6in4 수동 터널링 기반 네트워크에서 Snort IDS의 보안성과 성능 분석
Copyright ⓒ 2025 The Digital Contents Society
This is an Open Access article distributed under the terms of the Creative Commons Attribution Non-CommercialLicense(http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.
초록
IPv6는 주소 공간 확장과 보안을 목표로 도입되었으나, 기존 IPv4 인프라와의 호환성 문제로 다양한 전환 메커니즘이 병행되고 있다. 그 중 6in4 수동 터널링은 IPv4 네트워크 상에서 IPv6 패킷을 송수신하는 메커니즘이다. 본 연구에서는 GNS3 시뮬레이션을 통해 6in4 환경을 구축하고 Snort 기반 화이트리스트 IDS(침입 탐지 시스템)를 적용한 뒤, NDP 스푸핑 공격 시나리오를 구성하여 터널링 보안위협에 대한 실험을 수행하였다. 분석 지표로는 패킷 손실률, RTT, Delay, 처리 속도 등을 활용하였다. 실험 결과 IDS 적용 시 평균 지연 감소, 처리 속도 향상, 손실률 개선 등의 성능 향상이 확인되었으며, 탐지율은 25.1%로 측정되었다. 이는 IDS가 6in4 터널 내 비인가 트래픽을 효과적으로 식별할 수 있음을 보여주며, IPv6 전환 환경에서의 실용성과 적용 가능성을 시사한다.
Abstract
Internet Protocol version 6 (IPv6) was introduced to expand address space and improve security; however, compatibility issues with IPv4 have led to the coexistence of multiple transition mechanisms. Among them, 6in4 manual tunneling enables IPv6 packet delivery over IPv4 networks but poses security risks due to encapsulation. This study constructed a 6in4 environment using Graphical Network Simulator-3 (GNS3) and applied Snort-based whitelist intrusion detection system (IDS) rules. A network detection platform (NDP) spoofing attack scenario was implemented to assess tunnel security. Evaluation metrics included packet loss rate, round-trip time (RTT), delay, and processing speed. Experimental results show improved network performance with IDS, including reduced delay, better throughput, and lower packet loss. The IDS achieved a detection rate of 25.1%, which indicates its effectiveness in identifying unauthorized traffic in 6in4 tunnels and its practical applicability in IPv6 transition networks.
Keywords:
IP Transition Mechanism, Manual Tunneling, GNS3, IDS(Intrusion Detection System), Network Performance키워드:
아이피 전환 메커니즘, 수동 터널링, 침입 탐지 시스템, 네트워크 성능 평가Ⅰ. 서 론
인터넷은 본래 군사 및 학술 연구 목적으로 설계된 IPv4 기반 인터넷이 상업적 목적으로 확산되면서, 주소 고갈 문제, 네트워크 확장성 부족, 보안 취약성 등의 문제가 발생하였다. 이러한 문제를 해결하기 위해 IETF(Internet Engineering Task Force)는 1998년 RFC 2460을 통해 IPv6를 처음 제안하였다[1],[2]. IPv6는 128비트 주소 체계를 기반으로 확장성을 갖추고 있으며, 향후 증가하는 디지털 기기와 IoT(Internet of Things) 환경을 지원하는 데 필수적인 기술로 자리 잡을 수 있었다. 그러나 IPv6의 기술적 복잡성, 기존 네트워크 장비 및 소프트웨어의 교체 비용, 그리고 IPv4와의 호환성 문제로 인해 IPv6로의 전환은 더디게 진행되고 있다. 특히, 대한민국은 글로벌 네트워크 환경에서 높은 기술력을 보유하고 있음에도 불구하고 해외 국가별 현황에서 IPv6 주소 보유 수는 다른 국가들에 비해 낮은 순위에 속했다.
표 1과 같이 한국인터넷정보센터(KRNIC)에 따르면, 대한민국은 2025년 3월 기준으로 IPv6 주소 보유량이 세계 19위에 머무르고 있으며, 이는 국내 네트워크 인프라가 여전히 IPv4 환경에 익숙해져 있음을 보여주는 지표라 할 수 있다. 이에 따라, IPv6 전환을 위한 대표적인 메커니즘으로는 듀얼스택(Dual-Stack), 주소변환(Address Translation), 터널링(Tunneling) 등이 지속적으로 활용되고 있다. 개념은 그림 1과 같다.
Global IPv6 adoption rates (as of March 2025)
IPv6 transition mechanism
듀얼 스택(Dual-Stack)은 하나의 장비가 IPv4와 IPv6 주소체계를 동시에 운영할 수 있도록 하는 방식으로 모든 네트워크 인프라가 두 프로토콜을 동시에 처리할 수 있어야 한다. 이는 주소 자원의 낭비, 장비 부하 문제를 초래한다[3].
