AudiSDN: SDN 환경에서 네트워크 Policy 불일치 자동탐지

소프트웨어 정의 네트워킹(Software-defined Networking, SDN)은 기존 네트워크 구조와 상이하게 제어 계층과 데이터 계층이 분리되어 있어 데이터 계층을 중앙 집중 형태로 제어할 수 있는 네트워킹 구조다. 제어 계층에서 네트워크 policy를 결정하고 데이터 계층으로 전송하는데, 제어 계층과 데이터 계층의 policy 불일치는 의도치 않은 네트워크 작동을 초래할 수 있기 때문에 policy 일치 여부를 검사하는 것은 매우 중요하다. 우리 학과 신승원 교수의 네트워크 및 시스템 보안 연구실팀은 SDN 환경에서 발생할 수 있는 네트워크 policy 불일치를 자동으로 탐지할 수 있는 AudiSDN을 개발하였다.

   그림 1. 네트워크 Policy 이동 경로             그림 2. 네트워크 Policy 불일치 발생 예시

그림 1은 SDN 환경에서 네트워크 관리자부터 실제 네트워크 policy가 설치되는 네트워크 장비(예: 스위치)까지 네트워크 policy의 이동 경로를 보여주고 있다. 총 4개의 지점에서 네트워크 policy의 상태를 확인할 수 있으며 이 4곳의 상태가 모두 일치해야 한다. 하지만 그림 2와 같이 네트워크 관리자는 특정 네트워크 policy의 설치를 요구했음에도 불구하고 실제 네트워크 장비에는 네트워크 policy가 설치되지 않는 네트워크 policy 불일치가 발생할 수 있다.

AudiSDN은 이러한 네트워크 policy 불일치를 자동으로 탐지하기 위해 SDN 환경에서 사용되고 있는 오픈플로(OpenFlow) 프로토콜의 구조를 파악하여 효율적으로 무작위 네트워크 policy를 생성하고 이를 네트워크 장비에 설치하여 그림 1에서와 같이 4곳의 경로에서 네트워크 policy 상태를 추적 및 비교한다. 이를 이용하여 네트워크 policy 불일치가 발생할 수 있는 케이스를 찾아내 총 3개의 CVE를 획득했다.

이러한 성과를 인정받아 이 논문은 “AudiSDN: Automated Detection of Network Policy Inconsistencies in Software-Defined Networks”라는 제목으로 2020 IEEE INFOCOM에 기재될 예정이다,