터널 브로커를 이용한 IPv6 고정주소 시범 서비스

수행기관 : (주)유미테크

1. 개요

IPv4에서 IPv6주소체계로 전환하는 과도기 환경 속에서 두 주소체계의 호환성을 보장해 줄 수 있는 기술 및 장비의 보급으로 국내 인터넷 공간에서 IPv6 주소체계 사용을 확대하고 IPv6 기반의 차세대 인터넷 주소 환경에 대한 기술적 선점 효과와 더불어 제반 운영 노하우 및 인프라를 기반으로 IPv6의 국제적 주도권을 확보하기 위한 기반 제공

 •  현재 해외 업체가 보유한 터널 브로커(Tunnel broker) 관련 기술의 국산화로 기술 자립
 •  IPv4를 사용하는 수천만 호스트들을 간편하게 IPv6로 전환할 수 있도록 유도
 •  Native IPv6로 완전 전환되기까지 IPv4 기반 위에서 안정적인 IPv6 서비스를 가능하게 함

2. 터널 브로커 개발에 따른 주요 장점

내홈의 터널 브로커를 이용할 경우 DDNS 기능과 결합된 IPv6 터널 브로커에 의해 OS 제약 문제와 고정된 터널링 IP 위의 문제를 해결 가능

3. 내홈 시범서비스 시스템 구축 및 서비스 제공

포털에서 할 수 없는 한계점을 극복 • 구현하고 퍼스널 PC에서의 장점을 구현하는 서비스
고정 IP가 필요함에도 불구하고 유동 IP를 사용하는 고객들을 대상으로 IPv6 보급과 동시에 테스트 하기 위한 서비스를 시작

4. 시범 서비스 망 구성 계획

일반 고객을 대상으로 다음과 같은 망을 구축한 후 내홈 포탈 서비스 시스템을 설치
일반 고객에게 클라이언트 프로그램을 배포하여 IPv6 시범 서비스를 제공

5. 서비스 제공 계획

o 내홈 서버팩 인스톨 프로그램
   - 내홈 서버팩을 다운로드 받아 자동으로 설치할 수 있는 프로그램

o IPv6 TSP 클라이언트 프로그램
   - 윈도우 2000/XP에서 자동으로 터널 브로커와 연결한 후 IPv6 터널을 형성,
      IPv6를 사용할 수 있도록 한 프로그램

o 자카르타 톰캣 웹서버
   - 파워 블로그, 파일 공유, VNC 원격제어 등을 제공하기 위한 웹서버

o 내홈 파워 블로그
   - 기존 포탈서비스에서 구현할 수 없었던 블로그 포탈로 고객이 직접 구현

o VNC 원격 제어 프로그램
   - 원격 제어 프로그램으로 내홈 서버팩에서 이를 이용하여 서비스 구현

o 파일 공유 프로그램
  - 고객이 자신의 내홈 서버팩이 설치되어있는 컴퓨터에 접속하여 파일 공유

[ IPv6 Nehom의 주요 기능 ]

Iperf를 이용한 IPv6 네트워크 성능 측정

IPv6 네트워크를 구성하고, IPv6 네트워크의 성능이 어느정도 나오는지 궁금한 경우가 많다. 이러한 궁금증을 해결하는 방법으로는 ping을 이용한 패킷 손실율 측정, FTP를 이용한 대용량 파일 전송 테스트 등의 고전적인 방법으로 테스트를 실시할 수 있다.

본 문서는, 대용량 데이터 전송을 통한 IPv6 네트워크 성능 측정 도구인 Iperf를 이용한 IPv6 네트워크 성능 측정 방법에 대해 설명을 한다. Iperf는 누구나 이용할 수 있는 비상용 네트워크 성능 측정도구로, IPv4/IPv6 네트워크를 모두 지원한다.

1. Iperf 홈페이지

아래 그림과 같이 NLANR/DAST 홈페이지에서 Iperf 관련 정보를 제공하고 있다.

다운로드 URL :http://dast.nlanr.net/Projects/Iperf

2. Iperf의 다운로드

Iperf는 아래 그림처럼 Linux, FreeBSD, OpenBSD, Solaris, Windows 등의 OS를 지원하고 있으며, 본 문서에서는 Windows OS 버전의 Iperf를 이용할 예정이다.

만약 Windows 환경을 이용하지 않는다면, 자신에 OS 맞는 바이너리 코드를 다운로드 받거나, 소스코드를 컴파일하여 이용할 수 있다.

3. Iperf 설치

다운로드 받은 Microsoft Windows 바이너리 코드(iperf-1.7.0-win32.exe)를 실행하고 적절한 곳에 압출을 풀면, 아래 그림과 같이Iperf.exe파일과 도움말 파일(DOC 폴더)이 생성된다. 이후 별도의 설치과정 없이 바로 Iperf.exe 파일을 이용하여 IPv6 네트워크 성능테스트를 실시할 수 있다.

4. Iperf의 실행 옵션

우선 Iperf.exe 파일을 바로 실행하지 않고, Iperf.exe -h 명령을 실행하여 지정할 수 있는 옵션을 알아보자.

명령 :: iperf.exe -h

Iperf는 Client-Server 방식으로 동작을 하기 때문에 클라이언트 모드를 지정하는 옵션( -c )과 서버 모드를 지정하는 옵셥( -s )이 있다. 즉, 클라이언트에서 전송하는 대규모 데이터를 서버에서 전달받아 소요된 시간을 이용하여 대역폭을 계산하게 된다.

그리고, IPv4 모드 대신 IPv6 모드로 동작하기 위해서는 -V 옵션을 지정해야 한다.

5. Server 모드로 Iperf 실행

Server 모드로 Iperf를 실행하게 되면, 클라이언트로부터 데이터 전송을 기다리게 된다. 아래 그림처럼 iperf.exe -s -V 명령을 실행하면 IPv6 TCP 포트 5001을 이용하게 된다.

명령 :: iperf.exe -s -V

6. Client 모드로 Iperf 실행

이제 Iperf 서버로 데이터를 전송할 Client를 실행해야 한다. 이때 Server가 실행되는 단말이 아닌 별도의 단말에서 Client를 실행시켜야지만 제대로된 네트워크 테스트가 이루어 진다.

Client 모드로 실행하기 위해서는iperf.exe -c [서버의 IPv6 주소] -V명령을 실행한다.

** 참고 :: [ ] 는 생략 가능

아래 그림에서는 Iperf 서버가 2001:2b8:2:fff3::300 호스트에서 동작하고 있기 때문에 [서버의 IPv6 주소]를 2001:2b8:2:fff3::300 으로 지정하였다. 그리고 IPv6 환경에서 테스트를 하므로 -V 옵션을 추가로 지정하였다.

명령 :: iperf.exe -c [2001:2b8:2:fff3::300] -V

위 그림에서 보면 [2001:2b8:80:11:9d8e:3923:b47a:2756] Client와 [2001:2b8:2:fff3::300] 서버의 5001 포트가 연결되었다는 것을 알 수 있으며, 약 10초간의 네트워크 성능 테스트 결과, 약 39.6Mbits/sec 정도의 성능이 나왔음을 확인할 수 있다.

7. 기타 옵션 사항

만약 특정 시간동안의 대역폭 정보를 보다 자세히 확인하고 싶은 경우 -i 옵션을 이용할 수 있다. 만약 1초간의 대역폭 성능을 확인하기 위해서는 -i 1 옵션을, 5초간의 대역폭 성능을 확인하기 위해서는 -i 5 옵션을 이용한다.

아래 그림은 1초간의 대역폭 성능을 10초 동안 확인하는 예이다.

또한, 10초간의 성능 측정이아닌 20초간의 성능을 측정하기 위해서는, -t 20 옵션을 이용한다.

출처 : 온더넷 7월호

 이제 IPv6로의 전환의 필요성에 대해서는 두말할 필요가 없는 상황이다. 하지만 기존의 IPv4 네트워크를 한순간에 모두 IPv6로 전환한다는 것은 불가능한 일이다. 이에 따라 IPv4와 IPv6 네트워크 간에 통신할 수 있도록하는 변환 기술에 대한 요구가 늘고 있다. 주소 변환과 터널링 등 다양한 기술을 통해 IPv4와 IPv6 간의 네트워킹을 가능케하는 IPv4/IPv6 변환 기술에 대해 알아보자.

김진규 | 한국전산원 차세대인터넷팀

 IPv6는 IPv4에 비해 비교할 수 없을 만큼 커다란 주소공간을 가지고 있기 때문에, 유비쿼터스 네트워크를 구축하는 데 있어 필수라 할 수 있다. 그러나 기존의 인터넷을 IPv6 주소로 한순간에 바꿀 수는 없다. 전세계적으로 복잡하고 광대하게 퍼져있는 IPv4 인터넷을 한순간에 바꾸는 것은 거의 불가능하며, 커다란 혼란을 야기할 수 있을 것이다. 2005년 현재를 포함해 향후 4~5년 간은 IPv4 주소와 IPv6 주소가 공존할 것이기 때문에 두가지 주소를 변환해주는 기술이 필요할 것은 자명하다. 이에 많은 인터넷 전문가들이 IPv4/IPv6 변환 기술(Transition mechanism) 개발과 표준화를 상당부분 진행해 왔다. 변환 기술은 애플리케이션과 네트워크 차원으로 나눌 수 있다. 애플리케이션 차원의 변환 기술은 BIS, BIA 등이 있고, 네트워크 변환 기술은 다시 터널(Tunnel)과 주소 변환으로 나눌 수 있다. (표 1)은 변환 기술의 개요를 보여준다.

전환에 앞서

지금까지 IPv4에서 IPv6로의 자연스러운 이전을 지원해주는 IPv6 전환 메커니즘에 대한 많은 연구가 이뤄졌다. 그러나 IPv6 네트워크로의 이전을 위해서는 다음과 같은 제약사항을 고려해야 한다.

· IPv6가 IPv4와 자연스럽게 호환(변환)되지는 않는다.
· 현재 수천만 개의 호스트가 IPv4 방식으로만 동작중이다.
· 상당기간 IPv4와 IPv6는 상호 공존할 것이다.

이런 제약사항을 고려할 때, 당분간은 IPv4와 IPv6가 공존할 것이라는 데는 모두가 공감하고 있다. 때문에 이 시기에 IPv4와 IPv6를 전환하는 기술은 네트워크 운영시 아주 중요한 요소가 될 것이다. 현재, IPv4/IPv6 전환 기술은 다양하게 소개되고 있으며, 네트워크의 형태에 따라 적용방법은 서로 다르다.

향후 구축될 IPv6 네트워크는 IPv4/IPv6 듀얼(dual) 네트워크, 혹은 IPv6 전용(native) 네트워크 형태로 구성될 것이다. 이때 내부의 IPv6 네트워크와 외부의 다른 IPv6 네트워크, 혹은 IPv4 네트워크와의 통신을 위해서는 IPv4와 IPv6가 혼재한 시나리오가 가능하며, 이같은 IPv4/IPv6의 공존 상황에서 두 네트워크 간의 통신이 자연스럽게 이뤄지도록 하는 기술이 바로 IPv6 전환 메커니즘이다. 전환 메커니즘은 기본 IPv6 전환 메커니즘, IPv4/IPv6 변환 메커니즘, 향상된 터널링 메커니즘으로 구분되며 각각의 메커니즘 아래에 (표 2)와 같이 여러 변환 기술이 있다.

기본 IPv6 전환 메커니즘

기본적인 전환 메커니즘으로는 IPv4/IPv6 듀얼스택(Dual-Stack)과 IPv6-in-IPv4 터널링 기술이 있는데, 이 중 IPv4/IPv6 듀얼스택에 대해 먼저 알아보겠다.

· IPv4/IPv6 듀얼스택(Dual-Stack)

IPv6 단말이 IPv4 단말과 호환성을 유지하는 가장 쉬운 방법은 IPv4/IPv6 듀얼스택을 제공하는 것이다. IPv4/IPv6 듀얼스택 단말은 IPv4와 IPv6 패킷을 모두 주고받을 수 있는 능력이 있다. IPv4 패킷을 사용해 IPv4 노드와 직접 호환되고, IPv6 패킷을 사용해 IPv6 노드와도 직접 호환된다. 노드에서 서로 프로토콜에 적합한 패킷의 변화를 수행하는 방안이다. (그림 1)은 듀얼스택의 개념을 보여준다.

IPv4/IPv6 듀얼스택 노드는 두 프로토콜을 모두 지원하기 때문에 IPv4 주소와 IPv6 주소로 모두 설정할 수 있다. IPv4/IPv6 듀얼스택 노드는 IPv4 메커니즘(예 : DHCP)을 사용해 그 IPv4 주소를 얻고, IPv6 프로토콜 메커니즘(예 : 상태 비보존형 주소 자동설정)을 사용해 IPv6 주소를 얻을 수 있다.

듀얼스택 노드의 DNS는 호스트 이름과 IP 주소간 매핑을 위해 IPv4와 IPv6에 모두 사용된다. AAAA라는 DNS 자원 레코드 유형이 IPv6 주소를 위해 사용된다. IPv4/IPv6 듀얼스택 노드는 IPv4, IPv6 노드와 직접 호환될 수 있어야 하므로 IPv4 A 레코드는 물론이고, IPv6 AAAA 레코드도 처리할 수 있는 주소 해석기 라이브러리(DNS Resolver Library)를 제공해야 한다. IPv4/IPv6 듀얼스택 노드의 DNS 주소해석기 라이브러리는 AAAA와 A레코드를 모두 처리할 수 있어야 한다. 주소해석기 라이브러리는 IPv6 주소를 가진 AAAA 레코드와 IPv4 주소를 가진 A 레코드를 모두 조회해 그 노드와의 통신에 사용된 IP 패킷 버전에 영향을 미치기 위해 응용에 반환되는 결과를 필터링하거나 순서를 정할 수 있다.

· IPv6-in-IPv4 터널링

IPv6/IPv4 단말과 라우터는 IPv6 데이터그램을 IPv4 패킷에 캡슐화해 IPv4 네트워크를 통해 터널링할 수 있다. 즉, 터널링은 기존의 IPv4 인프라를 활용해 IPv6 트래픽을 전송하는 방법을 제공하며 (그림 2)와 같이 동작한다.

IPv6-in-IPv4 터널링 방법은 크게 설정 터널링(Configured Tunneling) 방식과 자동 터널링(Automatic Tunneling) 방식으로 구분된다. (그림 3)은 설정 터널링 방식과 자동 터널링 방식을 나타내는 그림이다.

설정 터널링 : 6Bone에서 주로 사용하는 방법으로 두 라우터간(혹은 호스트간)의 IPv4 주소를 통해 수동으로 정적 터널을 설정하는 방식

자동 터널링 : IPv4-호환(IPv4-Compatible) 주소를 이용해 매뉴얼한 설정없이 IPv4 구간을 통과할 때면 IPv4 호환 주소에 내포돼 있는 IPv4 주소를 통해 자동으로 터널링을 설정하는 방식이다.

IPv4/IPv6 변환 메커니즘

IPv4/IPv6 변환 메커니즘은 헤더 변환 방식(Header Conversion)과 전송 릴레이 방식(Transport Relay), 애플리케이션 계층 게이트웨이 방식(ALG, Application Level Gateway)으로 크게 구분할 수 있다.

· 헤더 변환 방식

헤더 변환은 IPv6 패킷 헤더를 IPv4 패킷 헤더로 변환하는 것이며, 또는 그 역순으로 변환하는 것이다. 이때 만일 필요하다면 패킷 무결성을 유지하기 위해 체크섬(check sum)을 조정(또는 재계산)하는 것을 가리킨다.

헤더 변환은 IP 계층에서의 변환으로, IPv4 패킷을 IPv6 패킷, 또는 그 반대로 변환하는 것으로써 규칙은 SIIT(Stateless IP/ICMP Translation : IP 네트워크에서 IPv6 패킷과 IPv4 패킷을 상호 변환하는 기술)에서 정의하고 있다. 헤더 변환방식은 주로 NAT-PT(Network Address Translation - Protocol Translation) 방식으로 구현되며, NAT-PT는 SIIT에 기반을 둔 헤더 변환 방식의 전형적인 예다(그림 4).

헤더 변환은 다른 방식에 비해 속도가 빠르다는 장점이 있는 반면, NAT(Network Address Translation)와 마찬가지로 IP계층 변환에 따른 제약점을 가지고 있다. 대표적인 제약점으로 DNS, ALG, FTP와 같이 응용 프로토콜에 내장된 IP계층 주소 변환의 어려움을 들 수 있으며, 이를 위해 DNS, FTP, ALG와 같은 별도의 응용 게이트웨이를 추가로 구현해야 한다.

더욱이 IPv4-IPv6 헤더 변환시, IPv4 패킷은 여러 개의 IPv6 패킷으로 쪼개져 전송되는데, 이는 IPv6의 헤더 길이가 IPv4의 헤더보다 일반적으로 20바이트 더 크기 때문이다. 또한 IPv4에서의 ICMP 내용을 ICMPv6로 상호 교환할 수 없다. 애플리케이션 계층에서 발생하는 문제를 근본적으로 해결하기 위해서는 해당 프로토콜의 애플리케이션을 새롭게 개발해야 한다.

· 전송 릴레이 방식

전송 릴레이는 TCP, UDP/IPv4 세션과 TCP, UDP/IPv6 세션을 중간에서 릴레이하는 것을 가리킨다. 이 방법은 전송 계층에서 변환하는 방식으로, 예를 들어 전형적인 TCP 릴레이 서버는 다음과 같이 작동한다.

TCP 요청이 릴레이 서버에 도착하면, 네트워크 계층은 목적지가 서버의 주소가 아닐지라도 TCP 요청을 TCP 계층으로 전달한다. 서버는 이 TCP 패킷을 받아 발신 호스트와 TCP 연결을 한다. 그 다음 서버는 실제 목적지로 TCP 연결을 하나 더 만든다. 두 연결이 구축되면 서버는 두 연결 중 하나에서 데이터를 읽어 데이터를 나머지 하나의 연결에 기록한다. 전송 릴레이에는 각 세션이 IPv4와 IPv6에 각각 밀폐돼있기 때문에 프래그먼트나 ICMP 변환과 같은 문제는 없지만 응용 프로토콜에 내장된 IP 주소의 변환과 같은 문제는 여전히 남아있다. 전송 릴레이 방식으로는 TRT와 SOCKS 게이트웨이 방식이 있으며, 애플리케이션 계층으로는 BIS, BIA가 있으나 실제 네트워크 구축 시 활용 빈도가 적기 때문에 자세한 설명은 생략한다.

· 애플리케이션 계층 게이트웨이 방식

애플리케이션이 IPv4와 IPv6 두 프로토콜을 모두 지원하는 경우에는 두 프로토콜 간에 변환 메커니즘이 사용될 수 있다. 트랜잭션 서비스를 위한 ALG는 사이트 정보를 숨기고 캐시 메커니즘으로 서비스의 성능을 향상시키기 위해 사용된다. 이 방법은 애플리케이션 계층에서 변환하는 방식으로, 각 서비스는 IPv4/IPv6 별로 각각 독립적이기 때문에 헤더 변환에서 나타나는 단점은 없지만, 각 서비스를 위한 ALG는 IPv4와 IPv6 모두에서 실행될 수 있어야 한다. 대표적인 ALG 방식의 예는 IPv4/IPv6 웹 프록시인 SQUID 등을 들 수 있다. 이 방식은 ALG의 성능에 따라서 서비스의 품질이 결정된다.

