보안장비와 방어기술

3장 1절: OSI 7계층, TCP/IP, 포트, ARP, TCP/UDP
3장 2절: ARP, DNS, DHCP, HTTP, HTTPS, FTP, SSH 등 주요 프로토콜
3장 3절: 스니핑, 스푸핑, 세션 하이재킹, MITM, Replay Attack
3장 4절: DoS, DDoS, SYN Flooding, UDP Flooding, HTTP Flood

방화벽 vs IDS vs IPS
IDS vs IPS
WAF vs 일반 방화벽
VPN의 목적
NAC의 역할
DMZ의 구성 이유
망분리의 목적
프록시와 로드밸런서의 역할

공격을 막으려면
→ 네트워크 경계에서 차단하고
→ 침입을 탐지하고
→ 웹 공격을 막고
→ 안전한 원격 접속을 제공하고
→ 단말 접속을 통제하고
→ 내부망과 외부망을 분리하고
→ 로그를 분석해야 한다.

방화벽은 네트워크 경계에서 IP 주소, 포트 번호, 프로토콜, 세션 상태 등을 기준으로 트래픽을 허용하거나 차단하는 접근통제 장비이다.

방화벽 = 네트워크 출입문

외부에서 웹 서버의 443번 포트 접근은 허용
외부에서 내부 DB 서버 접근은 차단
관리자 IP에서만 SSH 접근 허용

기본 차단, 필요한 것만 허용

Default Deny

방화벽 정책은 기본적으로 모든 접근을 차단하고, 업무상 필요한 출발지, 목적지, 포트, 프로토콜만 명시적으로 허용하는 최소 허용 원칙을 적용하는 것이 바람직하다.

출발지 IP
목적지 IP
출발지 포트
목적지 포트
프로토콜

패킷 필터링 방화벽은 IP, 포트, 프로토콜 등 패킷 헤더 정보를 기준으로 트래픽을 허용하거나 차단하는 방식이다.

Stateful Inspection

상태 기반 방화벽은 세션 상태 정보를 추적하여 정상 연결에 속한 패킷인지 확인하고 트래픽을 허용하거나 차단하는 방식이다.

클라이언트 → 프록시 방화벽 → 서버

차세대 방화벽은 기존 IP·포트 기반 통제에 더해 애플리케이션 식별, 사용자 기반 제어, IPS, URL 필터링, 악성코드 탐지 기능 등을 제공하는 방화벽이다.

방화벽은 IP, 포트, 프로토콜 기반 접근통제에 효과적이지만, 허용된 서비스 포트를 통한 웹 공격이나 내부자 공격, 암호화 트래픽 내부의 공격 탐지에는 한계가 있다. 따라서 IDS/IPS, WAF, NAC, 로그 분석 등 다층 보안 대책과 함께 운영해야 한다.

IDS는 네트워크나 시스템에서 발생하는 트래픽과 이벤트를 분석하여 침입 시도나 이상 행위를 탐지하고 관리자에게 경고하는 보안 시스템이다.

IDS = 침입을 탐지하고 알려주는 장비

오용 탐지
이상 탐지

오용 탐지는 알려진 공격 패턴이나 시그니처와 비교하여 침입을 탐지하는 방식으로, 알려진 공격에는 효과적이지만 신규 공격 탐지에는 한계가 있다.

이상 탐지는 정상 행위 기준선을 설정하고 이를 벗어나는 행위를 침입으로 판단하는 방식으로, 신규 공격 탐지에 유리하지만 오탐이 발생할 수 있다.

NIDS = 네트워크 트래픽 감시

HIDS = 호스트 내부 행위 감시

IPS는 네트워크 트래픽을 실시간으로 분석하여 침입 시도나 악성 트래픽을 탐지하고 차단하는 보안 시스템이다.

