주요 프로토콜 보안
네트워크 계층 구조 위에서 실제로 사용되는 주요 프로토콜을 정리합니다.
네트워크 계층 구조 위에서 실제로 사용되는 주요 프로토콜을 정리합니다.
OSI 7계층
TCP/IP 4계층
IP 주소
MAC 주소
ARP
TCP / UDP
포트 번호
스위치
라우터핵심은 다음과 같습니다.
프로토콜의 역할을 알고,
그 프로토콜이 어떤 보안 취약점과 연결되는지 알고,
안전한 대체 수단이나 대응책을 설명할 수 있어야 한다.학습 목표
이번 절의 학습 후 다음 질문에 답할 수 있어야 한다.
| 질문 | 목표 |
|---|---|
| ARP는 무엇인가? | IP 주소를 MAC 주소로 변환하는 프로토콜이라고 설명 |
| ICMP는 무엇인가? | 네트워크 진단에 사용되며 ping과 관련 있다고 설명 |
| DNS는 무엇인가? | 도메인 이름을 IP 주소로 변환한다고 설명 |
| DHCP는 무엇인가? | IP 주소를 자동 할당하는 프로토콜이라고 설명 |
| HTTP와 HTTPS 차이는? | 암호화 여부와 포트 차이를 설명 |
| FTP와 SFTP/FTPS 차이는? | 평문 전송과 암호화 전송 차이를 설명 |
| Telnet과 SSH 차이는? | 평문 원격 접속과 암호화 원격 접속 차이를 설명 |
| SMTP, POP3, IMAP은 무엇인가? | 메일 송신·수신 프로토콜을 구분 |
| SNMP는 무엇인가? | 네트워크 장비 관리 프로토콜이라고 설명 |
| 프로토콜별 보안 위험은? | 스푸핑, 도청, 변조, 평문 노출, 인증 취약점을 연결 |
학습할 프로토콜 전체 지도
이번 절에서 다룰 프로토콜은 다음과 같습니다.
| 프로토콜 | 기본 역할 | 대표 보안 이슈 |
|---|---|---|
| ARP | IP를 MAC으로 변환 | ARP Spoofing |
| ICMP | 네트워크 진단 | ICMP Flood, Ping Scan |
| DNS | 도메인을 IP로 변환 | DNS Spoofing, Cache Poisoning |
| DHCP | IP 주소 자동 할당 | Rogue DHCP, DHCP Starvation |
| HTTP | 웹 통신 | 평문 전송, 세션 탈취 |
| HTTPS | 암호화된 웹 통신 | 인증서 검증 필요 |
| FTP | 파일 전송 | 계정·데이터 평문 노출 |
| SSH | 암호화 원격 접속 | 무차별 대입 공격 대상 |
| Telnet | 평문 원격 접속 | 계정 정보 도청 위험 |
| SMTP | 메일 송신 | 스팸, 피싱, 릴레이 악용 |
| POP3 | 메일 수신 | 평문 인증 위험 |
| IMAP | 메일 수신·동기화 | 평문 인증 위험 |
| SNMP | 장비 상태 관리 | 기본 community string 노출 |
| NTP | 시간 동기화 | 시간 위조, 증폭 공격 |
포트 번호 먼저 정리
정보보안기사에서 포트 번호는 자주 나옵니다.
이번 절의 프로토콜을 배우기 전에 주요 포트 번호를 먼저 표로 정리한다.
| 포트 | 프로토콜 | 설명 |
|---|---|---|
| 20, 21 | FTP | 파일 전송 |
| 22 | SSH | 암호화된 원격 접속 |
| 23 | Telnet | 평문 원격 접속 |
| 25 | SMTP | 메일 송신 |
| 53 | DNS | 도메인 이름 변환 |
| 67, 68 | DHCP | IP 주소 자동 할당 |
| 80 | HTTP | 웹 통신 |
| 110 | POP3 | 메일 수신 |
| 123 | NTP | 시간 동기화 |
| 143 | IMAP | 메일 수신·동기화 |
| 161, 162 | SNMP | 네트워크 장비 관리 |
| 443 | HTTPS | 암호화된 웹 통신 |
| 465, 587 | SMTPS / Submission | 보안 메일 송신에서 사용 |
| 993 | IMAPS | 암호화된 IMAP |
| 995 | POP3S | 암호화된 POP3 |
우선 필수 암기 포트는 아래입니다.
20, 21 FTP
22 SSH
23 Telnet
25 SMTP
53 DNS
67, 68 DHCP
80 HTTP
110 POP3
143 IMAP
443 HTTPS
161, 162 SNMPARP
ARP의 역할
ARP는 Address Resolution Protocol입니다.
역할은 다음입니다.
IP 주소를 MAC 주소로 변환한다.같은 네트워크 안에서 실제로 데이터를 보내려면 MAC 주소가 필요합니다.
그런데 사용자는 보통 IP 주소만 알고 있습니다.
그래서 ARP가 이렇게 묻습니다.
192.168.0.10 쓰는 장비 누구야?
MAC 주소 알려줘.해당 장비가 대답합니다.
내가 192.168.0.10이야.
내 MAC 주소는 AA:BB:CC:DD:EE:FF야.시험식 표현은 다음입니다.
ARP는 동일 네트워크에서 IP 주소에 대응하는 MAC 주소를 알아내기 위한 프로토콜이다.ARP의 보안 문제
ARP는 기본적으로 응답을 신뢰하는 구조입니다.
즉, 누가 거짓으로 응답해도 검증이 약합니다.
이 특성을 악용한 공격이 ARP Spoofing입니다.
ARP Spoofing = 거짓 ARP 정보를 보내 MAC 주소 매핑을 속이는 공격예를 들어 공격자가 이렇게 속입니다.
게이트웨이 IP는 내 MAC 주소야.그러면 피해자의 트래픽이 공격자에게 흘러갈 수 있습니다.