향상된 터널링 메커니즘

IPv4/IPv6 변환을 위한 향상된 터널링 메커니즘에는 DSTM(Dual Stack Transition Mechanism), 6to4, 터널 브로커, ISATAP(Intra-Site Automatic Tunnel Addressing Protocol) 등이 있다.

· DSTM

DSTM은 IPv6가 널리 확산되었을 때 사용될 수 있는 방식이다. IPv6 단말은 IPv6 네트워크뿐만 아니라 IPv4 단말과도 통신할 필요가 있다. 듀얼스택 전환 메커니즘(Dual Stack Transition Mechanism, DSTM)은 임시의 IPv4 주소를 IPv6 노드에 제공하는 방법과, IPv6 네트워크 내에서 동적 터널을 사용한 IPv4 트래픽 전송, 그리고 이 전환 메커니즘에 필수적인 지원 인프라에 대해 정의된 일련의 프로세스와 아키텍처를 제공한다.

DSTM은 필요한 경우 IPv4 주소를 듀얼 IP 계층 호스트에 지정한다. 그러면 IPv6 호스트가 IPv4 전용 호스트와 통신할 수 있게 되거나 IPv4 전용 애플리케이션이 IPv6 호스트에서 수정되지 않고 실행될 수 있다. 이같은 할당 메커니즘은 IPv6 패킷 내부에서 IPv4 패킷의 동적 터널링을 수행하고, IPv6 네트워크의 DSTM 도메인 내에서 순수 IPv4 패킷의 노출을 억제하는 능력과 연관돼 있다. 그리고 IPv6 라우팅 테이블만 있으면 라우터가 IPv6 네트워크를 통해 IPv4 패킷을 이동할 수 있으므로 IPv6 네트워크 관리가 간단하다. (그림 5)는 DSTM의 개념을 설명하는 그림이다.

· 6to4

6to4는 하나 이상의 유일한 IPv4 주소를 갖고 있는 IPv6 전용 사이트에 ‘2002:IPv4 주소::/48 단일 IPv6 프리픽스’를 할당해 외부 IPv6 네트워크와 자동 터널링을 가능하도록 하는 메커니즘을 가리킨다. 6to4의 목적은 순수 IPv6를 지원하지 않는 광역 네트워크에 연결된 고립된 IPv6 사이트나 호스트가 자동 터널링 방식을 통해 다른 IPv6 도메인이나 호스트와 통신하도록 하는 것이다. 이 방식을 사용해 연결된 IPv6 사이트나 호스트는 IPv4 호환 주소 또는 설정 터널링을 필요로 하지 않는다.

· 터널 브로커

아직까지 대부분의 6Bone 네트워크는 수동으로 설정된 터널을 사용해 구축된다. 이 방법의 단점은 네트워크 관리자의 관리 부담이 많다는 점이다. 관리자는 각 터널마다 광범위한 설정을 수동으로 수행해야 한다. 이 관리 오버헤드를 줄이는 방법 중의 하나가 바로 터널 브로커 메커니즘이다. 터널 브로커(Tunnel Broker) 개념은 터널 브로커라는 전용 서버를 구축, 사용자의 터널 요청을 자동으로 관리하는 방법이다. 이 방법은 IPv6로 연결된 호스트의 증가를 활성화시키고 초기 IPv6 네트워크 제공자들이 그들의 IPv6 네트워크에 쉽게 접근할 수 있도록 해주는 데 유용할 것으로 예상된다.

· ISATAP

ISATAP은 주로 IPv4 기반의 인트라넷에서 IPv6 노드를 점증적으로 배치할 수 있는 간단하고 확장성 있는 방법을 제공한다. 6to4와 큰 차이점은 6to4가 /48 주소를 할당해, 할당 받은 노드가 서브네트워크를 구성할 수 있으나 ISATAP은 /64 단위로 하나의 단말에 IPv6 주소를 부여해 통신하도록 설계된 방법이라는 것이다. ISATAP은 64비트 EUI-64 인터페이스 식별자와 표준 64비트 IPv6 주소 프리픽스(Prefix)를 이용한 글로벌 유니캐스트 주소 포맷을 기반으로 한다. 이 접근법은 IPv6 게이트웨이와 공통 데이터링크를 공유하지 않는 듀얼스택 노드가 사이트 내에서 IPv4 라우팅 인프라를 통해 IPv6 메시지를 자동 터널링 함으로써, 글로벌 IPv6 네트워크에 결합할 수 있도록 한다. ISATAP 주소 자동 설정을 위해 두 가지 오프링크 IPv6 게이트웨이의 자동 탐색방법이 제공된다. 이 접근법에서는 경계 게이트웨이에서 하나의 동일한 프리픽스 주소를 사용하므로 전체 사이트 통합시 확장 문제없이 사이트 내에 대규모 배치가 가능하다.

OpenBSD와 pf(Packet Filter)를 이용한 PC 방화벽 구성

IPv6 서비스를 제공하거나 이용하는 과정에서 OS에서 제공하는 단말 수준의 방화벽뿐만 아니라, 네트워크 전체를 보호하기 위한 별도의 방화벽의 필요성이 제기되고 있다. 특히, 상용방화벽중 IPv6를 지원하는 방화벽은 2004년부터 출시되기 시작하였으나, 그 수가 매우 적은 실정이다.

따라서, 본 문서에서는 OpenBSD와 PF(Packet Filter) 소프트웨어를 이용하여 IPv6 지원 PC 방화벽을 구성하는 방법을 간단하게 설명하고자 한다.

1. 필요 요소

OpenBSD에서 방화벽을 구성하기 위해서는 2개 이상의 네트워크 인터페이스가 필요하다. 만약 라우터(router) 기반의 방화벽을 구성할 경우 2개의 인터페이스(랜카드)만 필요하며, 브릿지(bridge) 형태의 방화벽을 구성할 경우 3개의 네트워크 인터페이스가 있으면 편리하다.

라우터 형태로 방화벽을 구성할 경우 네트워크 구성에 일부 변경이 필요하기 때문에,본 문서에서는 기존 IPv6 네트워크의 구성을 변경하지 않고 IPv6 방화벽을 적용하기 위해 브릿지(bridge) 형태의 IPv6 방화벽을 구성한다.특히 브릿지 형태의 경우 외부에서는 IPv6 방화벽 존재 자체가 드러나지 않기 때문에 보안상 더욱 유리하다.

브릿지 모드에서는 2개의 네트워크 인터페이스는 In-bound, Out-bound 경로로 이용되며, 나머지 1개의 네트워크 인터페이스는 원격 관리용도로 이용할 수 있다. 만약 원격 관리를 하지 않고 시리얼 포트 또는 로컬 콘솔에서 관리를 한다면 2개의 네트워크 인터페이스만 있어도 된다.

최소 하드웨어 요구사항

OpenBSD 3.6 or higher ( 현재 버전은 3.7 )

 

아래 그림처럼 OpenBSD를 이용한 브릿지 형태의 방화벽은 라우터와 라우터 사이 또는 라우터와 스위치 사이에 위치하며, 브릿지를 통과하는 패킷을 통제한다.

 

 

2. OpenBSD 설치

 

OpenBSD 웹사이트의 문서를 참고 하여 OpenBSD를 설치한다.

참고 문서 ::http://www.openbsd.org/faq/faq4.html

참고 문서 :: OpenBSD_install [다운로드]

 

** 어떤 소프트웨어 패키지를 선택해야 할지 잘 모를 경우 전체 설치를 선택함

 

설치과정에서 OS 파티션 및 네트워크 인터페이스 설정이 끝난 뒤 쉘 프롬프트가 나타나면 브릿지 인터페이스를 구성할 수 있다.

 

 

3. 브릿지 인터페이스 구성

 

OpenBSD의 브릿지는 OSI 7 Layer 중 Layer 2 계층에서 동작을 하며, 동시에 브릿지를 통과하는 패킷의 Layer 3, Layer 4 데이터를 필터링 할 수 있다.

 

우선, 브릿지 구성을 위해 양 네트워크 인터페이스(Inbound, Outbound) 사이트의 IP 패킷 포워딩을 가능하게 해야 한다. OpenBSD의/etc/sysctl.conf파일의 내용 중 'net.inet.ip.forwarding=1' 항목과 'net.inet6.ip6.forwarding=1' 항목의 주석을 제거한다.

 

변경 전 :: #net.inet.ip.forwarding=1

               #net.inet.ip6.forwarding=1  

     

변경 후 :: net.inet.ip.forwarding=1   ( 주석 제거 )

               net.inet6.ip6.forwarding=1  ( 주석 제거 )

 

다음으로 두 개의 네트워크 인터페이스를 이용하여 브릿지 인터페이스를 구성해야 한다.

 

두 개의 네트워크 인터페이스를fxp0와fxp1이라고 가정하고 (인텔 NIC의 경우 fxp0, 1, 2 형태의 이름으로 네트워크 인터페이스가 생성되며, 타 NIC의 경우 이름이 다름) 아래와 같은 명령을 실행한다.

 

# fxp0 인터페이스의 변경 및 시작

   ifconfig fxp0 delete

   echo 'up' > /etc/hostname.fxp0

 

# fxp1 인터페이스의 변경 및 시작

   ifconfig fxp1 delete

   echo 'up' > /etc/hostname.fxp1

 

# 브릿지 인터페이스의 생성 및 시작

   echo 'add fxp0 add fxp1 up' > /etc/bridgename.bridge0

 

** bridge 설정과 관련하여 위 명령을 실행해도 bridge 인터페이스가 정상적으로 동작하지 않는 경우, 직접 /etc 디렉토리에 bridgename.bridge0 파일을 만들고 아래와 같은 내용을 추가한다.

add fxp0

add fxp1

up

이제, 시스템을 재시작하고 ifconfig -a 명령 실행 결과를 확인해 보면 아래와 유사한 bridge 인터페이스 정보를 확인할 수 있으며, 브릿지 인터페이스가 정상 동작하고 있음을 알 수 있다.

bridge0: flags=41<UP,RUNNING> mtu 1500

 

4. pf 활성화

 

pf(Packet Filter)는 OpenBSD 3.0부터 제공되는 패킷 필터링 도구이며, 기본 시스템 설정에서는 비활성화되어 있다.

 

pf를 활성화기 위해서는 /etc/rc.conf 파일을 아래와 같이pf=NO를 pf=YES로 수정한다.

# set the following to "YES" to turn them on
rwhod=NO
nfs_server=NO             # see sysctl.conf for nfs client configuration
lockd=NO
amd=NO
pf=YES                        # Packet filter / NAT
portmap=NO                # Note: inetd(8) rpc services need portmap too
inetd=YES                    # almost always needed
check_quotas=YES        # NO may be desirable in some YP environments
krb5_master_kdc=NO     # KerberosV master KDC. Run 'info heimdal' for help.
krb5_slave_kdc=NO       # KerberosV slave KDC.
afs=NO                        # mount and run afs

수정후 시스템을 재시작해야지만, pf가 동작한다.

 

기타 pf 관련 설정항목에는 아래와 같은 것이 있다.

# miscellaneous other flags
# only used if the appropriate server is marked YES above
savecore_flags=                          # "-z" to compress
ypserv_flags=                             # E.g. -1 for YP v1, -d for DNS etc
yppasswdd_flags=NO                 # "-d /etc/yp" if passwd files are in /etc/yp
nfsd_flags="-tun 4"                     # Crank the 4 for a busy NFS fileserver
amd_dir=/tmp_mnt                      # AMD's mount directory
amd_master=/etc/amd/master      # AMD 'master' map
syslogd_flags=                           # add more flags, ie. "-u -a /chroot/dev/log"
pf_rules=/etc/pf.conf                  # Packet filter rules file
pflogd_flags=NO                        # add more flags, ie. "-s 256"
afsd_flags=                                # Flags passed to afsd
shlib_dirs=                                 # extra directories for ldconfig, separated
                                                 # by space

 

위 내용에서pf_tule=/etc/pf.conf항목은 pf 규칙을 정의한 파일을 지정하는 항목이며,pflogd_flags=NO는 pf 관련 로그 기록 여부와 관련된 항목이다.

 

 

5. pf 기본 규칙 정의

 

pf 관련 패킷 필터링 규칙을/etc/pf.conf파일에 적용하기 이전에, 방화벽 규칙을 정해야 한다. 우선 본 예제에서는 브릿지 모드로 동작하기 때문에, 하나의 인터페이스에 대해서만 방화벽 규칙을 적용하면 된다.

 

fxp0를 외부 네트워크와 연결된 인터페이스로 가정하고, fxp1을 내부 네트워크와 연결된 인터페이스로 가정한다면, fxp0의 inbound, outbound 트래픽에 대한 규칙을 정의한다.

 

- 외부에서 들어오는 IPv4/IPv6 패킷중 ssh와 http는 웹서버(1.1.1.2, 2001:aaaa::2)에만 허용

- 외부에서 들어오는 IPv6 패킷중 ftp는 FTP 서버(2001:aaaa::3)에만 허용

- 외부에서 들어오는 IPv4 패킷중 DNS Lookup은 DNS 서버(1.1.1.4)에만 허용

- ICMP, ICMP6는 모두 허용함

- Loopback 관련 트래픽은 모두 허용함

- 외부에서 들어오는 IPv6-in-IPv4 터널 패킷은 모두 허용함

- 내부에서 외부로 나가는 모든 트래픽은 허용함

- 외부에서 들어오는 모든 트래픽의 상태를 추적함(Keep State)

- 내부에서 나가는 모든 트래픽의 상태를 추적함(Keep State)

- Drop된 패킷에 대한 로그를 남김(Log all dropped packet)

 

 

6. pf.conf 파일의 편집

 

우선 OS 설치후 /etc/pf.conf 파일을 열어보면 아래와 같다. 간단하게 의미를 파악해 보자.

 

 

ext_if="fxp0"항목은 외부 인터페이스를 정의한 것이고,int_if="fxp1"은 내부 인터페이스를 정의한 것이다.

 

pass in log quick on $ext_if all 의 의미는 $ext_if(fxp0)로 들어오는(in) IPv4 패킷에 대해 로그를 기록하고(log) 이 조건을 만족하면 더 이상 아래부분의 필터링 조건을 확인하지 않고(quick) 바로 통과(pass) 시킨다는 의미이다.

 

pass out log quick on $ext_if all의 의미는 $ext_if(fxp0)에서 나가는 IPv4 패킷에 대해 로그를 기록하고 이 조건을 만족하면 더 이상 아래부분의 조건을 확인하지 않고 바로 통과 시킨다는 의미다..

 

pass in log quick inet6 all의 의미는 외부에서 들어오는 모든 inet6, 즉 모든 IPv6 패킷을 통과시킨다는 의미이며, pass out log quick inet6 all 의 의미는 외부로 나가는 모든 IPv6 패킷을 통과시킨다는 의미이다.

 

이처럼 pf.conf 파일 작성 규칙에 따라 자신이 원하는 패킷을 제어할 수 있다.

 

구체적인 pf.conf 파일 작성법은관련 문서를 참고 하기 바람

 

 

6. pf 세부 규칙(rule) 설정

 

그러면, [5. pf 규칙 정의] 항목에서 설정한 필터링 규칙을 실제 작성하고 시스템에 적용해보자.

 

/etc/pf.conf 파일에 들어갈 내용

 

#######################################################################

## 브릿지를 중심으로 외부 인터페이스는 fxp0이므로

$ext_if="fxp0"

 

## 브릿지를 중심으로 내부 인터페이스는 fxp1이므로

$int_if="fxp1"

 

##패킷을 정규화 시키기 위해

scrub in

 

## 브릿지 모드에서는 하나의 인터페이스만 통제를 하면 되므로, 외부 인터페이스는 통제를

## 하고, 내부 인터페이스는 모두 통과 시킴

## (특별하게 inet, inet6을 정의하지 않으면 IPv4, IPv6 모두 해당됨)

pass in log quick on $int_if all
pass out log quick on $int_if all keep state

## 악의적인 패킷을 걸러내기 위해
# ipv4
block in log quick inet proto tcp all flags FS/FS
block in log quick inet proto tcp all flags /FSRPAU
# ipv6
block in log quick inet6 proto tcp all flags FS/FS
block in log quick inet6 proto tcp all flags /FSRPAU

## Loopback 인터페이스(lo0)와 관련된 패킷은 모두 통과
pass in quick on lo0 all
pass out quick on lo0 all keep state

## ICMP, ICMP6 관련 패킷은 모두 허용
pass in log quick on $ext_if inet proto icmp from any to any keep state
pass in log quick on $ext_if inet6 proto icmp6 from any to any keep state

## 만약 ICMP6 관련 패킷을 모두 차단하면, IPv6 네트워크 동작에 문제가 발생할 수 있다.
## 예) RA 메시지를 못받는 경우

## 외부에서 들어오는 IPv4/IPv6 패킷중 ssh와 http는 웹서버(1.1.1.2, 2001:aaaa::2)에만 허용
pass in log quick on $ext_if inet proto tcp from any to 1.1.1.2  port { 22, 80 } keep state

pass in log quick on $ext_if inet6 proto tcp from any to 2001:aaaa::2  port { 22, 80 } keep state

 

## 외부에서 들어오는 IPv6 패킷중 ftp는 FTP 서버(2001:aaaa::3)에만 허용

pass in log quick on $ext_if inet6 proto tcp from any to 2001:aaaa::3  port 21 keep state

 

## 외부에서 들어오는 IPv4 패킷중 DNS Lookup은 DNS 서버(1.1.1.4)에만 허용

pass in log quick on $ext_if inet proto tcp from any to 1.1.1.4 port 53 keep state

pass in log quick on $ext_if inet proto udp from any to 1.1.1.4 port 53 keep state

 

## 외부에서 들어오는 IPv6-in-IPv4 터널 패킷은 모두 허용함
pass in log quick on $ext_if inet proto 41 from any to any keep state

 

## 외부에서 들어오는 모든 트래픽의 상태를 추적함(Keep State)

## 내부에서 나가는 모든 트래픽의 상태를 추적함(Keep State)
block in log quick on $ext_if inet all
pass out log quick on $ext_if inet all keep state
block  in log quick on $ext_if inet6 all
pass out log quick on $ext_if inet6 all keep state

 

#######################################################################

 

 

7. 테스트

 

pf 관련 설정이 제대로 적용되고 있는지, pf 기능이 정상동작하고 있는지 확인하기 위해서는pfctl명령을 이용한다.[pfctl 참고 사이트]

 

pf.conf 파일의 로딩 :: pfctl -f /etc/pf.conf

pf 기능의 시작 :: pfctl -e

pf 기능의 중지 :: pfctl -d

pf 룰셋(규칙) 보기 :: pfctl -s rule

pf 관련 통계보기 :: pfctl -sa

 

또한, tcpdump를 이용하여 pf의 동작상태를 확인할 수 있다.

 

tcpdump -i pflog0

 

 

이상으로 pf를 이용한 IPv6 방화벽 구성에 대해 아주 간단히 알아 보았다. 위 내용은 오직 예제이며, 실제 사이트에 적용하기 위해서는 보다 구체적이고 정밀한 방화벽 룰 설정이 필요할 것이다.