IPS = 침입을 탐지하고 차단하는 장비

IDS는 침입 시도나 이상 행위를 탐지하여 경고하는 시스템이고, IPS는 침입을 탐지한 후 실시간으로 차단까지 수행하는 시스템이다. IDS는 주로 비인라인으로 운영되어 통신 영향이 적지만 차단 기능이 제한적이고, IPS는 인라인으로 동작하여 즉시 차단이 가능하지만 오탐 시 정상 트래픽을 차단할 수 있다.

오탐은 정상 행위를 공격으로 잘못 탐지하는 것이고, 미탐은 실제 공격을 탐지하지 못하는 것이다. 보안장비 운영 시 탐지 정책을 지속적으로 튜닝하여 오탐과 미탐을 줄여야 한다.

WAF는 HTTP/HTTPS 요청과 응답을 분석하여 SQL Injection, XSS, CSRF, 파일 업로드 공격 등 웹 애플리케이션 공격을 탐지하고 차단하는 보안장비이다.

WAF = 웹 공격 전용 방화벽

URL
파라미터
쿠키
헤더
본문
User-Agent
요청 빈도

일반 방화벽은 주로 IP, 포트, 프로토콜을 기준으로 네트워크 접근을 통제하는 장비이고, WAF는 HTTP/HTTPS 요청 내용을 분석하여 SQL Injection, XSS, 파일 업로드 공격 등 웹 애플리케이션 공격을 탐지·차단하는 7계층 보안장비이다.

VPN은 공용 네트워크를 통해 통신하더라도 암호화 터널을 구성하여 기밀성과 무결성을 보장하고 안전한 원격 접속을 제공하는 기술이다.

VPN = 인터넷 위에 만든 암호화된 사설 통로

IPsec VPN은 네트워크 계층에서 동작하여 지점 간 연결에 많이 사용되고, SSL VPN은 SSL/TLS를 이용해 원격 사용자가 웹 기반으로 내부 자원에 안전하게 접근하는 데 활용된다.

VPN은 공용 네트워크에서 암호화 터널을 구성하여 안전한 원격 접속을 제공하는 기술이다. 보안 강화를 위해 MFA와 인증서 기반 인증, 접근권한 최소화, 접속 로그 기록, 단말 보안 점검, 취약 계정 제거, 안전한 암호화 알고리즘 사용이 필요하다.

NAC는 네트워크에 접속하려는 사용자와 단말을 인증하고, 단말의 보안 상태를 점검한 뒤 정책에 따라 접속을 허용, 제한, 격리하는 보안 기술이다.

NAC = 아무 단말이나 내부망에 못 들어오게 하는 기술

단말 접속 시도
→ 사용자와 단말 인증
→ 보안 상태 점검
→ 정책 판단
→ 정상 단말은 접속 허용
→ 미준수 단말은 제한 또는 격리
→ 치료 후 재접속 허용

NAC는 네트워크 접속 전 사용자와 단말을 인증하고 보안 상태를 점검하여 정책에 따라 접속을 허용, 제한, 격리하는 기술이다. 이를 통해 비인가 단말 접속을 차단하고, 악성코드 감염 단말이나 보안패치 미적용 단말을 격리하여 내부망 확산 위험을 줄일 수 있다.

프록시는 클라이언트의 요청을 대신 서버에 전달하고, 서버의 응답을 다시 클라이언트에게 전달하는 중계 시스템이다.

프록시 = 대신 요청해주는 중간 서버

내부 사용자 → 프록시 → 인터넷

외부 사용자 → 리버스 프록시 → 내부 웹 서버

Forward Proxy는 내부 사용자를 대신해 외부로 나가는 요청을 중계하고, Reverse Proxy는 외부 요청을 받아 내부 서버로 전달한다.

로드밸런서는 다수의 서버에 클라이언트 요청을 분산하여 처리함으로써 서비스 성능과 가용성을 높이는 장비 또는 기술이다.

로드밸런서 = 트래픽 분산기

L4 로드밸런서는 IP와 포트 등 전송 계층 정보를 기준으로 트래픽을 분산하고, L7 로드밸런서는 URL, HTTP 헤더, 쿠키 등 응용 계층 정보를 기준으로 트래픽을 분산한다.

