보안 (Security) — 학습 정리

보안 담당자로서 학습한 내용을 차곡차곡 정리하는 페이지

이 페이지의 목적

회사의 보안 담당자로 임명되어, 업무 수행에 필요한 보안 지식을 체계적으로 학습하고 정리하기 위한 문서입니다.

개념 → 원리 → 실습/테스트 순으로, 학습하는 주제를 하나씩 추가해 나갑니다. 각 항목은 지시에 따라 단계적으로 채워집니다.

0. 들어가며

아직 내용이 채워지지 않았습니다. 학습할 주제를 알려주시면 이 영역에 순서대로 정리하겠습니다. (목차도 주제 추가에 맞춰 함께 갱신됩니다.)

학습 원칙
모든 테스트·실습은 회사로부터 승인받은 환경에서, 학습 목적으로만 수행합니다. 실제 운영 시스템·타인의 자산을 대상으로 하지 않습니다.

1. 일반론 — 사외망과 연결된 경계 보안

회사 네트워크 보안의 출발점은 "우리 안(내부망)""바깥 세상(사외망 = 인터넷)"을 나누는 것입니다. 둘 사이에는 경계(Perimeter)라는 검문소가 있고, 모든 트래픽은 이 검문소를 지나며 검사됩니다. 이 장에서는 그 경계 보안이 네트워크 7계층(OSI Layer)을 따라 어떻게 구성되는지, 내부에서 외부로 나가는 흐름(Outbound)과 외부에서 내부로 들어오는 흐름(Inbound)을 어떻게 감지·차단하는지 그림으로 살펴봅니다.

먼저 알아둘 핵심 용어 (약자 풀이)
  • 사외망 (External Network) — 회사 밖의 신뢰할 수 없는 망. 곧 인터넷
  • 내부망 (Internal Network) — 회사가 통제하는 신뢰 구간. LAN(Local Area Network, 근거리 통신망)
  • 경계 (Perimeter) — 내부망과 사외망이 만나는 검문 지점
  • DMZ (DeMilitarized Zone, 비무장지대) — 외부에 공개해야 하는 서버(웹서버 등)를 두는 완충 구간
  • Inbound (인바운드) — 외부 → 내부 방향 / Outbound (아웃바운드) — 내부 → 외부 방향

1.1 큰 그림 — 세상은 3개 구역으로 나뉜다

보안의 큰 그림은 단순합니다. 신뢰 구간(내부망), 완충·검문 구간(경계·DMZ), 비신뢰 구간(사외망) 세 덩어리입니다. 핵심은 "안에서 밖으로 나가는 길""밖에서 안으로 들어오는 길"의 통제 강도가 다르다는 점입니다.

신뢰 구간 ← 경계(검문소) → 비신뢰 구간 내부망 Internal · 신뢰(Trusted) 🖥️ 직원 PC 🗄️ 사내 서버 · DB 🖨️ 내부 자원 경계 영역 Perimeter · 검문소 🧱 방화벽 (Firewall) 🛰️ IDS / IPS 🌐 DMZ (공개 서버) 사외망 External · 비신뢰(Untrusted) ☁️ 인터넷 🔍 구글·외부 서비스 🕵️ 공격자 ▶ 나가는 트래픽 (Outbound) — 비교적 자유, 단 감시·기록 ◀ 들어오는 트래픽 (Inbound) — 기본 차단(Default Deny), 허용은 예외적·검사 필수 "나갈 땐 열려 있고, 들어올 땐 잠겨 있다"가 경계 보안의 기본 철학
3개 구역 모델 — 방향에 따라 통제 강도가 다르다 (Outbound는 감시, Inbound는 차단 우선)
기본 철학 — Default Deny & Defense in Depth
  • Default Deny (기본 차단) — 명시적으로 허용한 것 외에는 전부 막는다. 특히 Inbound가 그렇다
  • Defense in Depth (심층 방어) — 한 겹이 뚫려도 다음 겹이 막도록 여러 계층에 방어를 중첩한다
  • Least Privilege (최소 권한) — 꼭 필요한 통로·권한만 연다

1.2 7계층(OSI Layer)별 보안 통제

경계 보안은 어느 한 곳에만 있는 게 아니라 네트워크 7계층 전체에 걸쳐 배치됩니다. 아래는 각 계층에서 무엇으로 막는지 정리한 그림입니다. 위로 갈수록 "내용(데이터)을 깊이 들여다보는" 검사이고, 아래로 갈수록 "주소·물리"에 가까운 통제입니다.