 

보다 상세한 내용은 아래 참고문서를 참고 하기 바란다.

 

 

참고문서

- Daemon News  HOWTO Transparent Packet Filtering with OpenBSD [다운로드]

- Firewalling IPv6 with OpenBSD's pf (packet filter) [다운로드]

- OpenBSD_install [다운로드]

- OpenBSD Resources  how-to  invisible_firewall [다운로드]

 

출처 : 온더넷, 2005년 6월호

이번호에는 IPv6 전환시 가장 기초가 되는 자원의 조사를 통해 현황을 분석하는 방법을 자세하게 알아본다. 자세하고 기본적인 자원의 조사가 바탕이 돼야 보다 세밀한 IPv6 전환에 대한 설계가 가능하며, 전환 후 업무의 중단이나 장애가 없는 견고한 IPv6 네트워크를 구축할 수 있을 것이다.


김진규 | 한국전산원/차세대인터넷팀

IPv6로의 성공적인 전환을 위해서는 현재 사내 네트워크와 시스템 등에 대한 현황 분석과 이를 단계적으로 전환하기 위한 설계방안을 마련해야 한다. 각 회사별로 사내 네트워크 와 시스템의 특수성이 반영돼야 하므로 해당 기업 또는 부서의 영역별로 업무 특징을 고려해 표본 부서를 선정하고, 선정된 표본 부서를 대상으로 전환 점검 체계에 따라 전환 점검표와 점검 양식을 우선적으로 적용하는 절차가 필요하다.
표본 부서에서 전환 점검 체계를 적용해서 수집된 정보는 데이터베이스화해 다른 부서, 나아가 회사 차원의 IPv6 전환시 활용할 수 있도록 한다. 이를 위한 전환 점검 지침을 개발함으로써 실제 IPv6 전환 전략, 모델 설계, 실제 전환 단계까지 전 영역에 대한 기반을 마련할 수 있으며, 궁극적으로 성공적인 IPv6 전환을 구현할 수 있을 것이다.

IPv6 전환 점검 절차

IPv6 전환 점검 절차는 IPv6로의 전환을 위한 표본 부서를 우선 선정하고, 해당 표본 부서의 IT 담당자와 공동으로 계획, 추진한다. 또한 표본 부서를 통해 영역별 참조모델을 제시하고, 향후 전사적인 IPv6 전환에 있어서 전환 모델과 방향을 제시한다. (그림 1)은 IPv6 전환 점검 절차에 대한 흐름도다.

전환계획서와 지침서를 개발하기 위해 전환 프로세스 정의, 양식표 개발과 수집 정보 활용계획을 수립하고, 표본 부서를 선정한다. 표본 부서를 대상으로 전환 점검 양식표를 작성해 일정과 예산을 산정하며, 이런 기본 방침을 기반으로 전환 영향을 평가하고 단계별 전환 계획서와 지침서를 개발해 제시한다.

자원 항목별 분류

IPv6 도입을 위한 자원 점검 절차 중 첫 번째 단계는 자원 항목별 분류다. 전사적인 규모의 IPv6 도입 모델과 전략에 관한 연구를 위해서는 자원에 대한 분류가 필요하며, 일반적으로 ▲네트워크 장비 ▲단말 장비 ▲소프트웨어 ▲운영관리 ▲보안 ▲주소 ▲기타와 같은 자원 항목 분류를 사용한다.

이렇게 대분류를 끝내고 나서, 각 항목별로 세부항목을 나눠, 보다 세밀한 IPv6 지원여부를 확인 점검한다.

·네트워크 자원
네트워크 자원은 인터넷과 인트라넷을 구성하는 2계층 장비에서 7계층 장비까지의 모든 장비를 대상으로 조사해야 하며, ▲라우터 장비(인터넷 연동 라우터, 인트라넷 연동 라우터, 기타) ▲스위치 장비(2∼7계층 스위치) ▲NAT 장비 ▲AP(Access Point) 장비 ▲CDN 장비(캐시 등) ▲게이트웨이 장비(VPN 등)

·단말 자원
클라이언트(데스크톱, 노트북 등), 서버 (인터넷용, 업무용), Non-PC(PDA, 스마트폰, OA기기 등), 음성/영상 기기(화상회의 등)

·소프트웨어
OS(윈도우, 유닉스, 리눅스 등), 데이터베이스(오라클, 인포믹스, MS-Sql, Mysql 등), 사내 애플리케이션 서비스(ERP 등), 상용 애플리케이션 서비스(웹, 메일 등)

·운영관리
인증, DNS/DHCP, EMS/NMS, 모니터링/제어계측기기

·보안
파이어월/IDS/IPS, IPSec, PKI

·주소 자원
사설 주소, 공인 주소

·기타
이용자에 대한 교육 등

이상과 같이 자원이 2단계까지 세부적으로 분류되면, 다음 작업으로 각각의 분류된 자원에 대한 수집 방안 표준을 마련해야 한다.

자원 점검을 위한 기초 자료 수집 방안

자원 항목별 분류가 끝났으면 이제는 IPv6로의 전환을 위해 자원별 IPv6 전환이 가능한 장비의 현황을 파악하고, 각 항목별 지원 장비형태에 따라 자원을 체계화한다. 향후 전사적인 IPv6로의 원활한 전환을 위해 중요한 자료가 되므로 체계적인 데이터베이스화가 필요할 것이다. (그림 2)는 항목별 점검 순서를 나타낸 것으로, 전체 자원별 IPv6 지원 방안 지침서로 활용했다.

자원에 대한 IPv6 지원 방안 지침서를 바탕으로 항목별/자원별 점검에 대한 순서는 다음과 같다.

·대상 자원에 대한 구성 자료를 수집한다.

·자원 형태에 따라 하드웨어와 소프트웨어로 분류해 IPv6를 지원하기 위한 자료를 다양한 경로를 통해 조사해 체계화한다.

·구현과 적용 사례를 조사 분석한다.

·자원에 대한 기초 자료 수집과 조사를 완료한 후, 장비별/자원별 상세 분석에 착수한다 (장비별 지원현황, 정상 구동 유무, 고려사항 등).

항목별 자원의 체계화

IPv6 도입을 위한 자원 점검 절차 세 번째 단계로 항목별 자원의 체계화가 필요하다. (그림 3)은 자원 항목별 IPv6 지원 방안을 마련하기 위한 데이터 활용 체계를 나타낸 것이다. 항목별 활용방안을 위해 수집정보를 체계화(데이터베이스화), 자동화하며, 각종 통계 자료를 유형별로 세분화해 향후 기업의 전사적인 IPv6 전환시 정보 자료로 활용한다.

수집 정보의 활용을 위한 체계적인 데이터베이스화는 데이터 종류에 따라 통계자료, 구성 자료, 매뉴얼 자료 등으로 나눠 로우 데이터를 정리해 구성한다. 데이터베이스화 모델은 웹페이지와 데이터베이스화해 정리 보관하며, 자원 항목별로 IPv6 지원을 위한 방안을 함께 마련한다. 향후 전사적 IPv6 도입에 따른 중복 업무를 피하기 위해 각 부서별 또는 본사와 지점 등의 유형과 자원의 종류에 따라 체계적으로 데이터베이스화 업무를 수행한다.
 

자원 점검

점검을 위해서는 자원 항목을 분류하고 해당 자원 항목별 장비를 분류할 필요가 있다. 또한 분류된 장비에 대한 세부적인 특징 조사가 필요하다. 여기서는 해당 장비의 특이사항에 대한 점검이 요구되는데, 이에 대한 개념도는 (그림 4)와 같다.

자원 점검을 위한 프로세스는 장비점검을 위한 개념도를 구체화하고 절차화한 것으로 "자원 분류   장비별 분류   장비관리 부분 조사   장비 특징 조사   특이사항 조사"로 이뤄진다.

자원 점검을 위한 프로세스의 첫번째 단계는 해당 회사(또는 단위 사업부서)의 자원에 대한 분류다. IPv6 도입 자원을 선정하고 선정된 자원을 분류 기준(네트워크, 애플리케이션 서비스, 시스템 자원)에 따라 체계적으로 분류한다.

분류된 자원은 목적이나 용도에 따라 세분화돼 장비별로 분류하고, 장비의 제조회사, 도입일 또는 취득일, 담당자 등의 일반적인 사항을 조사해 IPv6 도입시 활용하도록 한다. 또한, 제조회사의 제공 정보와 기술정보 습득 등의 다양한 경로를 통해 장비사양, 운영체제, 기능 등의 상세한 부분까지 조사한다. 마지막으로 특정 장비에 대해 IPv6 관련 자료나 특이사항을 기록해 해당 기업의 전사적인 IPv6 전환에 있어 특이사항 등으로 반영할 수 있도록 한다.

항목별 장비 분류가 확인되면 장비에 대한 IPv6 지원 여부와 지원 장비의 특징 등을 조사하는데, 이런 장비 점검에 대한 프로세스는 (그림 5)와 같다.

자원 점검을 위해 자원의 항목별 분류를 확인하고, 장비나 애플리케이션 서비스의 IPv6 지원 여부와 버전을 점검한다. IPv6를 지원하는 경우는 장비나 애플리케이션 서비스 명칭, 장비 사양 등을 조사하고, IPv6 지원 항목의 종류와 추가 모듈, 변경이 필요한 모듈은 어떤 것들이 있는지 확인한다. 마지막으로 해당 장비나 애플리케이션 서비스의 IPv6 표준을 얼마나 지원하는지와 각 장비의 특이사항을 조사한다.

또한, 장비에서 IPv6를 지원하지 않는 경우에는 IPv4 장비나 애플리케이션 서비스를 고려해 IPv6 지원을 위한 개발이나 계획 등을 조사하고 장비나 애플리케이션 서비스의 명칭과 사양을 함께 조사한다. 이때, 네트워크 장비가 2계층 장비로 사용된다면, IPv6 전환에 대해 고려할 필요는 없다.


자원 항목별 점검 목록

지원 항목별 점검 목록은 다음과 같다.

·IPv6 지원을 위한 버전 확인(IPv6 지원 시스템 운영체제 버전 확인, IPv6 지원 네트워크 장비의 운영체제 확인).
·IPv6 지원을 위한 하드웨어 사양(IPv6 지원을 위한 최소의 하드웨어 사양, IPv6 지원을 위한 장비 명칭 조사).
·IPv6 지원을 위해 변경되거나 추가되는 모듈의 종류.
·IPv6 기본 설치를 위한 가이드라인(명령어).
·IPv6 특징을 지원하기 위한 설치 가이드라인(명령어).
·IPv6 설치 제거를 위한 가이드라인(명령어).
·IPv6 지원을 위한 특징 비교 분석(IPv6 특징을 지원하는 항목별 비교 분석).
·표준을 수용하는 범위 조사
·지원하는 RFC의 종류 조사
 

자원 점검을 위한 분류

자원 점검을 위해 하드웨어 부문과 소프트웨어 부문으로 구분해 분류할 필요가 있다. 하드웨어는 네트워크와 시스템 부분, 소프트웨어는 애플리케이션 서비스와 운영체제 등을 포함한다. 먼저 하드웨어 점검을 위한 프로세스를 살펴보면, 네트워크 장비로는 라우터와 스위치가 있으며, 단말 장비에는 데스크톱 PC, 노트북, 서버 등이 있다. (그림 6)은 이들 하드웨어 장비에 대한 점검 프로세스이다.

하드웨어 시스템(네트워크 장비와 단말 시스템)의 점검을 위해 우선 해당 하드웨어 시스템의 용도에 따라 영역코드를 부여한다. 해당 하드웨어 시스템의 영역코드 분류에 따라 취득일, 제조업체, 모델명, 담당자 등에 대한 정보를 조사한다. 또한, IPv6 지원을 위한 기본적인 지원 모듈과 기능, 지원 표준, 확장 모듈과 특이사항에 대해 조사해 데이터베이스화해야 한다.

이번에는 소프트웨어 점검을 위한 절차를 살펴보자. 소프트웨어의 점검은 네트워크 장비와 단말 장비에서 각각 이뤄진다. 네트워크 장비는 장비별 운영체제를, 단말 장비는 PC와 서버 시스템의 운영체제와 기타 주요 애플리케이션 서비스(파이어월, 웹서버, DNS, 메일서버 등)에 대해 수행한다. (그림 7)은 IPv6 지원을 위한 장비의 소프트웨어 점검 절차이다.

점검 양식

전사적인 IPv6 전환시 자원의 항목별 점검을 위해서는 일정한 양식표가 필요한데, 이들 양식표는 네트워크 장비, 단말 장비, 서버 장비별로 각각 다르다.

(표 1)은 네트워크 자원의 IPv6 지원 여부를 점검하기 위한 점검 양식표다. 물론 해당 회사의 특성에 따라 다를 수 있지만 여기서는 가장 일반적으로 사용할 수 있는 점검양식을 제시한다.

(표 2)는 단말 및 서버 자원의 IPv6 지원 여부를 점검하기 위한 점검 양식표다. 이 부분도 마찬가지로 각 회사의 특성에 따라 다를 수 있지만 가장 일반적인 방법을 적용할 수 있는 표를 예시로 작성했다.

이번호에는 IPv6 전환시 가장 기초가 되는 자원의 조사를 통해 현황을 분석하는 방법을 자세하게 알아봤다. 이런 자세하고 기본적인 자원의 조사가 바탕이 돼야 보다 세밀한 IPv6 전환에 대한 설계가 이뤄질 수 있으며, 전환 후 업무의 중단이나 장애가 없는 견고한 IPv6 네트워크를 구축할 수 있을 것이다. 실제 사례를 통한 설계와 전환방법은 다음호에 소개하겠다.

“Coalition Summit for IPv6“

1. 행사 개요

  o 기간 : 2005. 5. 22 ~ 5. 29
  o 장소 : 하얏트호텔, Reston, 미국

2. 주요 행사 내용

 □ Coalition Summit for IPv6 주요 발표 내용

    o 각국 군사 및 IPv6 관계자 500여명이 등록하였으며 각국의 군사 담당자, 정부관계자 및
       산업체 CEO/CTO 등 40명이 발표

    o미국은 DoD, 육해공군의 3성장군 및 장교, 국무부, 해양시스템국, 등 Director, 미연방의회
       하원, 그리고 시스코, 주니퍼, MS 등 산업체의 CEO/CTO 등이 IPv6 추진 현황을 발표하였음
        - 미군의 IPv6 추진은 DoD가 미군 전체의 IPv6 추진전략 및 가이드를 제공하고
           육해공군은 세부 IPv6 이행 방법을 수립하여 추진
        - 2003년부터 DoD는 IPv6 추진을 결정

        -미군은 네트워크 중심 전술망 구축, 이동성, 보안, QoS 등 IPv6의 장점 활용, 동맹군과의
           연합작전 능력 향상 등을 위하여 IPv6 도입
           ※ IPv6의 Mobility를 이용한 Mobile space, Mobile Air, Mobile Land, Mobile Sea 구축

        - 또한 육-해-공군간 서로 다른 시스템을 IPv6 도입과 함께 표준화 하고자 함
           (Lt. Gen., U.S Joint Forces Command(합참))
           . 40여명(DoD, 육-해-공군 각 10여명)의 IPv6 전략 수립 전담인력을 확보
        - 시스코, 주니퍼, MS 등 주요 산업체에서는 IPv6 상용화 및 미군의 IPv6 전환 지원을
           위하여 라우터, 보안제품, 가상전투게임 등 개발
        - 국방부를 포함한 연방 24개 부처에 IPv6 도입촉구(하원 정부개혁위원회의장, Tom Davis)
           . 국방부는 현재 IPv6 도입 계획 및 전환 모델 등이 수립되어 있으나 나머지 23개 부처는
             IPv6 도입이 저조함
           . 타 부처도 국방부와 같은 구체적인 IPv6 도입 계획 및 비즈니스모델 수립이 필요함 강조
        - 기타 석유유통시스템, 긴급관리시스템(Emergency Management System) 등에
           IPv6 적용 필요성 발표
           . 경찰, 병원, 소방서 등 긴급을 요하는 agency를 위하여 IPv6 기반 긴급 관리시스템을
             도입하는 Metronet6 프로젝트 계획 발표

    ※ 공군의 IPv6 추진 체계 예시
       - DoD의 정책 및 Guide에 따라 공군은 AF CIO, AFSN, AF Testing Facilities, AF R&D 등에
          세부 IPv6 추진 업무를 할당
       - 공군은 IPv6전환 관리 계획 v2.0, 공군 IPv6 전환 관리 가이드 등을 완성하고 전환 비용
          산정 완료, Pilot program과 R&D 시험 장소 그리고 장비 등을 확정하였음

    ※ 육군은 DoD의 기준아래 제조업체들이 육군의 IPv6 도입을 지원할 수 있도록 RFI(Request for Information)를 제작 중이며 DoD가 2008년부터 IPv6 도입하려 하지만 2013년 이후부터나 IPv4 기능을 Deactivating할 수 있을 것으로 예상함(John Shipp, Army's Director of technical architecture, applications, operations and space)

    o유럽은 기술 개발을 2005년 종료하고 이후는 IPv6 가이드북 제작, 홍보 등을 통한
       상용화(Procurement) 추진
        - EU는 123M유로를 투입하여 기술개발, 상호운용성 시험(이상 90M 유로)를 완료하였고
           2.5Gbps급 시험망 구축(33M 유로)을 2005년까지 종료 예정(Director of EC)
          . IPv6 상용화는 군사 및 연구분야부터 시작될 것으로 예상

        -NATO는 회원국간 상호운용성을 확보하고 이동성 등 IPv6 장점을 군에 활용하기 위하여
           1996년부터 IPv6 관련 프로젝트(INSC, CFBLNet) 수행

            ※ INSC(Interoperable Network for Secure Communication)
               - 보안통신을 위한 상호운용성 확인 프로젝트
            ※ CFBLNet : Combined Federated Battle Lab Network : 연합전을 위한 가상전투망

        - 독일연방군(Bundeswehr)의 IT 시스템에 IPv6를 적용(2007년부터), 미국 등 동맹국과의
           연합작전 및 육해공군 협력작전 효율향상 추진(독일 Liaison Office의 Assistant Director)

    o일본 및 한국은 선도적으로 IPv6를 추진하고 있음
        - 일본 정부는 2010년 모든 기기를 네트워크로 연동하는 u-Japan 구축을 목표로 하고
           있으며 u-Japan의 기본주소인 IPv6 검증 추진
        - 2003년, 2004년에는 병원, 지자체, 가정 등 다양한 분야의 실증시험을 통하여
           IPv6로 전환시 문제점 등을 파악하였음
        -2005년에 병원, 빌딩자동관리 등 7개 실증시험을 통하여 IPv6를 통한 비용절감,
           성능향상, 강화된 확장성 등을 확인 예정
        - 파나소닉, 마츠시타, 요코가와, Freebit, 히다찌 등 일본 제조사들은 IPv6 상용 제품 출시

                                              < 일본의 IPv6 제품 현황 >

        - NTT, Freebit 등에서 IPv6 기반 VoIP 서비스(9개월 동안 2만명 가입자 모집) 및
           멀티케스트 영상 서비스 제공

    o한국은 IT839 전략을 수립하여 체계적인 IT 발전을 꾀하고 있으며 이중 핵심 인프라인
       IPv6의 활성화를 위해 노력 중
       - 한국정부는 IPv6 보급촉진 기본계획을 수립하고 이에 따라 기술개발, 시범사업, 홍보 등을
          통하여 체계적으로 IPv6 추진중
       - 올해 시범사업은 공공기관 VoIPv6 시범사업 등 6개 추진 예정
       - 또한 한국 국방부의 IPv6 지원 사업 및 시범사업 추진 예정