DMZ는 외부에서 접근해야 하는 웹 서버, 메일 서버, DNS 서버 등을 내부망과 분리된 중간 구간에 배치하여 내부망을 보호하기 위한 네트워크 영역이다.

DMZ = 외부 공개 서버를 따로 두는 완충 구역

외부 공격자가 웹 서버 침해
→ 내부 DB 서버나 업무망으로 이동 가능

인터넷
→ 방화벽
→ DMZ: 웹 서버, 메일 서버, DNS 서버
→ 내부 방화벽
→ 내부망: DB 서버, 업무 시스템

DMZ는 외부에서 접근해야 하는 웹 서버, 메일 서버, DNS 서버 등을 내부망과 분리된 중간 구간에 배치하는 네트워크 영역이다. 이를 통해 외부 공개 서버가 침해되더라도 내부 업무망으로의 직접 접근을 차단하고, 구간별 방화벽 정책으로 피해 확산을 줄일 수 있다.

망분리는 인터넷망과 내부 업무망 또는 중요 시스템망을 물리적 또는 논리적으로 분리하여 외부 공격과 악성코드가 내부 중요 자산으로 확산되는 것을 방지하는 보안 대책이다.

망분리 = 중요한 업무망과 인터넷을 분리

물리적 망분리는 인터넷망과 업무망을 별도 장비와 네트워크로 분리하는 방식으로 보안성이 높지만 비용과 운영 부담이 크다. 논리적 망분리는 가상화, VDI, VLAN 등을 이용해 논리적으로 분리하는 방식으로 편의성과 비용 측면의 장점이 있으나 설정과 운영 보안이 중요하다.

VLAN = 논리적 LAN 분리

VLAN은 하나의 물리적 네트워크를 논리적으로 여러 네트워크로 분리하는 기술로, 부서나 업무별 트래픽을 분리하고 VLAN 간 접근통제를 적용하여 침해 확산을 줄일 수 있다.

보안관제는 방화벽, IDS/IPS, WAF, 서버, 네트워크 장비 등에서 발생하는 로그와 이벤트를 수집·분석하여 보안 위협을 탐지하고 대응하는 활동이다.

SIEM은 여러 보안장비와 시스템의 로그를 수집, 통합, 상관분석하여 보안 이벤트를 탐지하고 침해사고 대응을 지원하는 시스템이다.

SIEM = 보안 로그 통합 분석 시스템

SIEM은 방화벽, IDS/IPS, WAF, 서버, 네트워크 장비 등에서 발생한 로그를 통합 수집하고 상관분석하여 보안 이벤트를 탐지하는 시스템이다. 이를 통해 단일 로그로는 파악하기 어려운 공격 흐름을 분석하고, 침해사고 대응과 보고를 지원할 수 있다.

특정 IP에서 웹 서버 443 포트로 대량 접속
WAF에서 SQL Injection 패턴 탐지
IDS에서 동일 출발지의 스캔 이벤트 탐지
VPN에서 해외 IP 로그인 실패 반복

다층 방어는 하나의 보안 대책에 의존하지 않고 네트워크, 시스템, 애플리케이션, 사용자, 관리 영역에 여러 보안 통제를 중첩하여 적용하는 보안 전략이다.

방화벽으로 허용 포트 제한
WAF로 웹 공격 차단
IDS/IPS로 침입 탐지·차단
VPN으로 관리자 접속 보호
NAC로 내부 단말 통제
DMZ로 외부 공개 서버 분리
서버 하드닝과 패치 적용
로그를 SIEM으로 통합 분석

다층 방어는 단일 보안장비에 의존하지 않고 방화벽, IDS/IPS, WAF, VPN, NAC, DMZ, 서버 보안, 로그 분석 등 여러 보안 대책을 계층적으로 적용하는 전략이다. 이를 통해 하나의 통제가 우회되더라도 다른 보안 대책으로 공격을 탐지하거나 피해 확산을 줄일 수 있다.