ARP Spoofing의 위험
| 위험 | 설명 |
|---|---|
| 스니핑 | 통신 내용을 몰래 훔쳐봄 |
| 중간자 공격 | 통신 중간에서 데이터를 가로채거나 변조 |
| 세션 탈취 | 로그인 세션 쿠키 탈취 가능 |
| 트래픽 우회 | 정상 게이트웨이가 아닌 공격자 경유 |
실기형 답안은 이렇게 쓰면 됩니다.
ARP Spoofing은 거짓 ARP 응답을 보내 IP 주소와 MAC 주소의 매핑 정보를 조작하는 공격이다. 이를 통해 피해자의 트래픽을 공격자에게 유도하여 스니핑, 중간자 공격, 세션 탈취 등이 발생할 수 있다.ARP Spoofing 대응책
| 대응책 | 설명 |
|---|---|
| 정적 ARP 설정 | 중요 장비의 IP-MAC 매핑을 고정 |
| ARP 감시 도구 | 비정상 ARP 변경 탐지 |
| 스위치 보안 기능 | Dynamic ARP Inspection 등 사용 |
| 네트워크 분리 | 공격 확산 범위 축소 |
| 암호화 통신 | HTTPS, SSH 등으로 도청 피해 감소 |
시험에서는 이렇게 정리해야 합니다.
ARP Spoofing 대응 방안으로는 정적 ARP 설정, ARP 변조 탐지, 스위치의 보안 기능 적용, 네트워크 분리, 암호화 통신 사용 등이 있다.ICMP
ICMP의 역할
ICMP는 Internet Control Message Protocol입니다.
역할은 다음입니다.
네트워크 상태 진단과 오류 메시지 전달가장 익숙한 예시는 ping입니다.
ping 8.8.8.8ping은 상대 장비가 응답하는지 확인할 때 사용합니다.
시험식 표현은 다음입니다.
ICMP는 IP 네트워크에서 오류 메시지 전달과 네트워크 진단에 사용되는 프로토콜이다.ICMP의 보안 이슈
ICMP는 정상적으로는 유용하지만 공격에도 악용됩니다.
| 공격·이슈 | 설명 |
|---|---|
| Ping Scan | 살아 있는 호스트 탐색 |
| ICMP Flood | ICMP 패킷을 대량 전송해 자원 소모 |
| Smurf Attack | 브로드캐스트와 IP 위조를 이용한 증폭 공격 |
| 정보 수집 | 네트워크 구조 파악에 사용 가능 |
ICMP 대응책
ICMP를 무조건 차단하면 장애 분석이 어려울 수 있습니다.
따라서 필요한 범위만 허용해야 합니다.
| 대응책 | 설명 |
|---|---|
| 불필요한 ICMP 차단 | 외부에서 내부로의 ICMP 제한 |
| Rate Limiting | ICMP 요청량 제한 |
| 브로드캐스트 응답 차단 | Smurf 공격 방지 |
| 방화벽 정책 적용 | 필요한 ICMP 타입만 허용 |
| 모니터링 | ICMP 트래픽 급증 감시 |
ICMP는 네트워크 진단에 필요한 프로토콜이지만 Ping Scan, ICMP Flood, Smurf 공격 등에 악용될 수 있다. 대응 방안으로는 불필요한 ICMP 차단, 요청량 제한, 브로드캐스트 응답 차단, 방화벽 정책 적용, 트래픽 모니터링 등이 있다.DNS
DNS의 역할
DNS는 Domain Name System입니다.
역할은 다음입니다.
도메인 이름을 IP 주소로 변환한다.사람은 도메인을 기억하기 쉽습니다.
example.com하지만 컴퓨터는 IP 주소로 통신합니다.
93.184.216.34그래서 DNS가 필요합니다.
DNS는 사용자가 입력한 도메인 이름을 해당 서버의 IP 주소로 변환해주는 시스템이다.DNS 동작 흐름
사용자가 웹사이트에 접속하면 대략 이런 흐름이 발생합니다.
1. 사용자가 브라우저에 도메인 입력
2. PC가 DNS 서버에 IP 주소 질의
3. DNS 서버가 IP 주소 응답
4. PC가 해당 IP 주소로 접속www.example.com의 IP 주소가 뭐야?
→ 203.0.113.10이야.DNS는 보통 53번 포트를 사용합니다.
DNS = 53번 포트일반 질의는 UDP 53을 많이 사용하고, 큰 응답이나 영역 전송 등에서는 TCP 53도 사용될 수 있습니다.
DNS의 보안 이슈
DNS는 매우 중요합니다.
DNS가 조작되면 사용자는 정상 주소를 입력해도 공격자 사이트로 이동할 수 있습니다.
대표 공격은 다음입니다.
| 공격 | 설명 |
|---|---|
| DNS Spoofing | DNS 응답을 속여 잘못된 IP로 유도 |
| DNS Cache Poisoning | DNS 캐시에 잘못된 정보를 저장 |
| Pharming | 정상 도메인 입력 시 가짜 사이트로 유도 |
| DNS Tunneling | DNS 질의를 이용해 데이터 은닉 전송 |
| Zone Transfer 노출 | 도메인 구조 정보 유출 가능 |
DNS Spoofing과 Cache Poisoning
DNS Spoofing
DNS 응답을 위조하여 사용자를 공격자 IP로 유도하는 공격DNS Cache Poisoning
DNS 서버의 캐시에 위조된 DNS 정보를 저장시켜 다수 사용자를 잘못된 IP로 유도하는 공격둘 다 결과적으로 사용자를 가짜 사이트로 유도할 수 있습니다.