          ※ 한국정부의 IPv6 추진 성과 및 계획은 정보통신부의 조관복 사무관이 발표하였으며
              많은 참석자들이 관심을 가지고 경청하였음
               - 발표 이후 IPv6 시험운영 결과 및 IPv6 시범사업 동영상 파일 등에 대한 요구 및
                  한국의 정부 주도 IT 전략(CDMA, 초고속 인터넷, IPv6 등)의 성공 요인에 대한
                  질문 등이 있었음
               - 한국 유비쿼터스 드림 전시관 및 KIESv6 전시관 방문 방법 등에 관한 질문이 있었음

    o기타
       - Mobility for IPv6, IPv6 Multicast 등 IPv6 신기술 개발 현황 및 IETF의 주요 IPv6 표준화
          현황 등이 발표되었음
       - IPv6기반 Mobility는 host mobility, Network Mobility 그리고 Ad-hoc mobility로
          구분할 수 있으며 NATO INSC 프로젝트에서는 Network Mobility 및 Ad-hoc Mobility를
          검증하였음(2004~2005)

       -IETF에서 IPv6 기본 표준 제정은 거의 완료되었으나 기존 표준안의 문제점 개선에 관한
          표준화는 계속 진행중
       -Tutorial 세션을 통하여 미군 등 IPv6가 생소한 이들에게 IPv6 교육

 □ Coalition Summit for IPv6 주요 전시내용

   o 21개 기관에서 전시에 참가
      - 파나소닉, 루슨트, NTT, Spirent, sunset, 시스코, MS, IXIA, SDSU SITI, IPv6 Promotion
         Council, Gilder Technology Report, Charmed, Extreme, Houston, Global Crossing,
         Juniper, Agilent Technologies, Hexago, SAIC

   o 주요 전시물
      - 파나소닉 IPv6 네트워크 카메라
      - NTT 센서를 활용한 바람, 공기 점검 시스템
      - 루슨트 DHCPv6 소프트웨어 및 IPv6 네트워크 장비
      - 시스코 IPv6 관련 서적 등

                                                < 파나소닉 - 네트워크 카메라 >

 □ 행사 관련 회의

  o International ISP Meeting
    - 일   시 : 5월 24일(화), 2005, 1:30 - 2:30
    - 장   소 : Hyatt Regency, Reston, VA
    - 참석자 : Virginia ISP 협회 회원사 및 각 국의 ISP 담당자 30여명
    - 주요 내용
     . 세계 각국의 대형 ISP들이 모여 언제부터 정부를 포함한 고객에게 IPv6 서비스를
       제공할지에 대해 토의
     . Forrester Research에 따르면 160만조달러에 해당하는 시장에 대한 접근방법에 대해 토의

  o DISA의 IPv6 Transition 담당자와 한국 정부(정보통신부 및 산하기관) 담당자간 회의
    - 일  시 : 5월 26일(목), 2005, 4:45 - 6:45
    - 장  소 : Hyatt Regency, Reston, VA
    - 주요 내용
     . 한국과 미국의 IPv6 추진 현황에 대하여 정보 교류
     . 미군은 DoD 중심으로 육해공군 지도부에서 적극 IPv6를 추진하고 있으며 40여명이
       IPv6 추진 계획 수립에 투입되어 있음
     . 그러나 DoD 중심으로 추진된 IT 계획 중 실패한 사례가 많으며 미군의 IPv6 적용 성공
       여부는 군 하부조직의 IPv6 적용 여부에 달려 있음
       (OSI의 실패 및 VoIP의 성공 사례를 예시로 듬)
     . 기타 DISA에서 유비쿼터스드림체험관, KIESv6 방문을 요청하였음

  o Coalition Embassy Military Liaison Meeting
    - 일  시 : 5월 25일(수), 2005, 1:45 - 2:45
    - 장  소 : Hyatt Regency, Reston, VA
    - 참석자 : DoD 및 덴마크 장군 등 각 국의 대사관 군사 대변인, IPv6 전문가 20여명
    - 주요 내용
     . DoD의 IPv6 추진 필요성 및 추진 현황 발표
     . 각 국의 군이 IPv6 추진시 중복 예산 투입을 방지하고 상호 협력할 수 있는 방안 협의
     . IP 주소 시점에 대한 이슈로 각 국마다 이견이 있었음

□ 기타

  o GAO(Government Accountability Office)
     연방정부에 IPv6 보급을 촉구하는 보고서 배포(GAO-05-471, 2005.5)
     - IPv6 장점 조사 : 풍부한 주소개수, 쉬운 네트워크 관리, 보안 등
     - IPv6 보급을 위해 고려해야 할 보안 계획 등 제시
     - 국방부의 IPv6 추진 현황 제시 및 나머지 23개 연방 기관의 IPv6 추진이 저조함을 지적

        <23개 연방부처의 IPv6 도입 현황>
          o 22개 기관은 IPv6 Business 사례를 발굴하지 않음
          o 21개 기관은 IPv6 전환계획이 없음
          o 22개 기관은 IPv6 전환시 소요 비용이 없음

4. 종합의견 및 시사점

  o 미국은 국방부가 전략망과 전술망 등에 IPv6 도입을 적극 추진함으로써 산업체에 IPv6 시장
     제공 및 활성화에 기여
     - 이번 행사는 미국의 각 군별 3성 장군이 직접 IPv6 추진 현황을 발표하는 등 미군의
        IPv6에 대한 관심을 실감할 수 있었음
     - 일반 참석자들도 군복을 입은 군인들이 다수를 차지하는 등 군의 깊은 관심을 확인하였음

  o 또한, 미국 GAO(의회 감사원)에서는 DoD를 제외한 23개 부처의 IPv6 적용 현황을 조사하고,
     미비한 부처의 IPv6 도입을 촉구함
     - 기타 하원 의원, 국무부, 미국 가전 협회 등 관공서 공무원들이 IPv6 필요성을 강조하는 등
        IPv6에 대한 미국인 정부의 관심을 확인할 수 있었음

  o 시스코, 주니퍼, MS 등에서는 선도적으로 IPv6 제품 개발을 수행함으로써 국방부 등 수요자가
     IPv6 도입을 결정할 수 있는 계기를 제공하였고, 지속적으로 미군의 IPv6 전환을 지원

  o IPv6 추진에 대한 전체적인 공감대 형성에도 불구하고 IPv6 도입 시기에 대해서 부정적인
    의견이 일부 있었음
    - DoD의 CIO인 Linton Well 2세는 이라크 및 아프카니스탄의 전시 상황이 IPv6 도입 시기를
       지연시킬 수도 있음을 경고
    - Spirent의 Bill Kine는 정부 주도 보다는 Killer app.에 의한 시장 주도가 확실한 IPv6 전환
       방법이며 아직은 해당 Killer app.이 없다고 주장

  o IPv6 전시행사는 제품보다는 브로셔 위주로 진행되어 현실감이 부족하였으며, 발표 및
     전시 등에 우리나라의 참여가 미국, 유럽, 일본 등에 비하여 저조하여 많은 아쉬움을 남겼음

IPv6 FTP 서버 운영

IPv6 기반의 네트워크 환경에서 대용량 파일 전송을 위해, IPv6 FTP 서버를 운영할 수 있다. IPv6 FTP 서버를 운영하기 위해서는 IPv6 접속을 지원하는 FTP 서버를 설치하고 IPv6 접속을 지원하는 FTP 클라이언트를 활용하면 된다.

IPv6 지원하는 OS 환경에 내장된 FTP 클라이언트는 대부분 IPv6를 지원하며(예: Windows XP, 2003 내장 FTP 클라이언트, RedHat Linux 9 내장 FTP 클라이언트 등), FTP 접속을 지원하는 FTP 서버에는 pureftpd, ProFTPD 등이 있다.

** IPv6 지원 FTP 서버에 대한 자세한 내용은www.deepspace6.net을 참고

본 문서에서는 Windows를 지원하는 Gene6 FTP Server(G6 FTP Server)를 이용하여 Windows XP/2003 환경에서 IPv6 기반의 FTP 서버 설치 및 동작에 대해 알아본다.

1. G6 FTP Server 다운로드

http://www.g6ftpserver.com/en/download사이트에서 FTP 서버 프로그램을 다운로드 받는다.

** 위 링크가 동작하지 않으면여기에서 다운로드 받기 바랍니다.

2. G6 FTP Server의 설치

다운로드 받은 설치파일을 실행하고, 설치마법사를 진행시키면, 아래 그림과 같은 관리자 계정 설정 창이 나타나는데 적절한 관리자 계정과 암호를 설정한다.

3. G6 FTP Server Administrator 로그인

FTP 서버의 설치가 완료되면 자동으로 아래 그림처럼 로그인 창이 나타나고, 관리자 암오를 입력하면 G6 FTP Server Administrator에 로그인하게 된다.

로그인 정보를 보면, 현재 로컬 시스템에 FTP 서버가 운영되고 있다는 것을 알 수 있다.

4. FTP 서비스를 위한 서비스 도메인 설정

현재 FTP 서버만 설치가 되었지, 실제 외부 서비스를 위한 서비스 도메인이 설정되지 않았다. 아래 그림처럼 Local Machine을 클릭하면Domains항목이 타나난다.

Domains 항목을 선택 >> 마우스 오른쪽 버튼을 클릭 >>New Domain  항목을 선택하면 아래 그림과 같이Domain Wizard가 실행된다.

[ Domain Wizard 실행 화면 ]

우선 적절한 도메인 명(여기서는 IPv6)을 입력하고 'Next'를 클릭하면 아래 그림처럼 도메인이 FTP 서비스에 이용할 IP 주소를 입력하는 창이 나타난다.

만약 여기서 특정 IPv4 주소나 *(와일드카드, wildcard)를 입력하면 IPv4로만 서비스가 되므로, 아래 그림처럼 반드시 자신의 시스템에 생성되어 있는 IPv6 주소를 입력한다.

자신의 시스템에 생성되어 있는 적절한 IPv6 주소는 아래 그림처럼'시작 >> 실행 >> cmd'를 입력하여 명령 프롬프트를 실행하고ipconfig 명령을 실행하면 확인할 수 있다.

아래 그림에서는 2001:2b8:80:11:209:6bff:fee3:f8be 이며 Native IPv6 환경이다.

만약 6to4의 경우 아래 그림과 같은 IPv6 주소가 표시된다.

[ ipconfig 명령을 이용하여 시스템의 IPv6 주소 확인 - 6to4 Tunneling ]

계속 설치를 진행한 뒤, 아래 그림처럼 Anonymous 사용자 계정을 설정하고 마법사를 종료한다.

5. IPv6 FTP 서버의 동작 여부 확인

설정 마법사가 종료되면 아래 그림과 같은Domain Setting정보화면이 나타난다.

여러 항목 가운데,Secure >> IP binding 항목을 클릭하면 아래과 같이 FTP 서비스에 이용하는 IP 주소의 정보가 나타난다.

위 그림과 같이 IPv6 주소가 나타나면 된다.(가운데 줄이 그어져 있더라고 서비스에는 이상 없음)

네트워크 차원에서 IPv6 FTP 서버가 정상동작하는 것을 확인하려면 아래 그림처럼 명령 프롬프트에서 netstat -an 명령을 실행하여 해당 IPv6 주소의 21 포트가 Listening 되고 있는지 확인한다.

6. 외부 접속 테스트

FTP 서버의 동작을 보다 확실하게 확인하기 위해서는 IPv6 지원 FTP 클라이언트를 이용하여 IPv6 FTP 서버에 접속을 해본다.

외부 IPv6 단말에서 아래 그림과 같이 IPv6 FTP 서버에 접속을 한다. 아래 예에서는 Windows XP 내장 FTP 클라이언트를 이용하였다.

이때, FTP 서버에서 netstat -an 명령을 실행하면 아래 그림처럼 21번 포트로 IPv6 FTP 접속이 되었음을 확인할 수 있다.

또한, G6 FTP Server의 관리자 화면에서도 IPv6 FTP 접속 정보를 확인할 수 있다.

[IPv6 강좌] IPv6 프로토콜 구조와 IPv4와의 비교

출처 : 온더넷, 2005년 4월호

IPv6로 망을 구축하거나 기존의 망을 전환하기 위해서는 IPv6 주소체계와 구조를 알아야 한다. 예를 들면 기존에 202.15.6.1 형태로 표현된 32비트 IPv4 주소 프로토콜을 대체해 128비트의 새로운 주소 프로토콜이 사용되는 것이다. IPv6의 탄생 배경과 필요성에 대해서는 지난호에서 이미 상세히 설명했으므로 이번호에는 IPv6 프로토콜의 구조와 IPv4와의 차이점에 대해서 알아보자.

염창열 | 한국전산원 차세대인터넷팀 선임연구원

인터넷 데이터는 일정한 형태를 이뤄 전달된다. 이를 패킷이라고 부르는데 패킷의 구조는 (그림 1)과 같이 IP 헤더, TCP/UDP 헤더, 애플리케이션 헤더 그리고 이용자 데이터 영역으로 분류된다.

IPv6 헤더는 (그림 2)와 같이 버전, 트래픽으로 이뤄진다. 각 필드에 대해 간단히 설명하면, 버전(version, 4비트)은 패킷이 IPv4인지 IPv6인지 IP 프로토콜의 버전을 알려주는 필드다. 트래픽 클래스(Traffic Class, 8비트)는 QoS에서 사용되는 필드로 패킷의 우선 순위 등을 나타낸다. IPv4의 CoS 필드와 동일하다. 플로우 레이블(Flow Label, 20비트)은 IPv6에 신설된 필드로 플로우를 구분해 플로우별 패킷 처리를 가능하게 해주는 QoS 관련 필드다. 이에 대한 세부적인 활용 방안은 IETF에서 아직도 협의중이다. 페이로드 길이(Payload Length, 16비트)는 IPv6 헤더의 길이를 알려주고 넥스트 헤더(Next Header, 8비트)는 IP 헤더 다음에 어떤 확장 헤더가 올지 혹은 확장 헤더없이 UDP/TCP가 올지를 알려준다. 홉 리미트(Hop Limit, 8비트)는 IPv4의 TTL 값으로 루프(Loop) 방지를 위해 사용되며, 소스 어드레스(128비트)/도착지 어드레스(128비트)는 출발지/목적지 주소다.

(그림 3)과 같이 IPv6 헤더는 IPv4와 비교해 그 길이는 길어졌지만, 헤더 규격이 단순화 돼 처리 효율은 높아졌다. 왼쪽의 IPv4 헤더에서 현재 많이 사용하지 않는 'Flags' 'Fragment offset' 'Options and padding' 'checksum' 등의 필드는 붉은색 동그라미와 같이 삭제되거나 뒤에 설명할 확장 헤더로 넘겼고, 나머지 필드는 그 규격을 개선했다. 뿐만 아니라 플로우 레이블과 같이 추가 필드를 정의해 플로우별 데이터 처리를 가능케했다.

IPv6 헤더에서 정의하지 못했으나 인터넷 데이터 전송을 위해 필요하다고 생각되는 부가 기능에 대해서는 확장헤더를 통해 구현했다. 확장헤더는 IPv6 헤더와 TCP/UDP 헤더 사이에 (그림 4)처럼 위치한다.

(그림 5)는 확장 헤더의 종류와 그 기능을 설명하고 있으며, 이를 통해 IPv4보다 보안(IPsec), 이동성(Mobile IPv6) 등을 강화할 수 있었다.

IPv6 주소 형식
IPv4 주소는 10진수 형태로 A.B.C.D와 같이 4개의 점으로 구분돼 표현되지만, IPv6 주소표현 형태는 16진수 형태로 X:X:X:X:X:X:X:X와 같으며, 여기서 X는 16비트 크기로 네 개의 16진수로 표현된다.

예) 2002:2ABC:DEF0:1234:5678:90AB:CDEF:1234

IPv6 주소는 128비트로, IPv4의 32비트와 비교해서 4배가 길기 때문에 IPv4처럼 10진수로 표현하면 길이가 너무 길어질 수 있다. 그러나 IPv6 현재 주소표시 형태로도 길이가 길기 때문에 다음과 같이 주소 축약 형식을 채택하고 있다. '0'의 숫자 열을 압축하는 형식으로써 '::'은 '0'의 16비트 그룹이 이어진 것을 의미한다.

예) 2002 : 0 : 0 : 0 : 0 : 0 : 0 : 99 은 다음과 같이 표현됨
→ 2002 :: 99

다음과 같이 IPv4와 IPv6 노드의 혼합 환경을 취급하는 형식도 정의했다.

예) X: X: X: X: X: X: d. d. d. d

여기서 'X'는 16비트, 4개의 16진수 값이고, 'd'는 8비트 10진수 값이다. d.d.d.d는 표준 IPv4 주소 표현이다.

예 1) 2002 : 0 : 0 : 0 : 0 : 0 : 202.1.2.3 → 2002::202.1.2.3
예 2) 0 : 0 : 0 : 0 : 0 : 1234 : 10.1.2.3 → :: 1234:10.1.2.3

IP 주소는 네트워크 영역과 호스트 영역으로 나뉜다. IPv4에서는 주로 마스크(mask)를 사용하거나 '/(프리픽스 길이)'로 네트워크 영역과 호스트 영역을 구분했다. IPv6에서는 주소 길이가 길어 마스크 방식을 사용하기는 어려워 '/(프리픽스 길이)' 방식을 사용한다. 즉 주소 중 왼쪽부터 (프리픽스 길이)라고 표시된 길이의 비트만큼이 네트워크 영역이고 나머지 부분이 호스트 영역이 된다.
예를 들어, 2002:123::5/16에서 네트워크 영역은 2002이고, 호스트 영역은 123::5이다. 또한 이 주소를 통해 2002 프리픽스를 같은 네트워크의 규모는 2112이다.
IPv4에서는 네트워크 영역과 호스트 영역의 규모를 A, B, C 클래스로 구분한다. (그림 6)과 같이 상위 4비트에 따라 크게 A, B, C 클래스로 구분되며, 각각의 클래스에 따라 호스트를 수용할 수 있는 네트워크 규모가 결정된다. A클래스는 1개의 네트워크당 224개의 호스트 주소를 할당할 수 있으며, B클래스는 1개의 네트워크당 216개의 호스트 주소, C클래스는 1개의 네트워크당 28개의 호스트 주소를 할당할 수 있다.

그러나 IPv6 주소는 이런 클래스 구분이 없다. 다만, 국가 주소 관리 기구가 통신업체에게 /32 크기의 주소를 할당해 주고 통신업체는 이를 자사 고객에게 /41 혹은 /48 크기로 할당해준다.

IPv6 주소의 종류
IPv6의 주소 종류로는 (그림 7)과 같이 유니캐스트(unicast), 애니캐스트(anycast), 멀티캐스트(multicast)가 있다. IPv4와 비교해 브로드캐스트 주소가 없어졌으며(브로드캐스트 주소의 기능을 멀티캐스트에서 포함하고 있음), 애니캐스트 주소가 새로 생성됐다. 기존 IPv4가 유니캐스트, 멀티캐스트, 브로드캐스트로 구분되는 것과 마찬가지지만, 길어진 주소의 구조화된 사용을 위해서 이와 같이 바뀌게 됐다. 이들 3종의 주소에 대한 설명은 다음과 같다.