또한, 주소 변환(Address Translation)은 듀얼스택을 지원하지 않은 IPv4 호스트에서 IPv6 호스트 또는 IPv6 호스트에서 IPv4 호스트 간의 통신을 가능하게 하기 위해, 패킷의 IP 헤더 정보를 변환하여 상호 호환되도록 하는 기술로 NAT-PT, NAT64, DNS64 등이 대표적이다. 응용 프로토콜에 내장된 IP 주소 변환을 위해 별도의 프로토콜(예: FTP, DNS 등)이 추가로 구현 되어야하기 때문에 운용 및 유지보수가 어렵다는 특징을 가지고 있다[4]. 터널링(Tunneling)은 종단 장비 간 동일한 주소체계를 이용하고 통신하기 위해 다른 주소체계의 네트워크 인프라를 이용하는 기술이다. 특히, 터널링 기술 중 수동 터널링 방식 중 하나인 6in4는 기존의 IPv4 인프라를 그대로 활용할 수 있다는 장점으로 IPv6 전환 환경에서 채택되고 있다. 그러나, 수동 터널링 방식은 트래픽에 대한 인증 및 암호화 절차가 내장되어 있지 않아, 네트워크 경계에서 보안 프로토콜(IPSec, VPN 등)없이 운용할 경우 비인가 패킷 우회 전송, IP 스푸핑(spoofing), 은닉 채널(covert channel) 등 다양한 보안 위협이 존재한다[5][6]. 이러한 보안 위협을 해결하기 위한 방식으로, 전통적인 방화벽(Firewall)은 포트 기반 필터링 방식의 한계로 인해 트래픽의 세부 내용을 식별하고 차단하기 어려운 반면, IDS(Intrusi on Detection System, 침입 탐지 시스템)는 트래픽 흐름을 실시간으로 분석하고 사전 정의된 규칙(화이트리스트)에 기반 하여 비인가 트래픽을 탐지할 수 있는 점을 활용하여 본 연구에서는 대표적인 오픈소스 기반 IDS 중 Snort를 적용하였다. Snort는 스니퍼, 전처리기, 탐지 엔진, 출력 모듈로 구성된다. 수집된 패킷을 규칙 기반으로 비교하여 이상 징후를 탐지하고 경고를 발생시키는 구조를 가진다. 이러한 구성은 IPv6 전환 환경에서 경량 보안 솔루션의 실효성을 평가하고, 향후 Snort의 IPS 기능 확장 및 응용 계층에서의 다양한 공격 대응 방안까지 고려할 수 있는 기반 자료로 활용될 수 있다.
Ⅱ. 연구 배경과 의의
2-1 IPv6 개요
IPv6는 128비트 주소 체계를 사용하여 IPv4의 주소 고갈 문제 해결하고 보다 향상된 보안 강화, 라우팅 효율성 문제, QoS 보장 등 다양한 기능을 제공한다. 반면, IPv4의 32비트 주소 공간에 비해 훨씬 넓은 주소 자원을 제공함으로써 자동 주소 설정이 가능해졌고, 네트워크 확장성과 유연성이 크게 향상되었다 표 2에 상세히 비교하였다[7].
IPv4 / IPv6 address format and characteristics
IPv6의 패킷 헤더(Header)는 40바이트 고정 길이로, 기존 IPv4의 구조적 한계를 개선하고 전송 효율을 높이기 위 불필요한 필드를 제거하고 구조를 단순화하였다. 그림 2와 같이 IPv4는 총 14개의 필드로 구성되며 체크섬, 헤더 길이, 플래그먼트 제어 등 복잡성과 지연을 유발하는 요소를 포함한다. 반면, IPv6는 플래그먼트 제어, 플래그 등 불필요한 필드를 제거하고 총 8개의 필드로 구성되어 있다. 이러한 구조적 간소화는 라우터의 패킷 처리 부담을 줄이고, 전송 지연을 최소화하여 전반적인 네트워크 성능 향상에 기여한다[8].
Comparison of IPv4 / IPv6 header
특히, 터널링 환경에서 IPv6 패킷을 IPv4 패킷 내부에 캡슐화할 때 단순한 헤더 구조는 전환 메커니즘의 성능과 안정성을 확보하는 데 유리하게 작용한다.
2-2 터널링 개요
터널링은 IPv4 망과 IPv6 망 즉, 서로 다른 IP 주소체계를 사용하는 네트워크가 서로 통신할 수 있도록 돕는 기술이다. 만약, IPv4 네트워크 안에서 IPv6 패킷을 보낼 수 없는 상황이라면, 이 IPv6 패킷을 마치 ‘포장지’처럼 IPv4 패킷 내에 넣어 전달하는 방식이다. 보낼 때는 IPv6 패킷을 IPv4로 감싸서 전송하고, 받을 때는 다시 그 ‘포장지’를 풀어서 원래의 IPv6 패킷을 꺼내는 처리 과정이라고 생각하면 쉽게 이해할 수 있다. 기법은 구성 방식에 따라 자동 터널링(automatic tunneling)과 수동 터널링(Manual tunneling)으로 구분된다. 자동 터널링은 엔드포인트 노드가 IPv4 주소를 기반으로 자동 생성된 IPv6 주소를 통해 터널을 설정하는 방식으로, 대표적인 기술로는 6to4, Teredo, ISATAP 등이 있다. 6to4는 고정된 IPv6 주소 프리픽스(2002::/16)를 사용하여 수동적인 설정 없이도 IPv6 네트워크 간 자동으로 터널을 형성할 수 있도록 설계 되었다[9]. Teredo는 NAT 환경에서도 동작할 수 있도록 IPv6 패킷을 UDP 패킷으로 캡슐화하여 터널링을 가능하게 하는 기술이다[10]. ISATAP은 조직 내부 IPv4 네트워크를 이용하여 IPv6 통신을 지원하는 ‘내부망 전용’ 터널링 기술이다[11]. 반면, 수동 터널링은 터널 브로커를 통해 엔드포인트 노드의 주소를 명시적으로 설정하고 관리하는 방식이다. 대표적인 기술로 6in4 터널링은 고정된 IPv4 주소를 기반으로 관리자가 직접 터널 인터페이스를 구성하여 사용한다. 수동 터널링은 자동 터널링 보다 네트워크 관리 및 운용 측면에서 유리하지만, 터널 종단점의 IPv4 주소가 고정되어 외부에 노출될 경우, 공격자가 해당 IP를 대상으로 비인가 접근을 시도하거나, 터널을 악용한 우회 접근을 수행할 수 있는 보안상 취약점을 내포하고 있다.