DNS Spoofing은 DNS 응답을 위조하여 사용자가 정상 도메인을 입력해도 공격자가 지정한 IP 주소로 접속하게 만드는 공격이다. DNS Cache Poisoning은 DNS 서버의 캐시에 위조된 정보를 저장시켜 다수 사용자를 가짜 사이트로 유도할 수 있다.DNS 보안 대책
| 대응책 | 설명 |
|---|---|
| DNSSEC | DNS 응답의 무결성과 출처 검증 |
| 신뢰할 수 있는 DNS 사용 | 임의 DNS 사용 제한 |
| 캐시 관리 | 비정상 캐시 정보 점검 |
| Zone Transfer 제한 | 허가된 서버만 영역 전송 허용 |
| DNS 질의 모니터링 | 비정상 질의 탐지 |
| HTTPS 사용 | 가짜 사이트 접속 시 인증서 오류 확인 가능 |
DNS 보안을 위해 DNSSEC을 적용하여 응답 무결성을 검증하고, Zone Transfer를 제한하며, DNS 캐시와 비정상 질의를 모니터링해야 한다.DHCP
DHCP의 역할
DHCP는 Dynamic Host Configuration Protocol입니다.
역할은 다음입니다.
네트워크 장비에 IP 주소와 네트워크 설정을 자동으로 할당한다.DHCP가 없으면 사용자가 직접 설정해야 합니다.
IP 주소
서브넷 마스크
게이트웨이
DNS 서버DHCP를 사용하면 자동으로 할당받습니다.
DHCP는 클라이언트에게 IP 주소, 서브넷 마스크, 기본 게이트웨이, DNS 서버 등의 네트워크 설정을 자동으로 할당하는 프로토콜이다.DHCP 포트
DHCP는 UDP를 사용합니다.
| 구분 | 포트 |
|---|---|
| DHCP 서버 | UDP 67 |
| DHCP 클라이언트 | UDP 68 |
DHCP = 67, 68DHCP DORA 과정
DHCP의 기본 흐름은 DORA로 외웁니다.
Discover
Offer
Request
Ack| 단계 | 의미 |
|---|---|
| Discover | 클라이언트가 DHCP 서버를 찾음 |
| Offer | DHCP 서버가 IP 주소를 제안 |
| Request | 클라이언트가 해당 IP 사용 요청 |
| Ack | DHCP 서버가 할당 승인 |
DORA = Discover → Offer → Request → AckDHCP 보안 이슈
| 공격 | 설명 |
|---|---|
| Rogue DHCP | 공격자가 가짜 DHCP 서버를 운영 |
| DHCP Starvation | IP 주소를 대량 요청해 DHCP 주소 풀 고갈 |
| 잘못된 게이트웨이 할당 | 트래픽을 공격자에게 유도 |
| 잘못된 DNS 할당 | 사용자를 가짜 사이트로 유도 |
Rogue DHCP
공격자가 가짜 DHCP 서버를 세워 클라이언트에게 잘못된 네트워크 정보를 줍니다.
게이트웨이 = 공격자 IP
DNS 서버 = 공격자 DNS그러면 사용자의 트래픽이 공격자에게 유도될 수 있습니다.
DHCP 보안 대책
| 대응책 | 설명 |
|---|---|
| DHCP Snooping | 신뢰된 포트의 DHCP 응답만 허용 |
| 포트 보안 | 비정상 단말 연결 제한 |
| IP-MAC 바인딩 | 할당 정보 기반 검증 |
| 네트워크 접근제어 | 허가된 장비만 접속 |
| DHCP 로그 모니터링 | 대량 요청, 비정상 서버 탐지 |
DHCP는 IP 주소와 네트워크 설정을 자동 할당하는 프로토콜이지만, 가짜 DHCP 서버나 DHCP Starvation 공격에 악용될 수 있다. 대응 방안으로는 DHCP Snooping, 포트 보안, IP-MAC 바인딩, 허가되지 않은 장비 차단, DHCP 로그 모니터링 등이 있다.HTTP와 HTTPS
HTTP
HTTP는 HyperText Transfer Protocol입니다.
역할은 다음입니다.
웹 브라우저와 웹 서버가 요청과 응답을 주고받기 위한 프로토콜HTTP = 80HTTP의 문제는 기본적으로 암호화되지 않는다는 점입니다.
아이디, 비밀번호, 쿠키, 개인정보가 평문으로 노출될 수 있다.HTTPS
HTTPS는 HTTP에 보안 기능을 추가한 것입니다.
HTTPS = HTTP + TLS 암호화HTTPS = 443HTTPS는 다음을 제공합니다.
| 보안 효과 | 설명 |
|---|---|
| 기밀성 | 통신 내용 암호화 |
| 무결성 | 전송 중 변조 탐지 |
| 서버 인증 | 인증서를 통해 서버 신원 확인 |
HTTPS는 TLS를 이용하여 HTTP 통신을 암호화함으로써 도청과 변조를 방지하고, 인증서를 통해 서버 신원을 확인할 수 있게 한다.HTTP와 HTTPS 비교
| 구분 | HTTP | HTTPS |
|---|---|---|
| 포트 | 80 | 443 |
| 암호화 | 없음 | 있음 |
| 보안성 | 낮음 | 높음 |
| 위험 | 도청, 변조, 쿠키 탈취 | 인증서 검증 필요 |
| 사용 | 일반 웹 | 로그인, 결제, 개인정보 처리 |
HTTP는 웹 요청과 응답을 평문으로 전송하므로 도청과 변조에 취약하다. HTTPS는 TLS를 이용해 통신을 암호화하고 서버 인증서를 검증하므로 로그인 정보, 개인정보, 결제 정보 보호에 적합하다.FTP, SFTP, FTPS
FTP
FTP는 File Transfer Protocol입니다.
역할은 다음입니다.
파일을 전송하기 위한 프로토콜FTP = 20, 21FTP는 제어 연결과 데이터 연결을 구분합니다.
| 포트 | 용도 |
|---|---|
| 21 | 제어 명령 |
| 20 | 데이터 전송, Active Mode 기준 |
FTP의 보안 문제는 일반적으로 계정과 데이터가 평문으로 전송될 수 있다는 점입니다.
FTP = 평문 전송 위험SFTP
SFTP는 SSH File Transfer Protocol입니다.
SFTP = SSH 기반 암호화 파일 전송기본적으로 SSH와 같은 22번 포트를 사용합니다.
