보안 (Security) — 학습 정리
보안 담당자로서 학습한 내용을 차곡차곡 정리하는 페이지
회사의 보안 담당자로 임명되어, 업무 수행에 필요한 보안 지식을 체계적으로 학습하고 정리하기 위한 문서입니다.
개념 → 원리 → 실습/테스트 순으로, 학습하는 주제를 하나씩 추가해 나갑니다. 각 항목은 지시에 따라 단계적으로 채워집니다.
0. 들어가며
아직 내용이 채워지지 않았습니다. 학습할 주제를 알려주시면 이 영역에 순서대로 정리하겠습니다. (목차도 주제 추가에 맞춰 함께 갱신됩니다.)
1. 일반론 — 사외망과 연결된 경계 보안
회사 네트워크 보안의 출발점은 "우리 안(내부망)"과 "바깥 세상(사외망 = 인터넷)"을 나누는 것입니다. 둘 사이에는 경계(Perimeter)라는 검문소가 있고, 모든 트래픽은 이 검문소를 지나며 검사됩니다. 이 장에서는 그 경계 보안이 네트워크 7계층(OSI Layer)을 따라 어떻게 구성되는지, 내부에서 외부로 나가는 흐름(Outbound)과 외부에서 내부로 들어오는 흐름(Inbound)을 어떻게 감지·차단하는지 그림으로 살펴봅니다.
- 사외망 (External Network) — 회사 밖의 신뢰할 수 없는 망. 곧 인터넷
- 내부망 (Internal Network) — 회사가 통제하는 신뢰 구간. LAN(Local Area Network, 근거리 통신망)
- 경계 (Perimeter) — 내부망과 사외망이 만나는 검문 지점
- DMZ (DeMilitarized Zone, 비무장지대) — 외부에 공개해야 하는 서버(웹서버 등)를 두는 완충 구간
- Inbound (인바운드) — 외부 → 내부 방향 / Outbound (아웃바운드) — 내부 → 외부 방향
1.1 큰 그림 — 세상은 3개 구역으로 나뉜다
보안의 큰 그림은 단순합니다. 신뢰 구간(내부망), 완충·검문 구간(경계·DMZ), 비신뢰 구간(사외망) 세 덩어리입니다. 핵심은 "안에서 밖으로 나가는 길"과 "밖에서 안으로 들어오는 길"의 통제 강도가 다르다는 점입니다.
- Default Deny (기본 차단) — 명시적으로 허용한 것 외에는 전부 막는다. 특히 Inbound가 그렇다
- Defense in Depth (심층 방어) — 한 겹이 뚫려도 다음 겹이 막도록 여러 계층에 방어를 중첩한다
- Least Privilege (최소 권한) — 꼭 필요한 통로·권한만 연다
1.2 7계층(OSI Layer)별 보안 통제
경계 보안은 어느 한 곳에만 있는 게 아니라 네트워크 7계층 전체에 걸쳐 배치됩니다. 아래는 각 계층에서 무엇으로 막는지 정리한 그림입니다. 위로 갈수록 "내용(데이터)을 깊이 들여다보는" 검사이고, 아래로 갈수록 "주소·물리"에 가까운 통제입니다.
1.3 내부 → 외부로 나가는 길 (Outbound)
직원 PC에서 www.google.com에 접속하는, 가장 흔한 나가는 트래픽을 따라가 봅시다.
(이 경로는 네트워크 7계층 페이지의 "구글 접속" 도식을 보안 관점으로 다시 그린 것입니다.)
나가는 길은 비교적 자유롭게 열려 있지만, 그냥 통과시키지 않고 감시·기록·필터링합니다.
1.4 외부 → 내부로 들어오는 것 감지·차단 (Inbound)
반대로 사외망에서 내부로 들어오려는 트래픽은 가장 위험합니다. 공격자도 같은 길로 들어오기 때문입니다. 그래서 들어오는 길은 여러 개의 검문소(Gate)를 두고, 각 검문소가 자기 계층에서 의심스러운 것을 탐지(Detect)하고 차단(Block)합니다. 통과한 정상 요청만 맨 끝(DMZ 웹서버)에 도달합니다.