OSI 계층 그 계층의 보안 통제 · 장비 L7 Application (응용) HTTP · HTTPS · DNS · FTP WAF · 프록시(SWG) · DLP · 콘텐츠 필터 요청 내용(페이로드)을 직접 검사 — SQLi·XSS·유해사이트·정보유출 L6 Presentation (표현) TLS/SSL · 인코딩 TLS 복호화 검사(SSL Inspection) · 인증서 검증 암호화된 트래픽을 잠시 풀어 내부를 검사 후 다시 암호화 L5 Session (세션) 연결 수립·유지 세션 인증 · VPN 세션 관리 누가 언제 연결했는지, 세션 탈취(하이재킹) 방지 L4 Transport (전송) TCP · UDP — 포트(Port) 상태기반 방화벽(Stateful Firewall) · IDS/IPS 포트 차단(예: 80·443만 허용), 연결 상태 추적, 침입 탐지·차단 L3 Network (네트워크) IP · 라우팅 패킷필터 방화벽 · ACL · NAT · IPsec VPN 출발/도착 IP로 허용·차단, 주소 숨김(NAT), 암호화 터널(VPN) L2 Data Link (데이터링크) MAC · 스위치 NAC · VLAN · 포트 보안 · ARP 방어 인가된 단말만 접속(NAC), 망 분리(VLAN), MAC 위조 차단 L1 Physical (물리) 케이블 · 전파 물리 보안 · 출입 통제 · 포트 잠금 서버실 잠금, 사용 안 하는 LAN 포트 비활성화, 케이블 보호 위(L7)로 갈수록 "내용을 깊이" 검사 — 정밀하지만 무겁고, 아래(L1)로 갈수록 "주소·물리" — 빠르고 단순 차세대 방화벽(NGFW)은 L3~L7을 한 장비에서 통합 검사한다
7계층별 보안 통제 매핑 — 같은 트래픽이 여러 계층에서 거듭 검사된다(심층 방어)

1.3 내부 → 외부로 나가는 길 (Outbound)

직원 PC에서 www.google.com에 접속하는, 가장 흔한 나가는 트래픽을 따라가 봅시다. (이 경로는 네트워크 7계층 페이지의 "구글 접속" 도식을 보안 관점으로 다시 그린 것입니다.) 나가는 길은 비교적 자유롭게 열려 있지만, 그냥 통과시키지 않고 감시·기록·필터링합니다.

내부 PC → 인터넷(구글) 나가는 경로와 검문 지점 ① 직원 PC 앱·브라우저 ② 호스트 보안 EDR · 호스트 방화벽 ③ 내부망 스위치·NAC 내부 FW ④ 프록시/SWG URL·콘텐츠 필터 ⑤ 경계 NGFW DLP · NAT Egress 필터 ⑥ 인터넷 🔍 구글 ▼ 각 지점에서 나가는 트래픽에 하는 일 ▼ 악성 프로세스가 몰래 외부로 연결하는지 차단 (EDR이 이상행위 탐지) 인가된 단말만 망에 접속 허용 (NAC) — 미등록 노트북은 연결 거부 유해·업무외 사이트 차단, 접속 기록 로깅 (Secure Web Gateway) 기밀자료 외부 유출 차단 (DLP), 사설IP→공인IP 변환 (NAT), 송신 필터링(Egress) NAT 덕분에 외부에는 회사 대표 공인 IP 하나로만 보임 — 내부 구조가 숨겨짐
나가는 트래픽(Outbound)의 검문 지점 — "막기"보다 "감시·기록·유출방지"가 핵심
왜 나가는 트래픽도 통제하나?
나가는 길을 열어두기만 하면, 일단 내부에 침투한 악성코드가 바깥의 공격자 서버로 데이터를 빼돌리거나(유출) 명령을 받아오는(C2, Command & Control) 통로가 됩니다. 그래서 Outbound도 DLP(정보 유출 방지), 프록시 로깅, Egress 필터링으로 감시합니다.

