네트워크이론_02_네트워크 응용 이론

1. 네트워크 장치의 3가지 기본 구조

네트워크 장비가 트래픽을 처리하는 방식은 크게 세 가지로 분류할 수 있다. 각 구조는 트래픽을 제어하는지, 아니면 분석만 하는지에 따라 명확히 구분된다.

• 인라인 (Inline) 구조
  • 정의: 장비가 네트워크 트래픽 경로상에 직접 배치되어 모든 패킷이 장비를 반드시 통과하도록 하는 구조다.
  • 동작: L3/L4 수준에서 패킷을 실시간으로 검사하고 필터링한다.
  • 행동: 정책에 따라 허용(Bypass)하거나 차단(Drop)하는 등 실시간 제어가 가능하다.
  • 예시: 라우터, IPS(침입 방지 시스템), 방화벽, 웹 프록시가 여기에 해당한다.
• 아웃오브패스 (Out-of-Path) 구조
  • 정의: 트래픽 경로 외부에 설치되고, 스위치의 미러링(SPAN)이나 TAP 장비를 통해 원본 트래픽을 복제해서 받는 구조다.
  • 동작: 원본 트래픽에 영향을 주지 않으며, 복사본을 읽기만(Read only) 한다.
  • 행동: 트래픽을 분석(Sensing)하고 감시하는 것이 주 목적이다. 장애가 발생해도 원본 네트워크는 안전하다.
  • 예시: IDS(침입 탐지 시스템), 네트워크 패킷 분석기 등이 있다.
• 프록시 (Proxy) 구조
  • 정의: 클라이언트와 서버 사이에서 요청과 응답을 대신 처리해주는 중개 서버 역할을 한다.
  • 동작: 인라인과 같이 경로상에 위치하지만, 패킷 수준이 아닌 L7의 소켓 스트림(Socket stream) 수준에서 데이터를 분석한다.
  • 행동: 단순 필터링뿐만 아니라 캐싱(Caching)이나 데이터 내용 변경 등 더 복잡한 제어가 가능하다.
  • 예시: 포워드 프록시(웹 필터링), 리버스 프록시(로드 밸런싱)가 있다.

2. NAT 기술 기반 공유기 작동 원리

공유기의 핵심 작동 원리는 NAT(Network Address Translation) 기술이다. 이는 하나의 공인 IP 주소를 여러 대의 내부 장치가 나눠 쓸 수 있게 해준다.

• 기본 개념: 공유기는 통신사로부터 공인 IP(Public IP) 1개를 할당받고, 공유기에 연결된 내부 장치들(PC, 스마트폰)에게는 사설 IP(Private IP)(예: 192.168.x.x)를 DHCP 기능을 통해 자동으로 분배한다.
• 작동 과정:
  • Outbound (나갈 때): 내부 PC(192.168.0.10)가 외부(google.com)로 접속을 요청하면, 공유기는 패킷의 출발지 주소를 '사설 IP'에서 '공인 IP'로 변환(NAT)하고, 이 변환 기록을 NAT 테이블에 저장한다.
  • Inbound (들어올 때): google.com이 '공인 IP'로 응답을 보내면, 공유기는 NAT 테이블을 조회하여 이 응답이 원래 192.168.0.10의 요청이었음을 확인하고, 목적지 주소를 다시 '사설 IP'로 변환하여 정확히 전달한다.
• 주요 기능 및 설정:
  • 보안: 이 구조 덕분에 외부에서 내부 장치로 먼저 연결을 시도하는 것이 기본적으로 차단된다.
  • NAT 방식: 공유기가 포트를 매핑하는 방식(예: Full Cone, Symmetric NAT)에 따라 P2P 연결(게임, 화상회의)의 성공 여부가 달라진다.
  • 포트 포워딩: 외부에서 특정 포트(예: 8080)로 들어오는 요청을 지정된 내부 PC(예: 192.168.0.10:80)로 강제 연결해주는 수동 설정이다. 내부에서 서버를 운영할 때 필수다.
  • UPnP: 포트 포워딩 설정을 P2P 프로그램(예: 게임)이 공유기에 자동으로 요청하여 설정하는 편리한 기술이다.

3. 부하분산 장치의 원리

부하분산(Load Balancing)은 수많은 사용자 요청을 서버 1대가 아닌 여러 대의 서버로 효율적으로 나누어 처리하는 기술이다.