SFTP = 22FTPS
FTPS는 FTP에 TLS를 적용한 방식입니다.
FTPS = FTP + TLSSFTP와 FTPS는 이름이 비슷하지만 다릅니다.
| 구분 | SFTP | FTPS |
|---|---|---|
| 기반 | SSH | FTP + TLS |
| 일반 포트 | 22 | 990 또는 명시적 TLS 구성 |
| 목적 | 암호화 파일 전송 | 암호화 파일 전송 |
시험에서는 깊은 포트보다 차이를 묻는 경우가 많습니다.
SFTP는 SSH 기반이고, FTPS는 FTP에 TLS를 적용한 방식이다.FTP 보안 대책
| 대책 | 설명 |
|---|---|
| SFTP 또는 FTPS 사용 | 계정과 데이터 암호화 |
| 익명 FTP 제한 | anonymous 접근 금지 |
| 접근 IP 제한 | 허가된 IP만 접속 |
| 강력한 인증 | 패스워드 정책, 키 기반 인증 |
| 업로드 파일 검사 | 악성 파일 업로드 방지 |
| 로그 점검 | 비정상 파일 전송 확인 |
FTP는 계정 정보와 전송 데이터가 평문으로 노출될 수 있어 도청에 취약하다. 따라서 SFTP나 FTPS와 같은 암호화된 파일 전송 방식을 사용하고, 익명 접속 제한, 접근 IP 제한, 강력한 인증, 전송 로그 점검을 수행해야 한다.Telnet과 SSH
Telnet
Telnet은 원격 접속 프로토콜입니다.
Telnet = 23가장 큰 문제는 평문 통신입니다.
아이디와 비밀번호가 암호화되지 않은 채 전송될 수 있다.따라서 보안상 사용을 제한해야 합니다.
SSH
SSH는 Secure Shell입니다.
SSH = 22SSH는 암호화된 원격 접속을 제공합니다.
| 구분 | Telnet | SSH |
|---|---|---|
| 포트 | 23 | 22 |
| 암호화 | 없음 | 있음 |
| 보안성 | 낮음 | 높음 |
| 사용 권장 | 제한 | 권장 |
| 위험 | 계정 정보 도청 | 무차별 대입 공격 대상 가능 |
SSH 보안 대책
SSH가 Telnet보다 안전하다고 해서 무조건 안전한 것은 아닙니다.
SSH도 외부에 노출되면 무차별 대입 공격 대상이 될 수 있습니다.
| 대책 | 설명 |
|---|---|
| root 직접 로그인 제한 | 최고 권한 계정 보호 |
| 패스워드 대신 키 기반 인증 | 인증 강화 |
| 접근 IP 제한 | 허가된 관리자 IP만 접속 |
| 포트 접근 제어 | 방화벽 정책 적용 |
| 로그인 실패 제한 | 무차별 대입 공격 방지 |
| MFA 적용 | 추가 인증 |
| 로그 모니터링 | 비정상 로그인 탐지 |
Telnet은 평문으로 원격 접속 정보를 전송하므로 계정 정보 도청 위험이 있다. SSH는 암호화된 원격 접속을 제공하므로 Telnet 대신 사용해야 하며, root 직접 로그인 제한, 키 기반 인증, 접근 IP 제한, 로그인 실패 제한, 로그 모니터링을 적용해야 한다.SMTP, POP3, IMAP
메일 프로토콜은 송신과 수신을 구분해야 합니다.
| 프로토콜 | 역할 | 포트 |
|---|---|---|
| SMTP | 메일 송신 | 25 |
| POP3 | 메일 수신 | 110 |
| IMAP | 메일 수신·서버 보관·동기화 | 143 |
| SMTPS / Submission | 보안 메일 송신 | 465 / 587 |
| POP3S | 암호화된 POP3 | 995 |
| IMAPS | 암호화된 IMAP | 993 |
SMTP
SMTP는 메일을 보내는 프로토콜입니다.
SMTP = 메일 송신보안 이슈는 다음입니다.
| 이슈 | 설명 |
|---|---|
| 스팸 발송 | 대량 광고·악성 메일 발송 |
| 오픈 릴레이 | 인증 없이 타인의 메일 발송에 악용 |
| 피싱 | 가짜 발신자로 사용자를 속임 |
| 악성 첨부파일 | 악성코드 유포 |
POP3
POP3는 메일을 수신하는 프로토콜입니다.
POP3 = 메일 수신일반적으로 메일을 클라이언트로 내려받는 방식에 가깝습니다.
IMAP
IMAP도 메일 수신 프로토콜입니다.
하지만 서버에 메일을 보관하고 여러 장치에서 동기화하기에 적합합니다.
IMAP = 서버 보관 + 동기화 중심 메일 수신메일 보안 대책
| 대책 | 설명 |
|---|---|
| SMTP 인증 | 인증된 사용자만 메일 발송 |
| TLS 적용 | 메일 송수신 구간 암호화 |
| SPF | 허용된 발신 서버 검증 |
| DKIM | 메일 서명으로 위변조 검증 |
| DMARC | SPF, DKIM 기반 정책 적용 |
| 스팸 필터 | 악성·스팸 메일 차단 |
| 첨부파일 검사 | 악성코드 탐지 |
| 사용자 교육 | 피싱 메일 대응 |
SMTP는 메일 송신, POP3와 IMAP은 메일 수신에 사용되는 프로토콜이다. 메일 보안을 위해 SMTP 인증, TLS 암호화, SPF·DKIM·DMARC 적용, 스팸 필터링, 악성 첨부파일 검사, 사용자 피싱 교육을 수행해야 한다.SNMP
SNMP의 역할
SNMP는 Simple Network Management Protocol입니다.
역할은 다음입니다.
네트워크 장비와 서버의 상태를 관리하고 모니터링하는 프로토콜예를 들어 다음 정보를 확인할 수 있습니다.
