Brain539. NetFlow (Cisco) / sFlow 트래픽 흐름 모니터링 분석 프로토콜
핵심 인사이트 (3줄 요약)
- 본질: NetFlow는 단순한 패킷의 양(Volume)을 넘어, "누가, 누구에게, 언제, 어떤 프로토콜로, 얼마나 오랫동안" 통신했는지에 대한 연결 컨텍스트(Flow)를 수집하여 분석하는 트래픽 흐름 모니터링 프로토콜이다.
- 가치: 기존 SNMP가 전체 포트의 대역폭 점유율만 보여주는 '시력 0.1' 수준이었다면, NetFlow와 sFlow는 특정 부서의 누가 유튜브 스트리밍으로 대역폭을 고갈시키고 있는지, 혹은 외부에서 들어오는 트래픽이 DDoS 공격인지 정상 트래픽인지 구분해내는 '정밀 엑스레이' 역할을 수행한다.
- 융합: 시스코 전용 기술이었던 NetFlow(v9)는 IETF 표준인 IPFIX로 진화하였고, ASIC 하드웨어 레벨에서 무작위 패킷을 추출해 CPU 부하를 최소화하는 sFlow(샘플링 기반) 기술과 현장에서 상호 보완적으로 융합되어 SIEM 및 차세대 관제 시스템의 핵심 데이터 소스로 활용된다.
Ⅰ. 개요 및 필요성 (Context & Necessity)
- 개념: NetFlow는 Cisco 라우터와 스위치에서 IP 네트워크 트래픽의 메타데이터(흐름, Flow)를 수집하고 전송하기 위해 개발된 프로토콜이다. 패킷의 페이로드(내용) 전체를 복사하는 대신, 패킷 헤더 정보를 바탕으로 특정 통신 연결의 시작과 끝, 전송량에 대한 '요약 영수증'을 생성한다.
- 필요성: 기업 네트워크 관리자들은 "왜 인터넷이 느리지?"라는 질문에 직면할 때 SNMP 폴링만으로는 원인을 알 수 없다. SNMP는 포트 대역폭이 90% 찼다는 '현상'만 알려줄 뿐, 그 안의 '내용물'을 알려주지 않기 때문이다. 보안 침해 조사, 부서별 네트워크 과금(Billing), QoS 정책 수립을 위해서는 흐름 단위의 정밀한 가시성이 반드시 필요하다.
- 등장 배경: ① 패킷 전체를 떠서 분석하는 패킷 스니핑(Packet Capture)은 디스크 용량 한계와 장비 부하로 장기 운영 불가 → ② SNMP의 단순 포트 통계 제공 한계 노출 → ③ 라우터 내부 메모리에 플로우(Flow) 상태 테이블을 만들어 '메타데이터'만 가볍게 중앙으로 전송하는 NetFlow 아키텍처의 탄생.
┌─────────────────────────────────────────────────────────────┐
│ SNMP와 NetFlow의 가시성 차이 비교 │
├─────────────────────────────────────────────────────────────┤
│ │
│ [SNMP] (계량기) │
│ "GigabitEthernet 0/1 포트의 현재 사용량은 850Mbps 입니다." │
│ ─▶ 원인 파악 불가능 (정상 업무 트래픽인가? 악성코드 전파인가?) │
│ │
│ [NetFlow] (영수증) │
│ "Source: 192.168.1.5 (PC) ─▶ Dest: 104.20.15.5 (외부) │
│ Protocol: TCP, Port: 443 (HTTPS) │
│ Packets: 15,000, Bytes: 22 MB, Time: 09:10~09:12" │
│ ─▶ 특정 사용자(192.168.1.5)가 암호화된 대용량 트래픽을 유발 중임을 확인!│
└─────────────────────────────────────────────────────────────┘
[다이어그램 해설] 이 그림은 네트워크 모니터링 패러다임이 '인프라 관점'에서 '세션 및 컨텍스트 관점'으로 어떻게 진화했는지 보여준다. SNMP는 수도 계량기처럼 총량만 측정하므로, 물이 어디로 새는지 알 수 없다. 반면 NetFlow는 신용카드 결제 영수증처럼 누가 어디서 무엇을 샀는지(메타데이터)를 기록한다. 실무에서는 이 두 가지가 결합되어, SNMP로 포트 임계치 알람을 띄우고 NetFlow로 그 알람의 정확한 내역을 뜯어보는 워크플로우를 형성한다.