2-3 연구 의의
기존 연구[12] Arafat는 가상화 기반 IT 인프라에서 오픈소스 IDS/IPS 도구인 Snort를 활용하여 ICMP 기반 트래픽(예: ping flood, port scan 등)에 대한 탐지/차단 및 이메일 경고 기능을 구현하여 소규모 IT 환경에서의 적용 가능성을 제시하였다. 그러나 해당 연구는 IPv6 전환 메커니즘과 관련된 실험을 다루지 않았고, 실험 범위 또한 네트워크 성능이나 탐지 정확도와 같은 지표에 대한 통계적 검증이 부족하다는 한계가 있다. 기존 연구[13] Al-Azzawi & Lencse는 터널링 DS-Lite 환경에서 발생 가능한 보안 위협을 스푸핑(Spoofing), 변조(Tampering), 부인(Repudiation), 정보 노출(Information Disclosure), 권한 상승(Elevation of Privilege)을 의미하는 ‘STRIDE’ 방법론에 따라 분석하고 공격 시나리오(예: 포트 고갈, MAC 스푸핑 등)를 CentOS 기반의 VMware 가상머신을 활용하여 DS-Lite의 취약점을 도출하였다. 그러나 IDS 기반 실시간 탐지 체계나 트래픽 차단 효과에 대한 정량적 실험을 수행하지 않아, 실용적인 보안 대응책의 효과성 평가가 미비했다.
이에 반해 본 연구는 GNS3 기반 시뮬레이션 환경에서 6in4 수동 터널링 구조를 구현하고, Snort 기반의 화이트리스트 IDS 룰을 직접 설계 및 적용하였다. 특히 NDP 스푸핑이라는 실질적인 보안 위협을 시나리오화하여 RTT, Delay(지연시간), 처리속도 등 네트워크 성능 지표를 통계적으로 비교 분석함으로써, 보안성과 네트워크 성능 간 상관관계를 실험적으로 입증하였다.
또한, IDS 기반 경량 탐지 시스템이 터널링 환경에서도 실용 가능한 대응책이 될 수 있음을 제시하였기 때문에 기존 연구들이 다루지 않은 IPv6 터널링 환경에서의 네트워크 성능 및 보안 평가를 종합적으로 다룬다는 점에서 학문적, 실무적으로 차별화된 의의를 지닌다.
Comparison of related study and proposed study
Ⅲ. 실험 시나리오와 결과 분석
3-1 실험 시나리오
실험은 6in4 수동 터널링 환경에서 IDS 설치 유무에 따른 보안성과 네트워크 성능을 비교 및 평가하기 위해 GNS3 시뮬레이션으로 그림 3과 같이 구성 하였으며, 실험 시나리오 구성에 대해 표 4에 작성하였다.
Experimental Network Topology Designed in GNS3
Design of experimental scenarios
3-2 실험 시나리오 수행 단계
6in4 터널링 환경 구축 및 정상 통신 확인하는 과정으로 먼저, 가상환경(VMware) 기반의 GNS3 시뮬레이션을 이용하여 IPv6 주소체계를 지원하는 라우터(R1, R2) 간 IPv4 기반 Tunnel0 인터페이스를 구성하여 6in4 터널을 수동으로 구축하고 외부 네트워크는 IPv4 주소체계를 이용하는 환경을 구성하였다. VPCS1(송신자)와 VPCS2(수신자) 간 IPv6 주소 기반의 end-to-end 통신이 가능한지 확인하였다.이때 wireshark를 활용하여 정상적인 6in4 터널링 트래픽이 송수신되는지 ping 테스트 결과를 캡쳐 했다(그림 4).
VPCS1 / VPCS2 connected successfully
본 시나리오에서는 표 5에서 비교한 것과 같이 IP4 기반 ARP 공격과는 달리, NDP(NS/NA 등) 메시지를 조작하여 터널링 내부로 비인가 트래픽을 삽입하는 IPv6 기반 NDP 스푸핑 공격을 수행하였다. 이를 위해 Kali Linux 기반 공격자(Attacker) 노드에서 THC-IPv6 툴킷의 ‘parasite6’ 도구를 활용하였으며, VPCS2(수신자)의 IPv6 주소를 위조하여 VPCS1(송신자)에게 스푸핑 공격을 수행하였다[14].
Comparison of IPv4 / IPv6 spoofing
그림 5와 같이, 공격자는 VPCS2(수신자)와 연결된 L2SW2(수신자 측 스위치)에 위치하여, VPCS2의 IPv6 주소로 위조된 ICMPv6 패킷을 생성한 후 VPCS1(송신자)에게 전달하였다. 이후 해당 트래픽이 공격자에게 정상적으로 도달하는지를 확인하기 위해 패킷 캡쳐를 수행하였다. 이를 통해 6in4 터널링 환경 내에서 NDP 스푸핑을 통한 통신 변조 가능성을 검증하였으며, 공격 시 RTT, 지연시간(Delay) 등 네트워크 성능 지표에 미치는 영향을 분석할 수 있는 기반 데이터를 확보하였다.
Spoofed using the IPv6 address VPCS2(Receiver)
VPCS1(수신자) 측에 Ubuntu 기반 환경에 오픈소스 도구인 Snort 기반 IDS 설치하여 실시간으로 비인가 트래픽을 탐지하였다. 이 때, IDS의 보안 성능을 평가하기 위해 사전에 허용된 IP 주소만을 등록하고, 등록되지 않은 IP로부터의 트래픽은 차단하며 로그를 기록하는 ‘화이트리스트’ 기반 탐지 룰을 수동으로 작성하였다. 탐지된 트래픽은 탐지율, 차단율 계산을 위한 보안 성능 평가 지표로 활용되었다.