장비 상태
CPU 사용률
메모리 사용률
인터페이스 트래픽
장애 이벤트
장비 설정 정보SNMP = 161, 162| 포트 | 용도 |
|---|---|
| 161 | SNMP 질의 |
| 162 | SNMP Trap |
SNMP 보안 이슈
SNMP에서 중요한 것은 community string입니다.
community string은 일종의 인증 문자열입니다.
기본값으로 자주 알려진 것은 다음입니다.
public
private이 기본값을 그대로 두면 위험합니다.
| 위험 | 설명 |
|---|---|
| 장비 정보 노출 | 네트워크 구성 정보 유출 |
| 설정 변경 | 쓰기 권한이 있으면 장비 설정 변경 가능 |
| 기본 community string | public/private 악용 |
| 평문 전송 | 구버전 SNMP는 정보 노출 가능 |
SNMP 보안 대책
| 대책 | 설명 |
|---|---|
| 기본 community string 변경 | public/private 사용 금지 |
| 쓰기 권한 제한 | read-only 위주 운영 |
| 접근 IP 제한 | 관리 서버만 접근 허용 |
| SNMPv3 사용 | 인증과 암호화 지원 |
| 불필요한 SNMP 비활성화 | 사용하지 않으면 중지 |
| 로그 모니터링 | 비정상 질의 탐지 |
SNMP는 네트워크 장비의 상태를 관리하고 모니터링하는 프로토콜이지만, 기본 community string 사용이나 평문 전송으로 장비 정보가 노출될 수 있다. 대응 방안으로 기본 community string 변경, 접근 IP 제한, 쓰기 권한 제한, SNMPv3 사용, 불필요한 SNMP 비활성화가 필요하다.NTP
NTP의 역할
NTP는 Network Time Protocol입니다.
역할은 다음입니다.
시스템 시간을 동기화한다.NTP = UDP 123시간 동기화는 보안에서 매우 중요합니다.
왜냐하면 로그 분석 시 시간이 맞아야 공격 흐름을 추적할 수 있기 때문입니다.
웹 서버 로그
DB 서버 로그
방화벽 로그
IDS 로그
사용자 PC 로그이 장비들의 시간이 다르면 사고 분석이 어려워집니다.
NTP 보안 이슈와 대책
| 이슈 | 설명 |
|---|---|
| 시간 위조 | 로그 시각 혼란 유발 |
| 증폭 공격 | NTP 서버가 DDoS에 악용될 수 있음 |
| 비인가 NTP 서버 사용 | 잘못된 시간 정보 수신 |
신뢰할 수 있는 NTP 서버 사용
내부 기준 시간 서버 운영
외부 접근 제한
NTP 서버 설정 점검
시간 동기화 상태 모니터링NTP는 시스템 시간을 동기화하는 프로토콜로, 침해사고 분석 시 여러 장비의 로그 시간을 일치시키기 위해 중요하다. 신뢰할 수 있는 NTP 서버를 사용하고, 외부 접근을 제한하며, 시간 동기화 상태를 주기적으로 점검해야 한다.평문 프로토콜과 보안 프로토콜 비교
정보보안기사에서는 평문 프로토콜과 보안 대체 프로토콜을 자주 비교합니다.
| 위험한 방식 | 보안 대체 | 이유 |
|---|---|---|
| HTTP | HTTPS | 웹 통신 암호화 |
| Telnet | SSH | 원격 접속 암호화 |
| FTP | SFTP / FTPS | 파일 전송 암호화 |
| POP3 | POP3S | 메일 수신 암호화 |
| IMAP | IMAPS | 메일 수신 암호화 |
| SMTP | SMTPS / STARTTLS | 메일 송신 암호화 |
| SNMPv1/v2 | SNMPv3 | 인증·암호화 강화 |
평문 프로토콜은 계정 정보와 데이터가 도청될 수 있으므로 암호화된 보안 프로토콜로 대체해야 한다.프로토콜별 공격과 대응 정리
| 프로토콜 | 공격·위험 | 대응 |
|---|---|---|
| ARP | ARP Spoofing | 정적 ARP, ARP 감시, 스위치 보안 |
| ICMP | Ping Scan, ICMP Flood | 불필요한 ICMP 제한, Rate Limit |
| DNS | DNS Spoofing, Cache Poisoning | DNSSEC, 캐시 점검, Zone Transfer 제한 |
| DHCP | Rogue DHCP, Starvation | DHCP Snooping, 포트 보안 |
| HTTP | 평문 도청, 쿠키 탈취 | HTTPS 적용 |
| FTP | 계정·데이터 평문 노출 | SFTP, FTPS 사용 |
| Telnet | 계정 정보 도청 | SSH 사용 |
| SMTP | 스팸, 피싱, 오픈 릴레이 | SMTP 인증, SPF, DKIM, DMARC |
| SNMP | community string 노출 | SNMPv3, 접근 제한 |
| NTP | 시간 위조, 증폭 공격 | 신뢰 NTP, 접근 제한 |
학습 내용 연결 정리
사용자가 회사 웹서비스에 접속하고, 메일을 보내고, 서버 관리자가 장비를 관리한다고 가정해봅시다.
1. 사용자는 DNS로 웹사이트 IP를 찾는다.
2. PC는 ARP로 게이트웨이 MAC 주소를 알아낸다.
3. HTTPS로 웹사이트에 접속한다.
4. 메일은 SMTP로 발송되고 IMAP으로 수신된다.
5. 관리자는 SSH로 서버에 접속한다.
6. 네트워크 장비는 SNMP로 모니터링된다.
7. 모든 장비는 NTP로 시간을 맞춘다.이 흐름에서 보안상 주의해야 할 점은 다음입니다.
| 위치 | 보안 이슈 |
|---|---|
| ARP | MAC 주소 매핑 조작 가능 |
| DNS | 가짜 IP 응답 가능 |
| HTTP | 평문 도청 가능 |
| FTP/Telnet | 계정 정보 평문 노출 |
| SMTP | 피싱·스팸 악용 가능 |
| SNMP | 장비 정보 노출 가능 |
| NTP | 로그 시간 불일치 또는 시간 위조 가능 |
결국 네트워크보안에서 중요한 것은 이것입니다.