1.4 외부 → 내부로 들어오는 것 감지·차단 (Inbound)

반대로 사외망에서 내부로 들어오려는 트래픽은 가장 위험합니다. 공격자도 같은 길로 들어오기 때문입니다. 그래서 들어오는 길은 여러 개의 검문소(Gate)를 두고, 각 검문소가 자기 계층에서 의심스러운 것을 탐지(Detect)하고 차단(Block)합니다. 통과한 정상 요청만 맨 끝(DMZ 웹서버)에 도달합니다.

인터넷 → 내부 들어오는 경로의 다단계 검문 (통과 못 하면 폐기) 📊 SIEM / SOAR — 모든 검문소의 로그를 모아 분석·자동 대응 기록을 한곳에서 분석하고, 공격 패턴이면 자동으로 IP 차단(SOAR) ↑ 로그 수집 ① 사외망 정상+공격자 뒤섞여 도착 ② 경계 NGFW IP·포트·DDoS (L3/L4) ③ IDS / IPS 시그니처·이상 탐지(L3~L7) ④ WAF 웹공격 차단 (L7 전용) ⑤ DMZ 웹서버 (공개 서비스) 내부망(핵심) 기본 차단·VPN만 🗑️ 통과 못한 트래픽은 여기서 폐기(Drop) ② 경계 NGFW — 허용 안 된 포트, 알려진 악성 IP, 비정상 대량 트래픽(DDoS), 해외 차단(Geo-block) 폐기 ③ IDS/IPS — 알려진 공격 패턴(시그니처)·평소와 다른 이상행위 탐지 → IPS는 즉시 자동 차단 ④ WAF — 웹 요청 속 SQL 인젝션·XSS·악성 스크립트 페이로드 차단 (L7 내용 검사) ⑤→내부망 — 통과한 정상 요청만 웹서버 도달. 내부 핵심망은 기본 차단, 직원은 VPN으로만 진입
들어오는 트래픽(Inbound)의 다단계 방어 — 계층마다 다른 방식으로 탐지·차단하고, 로그는 SIEM이 종합
IDS와 IPS의 차이 (자주 헷갈림)
  • IDS (Intrusion Detection System, 침입 탐지 시스템) — 의심 트래픽을 탐지·경보만 함. CCTV처럼 "지켜보고 알림". 트래픽을 직접 막지는 않음
  • IPS (Intrusion Prevention System, 침입 방지 시스템) — 탐지하면 즉시 차단까지 함. 경비원처럼 "막아섬". 트래픽 경로 위에 직접 놓임

1.5 한 줄로 꿰기 — 심층 방어와 로그 분석

지금까지 본 모든 장비는 결국 "여러 겹의 방어막" 한 세트입니다. 들어오는 공격은 경계 방화벽 → IDS/IPS → WAF → 호스트 보안(EDR) 순서로 거듭 걸러지고(심층 방어), 나가는 정보는 프록시·DLP·NAT로 감시됩니다. 그리고 모든 장비의 기록은 SIEM에 모여 분석되고, SOAR가 자동으로 대응합니다.

들어올 때 (Inbound) — "막는다"
  • 기본 정책: 차단(Default Deny)
  • NGFW: IP·포트·DDoS 차단
  • IDS/IPS: 공격 패턴 탐지·차단
  • WAF: 웹 공격(SQLi·XSS) 차단
  • 내부 진입은 VPN·인증으로만
나갈 때 (Outbound) — "감시한다"
  • 기본 정책: 허용하되 기록
  • 프록시/SWG: 유해사이트·로깅
  • DLP: 기밀 유출 차단
  • NAT: 내부 구조 숨김
  • EDR: 악성코드의 외부 연결 차단
보안 담당자가 기억할 한 줄
경계 보안은 "7계층 곳곳에 검문소를 두고, 들어오는 건 기본 차단·다단계 검사, 나가는 건 감시·기록, 모든 로그는 SIEM에 모아 본다"로 요약됩니다. 어떤 장비를 보든 ① 몇 계층에서 ② 어느 방향을 ③ 탐지인지 차단인지 이 세 가지를 먼저 떠올리면 됩니다.

1.6 용어 사전 — 약자 풀이

이 장에 나온 약자를 영문 원어와 함께 정리합니다.