Snort IDS of whitelist detected rule
각 시나리오를 효과적으로 분석하기 위해 다음과 같은 네트워크 및 보안 성능 지표를 설정하였다.
첫 번째, ‘총 패킷 수’는 실험 기간 동안 발생한 트래픽의 전체 규모를 나타낸다. 두 번째, ‘RTT(왕복 시간)’는 송ㆍ수신자 간의 왕복 시간으로, 통신 응답 속도를 평가하는 데 활용된다. 세 번째, ‘Delay(지연 시간)’는 연속된 패킷 간의 전송 지연을 측정하여, 트래픽 처리의 일관성과 품질을 판단하는 기준이 된다. 네 번째, ‘Throughput(처리 속도)’는 단위 시간 당 성공적으로 전달된 데이터 양으로 네트워크 효율성을 나타낸다. 다섯 번째, ‘패킷 손실률’은 송신된 패킷 중 수신되지 못한 패킷 비율을 나타내며, 네트워크 안정성과 품질 저하 여부를 평가한다. 마지막으로, ‘탐지율’은 IDS가 탐지한 비인가 트래픽의 비율을 의미하며, 보안 시스템의 위협 식별 능력을 정량적으로 평가하는 핵심 지표이다.
3-3 실험 시나리오 결과 분석
실험 시나리오 수행 단계에 따라 IDS를 미설치하고 스푸핑을 수행하는 ‘① 정상 환경(normal)’, IDS를 미설치하고 스푸핑을 수행하는 ‘② 스푸핑 환경(spoofing)’, IDS를 설치하고 스푸핑을 수행하는 ‘③ IDS 방어 환경(IDS_spoofing)’ 세 가지 조건을 설정하였다.
각 환경에 따라 송신 구간 VPCS1 ~ L2SW1을 ‘VPCS1’, 수신 구간 VPCS2 ~ L2SW2을 ‘VPCS2’로 라벨링 하였다. 일정한 송ㆍ수신구간에서 10분간 트래픽을 생성하고 Wireshark를 활용하여 네트워크 패킷을 수집하였다. 수집된 트래픽은 pcap 파일 형태로 저장하였으며, 이를 기반으로 Python으로 ‘네트워크 및 보안 성능 평가 지표’를 시나리오 조건 별로 분석하였다(그림 7).
Experimental results of scenarios ①, ②, ③
네트워크 성능 지표 중 RTT(왕복 시간)에 대해 측정한 결과를 정리하였다(표 6).
Results of scenario-based experiments 1
표 6을 시각화된 그래프로 나타냈다.
각 시나리오의 평균 RTT를 비교하였다(그림 8). 정상 환경인 VPCS1(normal)에서는 43.84 ms로 가장 높은 평균 RTT가 측정되었다. 이는 외부 공격 없이 안정적인 상태임에도 불구하고 초기 핸드셰이크와 같은 연결 절차에서 지연이 발생하는 기본적인 전송 지연 때문으로 해석된다. 신뢰구간은 41.04 ms ~ 46.64 ms로 비교적 좁은 폭으로 형성되어, 평균 RTT의 통계적 일관성과 안정성을 나타낸다. 반면, 스푸핑 환경에서 VPCS1(spoofing), VPCS2 (spoofing)는 각 각 24.45 ms, 27.43 ms로 평균 RTT가 크게 감소하였다. 이는 공격자가 생성한 위조 응답이 정상적인 처리를 우회하거나 생략하면서 응답 시간이 인위적으로 단축되었기 때문으로 분석된다. 신뢰구간은 각 각 22.52 ms ~ 26.38 ms, 24.94 ms ~ 29.90 ms로 RTT 측정값의 집중도가 높아 결과의 일관성을 나타냈다. IDS 방어 환경에서는 평균 RTT가 일정 수준 다시 증가하였는데, VPCS1(IDS_spoofing)에서는 26.48 ms, VPCS2(IDS_spoofing)에서는 31.62 ms로 측정되었다. 이는 IDS가 화이트리스트 기반 필터링과 검사 수행하면서 일부 지연이 추가되었기 때문으로 분석된다. 다만 해당 환경들의 신뢰구간은 각 각 신뢰구간은 22.20 ms ~ 30.72 ms, 24.68 ms ~ 38.57 ms로 다소 넓게 분포하였다. 특히, VPCS2(IDS_spoofing)는 신뢰구간 폭이 13.89 ms로 가장 넓었으며, 이는 응답 시간의 분산이 크고 결과의 통계적 신뢰도가 다소 낮다는 것을 의미한다. 결과적으로 IDS 방어 환경 VPCS1(IDS_spoofing)은 정상 환경 VPCS1(normal)대비 약 39.7% RTT가 감소를 나타냈으며, 이는 비인가 트래픽을 차단함으로써 실질적인 응답 경로가 간소화되어 전송 효율이 개선된 결과로 평가 할 수 있다.