- IDS (Intrusion Detection System, 침입 탐지 시스템) — 의심 트래픽을 탐지·경보만 함. CCTV처럼 "지켜보고 알림". 트래픽을 직접 막지는 않음
- IPS (Intrusion Prevention System, 침입 방지 시스템) — 탐지하면 즉시 차단까지 함. 경비원처럼 "막아섬". 트래픽 경로 위에 직접 놓임
1.5 한 줄로 꿰기 — 심층 방어와 로그 분석
지금까지 본 모든 장비는 결국 "여러 겹의 방어막" 한 세트입니다. 들어오는 공격은 경계 방화벽 → IDS/IPS → WAF → 호스트 보안(EDR) 순서로 거듭 걸러지고(심층 방어), 나가는 정보는 프록시·DLP·NAT로 감시됩니다. 그리고 모든 장비의 기록은 SIEM에 모여 분석되고, SOAR가 자동으로 대응합니다.
- 기본 정책: 차단(Default Deny)
- NGFW: IP·포트·DDoS 차단
- IDS/IPS: 공격 패턴 탐지·차단
- WAF: 웹 공격(SQLi·XSS) 차단
- 내부 진입은 VPN·인증으로만
- 기본 정책: 허용하되 기록
- 프록시/SWG: 유해사이트·로깅
- DLP: 기밀 유출 차단
- NAT: 내부 구조 숨김
- EDR: 악성코드의 외부 연결 차단
1.6 용어 사전 — 약자 풀이
이 장에 나온 약자를 영문 원어와 함께 정리합니다.
| 약자 | 원어 (영문) | 한 줄 뜻 |
|---|---|---|
| OSI | Open Systems Interconnection | 네트워크를 7계층으로 나눈 표준 모델 |
| LAN | Local Area Network | 근거리 통신망 — 회사·집 내부망 |
| DMZ | DeMilitarized Zone | 비무장지대 — 외부 공개 서버를 두는 완충 구간 |
| FW | Firewall | 방화벽 — 규칙대로 트래픽 허용/차단 |
| NGFW | Next-Generation Firewall | 차세대 방화벽 — L3~L7을 통합 검사 |
| IDS | Intrusion Detection System | 침입 탐지 시스템 — 의심 트래픽 탐지·경보 |
| IPS | Intrusion Prevention System | 침입 방지 시스템 — 탐지 후 즉시 차단 |
| WAF | Web Application Firewall | 웹 방화벽 — SQLi·XSS 등 웹 공격 차단(L7) |
| SWG | Secure Web Gateway | 보안 웹 게이트웨이 — 유해사이트 차단·로깅 |
| NAT | Network Address Translation | 사설 IP ↔ 공인 IP 변환, 내부 주소 숨김 |
| VPN | Virtual Private Network | 가상 사설망 — 외부에서 내부망 암호화 접속 |
| IPsec | Internet Protocol Security | L3에서 IP 패킷을 암호화하는 VPN 방식 |
| TLS/SSL | Transport Layer Security / Secure Sockets Layer | 전송 구간 암호화 — HTTPS의 'S' |
| EDR | Endpoint Detection and Response | 단말 탐지·대응 — PC/서버 내부의 이상행위 감지 |
| AV | Antivirus | 백신 — 알려진 악성코드 탐지·제거 |
| NAC | Network Access Control | 네트워크 접근 제어 — 인가된 단말만 접속 허용 |
| VLAN | Virtual LAN | 가상 랜 — 하나의 물리망을 논리적으로 분리 |
| ACL | Access Control List | 접근 제어 목록 — 허용/차단 규칙 리스트 |
| DLP | Data Loss Prevention | 정보 유출 방지 — 기밀자료 외부 전송 차단 |
| DDoS | Distributed Denial of Service | 분산 서비스 거부 — 대량 트래픽으로 마비시키는 공격 |
| C2 | Command and Control | 공격자가 침투한 악성코드를 원격 조종하는 통로 |
| SIEM | Security Information and Event Management | 보안 정보·이벤트 관리 — 모든 로그를 모아 분석 |
| SOAR | Security Orchestration, Automation and Response | 보안 자동화·대응 — 분석 결과에 따라 자동 조치 |
| Inbound / Outbound | — | 외부→내부 방향 / 내부→외부 방향 |
2. HTTP · HTTPS · Proxy · VPN · SNI
경계 보안을 이해하려면 "무엇이 평문이고 무엇이 암호화되는가"를 알아야 합니다. 이 장은 웹 통신의 기본인 HTTP / HTTPS, 트래픽을 대신 주고받는 프록시(Proxy), 암호화 터널을 만드는 VPN, 그리고 HTTPS에서도 노출되는 SNI를 흐름도로 정리합니다. (일부 내용은 네트워크 7계층 페이지와 겹치며, 여기서는 보안 관점으로 다시 봅니다.)