관리자 PC
→ VPN
→ 관리자망
→ Bastion Host 또는 Jump Server
→ 서버 접속

직원 PC
→ NAC 인증과 보안 상태 점검
→ 내부망 접속 허용 또는 격리

방화벽은 네트워크 경계에서 IP 주소, 포트 번호, 프로토콜, 세션 상태 등을 기준으로 트래픽을 허용하거나 차단하는 접근통제 장비이다. 운영 시 기본 차단 원칙을 적용하고, 업무상 필요한 출발지, 목적지, 포트, 프로토콜만 명시적으로 허용하는 최소 허용 정책을 적용해야 한다.

IDS는 네트워크나 시스템의 트래픽과 이벤트를 분석하여 침입 시도나 이상 행위를 탐지하고 관리자에게 경고하는 시스템이다. IPS는 침입을 탐지한 후 실시간으로 차단까지 수행하는 시스템으로, 즉시 대응이 가능하지만 오탐 시 정상 트래픽이 차단될 수 있다.

일반 방화벽은 주로 IP 주소, 포트 번호, 프로토콜을 기준으로 네트워크 접근을 통제하는 장비이다. WAF는 HTTP/HTTPS 요청의 URL, 파라미터, 쿠키, 헤더 등을 분석하여 SQL Injection, XSS, 파일 업로드 공격 등 웹 애플리케이션 공격을 탐지하고 차단하는 7계층 보안장비이다.

VPN은 공용 네트워크에서 암호화 터널을 구성하여 기밀성과 무결성을 보장하고 안전한 원격 접속을 제공하는 기술이다. 보안 운영을 위해 MFA와 인증서 기반 인증, 접근권한 최소화, 접속 로그 기록, 단말 보안 상태 점검, 취약 계정 제거, 안전한 암호화 알고리즘 사용이 필요하다.

NAC는 네트워크에 접속하려는 사용자와 단말을 인증하고, 백신 설치, 보안패치 적용, 보안 설정 등 단말의 보안 상태를 점검하여 정책에 따라 접속을 허용, 제한, 격리하는 기술이다. 이를 통해 비인가 단말과 감염 단말의 내부망 접속을 차단하고 악성코드 확산 위험을 줄일 수 있다.

DMZ는 외부에서 접근해야 하는 웹 서버, 메일 서버, DNS 서버 등을 내부망과 분리된 중간 구간에 배치하는 네트워크 영역이다. 외부 공개 서버가 침해되더라도 내부 업무망으로 직접 접근하지 못하도록 구간별 방화벽 정책을 적용하여 내부망 보호와 피해 확산 방지 효과를 얻을 수 있다.

다층 방어는 하나의 보안 대책에 의존하지 않고 방화벽, IDS/IPS, WAF, VPN, NAC, DMZ, 서버 하드닝, 로그 분석 등 여러 보안 통제를 계층적으로 적용하는 전략이다. 하나의 보안 통제가 우회되더라도 다른 통제가 공격을 탐지하거나 피해 확산을 줄일 수 있다.

방화벽은 IP 주소, 포트 번호, 프로토콜, 세션 상태 등을 기준으로 트래픽을 허용하거나 차단하는 접근통제 장비이다.

방화벽 정책은 기본 차단 원칙을 적용하고, 업무상 필요한 트래픽만 명시적으로 허용하는 것이 바람직하다.

IDS는 침입 시도나 이상 행위를 탐지하고 경고하는 시스템이고, IPS는 탐지 후 실시간 차단까지 수행하는 시스템이다.

오용 탐지는 알려진 공격 시그니처 기반 탐지이고, 이상 탐지는 정상 행위 기준선을 벗어나는 행위를 탐지하는 방식이다.

오탐은 정상 행위를 공격으로 잘못 판단하는 것이고, 미탐은 실제 공격을 탐지하지 못하는 것이다.