Comprasion of average RTT
시나리오의 RTT 표준편차를 비교하였다(그림 9). 정상 환경인 VPCS1(normal)의 RTT 표준편차는 41.22 ms로 가장 낮은 표준편차를 보여 응답 시간이 가장 일관되게 유지되었다. 이는 안정적인 네트워크에서 발생할 수 있는 이상적인 결과로 분석했다. 반면, IDS 방어 환경에서는 정상 환경보다 표준편차가 증가하였다. VPCS1(IDS_spoofing)은 86.30 ms, VPCS2(IDS_spoofing)은 106.70 ms로 측정되어, 평균 응답 시간은 빠르더라도 응답 시간 간의 편차가 크고 네트워크가 불안정한 상태임을 의미했다. 이는 IDS가 실시간으로 트래픽을 분석하고 허용 여부를 판단하는 과정에서 패킷마다 처리 시간이 달라지기 때문에, 일정하지 않은 응답 시간 편차가 발생했기 때문으로 해석된다. 특히, 화이트리스트 규칙 수가 많거나, 비인가 트래픽이 과도할 경우, 분석 시간이 비례적으로 증가하여 결과 분산이 더욱 커지는 현상이 나타났다고 볼 수 있다. 또한, RTT 신뢰구간의 폭이 좁은 환경일수록 통계적 신뢰도가 높고, 결과의 일관성이 우수함을 의미하므로, 정상 환경 VPCS1(normal)과 같이 5.6 ms로 좁은 신뢰구간 환경은 응답 시간 측정값이 중심값에 밀집되어 있어 신뢰성이 높지만 IDS 방어 환경 VPCS2(IDS_spoofing)는 신뢰구간 폭이 약 13.89 ms로 해당 환경의 응답 시간이 일정하지 않고 분산이 큰 불안정한 상태임을 나타낸다. 이는 IDS의 위치가 수신 구간을 직접 보호하지 못한 데 따른 제한으로 보이며, 실시간 탐지 기능만으로는 안정적인 네트워크 품질 확보에 한계가 있다고 분석했다.
Comprasion of RTT standard deviation
네트워크 성능 지표 중 Delay(지연 시간)에 대해 측정한 결과를 정리하였다(표 7).
Results of scenario-based experiments 2
표 7을 시각화된 그래프로 나타냈다.
각 시나리오의 평균 Delay를 비교하였다(그림 10). 정상 환경에서의 VPCS1(normal), VPCS2(normal)에서는 각 각 264.83 ms, 268.83 ms로 양 노드 간 유사한 수치로 측정되었다. 이는 비교적 안정적인 네트워크 환경에서 패킷이 일정한 속도로 전송되었기 때문으로 분석된다. 또한 해당 조건의 신뢰구간 폭은 약 40 ms 이내로 좁게 나타나, 통신 응답의 일관성과 네트워크 안정성이 확보된 상태로 평가된다. 반면, 스푸핑 환경(spoofing)에서는 상반된 Delay 양상이 관찰되었다. VPCS1(spoofing)의 평균 Delay는 203.20 ms로, 정상 환경 대비 오히려 감소하는 결과를 보였다. 이는 공격자가 위조한 패킷이 일부 정상 처리 과정을 우회하거나 생략함으로써, 실제 전송 경로가 단축되었을 가능성을 시사한다. 반대로 VPCS2(spoofing)은 313.15 ms로 증가하였으며, 신뢰구간 폭은 약 48 ms로 VPCS1(spoofing) 대비 두 배에 달했다. 이는 공격 트래픽이 수신 측에 집중됨에 따라 병목 현상과 처리 지연이 발생한 결과로 분석된다. IDS 방어 환경(IDS_spoofing)에서는 전반적으로 Delay가 감소하는 경향을 보였다. 특히, VPCS1(IDS_spoofing)의 평균 Delay는 197.45ms로, 모든 실험 조건 중 가장 낮은 수치를 기록하였다. 이는 IDS가 비인가 트래픽을 사전 차단함으로써 유효 트래픽만 전송되어 전송 경로가 단순화되고 처리 효율이 향상된 결과로 분석된다. 이 조건의 신뢰구간 폭은 약 20 ms 이내로, 높음 통계적 신뢰성과 응답 시간의 일관성을 확보하였다. 그러나 VPCS2(IDS_spoofing)의 평균 Delay는 315.45 ms로 전체 실험 조건 중 가장 높았으며, 신뢰구간 폭도 약 44 ms로 나타나, 네트워크 안정성이 상대적으로 낮은 상태임을 보여주었다. 이는 IDS가 송신 측에만 적용되어 수신 측의 트래픽 통제가 미흡하다는 구조적 한계를 시사하는 결론을 도출했다.
Comprasion of average delay
Comprasion of delay standard deviation
정상 환경에서는 VPCS1(normal), VPCS2(normal)의 표준편차가 각 각 467.15 ms, 472.68 ms로 측정되어, 전체적으로 유사한 수준의 지연 분포를 보였다. 이는 외부 공격이나 보안 시스템의 개입이 없는 상태에서도 내부 네트워크 환경 또는 라우팅 경로의 복잡성으로 인해 일정 수준 이상의 지연 변동성이 존재함을 시사한다. 스푸핑 환경(spoofing)에서는 송신 측과 수신 측 간에 상이한 분산 양상이 나타났다. VPCS1(spoofing)의 표준편차는 343.57 ms로, 정상 환경 대비 낮은 값을 기록하였다. 이는 공격자가 위조한 트래픽이 전송 절차 일부를 우회하거나 경로를 단축한 이유로 분석된다. 반면 VPCS2(spoofing)의 표준편차는 534.63 ms로 세 가지 조건 중 가장 높은 수치를 보였으며, 이는 비정상 트래픽이 수신 구간에 집중되면서 병목 현상과 처리 지연을 유발한 것으로 판단된다. IDS 방어 환경(IDS_spoofing)에서는 전반적으로 지연의 분산도가 감소하였다. VPCS1(IDS_spoofing)은 가장 낮은 표준편차를 기록하였으며, 이는 송신 구간에 설치된 IDS가 비인가 트래픽을 사전 차단함으로써 패킷 흐름의 일관성을 향상 시킨 결과로 분석된다. 반면 VPCS2(IDS_spoofing)의 표준편차는 522.01ms로 여전히 높은 수준을 유지하였다. 이는 IDS가 수신 측 트래픽을 직접적으로 제어하지 못하는 구조적 한계로 인해, 패킷 처리 지연이 불규칙하게 발생했기 때문으로 분석된다. 이러한 결과는 IDS가 평균 지연시간 뿐만 아니라, 응답 시간의 일관성과 네트워크 안정성 확보에도 기여할 수 있음을 시사한다. 특히, 송신 구간에 IDS를 설치할 경우, 평균 Delay와 분산 모두 개선되는 효과가 관찰되었으나, 수신 측이 직접 공격을 받을 경우에는 IDS의 존재만으로는 지연의 불안정성을 완전히 해소하기 어렵다는 한계를 보여줬다. 따라서, IDS의 배치 위치와 정책 설계는 성능 확보를 위한 핵심 요소임을 확인하였으며, 향후 연구에서는 송ㆍ수신 구간 간 연계된 보안 대응 체계 및 패킷 흐름의 일관성을 보장하는 종합적인 IDS 전략의 필요성을 제기할 수 있다.