프로토콜의 역할을 알고,
그 프로토콜이 평문인지 암호화인지 구분하고,
스푸핑·도청·변조·인증 취약점에 대한 대응책을 설명하는 것시험에 나오는 포인트
이번 절 내용 중 필기와 실기에 자주 나오는 포인트입니다.
| 주제 | 시험 포인트 |
|---|---|
| ARP | IP 주소를 MAC 주소로 변환 |
| ARP Spoofing | 거짓 ARP 정보로 트래픽 유도 |
| ICMP | ping, 네트워크 진단 |
| ICMP Flood | 대량 ICMP로 자원 소모 |
| DNS | 도메인을 IP로 변환 |
| DNS Spoofing | 가짜 DNS 응답 |
| DNS Cache Poisoning | DNS 캐시에 위조 정보 저장 |
| DHCP | IP 주소 자동 할당 |
| DHCP DORA | Discover, Offer, Request, Ack |
| Rogue DHCP | 가짜 DHCP 서버 |
| HTTP | 80번, 평문 웹 통신 |
| HTTPS | 443번, TLS 암호화 |
| FTP | 20/21번, 평문 파일 전송 위험 |
| SSH | 22번, 암호화 원격 접속 |
| Telnet | 23번, 평문 원격 접속 |
| SMTP | 25번, 메일 송신 |
| POP3 | 110번, 메일 수신 |
| IMAP | 143번, 메일 수신·동기화 |
| SNMP | 161/162번, 장비 관리 |
| NTP | 123번, 시간 동기화 |
| SNMPv3 | 인증·암호화 지원 |
| DNSSEC | DNS 응답 무결성 검증 |
| SPF/DKIM/DMARC | 메일 위조 방지 |
필기형 문제풀이
문제 1
ARP의 역할로 가장 적절한 것은?
A. 도메인 이름을 IP 주소로 변환한다
B. IP 주소를 MAC 주소로 변환한다
C. 메일을 송신한다
D. IP 주소를 자동으로 할당한다
ARP는 IP 주소에 대응하는 MAC 주소를 알아내는 프로토콜입니다.
문제 2
ARP Spoofing의 설명으로 적절한 것은?
A. DNS 캐시에 위조된 IP 주소를 저장한다
B. DHCP 서버로 위장해 잘못된 게이트웨이를 할당한다
C. ICMP 응답을 이용해 호스트 생존 여부를 확인한다
D. 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작한다
ARP Spoofing은 거짓 ARP 응답을 이용해 트래픽을 공격자에게 유도할 수 있습니다.
문제 3
ICMP와 가장 관련이 깊은 명령 또는 기능은?
A. nslookup
B. ssh
C. ping
D. ftp
ping은 ICMP를 이용해 네트워크 연결 상태를 확인합니다.
문제 4
DNS의 역할로 가장 적절한 것은?
A. IP 주소를 MAC 주소로 변환한다
B. 도메인 이름을 IP 주소로 변환한다
C. DHCP 서버에서 IP 주소를 자동 할당한다
D. ICMP 응답으로 호스트 생존 여부를 확인한다
DNS는 도메인 이름을 IP 주소로 변환합니다.
문제 5
DNS Cache Poisoning의 설명으로 적절한 것은?
A. ARP 테이블에 정적 MAC 주소를 등록한다
B. DHCP 임대 시간을 짧게 설정한다
C. DNSSEC으로 응답 무결성을 검증한다
D. DNS 캐시에 위조된 정보를 저장시켜 잘못된 IP로 유도한다
DNS Cache Poisoning은 DNS 캐시를 오염시켜 사용자를 가짜 사이트로 유도할 수 있습니다.
문제 6
DHCP의 기본 동작 순서로 올바른 것은?
A. Ack → Request → Offer → Discover
B. Discover → Offer → Request → Ack
C. Request → Discover → Ack → Offer
D. Offer → Ack → Discover → Request
DHCP DORA 과정은 Discover, Offer, Request, Ack입니다.
문제 7
HTTPS의 기본 포트 번호는?
A. 21
B. 22
C. 80
D. 443
HTTPS는 기본적으로 443번 포트를 사용합니다.
문제 8
Telnet의 보안상 문제점으로 가장 적절한 것은?
A. 서버 인증서로 웹 구간을 암호화한다
B. DNS 응답의 위조 여부를 검증한다
C. 평문 통신으로 계정 정보가 노출될 수 있다
D. 메일 송신 도메인의 위조를 방지한다
Telnet은 평문 원격 접속 프로토콜이므로 계정 정보 도청 위험이 있습니다.
문제 9
SSH의 기본 포트 번호는?
A. 20
B. 21
C. 22
D. 23
SSH는 기본적으로 22번 포트를 사용합니다.
문제 10
FTP의 보안상 위험으로 적절한 것은?
A. 계정 정보와 데이터가 평문으로 전송될 수 있다
B. 항상 TLS 암호화를 강제한다
C. SFTP처럼 SSH 기반으로만 동작한다
D. 파일 전송 로그가 남지 않도록 설계되어 있다
일반 FTP는 계정 정보와 데이터가 평문으로 노출될 수 있습니다.
문제 11
메일 송신에 사용되는 프로토콜은?
A. POP3
B. IMAP
C. SMTP
D. ARP
SMTP는 메일 송신 프로토콜입니다.
문제 12
메일 수신과 서버 동기화에 적합한 프로토콜은?
A. POP3
B. SMTP
C. FTP
D. IMAP
IMAP은 메일을 서버에 보관하고 여러 장치에서 동기화하기에 적합합니다.
문제 13
SNMP의 주요 용도는?
A. 네트워크 장비 상태 관리와 모니터링
B. 파일 전송
C. 도메인 이름 해석
D. 시간 동기화
SNMP는 네트워크 장비와 서버의 상태를 관리하고 모니터링하는 프로토콜입니다.
