IPv6 개인 정보 보호 확장: 주소 추적 중지#

IPv6로 네트워크에 연결하면 장치가 네트워크 카드의 MAC 주소에서 파생된 영구 식별자를 브로드캐스트할 수 있습니다. 이로 인해 다양한 네트워크와 웹사이트에서 추적할 수 있습니다.

개인 정보 보호 문제#

원래 IPv6 주소 지정 체계는 EUI-64를 사용하여 MAC 주소에서 인터페이스 ID를 생성합니다. 네트워크 카드의 MAC 00:1a:2b:3c:4d:5e는 IPv6 주소의 일부로 021a:2bff:fe3c:4d5e가 됩니다.

변환 작동 방식은 다음과 같습니다:

MAC 주소:    00:1a:2b:3c:4d:5e
FF:FE 삽입:   00:1a:2b:ff:fe:3c:4d:5e
7번째 비트 반전:   02:1a:2b:ff:fe:3c:4d:5e
인터페이스 ID:   021a:2bff:fe3c:4d5e

7번째 비트 반전(보편적/로컬 비트)은 EUI-64 표준의 일부입니다. 주소가 전역적으로 고유한지 여부를 나타내는 비트이기 때문에 00이 02가 됩니다.

이로 인해 여러 문제가 발생합니다:

• 네트워크 간 추적: 장치는 집, 커피숍 또는 공용 WiFi에 있든 동일한 인터페이스 ID를 전달합니다
• 지속적인 식별: 쿠키를 지워도 웹사이트가 시간 경과에 따라 방문을 연관시킬 수 있습니다
• MAC 주소 공개: 하드웨어 식별자가 모든 패킷에 노출됩니다

내부 주소를 숨기는 IPv4의 NAT와 달리 IPv6는 일반적으로 장치에 직접 전역 라우팅 가능 주소를 할당합니다. 개인 정보 보호 확장이 없으면 모든 곳에서 동일한 식별자를 브로드캐스트하는 것입니다.

개인 정보 보호 확장 작동 방식#

RFC 4941(RFC 8981에 의해 업데이트됨)은 EUI-64 파생 주소를 대체하는 임시 주소를 도입합니다. MAC 주소를 사용하는 대신 장치가 무작위 인터페이스 ID를 생성합니다.

메커니즘은 두 가지 유형의 주소를 만듭니다:

안정적인 주소: MAC 또는 무작위 시드에서 생성됩니다. 들어오는 연결에 사용되며 네트워크에 대해 일관되게 유지됩니다. 아웃바운드 트래픽에 사용되지 않습니다.

임시 주소: 무작위로 생성되고, 아웃바운드 연결에 사용되며, 주기적으로 회전합니다(대부분의 시스템에서 일반적으로 24시간마다).

웹을 탐색하거나 아웃바운드 연결을 만들 때 OS는 임시 주소를 사용합니다. 안정적인 주소는 장치에 연결해야 하는 서비스에 사용 가능한 상태로 유지됩니다.

장치는 동시에 여러 IPv6 주소를 유지합니다:

2001:db8:1234:5678:021a:2bff:fe3c:4d5e  # 안정적(EUI-64 또는 안정적 개인)
2001:db8:1234:5678:a4b2:c9d1:e3f4:5a6b  # 임시(현재 활성)
2001:db8:1234:5678:1234:5678:9abc:def0  # 임시(더 이상 사용되지 않음, 만료 중)

순환은 자동으로 발생합니다. 이전 주소는 완전히 만료되기 전에 "더 이상 사용되지 않음" 상태로 들어가 활성 연결이 중단되지 않도록 합니다.

개인 정보 보호 확장 활성화#

Windows#

Windows Vista 이후 개인 정보 보호 확장이 기본적으로 활성화되어 있습니다. PowerShell로 확인:

Get-NetIPv6Protocol | Select-Object UseTemporaryAddresses

출력 2는 아웃바운드 연결에 활성화됨을 의미합니다. 수동으로 구성:

# 임시 주소 활성화
Set-NetIPv6Protocol -UseTemporaryAddresses Enabled
 
# 비활성화(권장하지 않음)
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled

현재 주소 확인:

Get-NetIPAddress -AddressFamily IPv6 -PrefixOrigin RouterAdvertisement

임시 주소는 카운트다운하는 Preferred 수명 값을 표시합니다.

macOS#

최신 macOS에서 기본적으로 활성화되어 있습니다. 확인:

sysctl net.inet6.ip6.use_tempaddr

활성화된 경우 1을 반환합니다. 구성:

# 활성화
sudo sysctl -w net.inet6.ip6.use_tempaddr=1
 
# 영구적으로 만들기
echo "net.inet6.ip6.use_tempaddr=1" | sudo tee -a /etc/sysctl.conf

Linux#

배포에 따라 구성이 다릅니다. 대부분의 최신 배포는 기본적으로 개인 정보 보호 확장을 활성화하지만 확인하세요:

sysctl net.ipv6.conf.all.use_tempaddr

• 0 = 비활성화
• 1 = 활성화, 공용 주소 선호
• 2 = 활성화, 임시 주소 선호(권장)

올바르게 활성화:

sudo sysctl -w net.ipv6.conf.all.use_tempaddr=2
sudo sysctl -w net.ipv6.conf.default.use_tempaddr=2

/etc/sysctl.conf를 편집하거나 /etc/sysctl.d/99-ipv6-privacy.conf를 생성하여 영구적으로 만들기:

net.ipv6.conf.all.use_tempaddr = 2
net.ipv6.conf.default.use_tempaddr = 2

변경 사항 적용:

sudo sysctl -p

활성 주소 확인:

ip -6 addr show scope global

임시 주소는 temporary 플래그로 표시되고 preferred_lft 및 valid_lft 값을 표시합니다.

모바일 장치#

iOS: iOS 4.3 이후 기본적으로 개인 정보 보호 확장이 활성화됩니다. 사용자 구성을 사용할 수 없습니다.

Android: Android 8.0+ 에서 기본적으로 활성화됩니다. 이전 버전은 안정적인 주소를 사용할 수 있습니다.

개인 정보 보호 확장을 사용하지 말아야 하는 경우#

개인 정보 보호 확장은 안정적인 주소가 필요한 시나리오를 중단시킵니다:

서버 및 서비스: 웹 서버, SSH 데몬 또는 들어오는 연결이 필요한 모든 서비스를 실행하는 경우 개인 정보 보호 확장을 비활성화하거나 서비스가 특별히 안정적인 주소에 바인딩하도록 구성하세요.

# Linux: 특정 인터페이스에 대해 비활성화
sudo sysctl -w net.ipv6.conf.eth0.use_tempaddr=0

DNS 레코드: DNS를 회전하는 주소로 지정할 수 없습니다. 서버에는 안정적인 IP가 필요합니다.

네트워크 장비: 라우터, 방화벽 및 네트워크 인프라는 관리를 위해 안정적인 주소 지정을 사용해야 합니다.

방화벽 규칙: 특정 주소를 화이트리스트에 추가하면 임시 주소가 회전할 때 중단됩니다.

개인 정보 보호 확장 이상#

개인 정보 보호 확장은 인터페이스 ID만 보호합니다. /64 접두사는 여전히 ISP 및 일반 위치를 노출합니다. 추가 조치:

IPv6 지원 VPN: VPN 제공업체의 IPv6 주소 공간을 통해 모든 트래픽을 터널링합니다. VPN이 실제로 IPv6 트래픽을 라우팅하는지 확인하세요. 많은 것이 IPv6를 완전히 비활성화하여 실제 IPv6 주소를 누출합니다.

VPN에 연결되어 있는 동안 test-ipv6.com에서 누출을 테스트하세요.

접두사 회전: 일부 ISP는 /64 접두사를 주기적으로 회전합니다. 이것은 드물고 표준화되지 않았습니다. 대부분의 주거 연결은 동일한 접두사를 무기한 유지합니다.

가장 실용적인 조합: 클라이언트 장치에서 활성화된 개인 정보 보호 확장 + 필요할 때 완전한 주소 마스킹을 위한 VPN.

ping6.net를 방문하여 현재 개인 정보 보호 상태를 확인하고 시간이 지남에 따라 인터페이스 ID가 변경되는지 확인하세요(개인 정보 보호 확장이 활성화된 경우 변경되어야 함).

개인 정보 보호 확장은 모든 클라이언트 장치에서 활성화되어야 하는 기본 보안 조치입니다. 완벽한 보호는 아니지만 IPv6 주소 지정에서 가장 명백한 추적 벡터를 제거합니다.

관련 기사#

• IPv6 보안: 위협, 완화 및 모범 사례 - 개인 정보 보호를 포함한 IPv6 보안의 전체 전략을 알아보세요.
• DHCPv6 vs SLAAC: 장치가 IPv6 주소를 얻는 방법 - 주소 할당 방법이 개인 정보 보호 설정에 미치는 영향을 알아보세요.