네트워크 성능 지표 중 Throughput(처리 속도), Packet Loss Rate(패킷 손실률)에 대해 측정한 결과를 정리하였다(표 8).
Results of scenario-based experiments 3
표 8을 시각화된 그래프로 나타냈다.
Comprasion of throughput
정상 환경에서는 VPCS1(normal)과 VPCS2(normal)이 각 각 3359.18 bps, 3343.07 bps로 유사한 값을 기록하며, 외부 공격 없이 안정적인 데이터 전송이 이루어진 상태로 분석했다. 스푸핑 환경인 VPCS1(spoofing)은 4444.57 bps로 처리 속도가 정상 환경보다 증가하였는데, 이는 공격 트래픽이 정상 절차를 우회하거나 응답을 생략함으로써 전체 트래픽 양이 증가한 결과였다. 반면 VPCS2(spoofing)의 처리 속도는 2852.47 bps로 정상 환경 대비 크게 저하되었으며, 이는 공격 트래픽이 수신 구간에서 병목 현상을 유발하고 처리 지연을 증가시킨 것으로 판단된다. 특히, IDS 방어 환경에서 VPCS1(IDS_spoofing)의 처리 속도는 4570.71 bps로 전체 실험 중 가장 높은 수치를 기록하였다. 이는 IDS가 사전에 비인가 트래픽을 필터링함으로써 정상 패킷의 처리 효율이 향상되었지만, VPCS2(IDS_spoofing)는 2831.87 bps로 VP CS1 IDS 방어 환경보다 낮은 처리 속도를 보였는데, 이는 IDS가 송신 측에만 위치하여 수신 구간의 공격 트래픽 제어가 미흡했던 구조적 한계로 분석 된다.
Comprasion of packet loss rate
정상 환경 VPCS1(normal)은 0.71%, VPCS2(noraml)은 0.83%로 거의 유사한 손실률을 기록하였으며, 물리적 장애나 과부하 없이 안정적인 통신이 이루어졌다. 스푸핑 공격 환경 또한 VPCS1(spoofing), VPCS2(spoofing)은 각 각 1.77%, 1.61%로 유사한 수치로 측정되었으나, 정상 환경 대비 큰 폭으로 손실률이 급증하였다. 이는 공격 트래픽이 정상 패킷의 전송을 방해하거나 처리 지연을 유발하였기 때문으로 분석된다. IDS 방어 환경에서는 스푸핑 환경보다 전반적으로 손실률이 개선되었다. 특히, VPCS2(IDS_spoofing)의 패킷 손실률은 0.11%로 가장 낮은 수치를 기록하였다. 이는 IDS가 허용된 트래픽만을 필터링 하여 과도한 전송을 억제함으로써 네트워크 안정성을 극대화한 결과로 해석되며 더 나아가 보안 기능이 전송 품질에도 긍정적인 영향을 미칠 수 있음을 시사한다.
네트워크 성능 평가와 더불어 IDS 설치 환경에서의 보안성 향상 여부도 함께 분석하기 위해 THC-IPv6 툴킷의 공격 결과 스푸핑 패킷을 총 10,185건을 전송하였다(그림 14).
Results of THC-IPv6 toolkit ‘Parasite6’ attack
그림 14와 동시에 IDS는 화이트리스트 탐지 룰을 이용하여 패킷을 2,716건 탐지하였다(그림 15). 이를 바탕으로 한 탐지율(Detection Rate), 차단율(Block Rate)을 다음과 같이 계산된다(그림 16).
Snort IDS detection results
Evaluation results of detection and blocking rates
Snort IDS의 탐지율은 25.1%로 단순한 화이트리스트 기반 필터링 정책만으로도 IPv6 터널링 환경에서 일정 수준의 공격 트래픽을 식별할 수 있음을 보여주었다. 이는 사전에 정의된 허용 IP 또는 포트 이외의 트래픽에 대해 로그(alert)를 생성할 수 있음을 실험적으로 입증한 결과이다. 반면, 차단율은 0.018%로 매우 낮은 수치를 기록하였다. 이는 본 실험에서 Snort가 IPS(차단)모드가 아닌 IDS(탐지)모드, 즉 기본 탐지 환경으로 구성하였기 때문이다. IDS 모드는 비인가 트래픽에 대한 감지와 로그 기록은 가능하지만, 실시간 차단 기능은 수행되지 않는다. 실시간 차단을 위해서는 NFQUEUE, DAQ 등의 패킷 처리 인터페이스를 활용한 별도의 IPS 기능 설정이 필요하며, 본 실험에서는 이를 적용하지 않았다. 따라서 낮은 차단율은 보안 기능의 부족이 아니라, 구현 방식에 따른 구조적 제약으로 해석해야 한다.