·유니캐스트 주소
단일 인터페이스를 지정하며 유니캐스트 주소로 보내진 패킷은 그 어드레스에 해당하는 인터페이스에 전달된다.

·애니캐스트 주소
여러 노드에 속한 인터페이스의 집합을 지정하며, 애니캐스트 주소로 보내진 패킷은 그 어드레스에 해당하는 인터페이스 중 하나의 인터페이스에 전달된다. 현재는 멀티캐스트 주소에 그 기능이 포함돼 있어서 거의 사용하지 않는다.

·멀티캐스트 주소
여러 노드에 속한 인터페이스의 집합을 지정하며, 멀티캐스트 주소로 보내진 패킷은 그 어드레스에 해당하는 모든 인터페이스에 전달된다. IPv6에는 브로드캐스트 주소는 없고, 그 기능은 멀티캐스트 주소로 대체됐다. 현재 어드레스 공간의 15%는 초기 할당됐고, 나머지 85%는 미래를 위해 예약돼 있다.

유니캐스트 주소
단일 인터페이스를 지정하며, 유니캐스트 주소로 보내진 패킷은 그 어드레스에 해당하는 인터페이스에 전달된다. IPv6에서 유니캐스트 주소를 할당하는 여러 가지 형태가 있다. (그림 8)은 유니캐스트 주소 구조의 예를 나타낸다.

예를 들어 2001:2b81:33bb::1234/32의 경우 상위 32비트 2001:2b81은 서브넷 프리픽스(subnet prefix)가 되며, 하위 96비트인 33bb::1234는 인터페이스 ID가 된다. 유니캐스트 주소의 예는 다음과 같다.
LAN이나 IEEE 802 MAC 주소를 갖는 환경에서의 일반적인 유니캐스트 주소의 구조는 (그림 9)와 같다. (그림 9)에서 48비트 인터페이스 ID는 IEEE 802 MAC 주소로, IPv6 주소가 설정된다.

유니캐스트 주소에는 'Global' 'Linklocal' 'Loopback' 'unspecified' 'IPv4 mapped' 'IPv6 compatible' 등으로 구분된다. Global IPv6 주소는 글로벌하게 라우팅되는 일반적인 주소다. 글로벌 주소는 왼쪽 3개의 비트가 모두 0으로 시작된다. Linklocal 주소는 같은 링크 상에서만 사용되는 주소로 (그림 10)처럼 왼쪽이 FE80으로 시작된다.

Loopback 주소는 (그림 11)과 같이 ::1, unspecified 주소는 (그림 12)와 같이 ::0으로 표기되며, 네트워크 상에서 자기 자신의 주소, 정해지지 않는 모든 주소 등으로 사용된다. IPv4 mapped 및 IPv4 compatible 주소는 모두 IPv4 주소를 IPv6 주소로 표현하는 방법으로 전자는 애플리케이션에서, 후자는 네트워크상 터널 주소로 활용된다.

애니캐스트 주소
여러 노드들에 속한 인터페이스의 집합을 지정하며 애니캐스트(Anycast) 주소로 보내진 패킷은 그 어드레스에 해당하는 인터페이스 중 하나의 인터페이스에 전달된다. 전달되는 인터페이스는 라우팅 프로토콜의 거리 측정에 의해 같은 애니캐스트 주소를 갖는 인터페이스 중에서 가장 거리가 짧은 인터페이스에 전달된다. 애니캐스트 주소는 유니캐스트 주소 공간으로부터 할당됐고, 유니캐스트 주소 구조를 갖는다. 따라서 애니캐스트 주소는 그 형태만으로는 유니캐스트 주소와 구별할 수 없다. IPv6 애니캐스트 주소는 IPv6 패킷의 소스 주소로 사용될 수 없다. 애니캐스트 주소 구조는 (그림 13)과 같다.

사실 애니캐스트 주소 개념은 IPv4에도 존재한다. IPv4 상에서도 루트 DNS의 미러(Mirror) 서버에는 애니캐스트 주소가 할당돼 로드밸런싱 등의 용도로 사용됐다. 하지만 IPv4의 애니캐스트 주소는 IPv6와 달리 특정 영역 192.88.99.0/24이 사용된다.

멀티캐스트 주소
여러 노드에 속한 인터페이스의 집합을 지정하며 멀티캐스트 주소로 보내진 패킷은 그 주소에 해당하는 모든 인터페이스에 전달된다. 멀티캐스트 주소는 주소의 상위 8비트가 FF(11111111) 값을 가짐으로써 유니캐스트 주소와 구별된다. 멀티캐스트 주소 구조는 (그림 14)와 같다.

멀티캐스트 주소는 여러 종류가 있는데, (표 1)에 자주 사용되는 주소를 나열하면 다음과 같다.

ICMPv6
IPv6로 전환하기 위해 ICMP의 기능 또한 변화가 필요하다. ICMPv6는 패킷을 처리하면서 발생하는 오류(Error)나 현상에 대한 정보 전달 등을 수행한다. IP 헤더 다음에 ICMPv6가 오는지는 넥스트 헤더(Next header) 필드값(58)을 통해 확인할 수 있다. (그림 15)는 ICMPv6의 구조를 보여주고 있다.

IPv6에서는 주소 자동설정, MTU 발견(discovery) 기능, 주소중복확인(DAD) 등이 필수로 정의돼 있기 때문에 ICMPv6에서도 이를 지원할 수 있도록 변화가 필요했다. 이런 요구로 변화된 ICMPv6와 기존의 ICMPv4간의 차이는 (표 2)에서 비교하고 있다.

[IPv6 강좌] IPv4/IPv6 전환 위한 여러 가지 방법들

출처 : 온더넷, 2005년 5월호

IPv6가 IPv4에 비해 아무리 장점이 많다해도 기존의 인터넷을 IPv6 주소로 한순간에 바꿀 수는 없다. 광범위하게 퍼져 있는 IPv4 기반의 인터넷을 한순간에 바꾸는 것은 거의 불가능한 일이다. 이 때문에 IPv6 망으로 전환할 때 현실적인 제약사항을 고려한 IPv4/IPv6 전환방법이 필요한 것이다. 이번호에는 이에 대해 알아본다.


이재준 | 한국전산원 차세대 인터넷팀

IPv4/IPv6 전환에는 다음과 같은 제약사항이 있다.

·IPv6는 IPv4와 자연스럽게 호환(변환)되지 않는다.
·현재 수천만 개의 호스트가 IPv4 방식으로만 동작하고 있다.
·IPv4를 한꺼번에 IPv6로 전환할 수는 없다.

이런 제약사항을 고려할 때, 당분간은 IPv4와 IPv6가 공존할 것이라는 데는 모두가 공감하고 있다. 때문에 이 시기에 IPv4와 IPv6를 전환하는 기술은 네트워크 운영시 아주 중요한 요소가 될 것이다. 현재, IPv4/IPv6 전환기술은 다양하게 소개되고 있으며, 네트워크의 형태에 따라 그 방법은 달리 적용될 수 있다.

IPv4와 IPv6 전환의 핵심은 네트워크 라우팅 관점에서의 전환 방법이지만, 운영체제 차원의 IPv6와 IPv4 적용, 애플리케이션에서의 IPv6 주소를 변환하는 프로그래밍 기술 등도 중요하다. 이번 기고에서는 주로 네트워크 라우팅 관점에서 IPv6/IPv4의 전환 방법에 대해 살펴보고, 운영체제 차원의 IPv6/IPv4 전환에 대해서는 간략하게 소개하겠다.

IPv6/IPv4 전환 메커니즘

향후 구축될 IPv6 망은 IPv4/IPv6 듀얼(dual) 망, 혹은 IPv6 전용(native) 망 형태로 구성될 것이다. 이때 내부의 IPv6 망과 외부의 다른 IPv6 망, 혹은 IPv6 망과 IPv4 망과의 통신을 위해서는 IPv4와 IPv6가 혼재한 시나리오가 가능하다. 이 같은 IPv4/IPv6의 공존 상황에서 두 네트워크 간의 통신이 자연스럽게 이뤄지도록 하는 기술이 바로 IPv6 전환 메커니즘들이다. IPv6/IPv4 전환 메커니즘은 다음과 같다. 

·기본 IPv6 전환 메커니즘
 - IPv4/IPv6 듀얼 스택
 - IPv6-in-IPv4 터널링

·IPv4/IPv6 변환(translation) 메커니즘
 - NAT-PT(Network Address Translation Protocol Translation)
 - SIIT(Stateless IP/ICMP Translation)
 - TRT(Transport Relay Translator)
 - SOCKS 게이트웨이
 - BIS(Bump-in-the-Stack)
 - BIA(Bump-in-the-API)

·향상된 터널링 메커니즘
 - 6to4
 - 터널 브로커(Tunnel Broker)
 - DSTM(Dual Stack Transition Mechanism)
 - ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)

IPv4/IPv6 듀얼 스택

기본 IPv6 전환 메커니즘 중에서 가장 먼저 IPv4/IPv6 듀얼 스택에 대해 알아보자. IPv6 단말이 IPv4 단말과 호환성을 유지하는 가장 쉬운 방법은 IPv4/IPv6 듀얼 스택을 제공하는 것이다. IPv4/IPv6 듀얼 스택 단말은 IPv4와 IPv6 패킷을 모두 주고받을 수 있는 능력이 있다. IPv4 패킷을 사용해 IPv4 노드와 직접 호환이 되고, IPv6 패킷을 사용해 IPv6 노드와도 직접 호환된다. 이는 노드에서 서로 프로토콜에 적합한 패킷의 변화를 수행하는 방안으로, 110v/220v 전원을 동시에 지원하는 전자제품에 비유할 수 있다. (그림 1)은 듀얼 스택 개념도다.

IPv4/IPv6 듀얼 스택 노드는 양쪽 프로토콜을 모두 지원하기 때문에 IPv4 주소와 IPv6 주소로 모두 설정할 수 있다. IPv4/IPv6 듀얼 스택 노드는 IPv4 메커니즘(예: DHCP)을 사용해 해당 IPv4 주소를 얻고, IPv6 프로토콜 메커니즘(예: 상태 비보존형 주소 자동설정)을 사용해 IPv6 주소를 얻을 수 있다.
듀얼 스택 노드의 DNS는 호스트 이름과 IP 주소간 매핑을 위해 IPv4와 IPv6에 모두 사용된다. 이때 AAAA라는 DNS 리소스 레코드 유형은 IPv6 주소용으로 사용된다. IPv4/IPv6 듀얼 스택 노드는 IPv4나 IPv6 노드와 직접 호환될 수 있어야 하므로 IPv4 A 레코드는 물론이고, IPv6 AAAA 레코드도 처리할 수 있는 주소해석기 라이브러리(DNS Resolver Library)를 제공해야 한다.
IPv4/IPv6 듀얼 스택 노드의 DNS 주소해석기 라이브러리는 AAAA와 A레코드를 모두 처리할 수 있어야 한다. 주소해석기 라이브러리는 IPv6 주소를 가진 AAAA 레코드와 IPv4 주소를 가진 A 레코드를 모두 조회해, 해당 노드와의 통신에 사용된 IP 패킷 버전에 영향을 미치는 결과를 필터링하거나 순서를 정할 수 있다.

IPv6-in-IPv4 터널링

IPv6/IPv4 단말과 라우터는 IPv6 데이터그램을 IPv4 패킷에 캡슐화해 IPv4 망을 통해 터널링할 수 있다. 즉, 터널링은 기존의 IPv4 인프라를 활용해 IPv6 트래픽을 전송하는 방법을 제공하며 (그림 2)와 같이 동작한다.

IPv6-in-IPv4 터널링 방법은 크게 설정 터널링(configured tunneling) 방식과 자동 터널링(automatic tunneling) 방식으로 구분된다. 설정 터널링은 6Bone에서 주로 사용하는 방법으로, 두 라우터 간(혹은 호스트간) IPv4 주소를 통해 정적으로(수동으로) 터널을 설정하는 방식이다. 자동 터널링은 IPv4 호환 주소를 이용해 수동 설정 없이, IPv4 구간을 통과할 때면 IPv4 호환 주소에 내포돼 있는 IPv4 주소를 통해 자동으로 터널링을 설정하는 방식이다. (그림 3)은 설정 터널링 방식과 자동 터널링 방식을 나타내는 그림이다.

IPv4/IPv6 변환 메커니즘 : 헤더 변환

앞서 IPv4/IPv6 변환 메커니즘에는 NAT-PT, SIIT, TRT, SOCKS 게이트웨이, BIS, BIA 등이 있다고 말했다. 이중에서 NAT-PT, SIIT는 헤더 변환방식에 속한다. 헤더 변환은 IPv6 패킷 헤더를 IPv4 패킷 헤더로 변환하거나 또는 그 역순으로 변환하는 것이다. 이때 만일 필요하다면 패킷 무결성을 유지하기 위해 체크섬(checksum)을 조정(또는 재계산)하는 과정이 필요하다.

헤더 변환은 IP 계층에서의 변환으로, IPv4 패킷을 IPv6 패킷, 또는 그 반대로 변환하는 것으로, 규칙은 SIIT에서 정의하고 있다. SIIT는 IP 네트워크에서 IPv6 패킷과 IPv4 패킷을 상호 변환하는 기술이다. 헤더 변환방식은 주로 NAT-PT라는 방식으로 구현되는데, NAT-PT는 SIIT에 기반을 둔 헤더 변환방식의 전형적인 예이다. 이는 (그림 4)와 같이 동작한다.

헤더 변환은 다른 방식에 비해 속도가 빠른 장점이 있는 반면, NAT(Network Address Translation)와 마찬가지로 IP 계층을 변환함에 따른 제약을 갖고 있다. 대표적인 제약점으로는 DNS, ALG, FTP와 같이 애플리케이션 프로토콜에 내장된 IP 계층 주소변환이 어렵다는 점을 들 수 있다. 이를 해결하기 위해서는 DNS, FTP, ALG와 같은 별도의 애플리케이션 게이트웨이를 추가로 구현해야 한다. 더욱이 IPv4-IPv6 헤더 변환시 IPv4 패킷은 여러 개의 IPv6 패킷으로 쪼개져 전송되는데, 이는 IPv6의 헤더 길이가 IPv4의 헤더보다 일반적으로 20바이트 더 크기 때문이다. 또한 IPv4에서의 ICMP 내용을 ICMPv6로 상호교환할 수 없다는 한계도 있다. 애플리케이션 계층에서 발생하는 문제를 근본적으로 해결하기 위해서는 해당 프로토콜을 위한 애플리케이션 프로그램을 개발해야 한다.

IPv4/IPv6 변환 메커니즘 : 전송 릴레이와 ALG

IPv4/IPv6 변환 메커니즘 중 전송 릴레이 방식에 속하는 것에는 TRT, SOCKS 게이트웨이, BIS, BIA 등이 있다. 전송 릴레이는 TCP, UDP/IPv4 세션과 TCP, UDP/IPv6 세션을 중간에서 릴레이 하는 것을 말한다. 이 방법은 전송 계층에서 변환하는 방식으로, 전형적인 TCP 릴레이 서버는 다음과 같이 작동한다.

TCP 요청이 릴레이 서버에 도착하면, 네트워크 계층은 목적지가 서버의 주소가 아닐지라도 TCP 요청을 TCP 계층으로 전달한다. 서버는 이 TCP 패킷을 받아, 발신 호스트와 TCP 연결을 한다. 그 다음 서버는 실제 목적지로 TCP 연결을 하나 더 만든다. 두 연결이 구축되면 서버는 두 연결 중 하나에서 데이터를 읽어 와 나머지 하나의 연결에 기록한다.

전송 릴레이에는 각 세션이 IPv4와 IPv6에 각각 밀폐돼 있기 때문에 프래그먼트나 ICMP 변환과 같은 문제는 없지만, 애플리케이션 프로토콜에 내장된 IP 주소의 변환과 같은 문제는 여전히 남아있다. 전송 릴레이 방식으로는 TRT와 SOCKS 게이트웨이 방식이 있으며, 애플리케이션 계층으로는 BIS, BIA가 있다. 그러나 이들은 실제 망 구축시 활용 빈도가 적기 때문에 자세한 설명은 생략하겠다.

ALG(Application Level Gateway)는 IPv4나 IPv6 두 프로토콜을 모두 지원하는 경우에 두 프로토콜 간의 변환 메커니즘에 사용할 수 있다. 트랜잭션 서비스를 위한 ALG는 사이트 정보를 숨기고 캐시 메커니즘으로 서비스의 성능을 향상시키는 데 사용된다. 이 방법은 애플리케이션 계층에서 변환하는 방식으로, 각 서비스는 IPv4/IPv6별로 각각 독립적이기 때문에 헤더 변환에서 나타나는 단점은 없다. 하지만 각 서비스를 위한 ALG는 IPv4와 IPv6 모두에서 실행될 수 있어야 한다. 대표적인 ALG 방식의 예는 IPv4/IPv6 웹 프록시인 SQUID 등을 들 수 있다. 이 방식은 ALG의 성능에 따라서 서비스의 품질이 결정된다.

향상된 터널링 메커니즘

향상된 터널링 메커니즘에는 6to4, 6 터널 브로커, DSTM, ISATAP 등이 있다. 6to4는 하나 이상의 유일한 IPv4 주소를 갖고 있는 IPv6 전용 사이트에, 2002:IPv4주소::/48 단일 IPv6 프리픽스를 할당해, 외부 IPv6 네트워크와 자동 터널링을 가능하도록 하는 메커니즘을 가리킨다. 6to4의 목적은 순수 IPv6를 지원하지 않는 광역 네트워크에 연결돼 있는 고립된 IPv6 사이트나 호스트가 자동 터널링 방식을 통해 다른 IPv6 도메인이나 호스트와 통신하도록 하는 것이다. 이 방식을 사용해 연결된 IPv6 사이트나 호스트는 IPv4 호환 주소 또는 설정 터널링을 필요로 하지 않는다.

아직까지 대부분의 6Bone 네트워크는 수동으로 설정된 터널을 사용해 구축된다. 이 방법의 단점은 네트워크 관리자의 관리부담이 많다는 점이다. 관리자는 각 터널마다 광범위한 수동설정을 수행해야 한다. 이 같은 관리 오버헤드를 줄이려는 방법 중 하나가 바로 터널 브로커 메커니즘이다. 터널 브로커 개념은 터널 브로커라는 전용 서버를 구축, 사용자의 터널 요청을 자동으로 관리하는 방법이다. 이 방법은 IPv6로 연결된 호스트의 증가를 활성화시키고, 초기 IPv6 네트워크 제공자들이 보다 쉽게 그들의 IPv6 네트워크에 접근할 수 있도록 한다.