WAF는 HTTP/HTTPS 요청을 분석하여 SQL Injection, XSS, 파일 업로드 공격 등 웹 애플리케이션 공격을 탐지·차단하는 7계층 보안장비이다.

VPN은 공용 네트워크에서 암호화 터널을 구성하여 안전한 원격 접속과 지점 간 통신을 제공하는 기술이다.

NAC는 네트워크 접속 전 사용자와 단말을 인증하고 보안 상태를 점검하여 접속을 허용, 제한, 격리하는 기술이다.

DMZ는 외부 공개 서버를 내부망과 분리된 중간 구간에 배치하여 내부망을 보호하기 위한 네트워크 영역이다.

망분리는 인터넷망과 내부 업무망을 물리적 또는 논리적으로 분리하여 외부 공격과 악성코드 확산을 방지하는 보안 대책이다.

SIEM은 여러 보안장비와 시스템의 로그를 통합 수집하고 상관분석하여 보안 이벤트 탐지와 침해사고 대응을 지원하는 시스템이다.

다층 방어는 방화벽, IDS/IPS, WAF, VPN, NAC, DMZ, 서버 보안, 로그 분석 등 여러 보안 통제를 계층적으로 적용하는 전략이다.

1. 방화벽이란 무엇인가?
2. 방화벽 정책에서 기본 차단 원칙이란 무엇인가?
3. 패킷 필터링 방화벽이 검사하는 정보 4가지를 쓰시오.
4. 상태 기반 방화벽이란 무엇인가?
5. 방화벽의 한계 3가지를 쓰시오.
6. IDS란 무엇인가?
7. IPS란 무엇인가?
8. IDS와 IPS의 차이를 쓰시오.
9. 오용 탐지와 이상 탐지의 차이를 쓰시오.
10. 오탐과 미탐의 차이를 쓰시오.
11. NIDS와 HIDS의 차이를 쓰시오.
12. WAF란 무엇인가?
13. WAF가 탐지·차단하는 웹 공격 예시 3가지를 쓰시오.
14. VPN이란 무엇인가?
15. IPsec VPN과 SSL VPN의 차이를 쓰시오.
16. NAC란 무엇인가?
17. NAC가 점검하는 단말 보안 상태 예시 3가지를 쓰시오.
18. Forward Proxy와 Reverse Proxy의 차이를 쓰시오.
19. L4 로드밸런서와 L7 로드밸런서의 차이를 쓰시오.
20. DMZ란 무엇이며 왜 필요한가?
21. 물리적 망분리와 논리적 망분리의 차이를 쓰시오.
22. SIEM의 역할을 쓰시오.
23. 다층 방어란 무엇인가?

24. 외부에서 내부 DB 서버로 직접 접근하지 못하게 하고 싶다.
25. SQL Injection과 XSS 요청을 탐지·차단하고 싶다.
26. 원격 근무자가 회사 내부 시스템에 안전하게 접속해야 한다.
27. 백신이 설치되지 않은 직원 PC의 내부망 접속을 제한하고 싶다.
28. 여러 보안장비 로그를 통합 분석하고 싶다.
29. 웹 서버, 메일 서버, DNS 서버를 내부망과 분리해 배치하고 싶다.
30. 내부 사용자의 인터넷 접속 사이트를 기록하고 통제하고 싶다.
31. 웹 트래픽을 여러 서버에 분산하고 싶다.
32. 침입 시도를 탐지만 하고 관리자에게 경고하고 싶다.
33. 침입 시도를 탐지하고 실시간으로 차단하고 싶다.

34. IDS와 IPS의 차이를 설명하시오.

35. WAF와 일반 방화벽의 차이를 설명하시오.

36. VPN의 개념과 보안 운영 방안을 설명하시오.

37. NAC의 개념과 효과를 설명하시오.

38. DMZ를 구성하는 이유를 설명하시오.

계층
프로토콜
공격기법
방어장비
로그 분석

공격 개념 + 위험 + 대응 방안
장비 개념 + 역할 + 한계
구성 이유 + 보안 효과