리눅스 eBPF와 XDP를 활용한 커널 바이패스(Kernel Bypass) 초저지연 패킷 필터링 아키텍처

초당 수백만 건의 마이크로 DDoS 공격이 네트워크 컨트롤 플레인을 강타할 때, 리눅스의 전통적인 iptables 방화벽 룰킷을 들이미는 것은 마치 댐이 무너지는데 숟가락으로 물을 푸는 것과 같음을 뼈저리게 겪었습니다. 커널 스택의 오버헤드는 그 자체로 시스템의 목을 졸랐습니다. 리눅스 커널이 패킷을 처리하려면 네트워크 카드 안의 링 버퍼에서 커널 버퍼로 메모리 카피(sk_buff 구조체 생성)를 수행한 뒤 복잡한 IP/TCP 라우팅 계층을 굽이굽이 통과해야 합니다. 단순히 "이 IP는 차단한다"라는 판별 하나를 위해 이 막대한 파이프라인 자원을 태우는 것은 불합리합니다. 이 네트워크 지연의 절대적 한계를 파괴하기 위해 클라우드 벤더들이 채택한 최종 병기가 바로 eBPF(Extended Berkeley Packet Filter)와 XDP(eXpress Data Path) 기술 결합입니다. eBPF는 일종의 안전한 가상 머신(VM)을 리눅스 커널 심장부에 박아 넣는 패러다임입니다. 저는 사용자 공간(User Space)에서 단순한 C 코드로 패킷 필터링 로직을 작성한 뒤, 커널 런타임에 이 로직을 실시간으로 주입(Attach)시켰습니다. XDP 훅은 커널 네트워크 스택조차 도달하기 전인, 하드웨어 네트워크 드라이버가 패킷을 수신하는 가장 초기 단계에서 이 코드를 실행시킵니다. 바이너리로 컴파일된 제가 만든 eBPF 필터는, 패킷의 헤더만 0.01 마이크로초 만에 훑어보고 악성 시그널인 경우 커널 메모리 할당조차 발생시키지 않은 채 장치 드라이버 선에서 즉각 DROP(폐기) 시켜버렸습니다. CPU 사용량은 기적처럼 90%에서 5%로 안정화되었고, 시스템 스레드는 아무 일도 없었다는 듯 평온해졌습니다. 이제 인프라의 최고 권력은 더 이상 커널 빌드를 다시 하는 것에 있지 않고, eBPF를 통한 동적 커널 프로그래밍에 있음을 깨달은 잊지 못할 밤이었습니다.