DSTM은 IPv6가 널리 확산됐을 때 사용할 수 있는 방식이다. IPv6 단말은 IPv6망 뿐만 아니라 IPv4 단말과도 통신할 필요가 있다. DSTM은 ▲임시(temporary)의 IPv4 주소를 IPv6 노드에 제공하는 방법과 ▲IPv6 네트워크 내에서 동적 터널을 사용한 IPv4 트래픽 전송 ▲전환 메커니즘에 필수적인 지원 인프라에 대해 정의된 일련의 프로세스와 아키텍처를 제공한다. DSTM은 필요한 경우 IPv4 주소를 듀얼 IP 계층 호스트에 지정한다. 그러면 IPv6 호스트가 IPv4 전용 호스트와 통신할 수 있게 되거나, IPv4 전용 애플리케이션 프로그램이 IPv6 호스트에서 수정되지 않고 실행될 수 있다.

이 할당 메커니즘은 IPv6 패킷 내부에서 IPv4 패킷의 동적 터널링을 수행하고, IPv6 네트워크의 DSTM 도메인 내에서 순수 IPv4 패킷의 노출을 억제하는 능력과 연관돼 있다. 그리고 IPv6 라우팅 테이블만 있으면 라우터가 IPv6 네트워크를 통해 IPv4 패킷을 이동할 수 있으므로 IPv6 네트워크 관리가 간단하다. (그림 5)는 DSTM 개념을 설명하는 그림이다.

ISATAP(Intra-Site Automatic Tunnel Addressing Protocol)는 보다 간단하게 IPv4 기반의 인트라넷에서 IPv6 노드를 점증적으로 배치할 수 있도록 하는 방식으로, 확장성이 보장된다. 6to4와 큰 차이점은 6to4가 /48 주소를 할당해 할당받은 노드가 서브 네트워크를 구성할 수 있도록 했으나, ISATAP은 /64 단위로 하나의 단말에 IPv6 주소를 할당해 통신하도록 설계된 방법이라는 것이다.

ISATAP는 64비트 EUI-64 인터페이스 식별자와 표준 64비트 IPv6 주소 프리픽스(Prefix)를 이용한 글로벌 유니캐스트 주소 포맷을 기반으로 한다. 이 접근법은 IPv6 게이트웨이와 공통 데이터링크를 공유하지 않는 듀얼 스택 노드가, 사이트 내에서 IPv4 라우팅 인프라를 통해 IPv6 메시지를 자동 터널링 함으로써, 글로벌 IPv6 네트워크에 결합할 수 있도록 한다. ISATAP 주소 자동설정을 위해 두 가지 오프링크 IPv6 게이트웨이의 자동 탐색방법이 제공된다. 이 접근법에서는 경계 게이트웨이에서 하나의 동일한 프리픽스 주소를 사용하므로 전체 사이트 통합시 확장에 대한 걱정없이 사이트 내에 대규모 배치가 가능하다.

운영체제 차원의 IPv6/IPv4 전환

IPv6가 사용자단까지 파고 들기 위해서는 IPv6를 지원하는 장비들이 많아야 한다. 특히 운영체제 기반에서 IPv6를 지원하면 그 운영체제 위에서 실행되는 많은 애플리케이션 또한 IPv6를 지원하기 쉽다. 이번 강좌에서는 PC에서의 IPv6 지원 현황과 PDA 등의 단말기에서의 IPv6 지원 현황에 대해 알아본다.

현재 PC에서 가장 많이 사용되는 마이크로소프트의 윈도우 운영체제는 각 버전별로 IPv6 지원 여부가 다르다. 최신의 운영체제일수록 IPv6를 잘 지원하고 있지만, 요즘은 잘 사용하지 않는 윈도우 98의 경우는 IPv6를 지원하지 않는다. 이 경우에 IPv6를 이용하는 애플리케이션을 완벽하게 사용할 수 없으므로, 운영체제의 업그레이드를 반드시 고려해야 한다. (표 1)은 현재 사용 가능한 윈도우 버전별 IPv6 지원 현황이다.

마이크로소프트는 2006년 출시 예정인 차기 운영체제(코드네임 : Longhorn)에 기본적으로 IPv6를 탑재할 것이라고 밝혔으로, IPv4 기능을 제거하고 IPv6만 사용할 수 있도록 설정하는 기능도 포함될 예정이다.

그럼, 윈도우 이외의 운영체제는 어떨까. 현재 많은 운영체제 개발회사들이 IPv6를 지원할 수 있도록 노력하고 있으며, 실제로 최신 버전의 운영체제라면 대부분 IPv6를 지원하고 있다. (표 2)는 윈도우 이외의 운영체제들이 IPv6를 지원하고 있는 현황을 나타낸 것이다.

휴대용 단말기가 발전함에 따라 그 기능 또한 점점 다양화되고 있다. 앞으로 모든 단말기가 IP를 내장하게 될 것으로 예상되며, 더 많은 기능을 수행하려면 PDA와 같은 휴대용 단말기도 IPv6를 지원해야 한다. 휴대용 단말기에 사용되는 운영체제들은 아직은 대부분 IPv6를 지원하고 있지 않다. 설령 운영체제 수준에서 지원한다 하더라도 그것을 필요로 하는 애플리케이션이 거의 없으므로, IPv6를 지원하는 모듈을 제거하는 경우가 많다. (표 3)은 PDA에서 사용되는 각종 운영체제에서 IPv6를 지원하는 현황을 나타낸 것이다.

지금까지 IPv4에서 IPv6로의 전환시 필요한 여러 요소들과 고려 사항을 살펴봤다. 물론 이번 강좌에서는 언급하지 않았지만 애플리케이션에서의 고려사항들도 존재한다. 하지만 IPv6 전환의 첫 번째 단계는 네트워크 차원에서의 전환이기 때문에 그에 따르는 사항을 정확하게 알아두는 것이 좋다.

Windows XP와 Windows 2003에서 공식적으로 IPv6를 지원하면서 ping, ipconfig, netstat 등 네트워크 관련 명령어에 IPv6 관련 기능이 추가되었습니다.
** Windows XP 오리지널 버전에서는 ipconfig 명령으로 IPv6 정보의 확인이 불가능합니다.
** Windows XP SP1 이후 버전부터 가능합니다.

본 문서에서는 IP 주소 설정을 확인하는 도구인 ipconfig 명령의 IPv6 관련 기능을 알아보겠습니다.

1. ipconfig 명령의 실행 방법

시작 >> 실행 >> cmd입력하면명령 프롬프트가 나타납니다.[그림1,2]

명령 프롬프트에서 ipconfig 명령을 입력합니다.[그림3]

2. 시스템의 IPv6 주소 및 default gateway 확인

IPv6 스택이 설치된 상태에서 ipconfig 명령을 입력하면, 아래 그림처럼 시스템에 생성된 IPv6 주소가 표시됩니다. 아래의 예는, 초고속 인터넷 환경이기 때문에 Native IPv6 주소 없이 ISATAP 터널링 IPv6 주소가 생성되어 있습니다.[그림4]

3. 모든 네트워크 인터페이스에 대한 상세 정보 확인

각 네트워크 인터페이스에 대한 상세 정보를 확인하려면ipconfig -all명령을 이용합니다.
ipconfig -all 명령을 이용하면 IPv6 DNS 정보를 추가로 확인할 수 있습니다.[그림5]

ipconfig -all 명령 실행결과

4. IPv6 DNS Cache 관련 정보 확인

Windows에서는 DNS 쿼리의 효율성을 위해 DNS Cache가 존재합니다.ipconfig -displaydns명령을 이용하여 시스템에 캐시된 IPv6 DNS 정보를 확인할 수 있습니다.[그림6]

ipconfig -displaydns 명령 실행결과

위 그림에서 보면www.vsix.net에 대한 IPv6 DNS 정보중 AAAA Record는 2001:2b8:1::100이고 TTL이 76014임을 알 수 있습니다. 또한 album.vsix.net에 대한 IPv6 레코드가 2001:2b8:1::110 임을 알 수 있습니다.

5. IPv6 DNS 캐시 정보의 삭제

경우에 따라 테스트 또는 개발 과정에서 기존의 IPv6 DNS 캐시를 삭제해야 할 경우가 발생합니다. 혹은 DNS 서버로 부터 새로운 DNS 정보를 받아오기 위해서는 DNS 캐시를 삭제할 수 있습니다.

ipconfig -flushdns명령을 이용하여 IPv6 DNS 캐시를 삭제할 수 있습니다.

ipconfig -flushdns 명령 및 ipconfig -displaydns 명령 수행 결과

위 그림에서 보면 ipconfig -flushdns 명령을 통해 IPv6 DNS 캐시가 삭제되었음을 알 수 있습니다.

이상으로 ipconfig, ipconfig -all, ipconfig -displaydns, ipconfig -flushdns 명령의 이용 방법을 알아 보았습니다. 위 명령을 통해 시스템의 IPv6 주소 확인, DNS 정보 확인 및 삭제가 가능합니다.

[IPv6 강좌] 프롤로그 : 차세대 인터넷 ①

출처 : 온더넷, 2005년 3월호

IPv4 주소의 한계성을 극복하고, 홈네트워크 서비스의 발전 기반을 마련할 IPv6로의 전환은 중요한 당면 과제 중 하나로 등장했다. 총 10회에 걸친 강좌를 통해 IPv6 네트워크 구축을 위한 여러 사항을 살펴본다. 이번호는 그 첫회로 IPv6의 특징과 IPv6로의 전환을 해야 하는 이유 등에 대해 소개한다.



김진규 | 한국전산원 차세대인터넷팀 김진규

유비쿼터스, 홈네트워크, RFID/USN과 같은 용어가 최근 들어 언론에 자주 오르내리고 있다. 이들은 상호보완적인 용어인데, 모든 사물이 인지되며 통신이 가능한 상태의 기술 수준을 이야기 하는 것이다. 그러면 이런 기술이 궁극적으로 구현되기 위해 가장 먼저 필요한 것은 무엇일까.

여러 가지 답이 있겠지만, 가장 적절한 답은 통신 대상을 하나하나 구별할 수 있는 '구분자'이다. 그러면 이런 구분자가 세계적으로 통일되도록 하려면 어떻게 해야 하나. 답은 '주소체계'가 만들어져야 한다는 것이다.

현재 전세계적으로 가장 효율적인 주소체계는 무엇일까. 그것은 바로 IP(Internet Protocol)이다. 우리가 IP라고 얘기하는 현 인터넷 주소의 정확한 명칭은 IPv4이다. 그러면 현재의 IPv4를 그대로 사용하면 우리가 가려고 하는 다음 세상이 올 수 있을까. 결론은 '궁극적으로 보아서 불가능 하다'이다. 이번호에서는 '왜 불가능한지'에 대해 알아보자. 그 이유가 바로 '왜 IPv6로 가야하는지'에 대한 답이 될 것이다.

IP 주소 부족문제 해결할 IPv6

인터넷은 전세계 수억 대의 컴퓨터와 그 이상의 개인·기업 사용자로 연결된 세계 최대의 통신 네트워크로, 단순히 컴퓨터와 컴퓨터를 연결하는 초기의 통신 네트워크의 차원을 벗어나 현재는 모든 개인을 하나로 묶는 광범위한 정보 인프라의 역할을 하고 있다.

이렇게 인터넷이 점점 고도화 되면서 우리가 직접사람을 만나서 수동으로 처리했던 모든일들이 인터넷을 통해서 처리될 수 있는 환경으로 진행하고 있다. 다양한 애플리케이션의 급격한 발전에 따라서 전 지구상의 모든 사물에 대해서도 통신을 가능케 할 수 있는 유비쿼터스 네트워크의 개념도 생성됐다.

그러나 현재 사용하고 있는 32비트 IPv4 주소는 약 43억(232) 개의 주소 개수를 가지고 있다. 여기에 더해 초기의 비효율적인 할당으로 인해 유효한 주소 개수마저 급격하게 줄어들고 있다. 이렇게 IP 환경은 한정적인 주소를 갖고 있음에도 불구하고, 인터넷 호스트, 이동전화(IMT-2000, CDMA, PCS 단말 등), 스마트 정보가전(인터넷 TV, 스마트 오븐, 냉장고 등), 가정에서의 인터넷 접속 단말(ADSL, 케이블 네트워크 등) 수는 계속 증가하고 있어서 주소 부족 문제가 심각하게 대두되고 있다.

물론 주소 부족 문제를 해결하기 위한 임시적인 해결책으로 기존 IPv4 주소 공간을 효율적으로 재구성하는 CIDR(Classless Inter-Domain Routing), NAT(Network Address Translator), DHCP(Dynamic Host Configuration Protocol) 등을 이용한 방식도 사용되고 있다. 하지만 이런 방법은 점점 증가하는 주소 개수의 요구를 근본적으로 해결해 주지는 못하기 때문에 인터넷 주소 제공과 관리를 위한 장기적이고 궁극적인 해결방안이 필요하다.

신 주소체계인 IPv6 주소는 128비트로, 약 3.4 1038(2128)개의 주소를 생성할 수 있다. IPv6는 IP 주소의 부족 문제를 해결할 수 있을 뿐만 아니라 품질제어, 보안, 자동네트워킹 등 다양한 서비스 제공이 용이한 차세대 주소체계다. 따라서 아직도 지속적으로 증가하고 있는 인터넷 사용자와 유비쿼터스 네트워크의 개념에 따라서 발생하는 제품 하나하나에 대한 구분을 위해 필요한 주소의 고갈 문제를 해결하기 위해 차세대 인터넷 주소 방식인 IPv6로 전환하는 것이 반드시 필요하다.

당장의 문제해결을 위해 변환 방식을 쓸 수 있지만 궁극적으로는 항상 병목현상이 발생할 가능성과 서로 다른 체계의 주소방식이 가져올 수 있는 비효율성을 고려한다면 IPv6로의 전이는 가장 합리적인 선택이다.

지금 인터넷은 새로운 시대의 요구사항을 충족시키길 원하고 있다. 통신·방송 융합, 유·무선 통합, BcN(Broadband convergence Network), 홈네트워크, 사물의 정보화와 같이 모든 사물이 상호 통신할 수 있는 유비쿼터스 네트워킹 환경을 지원해야 하기 때문에 다른 대안이 없다고 할 수 있다.

물론 당장의 이익이 중요한 사업자들은 IPv4를 이용해 새로운 서비스를 가능케하는 장비와 서비스들을 생산하려 할 것이다. 그러나 이런 것은 앞서 이야기 했던 것과 같이 국가적 차원에서, 아니 전세계적인 차원에서 너무나 큰 낭비다. 그래서 정부차원에서 IPv6로의 전이의 틀을 만들고 있으며, 통신업체들을 유도해 나가고 있다. 이는 단기적인 이익보다는 궁극적이고 국가적인 차원의 이익을 위한 선택이 되는 것이다.

IP의 역사

IPv6는 IPv4의 뒤를 잇는 차세대 인터넷 프로토콜로, 기존 프로토콜과의 융통성과 호환성을 충분히 고려해 개발됐다. 차세대 인터넷 프로토콜은 1992년 IETF에서 IPng 활동으로 시작돼 1994년 7월 'IPng 권고안'이 만들어 지게 된다.

IPv6는 IPv4로부터 그 내용을 승계받으면서 발전된 것으로 기존의 IPv4의 기능 중 이용할 수 있는 것은 계속 이용하고 현재와 미래상황을 고려할 때 비효율적인 것은 제거하는 방향으로 설계됐다. (그림 1)은 차세대 인터넷 프로토콜의 변천 과정이다.

(그림 1)에 나타난 것과 같이 IP는 버전 0에서 버전 3까지는 외부로 공식적으로 할당되지 않았으며, 우리가 현재 이용하는 인터넷 주소체계는 버전 4다. 이후 IPv5부터 IPv9까지 다양한 버전이 제시됐으나 현재 IPv6가 IPv4의 대안으로 1994년에 채택돼 이때부터 IPv6의 표준화가 본격적으로 진행됐다.

IPv6의 대략적인 특징

IPv6는 'Internet Protocol version 6'의 약자로, '차세대인터넷 주소체계 통신 프로토콜'로 명명되고 있으며, IETF를 통해 표준화가 진행되고 있다. 현재 기본적 스펙에 대한 표준은 대부분 완료됐으며, 일부 IPv6 고기능 프로토콜은 표준화 완성 단계에 있다(이동성 지원 및 다자간 통신 지원 기술 등).

IPv6의 특징으로는 IP 주소의 크기가 32비트에서 128비트로 증가됨으로써 주소 공간이 확장됐을 뿐만 아니라 주소 범주의 정의, 생존시간 설정, 주소 자동 설정과 애니캐스트 지원 등 활용 범위도 대폭 증대됐다. 또한 헤더의 크기가 커졌음에도 불구하고 간략화와 고정화된 기본헤더 형식을 사용해 처리 속도 역시 개선됐다. 그 외에도 IPv6는 인증, 데이터 무결성, 데이터 기밀 유지를 지원하기 위한 확장 헤더를 정의하고 있어 보안을 위한 서비스 제공이 쉽다.

(표 1)은 IPv4와 IPv6 특성을 비교한 것이다. IPv4의 경우 대략 43억 개의 주소 할당능력을 갖는 반면, IPv6는 약 43억×43억×43억×43억 개의 거의 무한대인 주소를 할당할 수 있기 때문에 현재 부족한 IP 주소 할당 문제를 해결할 수 있을 것이다.

보안 기능으로 IPv4의 경우 IPSec 프로토콜을 별도로 설치해야 하나 IPv6인 경우 추가 프로토콜을 설치할 필요 없이 내재된 보안 기능을 사용할 수 있다. IPv4의 경우 QoS의 처리는 QoS의 일부 지원으로 품질보장이 곤란했으며, IPv6에서는 QoS 지원을 위한 헤더내의 기능 추가로 인해 고품질의 서비스를 제공할 수 있게 됐다. 또한 IPv6에서는 기본헤더 크기의 감소로 인해, 패킷의 보다 빠른 처리가 가능해진다. IPv6의 주요 특징은 다음과 같다.

·확대된 주소 공간
우선 IPv6는 128비트 체계를 채택하기 때문에 이론적으로 주소개수는 2128개다. 이 수치는 매 초마다 10억 대의 컴퓨터가 새롭게 인터넷에 연결돼도 거의 무한대에 가깝도록 사용할 수 있는 용량으로, IPv4에서 문제가 됐던 주소 고갈 문제를 근본적으로 해결했다. 또한 주소 구조 계층의 레벨(Level) 수가 증가하였기 때문에 새로운 주소를 정의할 수도 있고, 멀티캐스트 주소뿐 아니라 애니캐스트 주소도 가능하게 됐다(물론 현재는 애니캐스트 주소를 사용하지 않는 추세다).

·보안성 확보
IPv4에서는 패킷 스위치 네트워크에서 단순한 데이터의 이동만을 고려해 제작한 것이기 때문에, 보안은 아예 무시하고 설계됐다고 해도 과언은 아니다. 이 때문에 IPv4는 보안 기능을 첨가하는 IPSec이라는 패치 형태의 프로토콜을 별도로 설치해야 하지만, IPv6는 이런 문제를 근본적으로 해결하기 위해 IPSec을 프로토콜 내에 탑재해 보안기능을 수행하도록 설계됐다.

·단순화된 헤더형식
IPv4에서의 복잡한 헤더 형식을 IPv6에서는 단순화했다. IPv6에서 중요하지 않은 필드와 옵션 필드를 IPv6 헤더 다음에 있는 확장 헤더로 옮김으로서 오버헤드를 최소화, 단순화했다. 또한 주소 필드로 인한 전체 기본 헤더의 길이는 IPv6보다 2배 확장된 40바이트이지만, 전체 필드 수를 8개로 단순화시킴으로써 오히려 처리 속도를 개선하는 효과를 얻을 수 있다. 이런 이유로 IPv4 헤더와 IPv6 헤더는 상호운용이 안되기 때문에 연결 호스트나 라우터가 IPv4와 IPv6 모두를 구현 가능해야 한다.