• L4 부하분산 (Local Load Balancing)
  • 개념: 같은 데이터센터 내부에 있는 여러 서버로 트래픽을 분산시킨다.
  • 원리: L4 스위치(로드밸런서)가 대표 IP(가상 IP)로 모든 요청을 받은 뒤, L4 정보(IP, 포트)를 기준으로 가장 한가한 실제 서버(Real Server)로 요청을 중개한다.
  • 무정지(HA): 로드밸런서 장비 자체도 Active-Standby로 이중화(HA)하여, Active 장비 장애 시 Standby 장비가 즉시 서비스를 이어받아(Failover) 중단 없는 서비스를 제공한다.
• GSLB (Global Server Load Balancing)
  • 개념: 서울, 부산 등 지리적으로 분산된 여러 데이터센터 간의 트래픽을 분산시킨다.
  • 원리: "사용자에게 가장 가깝거나 빠른 서버로 접속하도록 유도"하는 방식이다.
  • 동작: 주로 DNS를 이용한다. 사용자가 DNS 질의를 보내면, GSLB가 사용자의 위치(Geo-IP)나 서버까지의 지연 시간(RTT)을 측정하여 가장 최적의 서버 IP를 응답해 준다.

4. VPN 구조와 원리

VPN(Virtual Private Network)은 인터넷(공용망)을 사용하지만, 암호화를 통해 마치 전용선(사설망)처럼 안전하게 데이터를 주고받는 '가상 사설망' 기술이다.

• 존재 이유: 외부에서 접근이 불가능한 내부 사설망(PN)에 원격지(예: 재택)에서 안전하게 접속하기 위해 사용된다.
• 핵심 원리 (터널링):
  • 데이터를 목적지까지 그냥 보내는 것이 아니라, 암호화한 뒤 새로운 패킷으로 다시 포장(캡슐화)해서 보내는 기술이다.
  • 예를 들어, 재택근무자가 회사 내부 서버로 보내는 원본 패킷을 통째로 암호화한다.
  • 이 암호화된 덩어리를 새로운 패킷에 넣어, 출발지는 재택 PC(공인 IP), 목적지는 회사 VPN 장비(공인 IP)로 설정해 인터넷으로 전송한다.
  • 회사 VPN 장비는 이 패킷을 받아 암호화를 풀고(복호화), 원본 패킷을 내부망으로 전달하여 "마치 내부 네트워크에 직접 연결된 것처럼 동작"하게 만든다.
• 주요 종류:
  • SSL VPN: L7(응용 계층)에서 동작하며, 주로 HTTPS(443 포트)를 사용해 방화벽에 잘 막히지 않는다. 재택근무자가 웹 브라우저나 간단한 클라이언트로 접속할 때 많이 사용된다.
  • IPSec VPN: L3(네트워크 계층)에서 동작하며, 더 강력한 보안(암호화, 인증, 무결성)을 제공한다. 주로 본사와 지사 간 네트워크 전체를 연결하는 Site-to-Site 방식에 사용된다.

5. 주요 네트워크 보안 장치의 특징

다양한 네트워크 보안 장치들은 각기 다른 역할과 위치에서 다계층 방어를 수행한다. (구조적 특징: PC로 들어오고 나가는 트래픽을 제어(예: ICMP 차단)한다.)

• PC 방화벽 (Host-based Firewall):
  • 위치/역할: PC(호스트) 자체에 설치되는 소프트웨어다.
  • 특징: PC로 들어오고 나가는 트래픽을 포트/프로그램 단위로 제어한다. (예: 윈도우 디펜더 방화벽)
• NAC (Network Access Control):
  • 위치/역할: 네트워크의 입구 (게이트웨이/스위치단)에 위치한다.
  • 특징: '인가받지 않은 장치'의 접속을 막는다. 네트워크에 접속하려는 장치의 보안 상태(백신 설치 여부, OS 패치 여부 등)를 검사하고, 기준 미달 시 접속을 차단하거나 격리 조치한다.
• IPS (Intrusion Prevention System):
  • 위치/역할: 인라인(Inline) 구조로 네트워크 경로상에 위치한다.
  • 특징: 알려진 공격 패턴(시그니처)이나 비정상 행위를 실시간으로 탐지하고 즉시 차단(Prevention)한다.
• NIDS (Network Intrusion Detection System):
  • 위치/역할: 아웃오브패스(Out-of-Path) 구조로 트래픽을 복제하여 감시한다.
  • 특징: 공격을 탐지(Detection)해서 경고(Alert)만 보낸다. 차단은 못 하지만, 원본 트래픽에 영향을 주지 않고 분석(포렌식)용으로 사용된다.
• UTM (Unified Threat Management):
  • 위치/역할: 인라인 구조로 동작하는 올인원(All-in-one) 솔루션이다.
  • 특징: 방화벽 + IPS + VPN + 안티바이러스 + 웹 필터링 등 여러 보안 기능을 한 장비에 통합한 장비다. 주로 중소기업에서 비용 효율적으로 사용한다.
• 망분리 / 망연계:
  • 망분리: 업무망(내부망)과 인터넷망(외부망)을 물리적/논리적으로 완전히 분리하여, 외부 해킹이 내부로 들어올 경로를 원천 차단하는 가장 강력한 보안 방식이다.
  • 망연계: 망분리된 두 망 사이에서 안전하게 자료를 주고받을 수 있도록(예: 외부 패치 파일, 메일 전송) 중간에서 중개해주는 솔루션이다.