Ⅳ. 연구의 한계점 및 향후 연구 방향
본 연구는 가상환경(VMwrare)기반 GNS3 시뮬레이션 환경에서 6in4 수동 터널링을 구성하고 IDS 적용 유무에 따른 네트워크 보안성과 성능 변화를 정량적으로 분석하였다. 그러나 실험 설계 및 시나리오 구성 측면에서 다음과 같은 한계점이 존재하였다.
4-1 연구의 한계점
첫째, 가상 환경 기반의 실험 구성 제한이다. GNS3와 VMware를 활용한 시뮬레이션은 실험의 반복성과 구성 유연성 측면에서는 유리하나, 실제 물리적 네트워크 환경에서 발생할 수 있는 복잡한 트래픽 흐름, 다수 노드 간 상호작용 등은 충분히 반영되지 못하였다. 둘째, 공격 시나리오의 다양성 부족이다. 본 연구에서는 NDP 스푸핑을 중심으로 실험을 구성하였으나, 실제 네트워크 환경에서는 다양한 계층에서 복합적인 공격이 발생하여 DNS 변조, HTTP Flooding, VPN 우회 등 응용 계층 기반 공격이 실험에 포함되지 않아 탐지 정책의 범용성과 대응 능력을 평가하는 데 한계가 존재하였다. 셋째, 탐지 방식의 정적 구조적 한계이다. Snort IDS는 사전에 정의된 IP 또는 포트 기반의 화이트리스트 정책을 기반으로 동작하므로, 알려지지 않은 공격, 제로데이 위협, 비정형 트래픽에 대한 탐지가 어려웠다. 넷째, 실시간 대응 기능의 부재이다. 본 실험은 IDS 모드로 설정된 Snort만을 사용하였으며, 실시간 차단 기능은 구현하지 않았다. 이로 인해 탐지는 가능했으나, 공격 트래픽을 즉시 차단하지 못하는 구조적 한계가 존재하였다. 실시간 탐지/차단이 요구되는 실제 운영 환경에서는 이러한 점이 주요한 제약 요인이 된다. 다섯째, Snort의 기능 활용 범위의 제한이다. Snort는 화이트리스트 방식 외에도 전처리기 기반의 이상 탐지, IPS 모드 전환, 다양한 탐지 모듈 통합 기능 등을 제공하나, 본 연구에서는 화이트리스트 기반 탐지 기능만을 중심으로 실험이 구성되어, Snort의 전체 기능에 대한 실증적 검증이 이루어지지 못하였다. 이러한 한계점을 바탕으로, 향후 연구에서는 다음과 같은 고도화 방안이 필요하다.
4-2 향후 연구
첫째, 실제 환경에서의 구현 실험이 필요하다. IPv6 전환이 점차 확대되고 있는 만큼, 실험 결과가 실제 환경에서도 유효한지를 검증하는 단계가 중요하다. 이를 위해 가상 환경이 아닌, 실제 네트워크 장비나 클라우드와 연동된 테스트 환경에서 6in4 터널링과 IDS를 적용 해보고, 실제 트래픽 흐름과 장비 간 상호작용을 반영한 성능 평가가 이루어져야 한다. 둘째, 다양한 보안 솔루션과의 성능 비교가 필요하다. Snort 외에도 Suricata, Zeek 등 다양한 오픈소스 IDS가 존재하며, 탐지 방식이나 처리 속도 등에서 차이를 보인다. 동일한 실험 환경에서 이들 솔루션을 비교함으로써, 상황별 최적의 보안 솔루션을 제안할 수 있다. 셋째, 공격 시나리오를 보다 다양화할 필요가 있다. 본 연구는 NDP 스푸핑에 국한되었지만, 실제 네트워크 환경에서는 DNS 변조, HTTP Flooding, VPN 우회와 같은 다양한 공격이 발생한다. 다양한 계층에서의 복합 공격을 실험에 반영하면, IDS의 탐지 정책과 대응 전략을 더 폭넓게 검증할 수 있다. 넷째, 머신러닝 기반의 이상행위 탐지 기법 도입이 요구된다. 화이트리스트 방식은 알려진 공격에는 효과적이지만, 제로데이나 비정형 트래픽에는 한계가 있다. 향후에는 실제 IPv6 트래픽 데이터를 수집하고, 이를 기반으로 지도학습 또는 비지도학습 기법을 활용해 이상행위 기반 탐지 모델을 개발할 필요가 있다. 다섯째, 실시간 차단 기능이 가능한 IPS 체계를 구현해야 한다. 본 연구는 Snort를 IDS 모드로만 운용해 탐지 기능은 수행했으나, 차단은 이루어지지 않았다. 따라서 NFQUEUE나 DAQ 모듈을 활용해 IPS 모드로 전환하고, 탐지와 차단이 동시에 이루어지는 자동 대응 시스템에 대한 성능 분석이 요구된다.
이러한 연구 방향을 바탕으로 후속 연구가 진행된다면, IPv6 환경에 최적화된 실시간 대응형 보안 체계를 설계할 수 있을 것이다. 또한 공공기관과 민간 네트워크 환경에서 적용 가능한 경량 보안 프레임워크 개발에도 실질적으로 기여할 수 있을 것으로 기대된다.
