SCION: 스위스의 BGP 라우팅 프로토콜에 대한 안전한 대안

SCION이 실제로 달리하는 점

SCION은 세 가지 상호 연동 메커니즘을 통해 BGP의 근본적인 보안 결함을 해결합니다. 첫 번째는 다중 경로 라우팅입니다. 오늘날 인터넷이 두 지점 간 단일 경로를 제공하는 반면, SCION은 수십 개에서 심지어 수백 개의 병렬 경로를 동시에 설정합니다. 하나가 실패하면 시스템은 밀리초 내에 재라우팅합니다. 페리그는 임계값을 정확히 말합니다: "청각 자극에 대한 인간의 반응 시간은 약 150밀리초입니다. 우리는 그보다 더 짧은 시간 내에 재라우팅할 수 있습니다."

두 번째 메커니즘은 암호화 경로 검증입니다. SCION 네트워크의 모든 패킷은 경로가 경로를 따라 있는 네트워크에 의해 승인되었음을 암호화로 증명합니다. 이는 RPKI나 BGPsec 같은 추가 기능이 아닌 아키텍처 수준에서 경로 하이재킹과 누출을 방지합니다.

현재 배포 현황

SCION은 이미 은행 및 의료 부문에서 입증되었지만 다른 곳으로 확산되는 속도는 느렸습니다. 이 시스템은 2016년부터 스위스 금융 네트워크에서 운영되어 매일 수십억 건의 거래를 처리합니다. 주요 스위스 은행들은 은행 간 이체에 이를 사용하며, 스위스 의료 네트워크는 환자 데이터에 이를 사용합니다.

ETH 취리히의 컴퓨터 과학 교수이자 SCION의 수석 설계자인 아드리안 페리그는 2009년 정년을 얻은 후 이 프로젝트를 시작했습니다. 그의 근본적인 좌절은 간단했습니다: 같은 취약점이 1980년대부터 문서화되어 왔지만, 아무도 아키텍처 수준에서 이를 해결하려 시도하지 않았습니다. 그는 말합니다: "세계 최고의 보안 회사들도 여전히 이를 통해 공격받고 있습니다. 이를 제대로 해결하려는 시도조차 없었습니다."

기술 아키텍처

SCION은 BGP의 신뢰 기반 라우팅을 암호화 경로 검증으로 대체합니다. BGP의 점진적 패치(RPKI, BGPsec, ROA)와 달리, SCION은 라우팅 기반을 완전히 재설계합니다. 27년 동안 컴퓨터 네트워크를 가르쳐 온 얼스터 대학의 사이버 보안 교수 케빈 커랜은 독립적인 평가를 제공합니다: "지난 40년 동안 우리가 가진 것은 일련의 반창고였습니다. 적대적 네트워크를 가로지르는 진정으로 안전한 경로에 대한 필요성을 해결하는 데 가까운 것은 없었습니다."

이 시스템의 격리 특성은 네트워크가 독립적으로 운영되면서도 여전히 글로벌 라우팅에 참여할 수 있게 합니다. 이는 BGP의 패킷 이동에 대한 암호화 보관 연쇄 부재와 네트워크 장애 시 수 분이 걸릴 수 있는 느린 재라우팅 과정을 해결합니다.