·QoS를 보장하기 위한 개선
IPv6는 송신자가 QoS 또는 실시간 서비스와 같은 특별 처리를 요청하는 특정 트래픽 흐름에 속하는 패킷을 식별하기 위해 레이블링(Labeling)을 통해 QoS를 지원해준다. 이는 처음부터 품질을 고려하지 않은 IPv4의 단점을 적극적으로 개선한 것이다.

IPv6의 도입 이유

지금까지 IPv6의 특징을 살펴봤다. 그럼 이제부터는 IPv6를 도입해야 하는 보다 구체적인 이유에 대해 좀 더 자세히 살펴보자.

·IPv4 주소 한계성에 대한 해결책
가장 먼저 IPv4 주소의 한계성을 해결할 수 있다는 점이다. 현재 국내에서 보유하고 있는 IPv4의 주소 개수는 약 3000만개이나 향후 무선 인터넷 통신망과 인터넷 정보가전의 도입에 따라서 IP 주소의 수요가 폭발적으로 증가해 2010년경에는 2∼4억 개의 IP 주소가 필요한 것으로 추정된다. IPv4 주소로는 급증하는 주소(Public IP Address)의 수요를 충족시킬 수 없으며, IPv6 주소체계의 도입이 절실히 요구된다.

·All-IP 환경이 가능한가
(그림 2)와 같이 인터넷은 데이터 서비스 뿐만 아니라, 전화, 방송 등 기존의 정보통신서비스를 전송할 수 있는 기술적 기반을 이미 확보한 상태다. 이동통신망의 경우에는 유선 ISP 망과 연동이 용이하도록 2005년 이후에 IPv6를 적용하고 2010년 이후에는 All-IPv6망으로 진화할 전망이다. 대부분의 유선 네트워크는 IPv6를 수용하면서 인터넷은 모든 정보통신 서비스를 전송하는 종합 전달망으로 발전할 전망이다.

- IP over Everything : 모든 전송기술에 인터넷을 적용
- Everything over IP : 모든 서비스를 인터넷을 통해 제공

따라서 All-IP 시대를 준비하기 위해서는 현재의 IPv4 체계로는 서비스 수용에 한계가 예상되므로 IPv6 도입은 필수적이다.

·홈네트워크 서비스의 발전 기반 마련
PC 주변장치의 다수 보유, 정보가전의 등장과 가입자 망의 전송속도 향상에 따라 홈네트워크를 구축할 필요성이 증대되고 있다. LAN, PLC(Power Line Communication), RF(Radio Frequency) 등을 활용한 홈네트워크에 PC, 냉장고, TV 등의 장비를 연결해 다양한 응용 서비스를 제공한다. 향후 홈네트워크가 활성화될 경우 IP 주소의 필요성은 급격히 증가할 것이며, IPv6는 선택이 아닌 필수 요건이 될 것이다. 인터넷을 통해 정보가전 기기들에 접속하고 통제하기 위해서는 모든 정보가전기기에 고정형 공인 IP주소를 적용하고 이를 통해 효율적인 통신이 이루어져야 한다.

·유비쿼터스 서비스 발전 기반 마련
유무선 통합망을 기반으로 해서 모든 단말과 장비들을 대상으로 모든 사물과 컨텐츠에 접근이 가능하며 다양한 멀티미디어를 복합적으로 응용한 유비쿼터스 서비스의 등장이 예상된다. 이러한 유비쿼터스 서비스들이 큰 틀에서 제대로 진행될 수 있도록 진행하기 위해서는 IPv6가 필요하다.

어떤 방안이든 항상 문제점은 존재한다. 다음호부터 진행될 연재에서는 기존의 시스템을 모두 바꿔 일시에 순수 IPv6(native-IPv6)로 가는 것은 현실적으로 어렵기 때문에 듀얼스택(Dual-Stack)을 고려한 전환방법을 살펴볼 것이다. 이런 상황에서 IPv6가 IPv4에 비해서 늘어난 헤더의 길이로 인해서 소프트웨어적으로 처리할 경우 생기는 성능저하 문제가 존재할 수 있다. 하지만 이런 문제는 하드웨어적인 처리가 가능한 칩이 개발되고 있으며, 이를 통해 중형의 라우터 수준까지는 성능상의 문제가 발생하지 않는 수준에 이르렀다.

Microsoft의 Windows Server 2003에는 인터넷 방송을 제공할 수 있는 스트리밍 서버(Windows Media Server 9이 내장되어 있습니다.

기존 Windows 2000 Server의 Windows Media Server가 IPv4 만을 지원하는데 반해 Windows Server 2003의 Windows Media Server 9은 IPv6 프로토콜을 지원합니다.

따라서, Windows Server 2003에서 Windows Media Server 9을 설치하고 IPv6 스택을 활성화하면 IPv6 기반 인터넷 방송(스트리밍 서비스)이 가능합니다.

본 문서에서는 Windows Server 2003에서 Windows Media Server 9을 설치하는 방법과 IPv6 스택을 설치하는 방법을 간단히 소개하고, IPv6 기반 인터넷 방송을 구성해 보겠습니다.

1. Windows Media Server 9의 설치

Windows 2003 Server를 기본 옵션으로 설치하면 Windows Media Server가 설치되지 않습니다.

시작 >> 설정 >> 제어판 >> 프로그램 추가 제거 >> Windows 구성요소 추가/제거를 선택하고 가장 아래에 있는  "Windows Media 서비스"를 확인하여 스트리밍 서비스를 설치합니다.[그림1]

서비스 설치가 완료된후시작 >> 설정 >> 제어판 >> 관리도구로 가면 "Windows Media 서비스" 항목이 추가된 것을 확인할 수 있습니다.[그림2]

2. IPv6 스택의 설치

Windows 2003에서 IPv6 스택 설치는 명령어 프롬프트에서netsh interface ipv6 install명령을 입력하면 됩니다.

보다 자세한 내용은 IPv6 포탈 사이트의IPv6 설치 Step by Step 문서또는 자료실의 Windows 2003 관련 문서(자료실 통합 검색에서 2003 검색어로 검색)를 참고하시기 바랍니다.

3. Windows Media Server 9의 IPv6 지원 확인

이제 IPv6 스택(프로토콜)과 Windows Media Server 9이 설치되었습니다. 이제 실제로 Windows Media Server 9이 IPv6를 지원하는지 확인해 보겠습니다.

Windows Media Server는 스트리밍 서비스를 위해 TCP 554, TCP/UDP 1755, TCP 80 포트를 사용합니다.
** IPv4와 IPv6에 대해 동일
** 웹서버를 사용하는 경우TCP 80 포트는 Windows Media Server에서 사용할 수 없습니다.

따라서 명령 프롬프트에서netstat -an명령을 이용하여 해당 포트가 Listening 되고 있는지 확인할 수 있습니다.

우선  netstat -an 명령의 결과중 IPv6 TCP 부분을 살펴보면 IPv6 TCP 554, 1755 포트를가 Listening 하고 있음을 알 수 있습니다.[그림3]

다음으로 그림에서 netstat -an 명령의 결과중 IPv6 UDP 부분을 살펴보면 IPv6 UDP 1755 포트를 Listening 하고 있음을 알 수 있습니다.[그림4]

이상으로 네트워크 측면에서 Windows Server 2003의 Windows Media Server 9은 IPv6를 지원하고 있음을 확인하였습니다.

4. Windows Media Server 9을 이용한 IPv6 인터넷 방송 설정

IPv6로 인터넷 방송이 된다는 점을 제외하고는 기존 IPv4 환경에서 Windows Media Server를 설정하는 것과 동일합니다.

따라서 본 문서에서는 별도로 Windows Media Server에서 방송 설정을 하는 방법은 설명하지 않고 기본 적으로 들어 있는 샘플 방송 설정을 이용합니다.

우선시작 >> 설정 >> 제어판 >> 관리도구 >> Windows Media Service를 선택하여 관리도구를 실행하고'게시지점'을 선택합니다.[그림5]

새로운 연결을 허용해야 하므로 게시지점중'<기본값>(주문형)'을 선택하고 오른쪽 마우스 버튼을 클릭하여 '새 연결 허용'을 선택하여 사용자의 접속을 허용합니다.[그림6]

이제 외부 사용자가 IPv4 또는 IPv6 주소로 인터넷 방송을 이용할 수 있습니다.

5. IPv6 DNS 또는 호스트네임 설정

하지만 한가지 주의할 점은,Internet Explorer 또는 Windows Media Player에서는 URL 입력창에 IPv6 주소를 바로 입력하지 못하고 반드시 호스트네임(예:vod.6dns.org)을 이용해야 합니다.

따라서 방금 설정한 Windows Server 2003에 IPv6 DNS 또는 호스트네임을 설정해야 합니다.

별도의 DNS 서버를 운영하고 있다면, 해당 DNS 서버를 이용하고,만약 별도의 DNS 서버 또는 도메인 네임이 없다면 IPv6 DDNS 서비스(http://www.6dns.org)를 이용하여 간단하게 새로운 호스트네임을 만들 수 있습니다.

자세한 내용은 IPv6 포탈 초기화면의 따라하기 문서중 'IPv6 시스템에 IPv6 DNS(호스트)네임 부여' 문서(http://www.vsix.net/other/guide/ipv6_dns/dns_name.html)를 참고하시기 바랍니다.

본 문서에서는  vod.6dns.org 도메인 네임에 Windows Sevrer 2003의 IPv6 주소를 할당하였습니다. 따라서 vod.6dns.org = 2001:2b8:2:fff3::300으로 구성하였습니다.

6. Windows Media Player 9 또는 10을 이용한 IPv6 인터넷 방송 테스트

지금까지 여러 절차를 거쳐 IPv6 스택 설치, Windows Media Server  및 호스트네임을 구성하였습니다. 이제 IPv6를 지원하는 인터넷 방송 클라이언트인 Windows Media Player 9 또는 10을 이용하여 인터넷 방송을 이용해 보겠습니다.

인터넷 익스플로러 URL 입력창 또는 Windows Media Player의 파일 >> URL 입력 항목에 아래와 같이 입력합니다.

mms://vod.6dns.org/industrial.wmv

** industrial.wmv 파일은 Windows Media Server에 내장된 샘플 파일입니다.

곧 Windows Media Player가 실행되고 아래와 같이 동영상이 재생 됩니다.[그림7]

7. netstat  명령을 이용한 IPv6 접속 여부 확인

이제 클라이언트 PC의 명령 프롬프트에서 netstat -an 명령을 실행하여 IPv6로 데이터가 전송되고 있는지 확인합니다.

아래 그림에서는2001:2b8:2:fff3::300 호스트와 TCP 554 포트로 연결되었습니다.[그림8]

[객체지향 SW 설계의 원칙] ② 사례연구, 단일 책임 원칙

연재순서
1회.다시 보면 크게 보이는 개방-폐쇄 원칙
2히.헤어져서 행복해진 사례연구, 단일 책임 원칙
3회.인터페이스 분리의 원칙
4회. 리스코프 치환 원칙
5회. 의존 관계 역전의 원칙
6회. 정리

오래 전 질레트가 여러 분야로 사업을 다각화한 적이 있다. 자신의 경쟁력 있는 분야인 면도날, 면도기 사업을 벗어나 샴푸 등 일용품 사업에까지 뛰어든 것이다. 면도용품도 일용품이니 사업분야 간 시너지 효과가 있을 것이라는 판단이었던 듯하다.

하지만 실적은 나지 않았고 주가는 곤두박질쳤으며 결국은 많은 손실을 입은 채로 다각화한 사업분야를 정리해야만 했다. 현재는 면도용품 사업에 집중해서 세계 최고의 면도용품 회사라는 명성과 실적을 되찾게 되었다.

이처럼 많은 기업들이 위험을 분산시키고 실적을 향상시키기 위해서 다각화(diversification)를 한다. 하지만 많은 경우 다각화는 오히려 위험을 증가시키고 실적을 악화시킨다. 이를 들어 월 스트리트의 전설적인 투자가로 불리는 피터 린치(Peter Lynch)는 “다각화는 대부분 다악화(diworsfication)로 끝난다”고 충고한다. 실제 그는 자신의 포트폴리오에 다각화를 시도하는 기업은 가능한 배제하며, 경험상 이러한 결정을 후회한 적은 거의 없다고 자신 있게 말한다.

스탠포드의 짐 콜린스 교수는 피터 린치의 경험을 트럭 수십 대에 해당하는 자료를 분석한 결과로 지지해 준다. 그의 연구에 따르면 위대한 기업으로 도약한 기업들은 모두가 우직하게 한 우물을 팠다고 한다. 다음은 그가 "좋은 기업에서 위대한 기업으로"란 책에서 ‘예상치 못한 발견’이라 놀라며 서술한 내용이다.

“좋은 회사에서 위대한 회사로 도약한 기업들은 고슴도치 - ‘한 가지’만 알고 그것에 집중하는 단순하고 촌스러운 동물-에 가깝다. 비교 기업들은 여우 - 많은 것을 알지만 일관성이 결여된 꾀 많고 교활한 동물-에 가깝다.”

어떤 단일 조직이 여러 분야로 다각화하게 되면 조직 내에서 다른 목표를 추구하는 사람들 간의 이질감이 발생하고 또한 한 가지에 집중하지 못하고 힘이 흩어지기 때문에 다각화는 쉽사리 다악화로 변질된다. 소프트웨어 세계에서도 이와 비슷하게 다각화를 경계하라는 원리가 있다. 바로 하나의 클래스는 하나의 책임만을 가져야 한다는 ‘단일 책임 원칙(이하 SRP)’이다.

이번 글에서는 프로그램에서 객체가 가지는 책임이란 것이 무엇인지, 그리고 왜 객체가 단일 책임만 가지는 것이 좋은지를 살펴볼 것이다. 또한 현재 객체가 이미 여러 책임을 지니고 있는 여우 객체인 경우 나타날 수 있는 문제점(악취)과 이를 고슴도치 객체로 바꾸는 방법에 대해서도 논의해 본다.

단일 책임 원칙의 개요
다음은 국제 거래 은행에서 사용하는 ‘잔고’라는 클래스이다. 잔고 클래스는 다음과 같은 인터페이스를 갖는다. 이 클래스의 인터페이스는 직관적으로 단순하고 기능적으로 완결된 클래스일 수 있다. 하지만 만약 두 개의 서로 다른 애플리케이션이 잔고 클래스를 사용한다고 했을 때 이 두 사용자 클래스는 서로 다른 메쏘드를 이용하게 된다. 환율 조정 애플리케이션은 ‘환율 계산’ 메쏘드를 이용할 것이고 이율 관리 애플리케이션은 금액에 관한 인터페이스를 이용할 것이다.

하지만 이 각 애플리케이션이 각각 배포됐을 때 잔고 클래스는 정체성의 혼란이 생긴다. 왜냐하면 이율관리 애플리케이션에 배포될 때는 ‘환율 계산’ 메쏘드가 무용하게 되고 환율 조정 애플리케이션과 배포될 때는 금액에 관한 인터페이스가 소외되기 때문이다. 문제는 여기서 그치지 않는다. 만약 환율 계산 메쏘드의 시그니처가 변경될 경우 환율 계산을 요청하는 잔고 클래스의 다른 메쏘드들이 같이 변경되어야 한다. 간결하게 설계한 잔고 클래스는 확실히 문제를 내장하고 있었다.

<그림 1> 잔고 클래스

문제의 원흉은 무엇일까? 잔고 클래스는 사실은 두 가지 책임을 가지고 있다. 수리적 이율 연산을 담당하는 ‘환율 계산’의 책임과 금액에 관련한 처리를 담당하는 메쏘드들이 또 다른 책임이다. 또한 하나의 클래스 안에 필요에 의해 두 가지 책임이 공존할 때 서로의 의존관계는 심각하게 강결합되기 때문에 변경에 대한 충격이 전달될 수밖에 없다.

확실히 두 가지 책임을 담당해야 하는 한 클래스는 불편한 점이 많다. 지난 글에 소개한 OCP는 ‘확장’이 설계적 관전 포인트라면 단일 책임 원칙(Single Responsibility Principle : SRP)은 ‘변경’이 관전 포인트가 될 것이다. 이 ‘변경’의 거북함을 조장하는 요소는 서로 다른 ‘책임’이 혼재해 있다는데 있다.

SRP의 키워드는 책임으로 요약되는데, 그렇다면 책임이란 무엇일까? 책임이란 ‘변경을 위한 이유’이다. 만약 하나의 클래스에 변경을 위한 두 가지 이상의 이유가 있다면 그 클래스는 한 가지 이상의 책임을 갖고 있는 것이다. <그림 1>의 잔고 클래스는 변경의 내용이 두 가지로 요약된다. 금액과 환율이다. 즉, 잔고 클래스는 금액과 환율의 책임을 갖고 있다.

SRP는 하나의 클래스에 한 가지 책임을 가르치는 원칙이다. 우리는 설계 관점에서 우리가 인식하지 못하는 SRP 위반을 자주 하게 된다. 이 위반을 경계하기 위해 깊은 통찰력이 필요하지도 않다. 단지 머리에 ‘책임’이란 단어를 상기하는 습관이면 된다.

위반 사항에는 대가가 따른다. SRP를 위반할 경우 따르는 재앙은 첫 번째로 ‘왕따’가 발생한다는 것이다. 잔고 클래스가 이율 관리 애플리케이션과 배포됐을 때 확실히 ‘환율 계산’ 메쏘드는 소외된다. 즉 만약 A라는 책임과 B라는 책임을 갖고 있는 클래스가 있을 경우 A만 필요로 하는 애플리케이션은 항상 B를 들고 다녀야 한다.

문제는 여기서 그치지 않는다. 두 번째 재앙은 무관한 메쏘드에 변경이 발생할 경우 불필요한 변경 임팩트가 전달된다. 만약 ‘환율 계산’ 메쏘드가 변경됐을 경우 이율 관리 애플리케이션은 사용하지도 않는 ‘환율 계산’ 메쏘드 때문에 다시 컴파일해야 하고 리테스트해야 하며 재배포해야 한다. 이율 관리와 전혀 무관한데도 불구하고... 사실은 이 임팩트의 영향은 더 심각한데 다음의 케이스 스터디에서 살펴보겠다.

이미 구현된 소프트웨어에서 이 재앙들은 다시 (『리팩토링』에서 소개하는) 악취(bad smell)로 분류될 수 있다. 즉, 무관한 변경에 피해를 당한다든가 불필요한 요소가 따라다닐 경우 SRP를 적용해야 하는 빨간불(bad smell)로 생각해도 무방하다. 그렇다면 SRP는 어떤 구조를 제안하고 있을까?

마틴 파울러의 엔터프라이즈 패턴을 이용한 케이스 스터디
지금은 DB에 관한 여러 우수한 툴들이 제공되고 DB와 관련한 좋은 설계방식이 많이 제안되고 있다. 그래서 과거에 복잡하고 장황했던 DB 관련 코드들이 현재는 이런 툴과 기법을 통해 많이 단순화, 은닉되고 있지만 일반적으로 개발자가 간단하게 DB 관련 클래스를 설계할 때는 <그림 2>과 같은 방식을 사용한다.

