- 신승원 KAIST 교수, ONOS·ONF 참여하며 글로벌 SDN 보안 연구 주도

[디지털데일리 이유지기자] 새로운 네트워크 패러다임으로 부각된 소프트웨어정의네트워킹(SDN) 기술 상용화가 가속화되면서 최근 ‘SDN 보안’에 대한 관심이 높아지고 있다.

서비스제공업체를 위한 개방형 SDN 네트워킹 운영체제인 ‘ONOS’ 개발 프로젝트를 이끌어온 오픈네트워킹랩(ON.Lab, 온랩)은 최근 보안성을 강화한 ONOS(Security-mode ONOS) 버전을 내놨다.

초창기부터 개방형 SDN 확산과 표준화를 주도해온 비영리 단체인 ‘오픈네트워킹파운데이션(ONF)’ 역시 보안실무그룹을 구성하고 SDN 보안표준안을 만드는 작업을 본격화해 최근 드래프트까지 나온 상태다.

이같은 비영리단체의 SDN 관련 보안연구를 이끌어내는데 큰 역할을 한 것으로 알려진 신승원 한국과학기술원(KAIST) 전산학과 교수는 “SDN은 그동안 보안성을 전혀 고려하지 않고 개발돼 왔다”며 SDN 인프라의 안전성을 강화할 수 있도록 다양한 연구·노력이 필요하다”고 강조했다.

현재 신 교수는 스탠포드연구소(SRI) 연구진들과 함께 글로벌 SDN 보안연구를 주도하고 있다. ONF 보안 실무그룹 멤버이기도 하다.

신 교수는 SDN 보안 연구개발 커뮤니티 사이트(SDNSecurity.org)를 만들어 지난 2012년부터 최근까지 수행해온 SDN 보안 관련 연구 문서와 프로젝트 결과물을 공개하고 있다. 이 사이트는 한국은 물론, 미국, 유럽, 중국 등 전세계 SDN 개발자와 보안 기술 연구자들 사이에서 알려지면서 글로벌 SDN 보안 분야 개방형 커뮤니티로 확장되고 있다.

신 교수가 수행하는 SDN 보안 관련 연구는 ‘창(공격)’과 ‘방패(방어)’를 망라한다. ▲온랩이 발표한 세 번째 ONOS인 ‘카디날(Cardinal)’ 버전의 ‘시큐리티모드 ONOS’를 비롯해 ▲SDN 네트워크 환경의 보안 취약점 ▲SDN 취약점 분석도구(침투테스트 프레임워크) ▲오픈플로우 데이터플레인 보안 ▲오픈플로우 봇넷·악성코드 분석 시스템 ▲보안성을 고려한 컨트롤러와 API 관련 기술 등 다양한 연구결과를 커뮤니티에 공개했다.

신 교수는 “SDN에서 핵심인 ONOS와 컨트롤러는 보안은 무시하고 성능 위주로만 연구돼 왔다. 시큐어코딩은 물론 기본적인 보안기능, 예를 들어 접근제어나 권한설정, 리소스 관리 기능도 제공되지 않았다”며 “지금까지 발견한 SDN 취약점만 해도 40개로, 이 가운데 25개는 공개했다”고 설명했다.

그는 “SDN 구조에서는 OS 위에 여러 애플리케이션이 올라간다. 이 경우 당연히 특정 앱이 다른 앱에 접근하는 것을 통제해야 한다. 앱마다 메모리 사용량도 제한할 수 있어야 한다. 한 앱이 문제가 생겨 동작하지 않게 될 경우 전체 컨트롤러에 영향을 미쳐서는 안된다. 하지만 지금까지는 이같은 기능이 모두 제공되지 않았다”고 덧붙이면서 “SDN을 구성하는 모든 영역에서 보안 방식이 정의돼야 한다. 보안이 취약하면 네트워크의 가용성이나 안정성에도 큰 영향을 미칠 수밖에 없다”고 지적했다.

신 교수에 따르면, 보안 취약점은 SDN을 구성하는 컨트롤플레인과 통신채널, 데이터플레인 영역에서 모두 발견할 수 있다. SDN 컨트롤 계층에서 나타날 수 있는 보안 문제로는 과도한 패킷생성으로 인한 서비스거부(DoS, Packet-In Flooding), 서비스체인 간섭, 노스바운드 애플리케이션프로그래밍인터페이스(API) 오·남용, 환경변수 변조 등이 있다. 통신 채널에서는 도청을 통한 중요 정보 유출이나 중간자(MITM) 공격을 통한 네트워크 행위 변경이 가능하고, 데이터 계층에서는 제어 메시지 조작 등의 위험성이 있다.

신 교수는 “ONOS를 활용해 SDN을 구현하려는 통신사업자들도 성능뿐 아니라 보안 기능을 요구하고 있다”며 “ONOS는 보안성이 강화된 버전이 앞으로 계속 발표될 것이다. 내년 2월이면 ONF 보안실무그룹에서 마련한 보안표준이 공식 채택될 것으로 예상된다. 이로 인해 기본적인 SDN 보안 환경이 갖춰지게 될 것”고 전망했다.

이어 신 교수는 “SDN은 기존의 네트워크 문제를 획기적으로 해결할 수 있는 대안”이라며 “궁극적인 연구 목표는 현재의 네트워크를 모두 차세대 기술인 SDN으로 바꾸는 것, 인터넷을 SDN화하는 것”이라고 밝혔다.

<이유지 기자>yjlee@ddaily.co.kr