핵심 인사이트 (3줄 요약)

  1. 서버에 인터넷 랜선 딱 1개를 꽂고, 고객 트래픽과 관리자 원격 접속(SSH 등)을 같이 쓰는 방식을 대역내(In-Band) 관리라고 한다.
  2. 만약 해커가 디도스(DDoS) 공격으로 랜선을 꽉 막아버리면, 관리자조차 접속이 불가능해져 서버를 고칠 수 없는 최악의 사태가 터진다.
  3. 이를 원천 차단하기 위해, 메인 랜선과 물리적 스위치 자체가 완전히 다른 **'오직 관리자 전용의 숨겨진 비상 통로'를 뚫는 것을 대역외 관리(OOB, Out-Of-Band)**라고 부르며, 데이터센터 보안과 장애 대응의 제1원칙이다.

Ⅰ. 대역내(In-Band) 관리의 치명적 함정

평범한 웹 서버 뒷면을 보면 1Gbps짜리 랜선(NIC)이 하나 꽂혀 있습니다.

  • 평상시: 손님들은 이 선을 타고 쇼핑몰 홈페이지에 들어옵니다. 관리자도 이 선을 타고 원격(SSH)으로 들어가 서버를 패치합니다.
  • 문제 발생 1 (DDoS): 해커가 초당 10Gbps의 쓰레기 트래픽을 쏩니다. 랜선 대역폭이 100% 꽉 차서, 관리자가 SSH 엔터를 쳐도 서버까지 신호가 도달하지 않습니다. (장애 복구 불가)
  • 문제 발생 2 (망 분리 실패): 해커가 쇼핑몰 홈페이지를 해킹해서 뚫고 들어왔습니다. 같은 선, 같은 망을 쓰기 때문에 해커는 너무나 쉽게 관리자 권한을 탈취하거나 내부 DB로 침투할 수 있습니다.

📢 섹션 요약 비유: 성의 정문(In-Band) 1개로 백성(고객)과 왕의 비밀 전령(관리자)이 다 같이 출입하는 꼴입니다. 적군이 정문에 몰려와 깽판을 치면, 전령조차 성에 들어가지 못해 왕에게 구조 요청을 할 수가 없습니다.

Ⅱ. OOB (Out-Of-Band) 관리의 완벽한 격리

이 사태를 막기 위해, 데이터센터 랙(Rack)을 짤 때는 무조건 네트워크 장비를 2세트 삽니다.

  1. 메인 데이터망 (In-Band): 비싼 10Gbps/100Gbps 스위치를 달아 손님들의 웹 트래픽만 처리합니다.
  2. 관리망 (OOB 망): 랙 꼭대기에 싼 1Gbps짜리 관리 전용 스위치를 하나 더 답니다. 그리고 서버의 **BMC(앞서 배운 전용 관리 칩)**나 IPMI 전용 포트에서 선을 뽑아 이 스위치에만 꽂습니다. 이 망은 외부 인터넷과 물리적으로 완전히 끊어져 있으며(에어갭), 오직 회사의 VPN이나 깐깐한 방화벽을 거친 관리자만 들어올 수 있습니다.

물리적 망 분리 아키텍처 (ASCII)

       [ 인터넷 (해커의 DDoS 폭격) ]          [ 사내 비밀망 (관리자 PC) ]
                   │                                               │
 ╔═════════════════▼══════════╗           ╔═════════▼══════════╗
 ║  [ 데이터 스위치 (100Gbps) ]║           ║  [ OOB 관리 스위치 ] ║
 ╚═════════════════╤══════════╝           ╚═════════╤══════════╝
 (100% 마비됨)       │                                │ (여유로움, 평화로움)
                   ▼                                ▼
       ┌────── 일반 랜카드(NIC) ─────────────── BMC 칩 전용 포트 ──┐
       │                                                           │
       │                   서버 메인보드                           │
       └───────────────────────────────────────────────────────────┘

📢 섹션 요약 비유: 성의 정문(In-Band)과는 완전히 반대편 산기슭에, 오직 왕의 직속 전령만 아는 비밀 개구멍(OOB 망)을 뚫어두었습니다. 정문이 적군에게 포위되어 난장판이 되어도, 전령은 뒷구멍으로 여유롭게 들어와 왕을 구출(서버 재부팅)해 냅니다.

Ⅲ. 시리얼 콘솔 (Serial Console)의 부활

네트워크가 아예 안 되는 극한의 깡통 상태(네트워크 칩마저 타버림)라면 어떻게 할까요? 이때 쓰이는 최후의 OOB 수단이 바로 수십 년 전 방식인 **RS-232 시리얼 통신(COM 포트)**입니다.

데이터센터에는 '콘솔 서버(Console Server)'라는 장비가 있습니다. 수십 대 서버의 시리얼 포트(COM)를 다 모아놓은 장비입니다. 랜선 IP 통신이 모두 죽어버려도, 관리자는 이 콘솔 서버에 접속해 아날로그 텍스트 통신으로 서버의 밑바닥 리눅스 부팅 터미널을 조작할 수 있습니다. 화려한 그래픽을 버리고 텍스트만 보내는 낡은 기술이, 클라우드 시대에 최후의 생명줄(OOB)로 굳건히 쓰이고 있는 아이러니한 현상입니다.