약자원어 (영문)한 줄 뜻
OSIOpen Systems Interconnection네트워크를 7계층으로 나눈 표준 모델
LANLocal Area Network근거리 통신망 — 회사·집 내부망
DMZDeMilitarized Zone비무장지대 — 외부 공개 서버를 두는 완충 구간
FWFirewall방화벽 — 규칙대로 트래픽 허용/차단
NGFWNext-Generation Firewall차세대 방화벽 — L3~L7을 통합 검사
IDSIntrusion Detection System침입 탐지 시스템 — 의심 트래픽 탐지·경보
IPSIntrusion Prevention System침입 방지 시스템 — 탐지 후 즉시 차단
WAFWeb Application Firewall웹 방화벽 — SQLi·XSS 등 웹 공격 차단(L7)
SWGSecure Web Gateway보안 웹 게이트웨이 — 유해사이트 차단·로깅
NATNetwork Address Translation사설 IP ↔ 공인 IP 변환, 내부 주소 숨김
VPNVirtual Private Network가상 사설망 — 외부에서 내부망 암호화 접속
IPsecInternet Protocol SecurityL3에서 IP 패킷을 암호화하는 VPN 방식
TLS/SSLTransport Layer Security / Secure Sockets Layer전송 구간 암호화 — HTTPS의 'S'
EDREndpoint Detection and Response단말 탐지·대응 — PC/서버 내부의 이상행위 감지
AVAntivirus백신 — 알려진 악성코드 탐지·제거
NACNetwork Access Control네트워크 접근 제어 — 인가된 단말만 접속 허용
VLANVirtual LAN가상 랜 — 하나의 물리망을 논리적으로 분리
ACLAccess Control List접근 제어 목록 — 허용/차단 규칙 리스트
DLPData Loss Prevention정보 유출 방지 — 기밀자료 외부 전송 차단
DDoSDistributed Denial of Service분산 서비스 거부 — 대량 트래픽으로 마비시키는 공격
C2Command and Control공격자가 침투한 악성코드를 원격 조종하는 통로
SIEMSecurity Information and Event Management보안 정보·이벤트 관리 — 모든 로그를 모아 분석
SOARSecurity Orchestration, Automation and Response보안 자동화·대응 — 분석 결과에 따라 자동 조치
Inbound / Outbound외부→내부 방향 / 내부→외부 방향

2. HTTP · HTTPS · Proxy · VPN · SNI

경계 보안을 이해하려면 "무엇이 평문이고 무엇이 암호화되는가"를 알아야 합니다. 이 장은 웹 통신의 기본인 HTTP / HTTPS, 트래픽을 대신 주고받는 프록시(Proxy), 암호화 터널을 만드는 VPN, 그리고 HTTPS에서도 노출되는 SNI를 흐름도로 정리합니다. (일부 내용은 네트워크 7계층 페이지와 겹치며, 여기서는 보안 관점으로 다시 봅니다.)

2.1 HTTP vs HTTPS — 평문이냐 암호화냐

한 줄 정의
  • HTTP (HyperText Transfer Protocol) — 웹 통신 규약. 기본은 평문(암호화 안 됨). 포트 80
  • HTTPS (HTTP Secure) — HTTP를 TLS로 암호화한 것. 'S'는 Secure. 포트 443
  • TLS (Transport Layer Security) — 전송 구간을 암호화하는 프로토콜. 예전 이름이 SSL
HTTP — 평문 전송 (포트 80) 내 PC 브라우저 웹서버 포트 80 GET /login pw=1234 (평문) 🕵️ 중간 도청자 — 비밀번호까지 그대로 읽힘! HTTPS — TLS 암호화 (포트 443) 내 PC 브라우저 웹서버 포트 443 8F#@a9x…!2 (🔒 암호문) 🕵️ 중간 도청자 — 암호문만 보임, 내용 못 읽음 단, 상대 IP·접속 시점·접속 사이트 이름(SNI)은 여전히 보인다 → 2.2 참고
HTTP는 내용이 그대로 노출, HTTPS는 내용이 암호화 — 그러나 "누구와 통신하는지"까지 숨기진 못한다

2.2 TLS 핸드셰이크와 SNI

HTTPS는 본 통신을 시작하기 전에 TLS 핸드셰이크(악수)로 암호키를 먼저 맞춥니다. 이 과정의 맨 첫 메시지(ClientHello)에 SNI가 평문으로 들어간다는 점이 보안상 중요합니다.