문제 14
SNMP 보안 대책으로 적절한 것은?
A. 기본 community string을 그대로 사용한다
B. SNMPv3를 사용하고 접근 IP를 제한한다
C. 모든 장비의 SNMP 쓰기 권한을 공개한다
D. SNMPv1/v2c만 허용하고 인증 설정을 생략한다
SNMP 보안을 위해 SNMPv3 사용, community string 변경, 접근 IP 제한이 필요합니다.
문제 15
NTP의 주된 역할은?
A. 도메인 이름 해석
B. 네트워크 장비 모니터링
C. 시스템 시간 동기화
D. 메일 수신 동기화
NTP는 시스템 시간을 동기화하는 프로토콜입니다.
실기형 답안 훈련
실기 예제 1
문제: ARP의 역할과 ARP Spoofing의 위험을 설명하시오.
좋은 답안
ARP는 동일 네트워크에서 IP 주소에 대응하는 MAC 주소를 알아내기 위한 프로토콜이다. ARP Spoofing은 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작하는 공격으로, 피해자의 트래픽을 공격자에게 유도하여 스니핑, 중간자 공격, 세션 탈취 등을 유발할 수 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| IP를 MAC으로 변환 | 필수 |
| 동일 네트워크 | 좋음 |
| 거짓 ARP 정보 | 필수 |
| 트래픽 유도 | 중요 |
| 스니핑·MITM·세션 탈취 | 좋음 |
실기 예제 2
문제: DNS Spoofing과 DNS Cache Poisoning을 설명하시오.
좋은 답안
DNS Spoofing은 DNS 응답을 위조하여 사용자가 정상 도메인을 입력해도 공격자가 지정한 IP 주소로 접속하게 만드는 공격이다. DNS Cache Poisoning은 DNS 서버의 캐시에 위조된 DNS 정보를 저장시켜 다수 사용자를 가짜 사이트로 유도할 수 있는 공격이다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| DNS 응답 위조 | 필수 |
| 정상 도메인 입력 | 좋음 |
| 공격자 IP로 유도 | 필수 |
| DNS 캐시 오염 | 필수 |
| 다수 사용자 영향 | 좋음 |
실기 예제 3
문제: HTTP와 HTTPS의 차이를 설명하시오.
좋은 답안
HTTP는 웹 요청과 응답을 평문으로 전송하므로 도청과 변조에 취약하다. HTTPS는 TLS를 이용하여 통신을 암호화하고 서버 인증서를 검증하므로 로그인 정보, 개인정보, 결제 정보 보호에 적합하다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| HTTP = 평문 | 필수 |
| HTTPS = TLS 암호화 | 필수 |
| 도청·변조 방지 | 중요 |
| 인증서 | 좋음 |
| 민감정보 보호 | 좋음 |
실기 예제 4
문제: Telnet 대신 SSH를 사용해야 하는 이유를 설명하시오.
좋은 답안
Telnet은 원격 접속 시 계정 정보와 명령 내용이 평문으로 전송되어 도청에 취약하다. SSH는 통신을 암호화하여 원격 접속 정보를 보호하므로 Telnet 대신 사용해야 하며, root 직접 로그인 제한, 키 기반 인증, 접근 IP 제한 등의 보안 설정을 적용하는 것이 바람직하다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| Telnet = 평문 | 필수 |
| 계정 정보 도청 위험 | 필수 |
| SSH = 암호화 | 필수 |
| root 제한·키 인증·IP 제한 | 좋음 |
실기 예제 5
문제: FTP의 보안상 문제점과 대응 방안을 설명하시오.
좋은 답안
FTP는 계정 정보와 파일 전송 데이터가 평문으로 전송될 수 있어 도청과 정보 유출에 취약하다. 대응 방안으로는 SFTP 또는 FTPS 사용, 익명 접속 제한, 접근 IP 제한, 강력한 인증, 파일 전송 로그 점검 등이 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| FTP = 평문 전송 위험 | 필수 |
| 계정 정보 노출 | 필수 |
| 데이터 노출 | 중요 |
| SFTP/FTPS | 필수 |
| 익명 접속 제한·로그 점검 | 좋음 |
실기 예제 6
문제: SNMP 보안 강화 방안을 설명하시오.
좋은 답안
SNMP는 네트워크 장비 상태를 관리하고 모니터링하는 프로토콜이지만, 기본 community string 사용이나 평문 전송으로 장비 정보가 노출될 수 있다. 보안 강화를 위해 기본 community string을 변경하고, 접근 IP와 쓰기 권한을 제한하며, 인증과 암호화를 지원하는 SNMPv3를 사용하는 것이 바람직하다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 장비 관리 프로토콜 | 필요 |
| community string | 필수 |
| 정보 노출 위험 | 중요 |
| 접근 IP 제한 | 중요 |
| SNMPv3 | 필수 |
핵심 요약
| 개념 | 한 줄 요약 |
|---|---|
| ARP | IP 주소를 MAC 주소로 변환 |
| ARP Spoofing | 거짓 ARP 정보로 트래픽을 공격자에게 유도 |
| ICMP | 네트워크 진단과 오류 메시지 전달 |
| Ping | ICMP를 이용한 연결 확인 |
| DNS | 도메인 이름을 IP 주소로 변환 |
| DNS Spoofing | DNS 응답을 위조 |
| DNS Cache Poisoning | DNS 캐시에 위조 정보 저장 |
| DHCP | IP 주소와 네트워크 설정 자동 할당 |
| DORA | Discover, Offer, Request, Ack |
| Rogue DHCP | 가짜 DHCP 서버 |
| HTTP | 80번 포트, 평문 웹 통신 |
| HTTPS | 443번 포트, TLS 암호화 웹 통신 |
| FTP | 20/21번 포트, 평문 파일 전송 위험 |
| SFTP | SSH 기반 암호화 파일 전송 |
| FTPS | FTP에 TLS 적용 |
| Telnet | 23번 포트, 평문 원격 접속 |
| SSH | 22번 포트, 암호화 원격 접속 |
| SMTP | 메일 송신 |
| POP3 | 메일 수신 |
| IMAP | 메일 수신과 동기화 |
| SNMP | 네트워크 장비 관리 |
| SNMPv3 | 인증과 암호화를 지원 |
| NTP | 시간 동기화 |
| DNSSEC | DNS 응답 무결성 검증 |
| SPF/DKIM/DMARC | 메일 위조 방지 기술 |
필수 암기 문장
아래 문장은 필기와 실기 모두 중요합니다.