- 📢 섹션 요약 비유: 고속도로 톨게이트에서 하루 통과 차량이 총 1만 대라고만 세는 것이 SNMP라면, 1만 대 중 트럭이 몇 대고 어느 톨게이트를 통해 어디로 빠져나갔는지를 번호판을 보고 엑셀로 정리하는 것이 NetFlow입니다.
Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)
구성 요소
| 요소명 | 역할 | 내부 동작 | 프로토콜/특징 | 비유 |
|---|---|---|---|---|
| 플로우 (Flow) | 식별 기준이 되는 통신 단위 | 동일한 7-Tuple(IP, 포트 등)을 가지는 패킷들의 묶음 | L3/L4 헤더 기준 | 하나의 통화 내역 |
| Exporter (수출자) | 트래픽 관측 및 요약 전송 | 라우터/스위치 메모리(Cache)에 플로우를 기록 후 타이머 만료 시 중앙으로 푸시(Push) | 라우터/L3 스위치 기능 | 고속도로 톨게이트 카메라 |
| Collector (수집기) | 데이터 중앙 집중 저장 | 다수의 Exporter가 뿜어내는 수천만 건의 요약 데이터를 수집, 파싱, 디스크 저장 | UDP 기반 수신 | 영수증 수합 본사 |
| Analyzer (분석기) | 시각화 및 알람 정책 적용 | 수집된 데이터를 엘라스틱서치(ElasticSearch) 등으로 분석해 대시보드 도표화 및 이상 징후 탐지 알람 발송 | SIEM, NMS 소프트웨어 | 통계 분석관 |
NetFlow 흐름(Flow) 생성 및 캐시 만료 원리
NetFlow에서 가장 중요한 것은 패킷을 어떻게 하나의 '플로우(Flow)'로 묶고, 언제 그것을 수집기로 보낼 것인가를 결정하는 캐시 에이징(Cache Aging) 메커니즘이다.
플로우를 식별하는 **7-Tuple(7가지 속성)**은 다음과 같다.
- Source IP (출발지 IP)
- Destination IP (목적지 IP)
- Source Port (출발지 포트)
- Destination Port (목적지 포트)
- L3 Protocol Type (프로토콜 타입, 예: TCP=6, UDP=17)
- ToS / DSCP (서비스 타입 / QoS 바이트)
- Input Logical Interface (인입 논리 인터페이스) 위 7가지 중 하나라도 다르면 스위치는 메모리에 새로운 플로우 엔트리(Entry)를 생성한다.