TLS 핸드셰이크 — 암호화 통신이 시작되기까지 Client (브라우저) Server (www.google.com) ① ClientHello + SNI: www.google.com 🔓 SNI는 아직 평문 — "어떤 사이트에 접속하는지" 외부에 노출 ② ServerHello + 인증서(Certificate) ③ 키 교환(Key Exchange) → 공통 암호키 생성 ④ 이후 모든 데이터 🔒 암호화 — HTTP 내용·쿠키·비밀번호 전부 보호 SNI 덕분에 한 서버가 여러 사이트의 올바른 인증서를 골라 줄 수 있다
TLS 핸드셰이크 4단계 — ①의 SNI만 평문이고, ④부터는 전부 암호화된다
SNI (Server Name Indication) 란?

한 대의 서버(같은 IP)가 여러 웹사이트를 동시에 호스팅하는 일은 흔합니다. 이때 서버는 접속자가 www.google.com을 원하는지 mail.google.com을 원하는지 알아야 맞는 TLS 인증서를 내줄 수 있습니다. 그런데 인증서 교환은 암호화 이전에 일어나므로, 클라이언트가 접속할 도메인 이름을 ClientHello에 먼저 알려주는 것이 SNI입니다.

보안적 함의 — HTTPS로 내용은 가려져도, SNI에 적힌 도메인은 평문이라 통신사·방화벽·도청자가 "어떤 사이트에 접속하는지"는 알 수 있습니다. 회사 방화벽이 SNI를 보고 특정 사이트를 차단하는 것도 이 원리입니다. 이를 가리려는 기술이 ESNI / ECH (Encrypted Client Hello)로, SNI까지 암호화합니다.

2.3 프록시 (Proxy) — 대신 주고받는 중계자

프록시(Proxy, 대리)는 클라이언트와 서버 사이에 끼어들어 트래픽을 대신 주고받는 중계 서버입니다. 보안에서는 모든 외부 접속을 한 지점에 모아 검사·기록·차단하는 데 씁니다.

정방향 프록시(Forward Proxy) — 직원이 인터넷으로 나갈 때 직원 PC 192.168.0.10 프록시 서버 회사 출구·검사 지점 인터넷 사외망 웹서버 프록시 IP만 봄 여기서 URL 필터 · 접속 로깅 · 캐시 · 악성 차단 서버에는 프록시 IP만 보임 → 직원 PC 주소가 숨겨짐 ※ 역방향 프록시(Reverse Proxy) — 반대로 '서버 앞'에 서서 외부 요청을 받아 내부 서버로 분배 WAF·로드밸런싱·TLS 종료가 대표적. 우리 1.4의 WAF가 바로 역방향 프록시의 한 형태
프록시는 트래픽을 한 지점에 모아 검사·기록한다 (나갈 땐 정방향, 서버 보호엔 역방향)

2.4 VPN — 암호화 터널로 내부망에 들어가기

VPN (Virtual Private Network, 가상 사설망)은 공개된 인터넷 위에 암호화된 터널(Tunnel)을 뚫어, 외부에 있는 단말을 회사 내부망에 직접 연결된 것처럼 만들어 줍니다. 재택근무자가 사내 시스템에 접속하는 표준 방법입니다.

VPN — 인터넷 위에 암호화 터널을 뚫어 내부망 진입 🔒 암호화 터널(Encrypted Tunnel) — 인터넷 위를 지나감 재택 직원 PC 집·카페 VPN 게이트웨이 회사 입구 내부망 자원 🕵️ 인터넷 도청자 — 터널 속 내용·접속 자원 못 봄 IPsec VPN(L3) / SSL-VPN(L7) — 외부 단말을 내부망에 '직접 연결된 것처럼' 만든다 그래서 VPN 게이트웨이 자체가 핵심 방어 대상 — 강한 인증(MFA)·로그 감시 필수
VPN은 내용을 암호화할 뿐 아니라 "내부망 접속 권한"을 부여 — 그래서 인증이 생명

