지금 스마트폰으로 인터넷을 사용하고 계신가요? 노트북으로 동영상을 를 보고 계신가요? 이 모든 것은 IP(Internet Protocol) 때문에 가능합니다. 그럼 IP는 더 이상 개선이 필요 없을 만큼 인터넷 서비스에 최적일까요?
개선이 필요하다면 왜, 그리고 어떻게 개선되어야 할까요? 또는 다른 무언가가 IP 기반의 인터넷 서비스를 보완해야 할까요? 업계는 Information Centric Network (이하 ICN)으로 질문에 대한 해법을 준비하고 있습니다. 이전과는 다른 새로운 네트워크, ICN은 무엇일까요?
ICN에 대한 이야기 이전에 왜 ICN을 고민하게 되었는지에 대한 이야기가 먼저 필요할 것 같습니다.
IP기반 인터넷, 무엇이 문제인가?
첫번째, IP기반 서비스는 TCP over IP를 기반으로, 서비스를 이용하는 클라이언트와 서비스를 제공하는 서버의 엔드투엔드 연결형 서비스입니다.
엔드투엔드가 의미하는 바는 요청 트래픽과 응답 트래픽이 망을 가로질러 교환되어야 한다는 것을 의미하는데요, 이러한 IP 트래픽이 네트워크를 통해 전달되는 현재의 방식은 서비스 지연, 전체 구간에서 서비스를 위한 대역폭 제공, 전송되는 패킷에 대한 보안 이슈 등을 숙제로 안고 있습니다.
두번째, IP는 주소라는 자원을 기반으로 하고 있습니다. 자원관리 측면에서는 제한된 자원 (IP pool)을 효율적으로 사용하기 위해 IPMS (IP Management System) 또는 DHCP 서버 등이 필요합니다. 서비스 측면에서는 IP는 주소를 가리키기 때문에 주소와 콘텐츠 연계성을 찾기 위해 DNS를 통해 IP 주소를 확인해야 합니다.
마지막으로 보안과 인증 이슈입니다. IP는 콘텐츠에 대한 보안은 할 수 없기 때문에 콘텐츠가 전달되는 경로에 보안을 제공합니다. 그리고 이는 IPsec를 통해 가능합니다. 그러나 가로채기에 취약하고 경로 보안을 설정하기까지 많은 인증 노드를 통한 절차를 거쳐야 합니다. 뿐만 아니라, 응용 서비스가 특정 주소를 갖는 서버를 기반으로 하기 때문에 플러딩(flooding)과 같은 DoS(Denial of Service) 공격에 매우 취약합니다. 대표적으로 DNS 서버 공격으로 전체 망 서비스가 영향을 받는 경우를 생각해볼 수 있습니다.
그래서, 위와 같은 여러 가지 문제를 해결하고자 ICN을 이야기하고 있습니다.
ICN은 IP인터넷의 취약점을 어떻게 해결하려고 하나?
ICN은 사용자가 인터넷을 통해 사용하는 것은 콘텐츠라는 것에 착안하여 콘텐츠가 가지는 정보(Information)에 집중(Centric)해서 네트워크(Network)를 디자인하고자 합니다. 이를 줄여서 ICN이라는 이름을 갖게 된 것이지요.
그럼 콘텐츠를 가장 잘 나타내는 것은 무엇일까요? NDN(Named Data Network)은 ICN의 구현 사례로써 콘텐츠 이름을 정보로 이용합니다. 즉 콘텐츠의 이름을 Prefix로 사용하여 라우팅 프로토콜을 구현합니다.
ICN/NDN의 포워딩(Forwarding) 메카니즘
NDN에서는 아래 그림에서 보여주는 2종류의 패킷이 라우팅을 처리합니다.
Interest Packet은 접근하고자 하는 콘텐츠의 이름을 입력하고, Data Packet은 Interest Packet의 응답으로 해당 콘텐츠를 수록하여 전달하게 됩니다.
NDN 구조에서의 Packet Type
출처: https://en.wikipedia.org/wiki/Named_data_networking
사용자가 /parc/videos/WidgetA.mpg와 같은 형태의 요청(Interest Packet)을 전달하면 라우터는 해당 Interest Packet이 수신된 물리적 포트(인터페이스)를 저장하고 Forwarding Information Base(이하 FIB)를 참조하여Interest Packet을 포워딩합니다. NDN 라우터는 Interest Packet을 저장 후 Pending Interest Table(이하 PIT)에Interest Packet의 포워딩 정보를 기록합니다. Interest Packet이 요청된 콘텐츠에 도달하면 Data Packet에 콘텐츠를 수록하여 전송하게 되는데, 이때Data Packet이 도착하면 PIT를 참조하여 Interest가 수신된 동일한 경로로 전달되며, 전달된 패킷에 대한 라우팅 정보는 PIT 리스트에서 삭제됩니다. 그리고, 전송된 콘텐츠는 Content Store에 저장됩니다.