<그림 2> 액티브 오브젝트 패턴

이 Person이란 클래스는 세 가지 필드를 가지고 있고 이 클래스의 행위를 처리하는 메쏘드(비즈니스 로직 메쏘드)와 DB를 접근하기 위한 CRUD(Create, Read, Update, Delete) 메쏘드를 가지고 있다. Person이란 객체가 비즈니스 로직 메쏘드에 의해 상태변화가 일어났을 경우 (필드가 CRUD 됐을 경우) 적절한 시점에서 DB에 그 변화된 값을 반영해야 하며 이때 DB 접근 메쏘드를 사용하게 된다.

이렇게 비즈니스 로직 메쏘드와 DB 처리 메쏘드를 분리하는 이유는 하나의 메쏘드에 비즈니스 로직 루틴과 DB 처리 루틴이 혼재하게 됐을 때 메쏘드의 처리 루틴의 복잡도가 2배 이상 증폭되기 때문이다. 만약 분리시키지 않았다면 자바의 경우 Connection, PreparedStatement, ResultSet 같은 JDBC 클래스들이 비즈니스 로직과 무관하게 전체 루틴 사이에 등장하게 된다. 또한 이런 루틴은 필연적이게도 루핑을 하며 ResultSet에서 레코드를 읽어 와서 어떤 처리를 한다든가 변수에 대입하는 루틴이 작성되게 된다.

하지만 이런 메쏘드는 DB 처리 루틴이 변할 때 비즈니스 코드를 변경해야 하며 그 역의 경우도 발생하게 된다. 즉 하나의 책임이 변할 때 역시 필연적이게도 다른 책임도 같이 변하게 된다. SRP 위반의 두 번째 재앙의 대표적인 사례가 이런 경우이다.

이런 경우를 이번 호의 언어로 풀이하자면 하나의 메쏘드에 두 가지의 책임(‘비즈니스 로직’과 ‘DB 로직’)이 같이 있었기 때문이며 이를 분리하여 관리하는 설계가 <그림 2>의 액티브 오브젝트 패턴이다. 액티브 오브젝트 패턴은 이렇게 DB관련 처리를 따로 메쏘드로 캡슐화하며 비즈니스 로직과 DB 메쏘드를 분리시킴으로써 깔끔한 설계와 효과적인 관리를 보장하는 장점을 갖는다.

액티브 오브젝트 패턴은 하나의 메쏘드에서 두 가지 책임을 분리시켰을 뿐이지 하나의 클래스에서 두 가지 책임을 분리시키지 못했다. 즉 <그림 2>의 Person 클래스에는 여전히 Person 객체에 대한 DB에 접근 책임과 Person의 비즈니스 로직 책임이 혼재되어 있다. 데이터 맵퍼 패턴은 이 두 책임을 분리시키는 구조를 제안하고 있다(<그림 3> 참조).

<그림 3> 데이터 멥퍼 패턴

사실 데이터 맵퍼 패턴은 우리가 흔히 DAO(Data Access Object)로 알고 있는 인터페이스로 실현화되어 익히 사용하고 있는 패턴이다. 흔히 『Core J2EE Patters』에서 소개된 ‘DAO 패턴’으로 DAO를 알게 된 자바 개발자는 DAO 개념이 J2EE에서 제안된 것으로 알고 있다. 하지만 DAO는 마이크로소프트에서 4GL 언어 아키텍처 작업 당시 객체단위 DB 접근 인터페이스로 제안한 DB 접근 객체 인터페이스다.

데이터 맵퍼는 클래스가 비즈니스 로직에 집중할 수 있도록 DB 접근 루틴을 데이터 맵퍼 클래스로 분리시킴으로써 액티브 오브젝트 패턴에서 필자가 제기했던 ‘한 지붕 두 책임’의 문제를 해결한다. 데이터 맵퍼 패턴을 따르면 객체와 데이터베이스, 맵퍼 간의 독립성이 유지되며, 객체와 DB 간에 데이터를 이동시키는 맵퍼 레이어를 제공받게 된다. 따라서 DB 테이블이 변하거나 DB 접근 루틴이 변한다 해도 Person 클래스는 변경의 충격에서 안전하다.

또한 데이터 맵퍼를 사용하면 Person 객체의 이용방식도 자연스럽게 DB 관련 부분과 Person 사용으로 분리된다. 즉 최초 DB에 저장된 Person 객체를 생성할 경우 PersonDAO에게 load를 요청해 DB에서 Person을 얻어오고, 사용자는 자연스럽게 Person 객체의 비즈니스 로직 부분만 집중하게 된다. 이 Person 객체를 변경하거나 삭제를 원할 경우 각각 PersonMapper를 통해 insert, update를 요청하여 DB 작업을 위임한다.

액티브 오브젝트 패턴의 경우 이 두 가지 책임에 관한 사용자의 작업이 명백히 분리되지 못했는데 데이터 맵퍼 패턴을 사용하므로 사용자의 Person 객체에 관한 책임을 사용하는 목적과 방법이 명확해진다(Person 객체의 인터페이스인지, DB 관련 작업인지).

이로써 액티브 오브젝트와 데이터 맵퍼 패턴으로 최초의 Person 클래스의 책임은 명확하게 분리될 수 있었다. 하지만 만약 Person 객체의 상태변화가 압도적으로 많아서 DB 접근이 빈번하게 이뤄지고 이 빈번한 DB 접근 비용으로 인해 성능장애가 올 경우를 상상해 보자. 우리는 이와 같은 경우 DB 접근 비용을 감소시키기 위해 일반적으로 맵퍼 레이어 뒤에 캐싱 레이어를 둔다. 즉 Person 클래스에게 또 하나의 ‘캐싱’이라는 책임이 더해진다.

가령 앞서 제기한 문제처럼 ‘boby’라는 Person 객체를 n번 load한다고 했을 때 기존 방식으로는 n번 DB에 SELECT해야 한다. 하지만 SELECT는 한번만으로도 족하다. 한번 load된 객체를 재사용한다면 DB 접근은 n-1번 생략할 수 있다.

문제는 이 캐시란 책임을 어디에 두느냐일 것이다. 액티브 오브젝트처럼 (같은 클래스의) 메쏘드 단위로 클래스 내에 분리시킬 것인가, 데이터 맵퍼처럼 클래스 단위로 서로 분리시킬 것인가, 아니면 더 큰 컴포넌트나 패키지로 분리할 것인가의 분리 단위 결정이 갈등요소가 된다.

여기서 설계자는 분리의 ‘크기(granularity)’를 고민한다. 작은 단위로 섬세하게 사용할 수 있는 미세단위(fine-grained)로 구분할 것인가, 아니면 단순하지만 입도가 큰(COARSE-GRAINED) 단위로 구분할 것인가에 대해서 말이다. 이 문제의 경우 애플리케이션에서 문제 영역이 각각 서로 다른 케이스 바이 케이스로 이루어지기 때문에 명백히 일관적으로 적용할 가이드라인을 제공하기 힘들다.

하지만 그 기준은 대상에 대한 복잡도, 크기, 용도가 된다. 복잡도가 높고 부피가 큰데 반해 그 용법이 단순하다면 COARSE-GRAINED가 적합하다. 역으로 복잡도가 낮고 부피가 작으며 용법이 다양하다면 fine-grained가 적합하다.

<그림 4> 식별자 맵 패턴

여하튼 이 경우 보통 식별자 맵 패턴이 사용되는데 식별자 맵은 DB를 통해 얻어온 객체를 캐시하는 맵이다(<그림 4>에서 식별자 맵은 클래스 크기로 분리하고 있다). 한번 load된 객체는 식별자 맵에 등록되고 두 번째 load 요청부터 DB에 SELECT할 필요 없이 식별자 맵에서 가져오면 된다.

높은 응집도, 낮은 결합도

‘높은 응집도, 낮은 결합도(High Cohesion, Loose Coupling)’의 원리는 1970년대 Larry Constantine과 Edward Yourdon이 정의했던 아주 고전적인 원리이다. 이것은 현재 모든 소프트웨어 시스템 고유의 유지보수성과 적응성을 측정하는 가장 좋은 방법으로 사용되고 있다. 소프트웨어 디자인뿐만 아니라 아키텍처 평가에도 이 원리가 기준이 되는데, 그 이유는 이 원리의 적용 효과가 아주 명백하기 때문이다. 이 원리의 예외는 거의 찾아보기 힘들만큼 보편성을 가지고 있어서 마치 물리학의 엔트로피 법칙처럼 절대적인 기반원리를 제시한다. 낮은 응집도를 갖는 구조는 변경이나, 확장 단계에서 많은 비용을 지불해야 하며 높은 결합도의 경우도 마찬가지이다. 응집도는 ‘하나의 클래스가 하나의 기능(책임)을 온전히 순도 높게 담당하고 있는 정도’를 의미하며 이들은 서로 조화될수록 그 구조는 단순해진다. 응집도가 높은 동네에서 내부 개체가 변했을 때 다른 개체에 충격을 주는 것은 오히려 당연한 징후이다. 이들은 하나의 책임아래 서로 유기적인 관계를 갖고 있기 때문에 내부 개체가 변했을 때 다른 개체의 변경 확률이 높아진다. 마치 예쁜 부츠를 사면 부츠에 어울리는 치마를 입어야 하듯이… 응집도의 종류는 다양한데 다음은 권장할 만한 순기능적 응집 관계들이다. * 기능적 응집(Functional Cohesion) 일관된 기능들이 집합된 경우를 말하며 <그림 3>의 데이터 맵퍼는 DB 처리라는 기능 항목의 높은 응집성을 갖는다. * 순차적 응집(Sequential Cohesion) 한 클래스 내에 등장하는 하나의 소작업(메쏘드)의 결과가 다음 소작업(메쏘드)의 입력으로 사용되는 관계(파이프라인 방식의 처리 체인 관계). * 교환적 응집(Communicational Cohesion) 동일한 입력과 출력 자료를 제공하는 메쏘드들의 집합을 말하며, 팩토리 클래스는 전형적인 교환적 응집도가 높은 인터페이스를 갖는다. * 절차적 응집(Procedural Cohesion) 순서적으로 처리되어야 하는 소작업(메쏘드)들이 그 순서에 의해 정렬되는 응집관계 * 시간적 응집(Temporal Cohesion) 시간의 흐름에 따라 작업 순서가 정렬되는 응집관계 * 논리적 응집(Logical Cohesion) 유사한 성격의 개체들이 모여 있을 경우를 말하며 java.io 클래스들의 경우가 대표적인 예이다. 이와 반해 결합도는 ‘클래스간의 서로 다른 책임들이 얽혀 있어서 상호의존도가 높은 정도’를 의미하며 이들이 조합될수록 코드를 보기가 괴로워진다. 이유는 서로 다른 책임이 산만하고 복잡하게 얽혀있기 때문에 가독성이 떨어지고 유지보수가 곤란해지기 때문이다. 이유는 필요 없는 의존성에 있다. 마치 키보드의 자판 하나가 고장나도 키보드 전체를 바꿔야 하는 것처럼. 하나의 변경이 엄청난 민폐를 야기하는 관계이다. 다음은 수용할 수 있는 수준의 결합 관계들이다. * 자료 결합(Data Coupling) 두 개 이상의 클래스가 매개변수에 의해서 결합 관계를 가지므로 낮은 수준의 결합도로 연관되는 경우 * 스탬프 결합(Stamp Coupling) 자료 결합의 경우에서 매개변수 일부만을 사용하는 경우 * 제어 결합 (Control Coupling) 두 클래스간의 제어 이동이 매개변수를 이용하여 사용되는 경우로 커맨드 패턴이 대표적인 사례이다(지난 연재 기사 OCP 참조).

여러 원인에 의한 변경

윤성준, 조재박 님이 번역하고 대청미디어에서 출간된 마틴 파울러의『리팩토링』 한국어판을 보면 여러 원인에 의한 변경(divergent change)이 ‘확산적 변경’이라 되어 있다. 하지만 확산적 변경이라 했을 때는 변경이 다른 클래스로 확산된다는 느낌이 강하고, 클래스가 여러 변경 원인에 의해 변경된다는 느낌이 언뜻 오지 않는다. 그래서 이번 글에서는 divergent를 수렴(convergent)에 대응하는 의미가 아닌 ‘다른’의 뜻으로 세기고 divergent change를 ‘여러 원인에 의한 변경’이라 하겠다. They hold divergent opinions on controversial issues like abortion(그들은 낙태와 같은 논란이 되는 이슈에 대해 서로 다른 의견을 주장했다)에서의 divergent 용례를 참고하면 될 듯하다. 흔히들 ‘확산적 변경’과 뒤에 소개할 ‘산탄총 수술’을 잘 구분하지 못하는데 ‘확산적 변경’을 ‘여러 원인에 의한 변경’으로 바꾸어 이해하면 이 둘의 구분이 조금 더 직관적으로 다가올 것이다.

<그림 5> 산탄총 수술

산탄총 수술이란 악취는 하나의 책임이 여러 클래스에 분산되어 있기 때문에 발생한다. 한 클래스가 너무 많은 책임을 맡고 있어도 곤란하지만, 책임을 식별하지 못해 이를 담당할 클래스를 만들지 않고 여러 클래스에 흩뿌려 놓는 것 또한 문제가 있다. 이는 보통 프로그램의 전체 책임을 올바로 분담하지 못해서 발생하게 된다.

이 악취는 Move Field와 Move Method를 통해 책임을 기존의 어떤 클래스로 모으거나, 이럴만한 클래스가 없다면 새로운 클래스를 만들어 해결할 수 있다. 즉 산발적으로 여러 곳에 분포된 책임들을 한 곳에 모으면서 설계를 깨끗하게 한다. 즉 응집성을 높이는 작업이 필요하다.

산탄총 수술의 냄새는 특히 설정 정보(configuration information), 로깅(logging), DB 처리에서 발생하기 쉬운데 이들을 다룰 때는 항상 산탄총 수술의 악취를 경계해야 한다. 예를 들어 한 곳에서 관리할 필요가 있는 설정 정보를 여러 클래스에서 나누어 처리하고 있다면 이는 산탄총 수술을 할 수 있는 좋은 본보기가 된다.

이를테면 쓰레드, 커넥션, 오브젝트 풀의 크기 값이나 DB, 서버의 주소 정보들을 각각의 클래스에 자체적으로 관리하고 있다면 이들을 설정 파일이나 설정 관리자에게 Move Field하는 것이 바람직하다. 더 나아가 플러그인을 도입해 설정 정보를 통해 동적으로 행위 변화를 통제(Enable Configurable Behavior with Plugin)하는 것도 생각해 볼만하다. 또한 XML 처리나 프로토콜 해석을 담당하는 메쏘드가 여러 곳에 분포되었다면 각각의 유틸성 클래스로 Move Method하는 것이 바람직하다.

‘여러 원인에 의한 변경’과 ‘산탄총 수술’이란 악취를 SRP를 어긴 신호로 여기고 제거한다면 변경이 여러 곳으로 확산되지 않을 뿐 아니라 책임을 적절히 분배함으로 인해 코드의 가독성 향상, 유지보수 용이라는 이점까지 누릴 수 있다. 또한 적절한 책임 분배는 객체지향 원리들의 대전제 격인 OCP뿐 아니라 다른 원리들을 적용하는 기초가 되어준다.

핵심 리팩토링 기법과 책임 분배

리팩토링에서 소개하는 대부분의 냄새들(코멘트, 비대한 클래스에서 시작해 산탄총 수술까지)은 객체간의 책임 분배와 직간접적으로 관련이 있는데, 항상 코드를 최상으로 유지한다는 리팩토링의 근본 정신은 곧 항상 객체들의 책임을 최상의 상태로 분배한다는 것이기 때문이다. 그리고 다음의 리팩토링 기법들은 ‘객체들의 책임을 최상의 상태로 분배’하는 가장 기본이 된다. Extract Class(6) Move Method(6) Extract Method(4) Move Field(4) 이들은 가장 많은 냄새를 해결하는 리팩토링 기법들을 정리한 것으로 괄호 안의 숫자는 냄새를 해결하는 데 사용된 빈도수이다. 고급스럽고 우아한 고급 리팩토링 기법이나 빅 리팩토링 기법은 때때로 유용하지만, 이들은 항상 유용하다. 필자는 앞의 4개의 리스트에 ‘Rename *’를 추가하여 5개의 리팩토링 기법을 가장 단순하면서도 중요한 핵심 리팩토링 기법으로 여긴다. 파울러의 책에는 Rename Method만이 수록되어 있지만, Rename Class, Rename Field, Rename Parameter 역시 굉장히 자주 쓰이며 실제 이클립스의 리팩토링 기능을 보면 이 모두가 하나로 Rename이라 되어 있다. 그리고 경험에 비추어 보면 어느 리팩토링 기능보다도 Rename을 자주 사용하게 된다. 올바른 클래스 이름은 해당 클래스의 책임을 나타낼 수 있는 가장 좋은 방법이다. 코딩을 하면서 키보드 앞에 A4 용지를 놓고 수시로 CRC 카드, 클래스 다이어그램, 시퀀스 다이어그램을 간략히 그려보며 객체들 간의 책임을 점검해 보고, 리팩토링을 수행하는 것은 분명 좋은 SRP를 어기는 코드를 사전에 어느 정도 방지할 수 있는 좋은 대비책이 되어줄 것이다. 할 수만 있다면, ‘사후 대처’보다는 ‘사전 예방’이 더 좋은 해결책이지 않은가?

위대함보다 단순함은 없다
눈동자의 초점이 분산되면 난시가 되고 마음이나 정신의 초점이 정상을 상실하고 분산하는 상태가 지속되면 정신착란 혹은 정신 분열이 온다. 마찬가지로 클래스가 하나의 책임에 집중하지 못한 채 이것저것 두리번거리는 여우와 같고, 이러한 클래스들이 누적된다면 프로그램은 점점 유지보수, 변경에 대응하기 어려워진다. 어쩌면 ‘툭’하고 잘못 건드리면 정신착란이 올지도 모를 일이다.

소프트웨어는 항상 변경을 전제한다. 따라서 변경에 민감하게 반응하지 못하는 설계는 프로젝트를 힘들게 한다. “소프트웨어 설계에는 두 가지 방법이 있다. 한 가지는 분명히 결함이 없도록 단순하게 설계하는 것이고 다른 한 가지는 분명한 결함이 없도록 가능하면 복잡하게 설계하는 것이다"라는 명언이 있다.

SRP를 적용하면 클래스의 숫자가 늘 수는 있다. 하지만 클래스 숫자의 증가가 프로그램의 복잡도 증가와 비례하는 것은 아니다. 오히려 SRP를 잘 따르는 프로그램은 적절한 책임 분배로 인해 클래스 숫자와 프로그램의 복잡도가 반비례하는 경향이 있다고도 할 수 있게 된다.

위대함보다 단순함은 없다. 실제로 단순한 것이 위대한 것이다. 그리고 이 단순함의 중심에는 단일 책임의 원칙이 있다.@

* 이 기사는 ZDNet Korea의 제휴매체인마이크로소프트웨어에 게재된 내용입니다.

저자 :최상훈 (핸디소프트), 송치형 (서울대)

2005/04/25