2.5 Proxy vs VPN — 무엇이 다른가

프록시 (Proxy)
  • 주로 특정 앱(브라우저)의 트래픽만 중계
  • 목적: 검사·필터·로깅·캐시
  • 암호화는 기본 아님 (HTTPS는 그대로 통과)
  • 주소를 가려 줌 (서버는 프록시 IP만 봄)
  • 대표: SWG, WAF(역방향)
VPN
  • 단말의 모든 트래픽을 터널로 감쌈
  • 목적: 암호화 + 내부망 접속 권한
  • 구간 전체를 암호화
  • 외부 단말을 내부망의 일원으로 편입
  • 대표: IPsec VPN, SSL-VPN
보안 담당자 관점 한 줄 정리
  • HTTP는 금지, HTTPS 기본 — 단 HTTPS도 SNI·IP는 노출되므로 "내용 보호 ≠ 완전 익명"
  • 프록시는 "나가는 트래픽을 검문"하는 도구 (1.3 Outbound와 연결)
  • VPN은 "외부에서 안전하게 들어오는" 통로 (1.4 Inbound의 합법적 입구) → 인증·MFA가 뚫리면 내부망이 통째로 노출되므로 가장 신경 써야 할 지점

3. 방화벽 (Firewall)

방화벽(Firewall)은 미리 정한 규칙(Rule)에 따라 트래픽을 허용하거나 차단하는 보안 장비(또는 소프트웨어)입니다. 1장에서 본 경계 보안의 가장 앞단 검문소이자, 거의 모든 보안의 출발점입니다. 이름 그대로 "불(공격)이 번지지 못하게 막는 벽"입니다.

3.1 방화벽이란? — 규칙 기반 검문소

한 줄 정의
방화벽은 "출발지·목적지·포트·내용"을 규칙과 대조해, 허용 목록에 맞으면 통과시키고 아니면 막는 장치입니다. 핵심 철학은 Default Deny(기본 차단)명시적으로 허용한 것 외에는 전부 막는다는 원칙입니다. 건물 입구에서 출입증을 확인하는 경비원에 비유할 수 있습니다.
방화벽이 보는 것 vs 못 보는 것
  • 본다 — 출발/도착 IP, 포트(서비스), 연결 방향(In/Out), (NGFW라면) 앱·URL·파일 내용
  • 기본적으로 못 막는다 — 이미 허용된 통로(예: 443)로 들어오는 공격. 그래서 IDS/IPS·WAF가 뒤에서 한 번 더 검사 (1.4의 다단계 방어 = 심층 방어)

3.2 규칙(Rule)은 어떻게 평가되나

방화벽 규칙은 위에서부터 차례대로(Top-Down) 검사되고, 처음 일치하는 규칙의 동작을 적용한 뒤 평가를 멈춥니다(First Match Wins). 어떤 규칙에도 안 맞으면 맨 아래 기본 차단(Default Deny) 규칙이 작동합니다.

📥 패킷 도착 — 규칙을 위에서부터 검사 규칙 1 사내 PC → 인터넷, 443(HTTPS)? ✅ 허용(Allow) — 통과 여기서 평가 끝 일치(Yes) 불일치 ↓ 규칙 2 인터넷 → 내부 서버, 22(SSH)? ⛔ 차단(Deny) — 폐기 여기서 평가 끝 일치(Yes) 규칙 3 출발 IP가 차단 목록에 있음? ⛔ 차단(Deny) — 폐기 여기서 평가 끝 일치(Yes) 규칙 4 (기본 정책) ⛔ 모두 차단 — Default Deny 처음 일치하는 규칙의 동작을 적용(First Match Wins) · 명시 허용 안 된 트래픽은 맨 아래에서 전부 차단
방화벽 규칙 평가 순서도 — 위에서부터 검사, 처음 일치한 규칙으로 결정, 끝까지 안 맞으면 기본 차단

위 순서도를 표로 적으면 실제 방화벽의 정책(Policy) 테이블과 같은 모습입니다.

순번출발지(Source)목적지(Dest)포트·서비스동작(Action)
1사내망인터넷443 (HTTPS)허용
2인터넷내부 서버22 (SSH)차단
3악성 IP 목록anyany차단
4anyanyany차단 (기본)
규칙 순서가 중요한 이유
First Match이므로 순서가 뒤바뀌면 의도와 다르게 동작합니다. 예를 들어 "모두 차단" 규칙이 맨 위로 올라가면 그 아래 허용 규칙은 영원히 도달하지 못합니다. 그래서 방화벽 정책은 구체적인 규칙을 위에, 포괄적인(any) 규칙을 아래에 두는 것이 원칙입니다.

