피버팅과터널링_02_네트워크기초와점프호스트

1. 개요

피버팅과 터널링을 이해하기 위해서는 먼저 네트워크 환경과 이를 연결하는 매개체에 대한 이해가 필요하다.
실무 환경(Segmented Network)에서 공격자가 어떻게 망과 망 사이를 이동하는지, 그 핵심 요소인 NIC와 점프 호스트(Jump Host)의 개념을 알아보자.

2. 네트워크 인터페이스 컨트롤러(NIC)

NIC (Network Interface Controller), 일명 랜카드나 네트워크 어댑터는 호스트가 네트워크에 연결되기 위한 하드웨어 장치다.

• 물리적 NIC: PC나 노트북에 내장된 이더넷 포트, Wi-Fi 어댑터.
• 가상 NIC:
  • 가상 머신(VMware, VirtualBox) 어댑터.
  • VPN 어댑터 (예: WireGuard, OpenVPN): 터널링 인터페이스(tun/tap)로 동작하며, 물리적 위치와 상관없이 논리적인 사설망 연결을 제공한다.

2.1 NIC 정보 확인

리눅스/유닉스 환경에서는 ifconfig 또는 ip a 명령어로 확인 가능하다.

$ ifconfig
# wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> ... (Wi-Fi)
# wg0: flags=209<UP,POINTOPOINT,RUNNING,NOARP> ... (WireGuard VPN)

• 위 예시는 하나의 시스템에 두 개의 NIC가 존재함을 보여준다. 즉, 이 호스트는 서로 다른 두 네트워크(Wi-Fi망, VPN망)에 동시에 접근 가능하다.

3. 네트워크 토폴로지(Topology)

3.1 플랫 네트워크(Flat Network)

• 개념: 모든 호스트가 단일 네트워크 대역에 존재하거나, 별다른 제약 없이 서로 통신 가능한 구조.
• 특징: 망 분리가 없으므로 피버팅이 필요 없다. (A에서 B로 직접 접속 가능).
• 현황: 보안상 매우 취약하여 현대 기업 망에서는 찾아보기 힘들다.

3.2 망 분리 네트워크(Segmented Network)

• 개념: 보안 수준과 목적에 따라 네트워크를 논리적/물리적으로 분리한 구조.
  • 예: IT Network (사무망) <-> PCI Network (카드결제망) <-> OT Network (운영시설망).
• 특징: A망에서 B망으로 직접 접근이 불가능하다. 반드시 특정 매개체를 거쳐야만 이동할 수 있다.
• PNT 필요성: 공격자는 최초 침투한망(DMZ 등)에서 더 깊이 들어가기 위해 피버팅 기술을 사용해야 한다.

4. 점프 호스트(Jump Host)와 피버팅

4.1 점프 호스트(Jump Host)

• 정의: 서로 다른 두 개의 네트워크에 동시에 연결된(Dual-homed) 호스트.
• 역할: 두 네트워크 사이의 자리를 놓아주며, 통신을 중계하는 중간 매개체(Intermediary).
• 구조: NIC1은 Network A에, NIC2는 Network B에 연결되어 있다.

4.2 피버팅(Pivoting)의 작동 원리

피버팅은 "침입자가 방(네트워크)에서 방으로 건너가는 행위"다. 문이 잠겨(방화벽) 있다면 다른 방법을 써야 한다.

1. 단일 피버팅: 공격자 -> 점프 호스트(DMZ) -> 타겟(IT망).
2. 다중 피버팅 (Multi-Stage):
   • 공격자 -> 피벗A(DMZ) -> 피벗B(IT) -> 피벗C(Dev) -> 타겟(Mgmt).
   • 여러 개의 점프 호스트를 징검다리처럼 건너뛰며 깊숙한 내부망(Deep Internal)까지 침투하는 시나리오.

4.3 결론

망 분리 환경에서 점프 호스트는 공격자에게 유일한 통로가 된다.
공격자는 이 점프 호스트를 장악하고, 이곳을 거점(Pivot Point)으로 삼아 NIC를 경유하여 다음 네트워크로 공격 범위를 확장해 나간다. 이것이 피버팅의 전부다.