┌───────────────────────────────────────────────────────────────┐
│ NetFlow Exporter 내부 처리 흐름도 │
├───────────────────────────────────────────────────────────────┤
│ │
│ [패킷 유입] ───▶ [7-Tuple 검사] │
│ │ │
│ (기존 테이블에 있는가?) │
│ ↙ ↘ │
│ [예 (Match)] [아니오 (Miss)] │
│ │ │ │
│ [패킷/바이트 카운트 증가] [새로운 플로우 테이블 생성] │
│ │ │ │
│ ▼ ▼ │
│ ┌────────────────────────────────────────┐ │
│ │ NetFlow Cache (RAM 메모리) │ │
│ │ 1. Src: A, Dst: B, Port: 80 ... 5MB │ │
│ │ 2. Src: C, Dst: D, Port: 22 ... 10KB │ │
│ └────────────────────────────────────────┘ │
│ │ │
│ [Active Timer / Inactive Timer 만료] │
│ (통신 종료 FIN/RST 감지 시 즉시) │
│ │ │
│ ▼ │
│ [NetFlow 요약 패킷(UDP 2055) 생성 및 Collector로 푸시] │
└───────────────────────────────────────────────────────────────┘
[다이어그램 해설] 패킷이 초당 백만 개 단위로 쏟아질 때, 라우터는 이 패킷들을 하나하나 서버로 보내지 않는다. 대신 라우터 내부의 RAM(Cache)에 장부를 차려두고 통계(카운트)만 올린다. 통신이 완료(TCP FIN)되거나, 플로우가 한동안 활동이 없는 경우(Inactive Timer, 보통 15초), 또는 통신이 너무 오래 지속되어 쪼갤 필요가 있을 때(Active Timer, 보통 1분~30분) 라우터는 해당 플로우 장부 내역을 지우면서 그 영수증을 UDP 패킷 하나로 압축하여 중앙의 수집기(Collector)에 던진다. 이 방식은 네트워크 대역폭 소비를 실제 트래픽의 1% 미만으로 획기적으로 줄여주지만, 캐시 메모리를 점유하므로 라우터의 자원(CPU/RAM) 부하를 유발한다는 트레이드오프가 있다.
- 📢 섹션 요약 비유: 택시 미터기와 같습니다. 손님이 타고 내릴 때까지 미터기(캐시)에 요금(바이트)을 누적시키다가, 손님이 내리면(통신 종료) 최종 금액이 적힌 영수증 한 장(NetFlow 패킷)만 쏙 뽑아서 회사(수집기)로 제출하는 원리입니다.
Ⅲ. 융합 비교 및 다각도 분석
NetFlow vs sFlow 비교 매트릭스
고속의 트래픽을 처리하는 환경에서는 NetFlow의 방식(상태 테이블 유지)조차 장비에 치명적인 메모리 부하를 줄 수 있다. 이를 해결하기 위해 등장한 것이 무작위 샘플링(Sampling)을 기반으로 하는 **sFlow(Sampled Flow, RFC 3176)**다.
| 비교 항목 | NetFlow (IPFIX) | sFlow (Sampled Flow) |
|---|---|---|
| 처리 원리 | 상태 기반 (Stateful) - 모든 패킷을 검사해 흐름 테이블(Cache)을 유지 | 무상태 (Stateless) - N개의 패킷 중 1개를 랜덤으로 추출해 헤더/일부 페이로드만 전송 |
| 정확도 | 100% 정밀 (과금, 완벽한 포렌식 가능) | 통계적 추정치 (과금 불가, 전체 트렌드 파악용) |
| 라우터 부하 (CPU/RAM) | 높음 (테이블 유지 비용 증가, DDoS 방어 시 캐시 고갈 위험) | 매우 낮음 (ASIC/하드웨어 레벨에서 샘플링, 스위치 부하 거의 없음) |
| 지원 범위 | L3, L4 정보 중심 (IP, 포트) | L2~L7 전체 (MAC, VLAN 포함, 페이로드 앞부분 복사 전송) |
| 표준 및 생태계 | Cisco 주도 (v5, v9) -> IPFIX (RFC 7011) 표준화 | InMon 주도 산업 표준 (HP, Juniper 등 폭넓게 지원) |
NetFlow는 정확한 가계부를 쓰는 방식이고, sFlow는 여론조사(출구조사)를 하는 방식이다. 100G, 400G 백본 스위치 라인에서는 모든 패킷의 상태를 캐싱하는 NetFlow가 불가능에 가까우므로 하드웨어 스위칭에 전혀 영향을 주지 않는 sFlow가 필수적이다.