3.3 방화벽 3세대 진화 — 무엇까지 들여다보나

방화벽은 "몇 번째 계층까지 검사하느냐"로 세대를 나눕니다. 위 계층까지 볼수록 똑똑하지만 느리고 비쌉니다. (1.2의 7계층 통제 그림과 함께 보면 좋습니다.)

OSI 계층 각 세대가 '보는' 범위 L7 Application (HTTP·DNS) L6 Presentation (TLS) L5 Session L4 Transport (TCP·포트) L3 Network (IP) L2 Data Link (MAC) L1 Physical 1·2세대 패킷필터 · 상태기반 L3·L4만 검사 3세대 NGFW L3~L7 전체 검사 (DPI 심층 분석) 2세대는 1세대 범위(L3·L4)에 'TCP 연결상태 추적'을 더한 것 — 먼저 보낸 요청의 응답만 허용
세대가 올라갈수록 더 위 계층까지 검사 — 똑똑해지지만 느리고 비싸진다
1세대 — 패킷 필터링 방화벽 (Packet Filter, L3~L4)
판단 기준: 출발/도착 IP · 포트 번호
예: "외부에서 들어오는 22번(SSH) 포트는 차단"
한계: 패킷 하나하나만 봄 — 이전 통신의 맥락(상태)을 모름
2세대 — 상태 기반 방화벽 (Stateful Firewall, L4)
판단 기준: TCP 연결 상태 추적 (SYN → ACK → ESTABLISHED)
예: "내가 먼저 보낸 요청의 응답은 허용, 외부에서 갑자기 들어온 패킷은 차단"
현황: 거의 모든 현대 라우터·공유기에 기본 내장
3세대 — 차세대 방화벽 (NGFW, Next-Generation Firewall, L3~L7)
판단 기준: 앱 종류 · URL · 파일 내용 · 사용자 ID
예: "유튜브는 차단, GitHub은 허용", "이 첨부 PDF에 악성코드 있음 → 차단"
핵심 기술: DPI(Deep Packet Inspection, 심층 패킷 검사) · 제품: Palo Alto, FortiGate 등

3.4 방화벽의 종류와 위치

방화벽은 어디에 놓이느냐에 따라서도 나뉩니다.

NETWORK
네트워크 방화벽
내부망과 사외망의 경계에 놓이는 전용 장비. 회사 전체 트래픽을 한 곳에서 통제. (1.4의 ② 경계 NGFW)
HOST
호스트 방화벽
개별 PC·서버 안에서 동작하는 소프트웨어. (예: Windows Defender 방화벽) 단말 단위 마지막 방어선.
UTM
통합 위협 관리
UTM(Unified Threat Management) — 방화벽·IPS·VPN·백신을 한 장비에 통합. 중소규모에서 흔함.
WAF
웹 방화벽
웹(L7) 전용 방화벽. SQL 인젝션·XSS 등 웹 공격만 집중 차단. 웹서버 바로 앞(역방향 프록시 형태).
한눈에 — 방화벽 ↔ IDS/IPS ↔ WAF
  • 방화벽 — "허용된 길만 연다" (IP·포트·앱 기준 통과/차단)
  • IDS/IPS — "열린 길로 들어온 공격 패턴을 탐지·차단" (1.4 ③)
  • WAF — "웹 요청 내용 속 공격을 차단" (1.4 ④, L7 전용)
  • 셋은 경쟁이 아니라 겹겹이 쌓는 관계 → 심층 방어(Defense in Depth)

3.5 용어 정리

용어 / 약자원어한 줄 뜻
Firewall규칙 기반으로 트래픽 허용/차단하는 보안 장비
Rule / Policy방화벽이 따르는 허용·차단 규칙(정책)
Default Deny명시 허용 외 전부 차단하는 기본 원칙
First Match위에서부터 검사해 처음 맞는 규칙으로 결정
StatefulStateful Inspection연결 상태를 추적하는 검사 방식(2세대)
DPIDeep Packet Inspection패킷 내용까지 깊이 들여다보는 심층 검사
NGFWNext-Generation FirewallL3~L7 통합 검사하는 차세대 방화벽
UTMUnified Threat Management여러 보안 기능을 한 장비에 통합
WAFWeb Application Firewall웹 공격 전용 방화벽(L7)
Ingress / Egress들어오는 / 나가는 트래픽 필터링