2.1 HTTP vs HTTPS — 평문이냐 암호화냐
- HTTP (HyperText Transfer Protocol) — 웹 통신 규약. 기본은 평문(암호화 안 됨). 포트
80 - HTTPS (HTTP Secure) — HTTP를 TLS로 암호화한 것. 'S'는 Secure. 포트
443 - TLS (Transport Layer Security) — 전송 구간을 암호화하는 프로토콜. 예전 이름이 SSL
2.2 TLS 핸드셰이크와 SNI
HTTPS는 본 통신을 시작하기 전에 TLS 핸드셰이크(악수)로 암호키를 먼저 맞춥니다. 이 과정의 맨 첫 메시지(ClientHello)에 SNI가 평문으로 들어간다는 점이 보안상 중요합니다.
한 대의 서버(같은 IP)가 여러 웹사이트를 동시에 호스팅하는 일은 흔합니다. 이때 서버는
접속자가 www.google.com을 원하는지 mail.google.com을 원하는지 알아야
맞는 TLS 인증서를 내줄 수 있습니다. 그런데 인증서 교환은 암호화 이전에 일어나므로,
클라이언트가 접속할 도메인 이름을 ClientHello에 먼저 알려주는 것이 SNI입니다.
보안적 함의 — HTTPS로 내용은 가려져도, SNI에 적힌 도메인은 평문이라 통신사·방화벽·도청자가 "어떤 사이트에 접속하는지"는 알 수 있습니다. 회사 방화벽이 SNI를 보고 특정 사이트를 차단하는 것도 이 원리입니다. 이를 가리려는 기술이 ESNI / ECH (Encrypted Client Hello)로, SNI까지 암호화합니다.
2.3 프록시 (Proxy) — 대신 주고받는 중계자
프록시(Proxy, 대리)는 클라이언트와 서버 사이에 끼어들어 트래픽을 대신 주고받는 중계 서버입니다. 보안에서는 모든 외부 접속을 한 지점에 모아 검사·기록·차단하는 데 씁니다.
2.4 VPN — 암호화 터널로 내부망에 들어가기
VPN (Virtual Private Network, 가상 사설망)은 공개된 인터넷 위에 암호화된 터널(Tunnel)을 뚫어, 외부에 있는 단말을 회사 내부망에 직접 연결된 것처럼 만들어 줍니다. 재택근무자가 사내 시스템에 접속하는 표준 방법입니다.
2.5 Proxy vs VPN — 무엇이 다른가
- 주로 특정 앱(브라우저)의 트래픽만 중계
- 목적: 검사·필터·로깅·캐시
- 암호화는 기본 아님 (HTTPS는 그대로 통과)
- 주소를 가려 줌 (서버는 프록시 IP만 봄)
- 대표: SWG, WAF(역방향)
- 단말의 모든 트래픽을 터널로 감쌈
- 목적: 암호화 + 내부망 접속 권한
- 구간 전체를 암호화
- 외부 단말을 내부망의 일원으로 편입
- 대표: IPsec VPN, SSL-VPN
- HTTP는 금지, HTTPS 기본 — 단 HTTPS도 SNI·IP는 노출되므로 "내용 보호 ≠ 완전 익명"
- 프록시는 "나가는 트래픽을 검문"하는 도구 (1.3 Outbound와 연결)
- VPN은 "외부에서 안전하게 들어오는" 통로 (1.4 Inbound의 합법적 입구) → 인증·MFA가 뚫리면 내부망이 통째로 노출되므로 가장 신경 써야 할 지점
3. 방화벽 (Firewall)
방화벽(Firewall)은 미리 정한 규칙(Rule)에 따라 트래픽을 허용하거나 차단하는 보안 장비(또는 소프트웨어)입니다. 1장에서 본 경계 보안의 가장 앞단 검문소이자, 거의 모든 보안의 출발점입니다. 이름 그대로 "불(공격)이 번지지 못하게 막는 벽"입니다.