위와 같은 NDN 패킷은 IP의 Stateless 방식과 다른 스테이트풀 방식으로 응답이 전달됩니다. 그래서 다른 사용자로부터 동일한 콘텐츠를 요청하는 Interest Packet이 수신되면 Content Store에 Caching여부를 확인 후 Interest Packet를 포워딩하지 않고 Data Packet에 해당 콘텐츠를 수록하여 전달합니다. 이 과정에서 모든 요청 및 응답IP packet이 중복해서 네트워크를 가로지르는 문제점을 해결할 수 있습니다. 더불어 콘텐츠 이름을 라우팅 프리픽스로 사용하기 때문에 IPMS, DHCP 등의 부가적인 네트워크 요소에 대한 고민도 필요하지 않게 됩니다. 이렇게 놀랍게 IP 기반의 통신이 가지는 문제점들을 한 번에 해결하게 됩니다!^^
NDN 구조에서의 Interest Packet 포워딩
출처: NDN Project NDN-0001 October 30, 2010
ICN/NDN의 데이터 보안 메카니즘
NDN은 데이터의 보안을 위해 라우팅 프로토콜에서 보안 메커니즘을 지원합니다. IP에서는 선택적으로 그리고 경로 위주로 보안이 처리되는 것과 구별됩니다.
각 데이터의 부분들은 이름과 함께 서명(Signature)처리 됩니다. 서명에는 데이터의 배포자 정보, 출처 등이 수록되며 인증키를 가진 사용자가 해당 콘텐츠에 접근 가능한지 여부를 기록하고 있어서 콘텐츠 접근의 보안성을 강화하였습니다.
또한 라우팅을 콘텐츠 이름으로 수행함으로써 DDoS와 같은 특정 서버 주소를 이용한 공격이 불가능하여 네트워크 보안 측면도 향상되었습니다.
ICN와 IP의 미래
물론, NDN에도 한계는 있습니다.
- 서명을 통한 콘텐츠 보안은 강화되었지만 인증키의 생성, 배포, 확인 등의 비효율성은 개선되어야 할 부분입니다. 이를 위해 최근에는 실시간 데이터를 위한 RSA 서명 등이 계속해서 연구되고 있지요.
- 주소를 이용한 DDoS 등에는 강화된 반면 Interest Flooding공격이나 이름을 이용한 악의적인 콘텐츠의 전송과 같은 Content Pollution 공격에는 대비책이 마련되어야 합니다.
- 기타 상세한 콘텐츠 이름은 콘텐츠에 대한 내용을 나타낼 수 있어서 보안상 민감한 부분일 수 있고, 요청의 취소 등은 Interest Packet에 담긴 내용이 망에 노출되어 악용될 여지가 있을 수 있습니다.
개선이 필요한 사항들에도 불구하고 점점 더 넓은 대역폭과 더 작은 지연을 필요로 하는 통신사업자 진영은 ICN에 대한 기대로 뜨겁게 달아 오르고 있습니다. 특히, 5G를 향한 모바일 사업자 모임인 5G NGMN에는 향후 5G 유선 네트워크의 방향의 핵심 축으로 ICN을 논의 중에 있습니다.
지금까지 ICN이 등장한 배경과 주요 특징에 대해 살펴보았습니다. 결론은, ICN 역시 IP 프로토콜과 같은 네트워크 계층의 프로토콜이라는 것입니다. 다양한 IP의 문제점을 해결하기 위해 연구되고 있지만, IP를 완전히 대체할 수 있을지에 대한 질문도 있을 수 있습니다. 아직은 더 연구가 필요한 상황이기도 하지만 두 개념은 미래 인터넷의 상호 보완적인 관계가 되지 않을까 조심스럽게 생각해 봅니다.
이 칼럼을 SlideShare에서 다운받으실 수 있습니다!
Cisco IT Connect
시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드! 이 글은 황성호 통신사업자 솔루션 스페셜리스트가 작성한 칼럼입니다. |