성합니다.

ROA 구성 검증은 지역 인터넷 등록기관 권장 도구로 지속적으로 수행해야 합니다. 변경 관리 프로세스는 BGP 공지 변경 전 ROA 업데이트를 보장합니다. 무효 경로 탐지에 대한 대응 절차를 문서화 및 테스트하고, BGP 하이재킹 시나리오에 대한 사고 대응 계획을 수립해야 합니다. 이러한 모범 사례는 조직이 라우팅 보안을 통합 보안 운영에 포함할 수 있도록 준비시킵니다.

BGP 사고의 실제 사례

BGP 보안 실패는 중요 인프라, 금융 서비스, 정부 운영 등에서 실질적인 피해를 초래했습니다. 이러한 사고는 라우팅 보안이 엔드포인트 및 네트워크 보호와 동일한 수준의 주의가 필요함을 보여줍니다.

• 2025년 6월 루트 DNS 서버 하이재킹은 최근 가장 심각한 사고입니다.  Root Server Operators 사고 보고서에 따르면, 8개 루트 DNS 서버(a, b, c, f, g, h, j, m.root-servers.net)가 19:40~21:10 UTC 사이에 동시 BGP 하이재킹을 겪었습니다. 하이재킹된 세 프리픽스는 RPKI에 유효한 ROA가 게시되어 있었으나, 하위 네트워크가 Route Origin Validation을 구현하지 않아 공격이 성공했습니다.
• 2020년 4월 Rostelecom 대규모 하이재킹은 전 세계 8,000개 이상의 경로에 영향을 미쳤습니다. MANRS 사고 분석은 AS12389가 Cloudflare, Akamai 등 200개 이상의 CDN 및 클라우드 제공업체에 영향을 준 더 구체적인 경로를 광고했음을 확인합니다. 분석 결과, 이는 악의적 의도가 아닌 BGP 옵티마이저 오구성에 기인했습니다.
• 2020년 9월 Telstra 사고에서는 AS1221이 대규모 하이재킹 이벤트에서 거의 500개의 프리픽스를 광고했습니다. MANRS 문서는 이 사고가 50개국 266개 자율 시스템에 영향을 미쳐 단일 오구성이 전 세계적으로 연쇄적 영향을 미침을 보여줍니다.
• 2022년 8월 Celer Bridge 공격은 암호화폐 사용자를 표적으로 했습니다. 공격자는 약 23만 5천 달러 상당의 암호화폐를 약 3시간 동안 공격자 제어 서버로 트래픽을 리디렉션해 탈취했습니다.

이러한 사고는 공통적으로 BGP의 신뢰 모델을 악용했고, 일부 보안 조치를 도입한 조직에도 영향을 미쳤으며, 방어자가 대응하기 전에 피해가 발생했습니다. 이 패턴은 사전 위협 탐지와 지속적인 BGP 모니터링이 엔터프라이즈 보안의 필수 요소임을 강조합니다.

핵심 요약

완전히 통제할 수 없는 인프라로 라우팅 계층 공격에 대응하고 있습니다. BGP 보안은 수천 개 네트워크가 검증 통제를 구현하는지에 달려 있습니다. 통제 가능한 부분부터 시작하십시오: 정책 적용 모드로 RPKI/ROV를 배포하고, 모든 피어링 지점에서 프리픽스를 엄격히 필터링하며, BGP 모니터링을 SOC 워크플로우에 통합하십시오. 개별 구현과 집단적 정책 적용의 간극이 공격자가 활동하는 영역입니다.