Ⅴ. 결론 및 시사점
IPv6 전환 메커니즘 중 수동 터널링 방식인 6in4는 구조적 보안 취약성을 내포하고 있으며, 이를 해결하기 위한 방안으로 Snort 기반 IDS를 적용한 경량 보안 프레임워크를 설계하였다. 시나리오 기반의 실험은 GNS3 가상 시뮬레이션 환경에서 구현되었으며, 다양한 조건에서 네트워크 성능과 보안성을 정량적으로 측정하였다. 그 결과, IDS 방어 환경에서는 RTT는 39.7% 감소, Delay는 25.4% 감소, 패킷 손실률은 93.8% 감소, 처리속도는 36.1% 증가하는 성능 향상이 분석되었다. 이는 단순한 화이트리스트 기반 탐지 정책만으로도 실시간 트래픽 제어와 네트워크 효율을 동시에 개선할 수 있음을 실증적으로 보여주는 결과다. 또한, 복잡한 보안 장비 없이도 IPv6 환경에서 실용적인 보안 체계를 구축할 수 있는 가능성을 제시하였으며, 소규모 네트워크에 적용 가능한 경량 솔루션으로의 확장성도 확인할 수 있었다. 다만, 실험 환경이 가상 환경에 한정되었고, 공격 유형과 탐지 기법이 단일화되어 있었다는 점에서 한계가 존재해 실제 환경 기반 테스트, 다양한 보안 솔루션 비교, 복합 공격 시나리오 적용, 이상행위 기반 탐지 기법 및 IPS 기능 통합을 통해, 보다 정밀하고 확장 가능한 보안 프레임워크로 발전시킬 필요가 있다.
이러한 연구 흐름은 실시간 대응이 가능한 IPv6 기반 보안 인프라 설계에 실질적인 기여를 할 수 있으며, 정책 수립과 기술 적용 모두에 있어 현실적인 기준점을 제공할 수 있을 것으로 기대된다.
References
- Korea Network Information Center, What is IPv6 [Internet]. Available: https://krnic.or.kr/jsp/resources/ipv6Info.jsp
- S. E. Deering and B. Hinden, Internet Protocol, Version 6 (IPv6) Specification, RFC 2460, Internet Engineering Task Force (IETF), December 1998.
-
R. E. Gilligan and E. Nordmark, Basic Transition Mechanisms for IPv6 Hosts and Routers, RFC 4213, Internet Engineering Task Force (IETF), October 2005.
[https://doi.org/10.17487/rfc4213]
-
G. Tsirtsis and P. Srisuresh, Network Address Translation - Protocol Translation (NAT-PT), RFC 2766, Internet Engineering Task Force (IETF), February 2000.
[https://doi.org/10.17487/rfc2766]
- M. K. Shin and H. J. Kim, “IPv6 Transition Security Implications,” Electronics and Telecommunications Trends, Vol. 21, No. 5, pp. 163–170, October 2006.
- S. Krishnan, D. Thaler, and J. Hoagland, Security Concerns with IP Tunneling, RFC 6169, Internet Engineering Task Force (IETF), April 2011.
-
O. Babatude and O. AI-Debagy, “A Comparative Review of Internet Protocol Version 4 (IPv4) and Internet Protocol Version 6(IPv6),” International Journal of Computer Trends and Technology, Vol. 13, No. 1, pp. 10-13, 2014.
[https://doi.org/10.14445/22312803/ijctt-v13p103]
-
S. Deering and R. Hinden, Internet Protocol, Version 6(IPv6) Specification, RFC 8200, Internet Engineering Task Force (IETF), July 2017.
[https://doi.org/10.17487/rfc8200]
-
B. E. Carpenter and K. Moore, Connection of IPv6 Domains via IPv4 Clouds, RFC 3056, Internet Engineering Task Force (IETF), February 2001.
[https://doi.org/10.17487/rfc3056]
- C. Huitema, Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs), RFC 4380, Internet Engineering Task Force (IETF), February 2006.
- F. Templin, T. Gleeson, M. Talwar, and D. Thaler, Intra-Site Automatic Tunnel Addressing Protocol(ISATAP), RFC 4214, Internet Engineering Task Force (IETF), October 2005.
- Md. Y. Arafat, Implementation of IDS and IPS for Network Security in IT Infrastructure : Design, Configuration, and Evaluation of Intrusion Detection and Prevention Mechanisms, Master’s Thesis, 2025.
-
A. Al-Azzawi and G. Lencse, “Analysis of the Security Challenges Facing the DS-Lite IPv6 Transition Technology,” Electronics, Vol. 12, No. 10, 2335, May 2023.
[https://doi.org/10.3390/electronics12102335]
-
B. H. Jeong, J. D. Lim, Y. H. Kim, and K. Y. Kim, “An Analysis of Security Threat and Network Attack in IPv6,” Electronics and Telecommunications Trends, Vol. 22, No. 1, pp. 37-50, February 2007.
[https://doi.org/10.22648/ETRI.2007.J.220104]
저자소개
2024년:아주대학교 사이버보안학과 재학중
2024년~현 재: 아주대학교 사이버보안학과
※관심분야:정보보호(Personal Information), 사이버보안(Cyber Security), IT
2000년:아주대학교 정보 및 컴퓨터공학부 졸업(학사)
2002년:아주대학교 정보통신전문대학원 졸업(석사)
2005년:고려대학교 정보보호대학원 졸업(박사)
2004년~2005년: Universiry of Minnesota 방문연구원
2005년~2011년: 삼성전자 통신·DMC 연구소 책임연구원
2017년~2018년: Illinois Insitute of Technology 방문교수
2011년~현 재: 아주대학교 정보통신대학 사이버보안학과 교수
※관심분야:Digital Forensics, ICS/Automotive Securitys