526. DHCP Snooping - 불법 DHCP 서버 차단 보안기능

핵심 인사이트: 아무나 식당 카운터에 앉아서 손님에게 "저쪽 빈자리 앉으세요"라고 안내하면 대혼란이 벌어진다. DHCP 스누핑은 스위치가 카운터(DHCP 서버) 위치를 정확히 기억해 두고, 엉뚱한 테이블(가짜 해커 공유기)에서 자리 안내(IP 제안)를 하려 하면 즉시 그 입을 틀어막는(포트 차단) 완벽한 방어 기술이다.

Ⅰ. DHCP 환경의 치명적 취약점 (Rogue DHCP Server)

클라이언트가 IP를 달라고 DHCP Discover(브로드캐스트)를 외치면, 네트워크 내의 어떤 기기라도 응답할 수 있습니다. 해커가 악의적인 무선 공유기(Rogue DHCP Server)를 사내망에 몰래 꽂아두면, 진짜 서버보다 먼저 DHCP Offer를 날려 가짜 IP와 가짜 게이트웨이(해커의 PC) 주소를 할당할 수 있습니다. 이렇게 되면 클라이언트의 모든 인터넷 트래픽이 해커를 거쳐 가는 중간자 공격(MitM) 이 성립됩니다.

Ⅱ. DHCP Snooping의 개념

DHCP Snooping(스누핑)은 L2 스위치에서 제공하는 강력한 보안 기능입니다. 스위치가 지나가는 DHCP 패킷들을 몰래 엿듣고(Snooping) 분석하여, 허가받지 않은 불법 DHCP 서버가 IP를 할당하려는 시도를 원천 차단합니다.

Ⅲ. DHCP Snooping의 핵심 동작 (Trust / Untrust 포트)

스위치 관리자는 스위치의 포트들을 두 가지로 엄격하게 나눕니다.

1. Trust Port (신뢰 포트)
   • 진짜 사내 DHCP 서버가 연결된 포트입니다. (또는 위쪽 라우터로 향하는 포트)
   • 이 포트로 들어오는 DHCP 서버의 응답 패킷(Offer, Ack)만 정상으로 간주하고 통과시킵니다.
2. Untrust Port (비신뢰 포트)
   • 일반 직원들의 PC나 스마트폰이 연결되는 포트입니다. 기본적으로 모든 포트는 Untrust로 설정됩니다.
   • 만약 이 포트에서 감히 서버가 보내야 할 DHCP Offer나 DHCP Ack 패킷이 들어온다? 스위치는 즉시 "불법 서버다!"라고 간주하여 패킷을 폐기(Drop) 하고, 해당 포트를 강제로 차단(Err-disable)해 버립니다.

Ⅳ. 추가 보안 효과 (DAI 방어)

스누핑은 단순히 패킷만 막는 것이 아니라, 합법적으로 IP를 받아 간 PC들의 목록(MAC 주소 - IP 주소 - 연결된 포트 번호)을 스위치 내부 메모리에 표(DHCP Snooping Binding Database)로 저장해 둡니다. 이 표는 나중에 다른 해커가 남의 IP나 MAC 주소를 훔쳐 쓰는 ARP Spoofing 공격을 막는 DAI(Dynamic ARP Inspection) 기능의 핵심 재료로 완벽하게 활용됩니다.

📢 섹션 요약 비유: 회사 로비 게이트(스위치)에서 경비원(Snooping)이 지키고 섰다가, 사장님실(Trust 포트)에서 내려오는 결재 서류(DHCP Offer)만 통과시켜 주고, 일반 신입사원 자리(Untrust 포트)에서 자기가 사장인 척 결재 서류를 내밀면 즉시 서류를 찢고 그 직원을 내쫓아버리는 철통 보안 시스템입니다.