3.1 방화벽이란? — 규칙 기반 검문소
- 본다 — 출발/도착 IP, 포트(서비스), 연결 방향(In/Out), (NGFW라면) 앱·URL·파일 내용
- 기본적으로 못 막는다 — 이미 허용된 통로(예: 443)로 들어오는 공격. 그래서 IDS/IPS·WAF가 뒤에서 한 번 더 검사 (1.4의 다단계 방어 = 심층 방어)
3.2 규칙(Rule)은 어떻게 평가되나
방화벽 규칙은 위에서부터 차례대로(Top-Down) 검사되고, 처음 일치하는 규칙의 동작을 적용한 뒤 평가를 멈춥니다(First Match Wins). 어떤 규칙에도 안 맞으면 맨 아래 기본 차단(Default Deny) 규칙이 작동합니다.
위 순서도를 표로 적으면 실제 방화벽의 정책(Policy) 테이블과 같은 모습입니다.
| 순번 | 출발지(Source) | 목적지(Dest) | 포트·서비스 | 동작(Action) |
|---|---|---|---|---|
| 1 | 사내망 | 인터넷 | 443 (HTTPS) | 허용 |
| 2 | 인터넷 | 내부 서버 | 22 (SSH) | 차단 |
| 3 | 악성 IP 목록 | any | any | 차단 |
| 4 | any | any | any | 차단 (기본) |
3.3 방화벽 3세대 진화 — 무엇까지 들여다보나
방화벽은 "몇 번째 계층까지 검사하느냐"로 세대를 나눕니다. 위 계층까지 볼수록 똑똑하지만 느리고 비쌉니다. (1.2의 7계층 통제 그림과 함께 보면 좋습니다.)
예: "외부에서 들어오는 22번(SSH) 포트는 차단"
한계: 패킷 하나하나만 봄 — 이전 통신의 맥락(상태)을 모름
예: "내가 먼저 보낸 요청의 응답은 허용, 외부에서 갑자기 들어온 패킷은 차단"
현황: 거의 모든 현대 라우터·공유기에 기본 내장
예: "유튜브는 차단, GitHub은 허용", "이 첨부 PDF에 악성코드 있음 → 차단"
핵심 기술: DPI(Deep Packet Inspection, 심층 패킷 검사) · 제품: Palo Alto, FortiGate 등
3.4 방화벽의 종류와 위치
방화벽은 어디에 놓이느냐에 따라서도 나뉩니다.
- 방화벽 — "허용된 길만 연다" (IP·포트·앱 기준 통과/차단)
- IDS/IPS — "열린 길로 들어온 공격 패턴을 탐지·차단" (1.4 ③)
- WAF — "웹 요청 내용 속 공격을 차단" (1.4 ④, L7 전용)
- 셋은 경쟁이 아니라 겹겹이 쌓는 관계 → 심층 방어(Defense in Depth)
3.5 용어 정리
| 용어 / 약자 | 원어 | 한 줄 뜻 |
|---|---|---|
| Firewall | — | 규칙 기반으로 트래픽 허용/차단하는 보안 장비 |
| Rule / Policy | — | 방화벽이 따르는 허용·차단 규칙(정책) |
| Default Deny | — | 명시 허용 외 전부 차단하는 기본 원칙 |
| First Match | — | 위에서부터 검사해 처음 맞는 규칙으로 결정 |
| Stateful | Stateful Inspection | 연결 상태를 추적하는 검사 방식(2세대) |
| DPI | Deep Packet Inspection | 패킷 내용까지 깊이 들여다보는 심층 검사 |
| NGFW | Next-Generation Firewall | L3~L7 통합 검사하는 차세대 방화벽 |
| UTM | Unified Threat Management | 여러 보안 기능을 한 장비에 통합 |
| WAF | Web Application Firewall | 웹 공격 전용 방화벽(L7) |
| Ingress / Egress | — | 들어오는 / 나가는 트래픽 필터링 |