ARP는 동일 네트워크에서 IP 주소에 대응하는 MAC 주소를 알아내기 위한 프로토콜이다.
ARP Spoofing은 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작하고 트래픽을 공격자에게 유도하는 공격이다.
ICMP는 네트워크 진단과 오류 메시지 전달에 사용되며, ping에서 사용된다.
DNS는 도메인 이름을 IP 주소로 변환하는 시스템이다.
DNS Spoofing은 DNS 응답을 위조하여 사용자를 공격자 IP로 유도하는 공격이다.
DHCP는 클라이언트에게 IP 주소, 서브넷 마스크, 게이트웨이, DNS 서버 등을 자동 할당하는 프로토콜이다.
DHCP DORA 과정은 Discover, Offer, Request, Ack 순서이다.
HTTP는 평문 웹 통신이고, HTTPS는 TLS를 이용해 웹 통신을 암호화한다.
FTP와 Telnet은 평문 전송 위험이 있으므로 SFTP, FTPS, SSH 같은 보안 프로토콜을 사용하는 것이 바람직하다.
SMTP는 메일 송신, POP3와 IMAP은 메일 수신에 사용된다.
SNMP는 네트워크 장비 관리 프로토콜이며, 기본 community string 변경과 SNMPv3 사용이 필요하다.
NTP는 시스템 시간을 동기화하며, 로그 분석의 정확성을 위해 중요하다.연습 과제
다음 문제에 답한다.
포트 번호와 프로토콜 역할 암기가 핵심이다.
A. 단답형
1. ARP의 역할은 무엇인가?
2. ARP Spoofing이란 무엇인가?
3. ICMP는 어떤 용도로 사용되는가?
4. DNS의 역할은 무엇인가?
5. DNS Spoofing이란 무엇인가?
6. DNS Cache Poisoning이란 무엇인가?
7. DHCP의 역할은 무엇인가?
8. DHCP DORA 과정을 순서대로 쓰시오.
9. Rogue DHCP란 무엇인가?
10. HTTP와 HTTPS의 차이는 무엇인가?
11. FTP의 보안상 문제점은 무엇인가?
12. SFTP와 FTPS의 차이는 무엇인가?
13. Telnet 대신 SSH를 사용해야 하는 이유는 무엇인가?
14. SMTP, POP3, IMAP의 역할을 각각 쓰시오.
15. SNMP는 무엇이며, 보안상 주의할 점은 무엇인가?
16. NTP가 보안에서 중요한 이유는 무엇인가?B. 포트 번호 문제
다음 프로토콜의 기본 포트 번호를 쓴다.
17. FTP
18. SSH
19. Telnet
20. SMTP
21. DNS
22. DHCP
23. HTTP
24. POP3
25. IMAP
26. SNMP
27. HTTPS
28. NTPC. 실기형 답안 작성
다음 5문제는 2~3문장으로 작성한다.
29. ARP의 역할과 ARP Spoofing의 위험을 설명하시오.
30. DNS Spoofing과 DNS Cache Poisoning을 설명하시오.
31. HTTP와 HTTPS의 차이를 설명하시오.
32. Telnet 대신 SSH를 사용해야 하는 이유를 설명하시오.
33. SNMP 보안 강화 방안을 설명하시오.보강 개념: DNSSEC, SPF, DKIM, DMARC, SNMPv3
| 기술 | 한 줄 정의 | 보안 효과 |
|---|---|---|
| DNSSEC | DNS 응답에 전자서명을 붙여 위·변조 여부를 검증하는 기술 | DNS Spoofing과 Cache Poisoning 위험을 줄인다. |
| SPF | 발신 도메인에서 허용한 메일 서버 IP인지 확인하는 메일 인증 기술 | 허가되지 않은 서버의 도메인 사칭 발송을 탐지한다. |
| DKIM | 메일 헤더와 본문에 도메인 전자서명을 적용하는 기술 | 메일 내용 위·변조와 발신 도메인 신뢰성을 검증한다. |
| DMARC | SPF와 DKIM 검증 결과에 따라 수신 서버의 처리 정책을 정하는 기술 | 도메인 사칭 메일을 격리·거부하도록 정책화한다. |
| SNMPv3 | 인증과 암호화를 지원하는 SNMP 버전 | 커뮤니티 문자열 기반의 SNMPv1/v2c보다 안전하다. |
연습 과제 정답 및 해설
포트 정답: FTP 21, SSH 22, Telnet 23, SMTP 25, DNS 53, DHCP 67/68, HTTP 80, POP3 110, IMAP 143, SNMP 161/162, HTTPS 443, NTP 123.
단답형 핵심 키워드: ARP는 IP-MAC 변환, ICMP는 오류·진단, DNS는 이름-IP 변환, DHCP는 IP 자동 할당, DORA는 Discover-Offer-Request-Ack, Rogue DHCP는 가짜 DHCP 서버이다. FTP와 Telnet은 평문 전송 위험이 있고 SSH, SFTP, FTPS, HTTPS를 상황에 맞게 사용한다.
실기형 채점 기준: SNMP 보안 강화는 SNMPv3 사용, 기본 커뮤니티 문자열 변경, 접근 제어, 불필요 서비스 차단, 로그 모니터링을 포함한다. DNS 보안 답안은 DNSSEC와 캐시 무결성 관점을 쓰면 가산한다.