┌───────────────────────────────────────────────────────────────┐
│ DDoS 공격 상황 시 NetFlow와 sFlow의 부하 차이 │
├───────────────────────────────────────────────────────────────┤
│ │
│ [DDoS IP 스푸핑 공격 발생: 무작위 Source IP로 100만 패킷 유입] │
│ │
│ [NetFlow 스위치] [sFlow 스위치] │
│ │ │ │
│ 7-Tuple 검사 시 IP가 모두 다름 1000개당 1개만 뽑음 │
│ │ │ │
│ ▼ ▼ │
│ 캐시 테이블에 100만 개의 Entry 생성 시도 단 1000개의 샘플만 │
│ ─▶ 메모리 풀(Full) 발생, 라우터 다운 위험! 그대로 수집기로 전송 │
│ ─▶ Sampled NetFlow 모드 긴급 적용 필요 ─▶ 장비 부하 전혀 없음! │
└───────────────────────────────────────────────────────────────┘
[다이어그램 해설] DDoS(예: SYN Flood, IP 스푸핑) 공격 시 출발지 IP가 계속 바뀌어 들어오면, NetFlow는 이를 전부 새로운 '통신 흐름'으로 오해하여 메모리 상에 무수히 많은 플로우 테이블을 생성하려고 시도한다. 결과적으로 캐시 오버플로우가 발생하여 네트워크 장비 자체가 뻗어버릴 수 있다. 이를 방지하기 위해 최신 라우터는 Sampled NetFlow 모드를 지원하지만, 태생적으로 상태비저장(Stateless)인 sFlow는 애초에 무작위로 추출한 패킷 헤더 자체를 수집기로 쏴버리기 때문에 스위치 단의 메모리 고갈 위험 자체가 존재하지 않아 대용량 백본망 보호에 더 유리하다.
- 📢 섹션 요약 비유: 넷플로우는 톨게이트를 지나는 모든 차량의 번호를 적어두는 성실한 기록원이고, 에스플로우(sFlow)는 100대 중 1대만 무작위로 세워 사진만 찍고 보내는 통계 조사원과 같습니다. 고속도로(백본)가 막힐 때는 에스플로우 방식이 더 안전합니다.
Ⅳ. 실무 적용 및 기술사적 판단
실무 시나리오: NetFlow 기반 차세대 DDoS 차단 아키텍처 (BGP RTBH/Flowspec 연동)
- 상황: 대형 게임사 IDC 입구 망에 대역폭 50Gbps를 초과하는 대규모 볼륨형 DDoS 공격이 유입되었다. 단순 방화벽이나 IPS는 세션 테이블을 다 소진하여 뻗어버렸다. 관리자는 수십 기가의 공격 트래픽이 어떤 IP 대역으로 향하고 어떤 패턴인지 파악하고 차단해야 한다.
- 원인 및 한계: 기존의 인라인(In-line) 방식 IPS는 한계 용량을 초과하면 전체 네트워크 지연을 유발한다. 따라서 데이터 플레인(패킷 포워딩)과 제어 플레인(차단 룰)을 분리하여 아웃오브밴드(Out-of-band) 방식으로 모니터링하고 차단하는 시스템이 필요하다.
- 의사결정 및 조치 (NetFlow 연동 아키텍처):
- 엣지 라우터에서 NetFlow 데이터를 SIEM/DDoS 탐지 솔루션으로 실시간 푸시한다.
- 탐지 솔루션은 엘라스틱서치(ElasticSearch) 및 임계치 알고리즘을 통해 5초 이내에 공격 타겟 IP와 포트 패턴을 식별한다.
- 탐지 솔루션은 즉시 엣지 라우터에 BGP Flowspec 프로토콜을 사용해 동적으로 차단 라우팅 룰을 전파하거나, RTBH (Remotely Triggered Black Hole) 기능을 이용해 타겟으로 가는 트래픽을 상단 라우터에서 쓰레기통(Null0)으로 버려 인프라 내부로 유입되지 않도록 선제 방어한다.
┌─────────────────────────────────────────────────────────────┐
│ NetFlow + BGP Flowspec을 활용한 DDoS 방어 토폴로지 │
├─────────────────────────────────────────────────────────────┤
│ │
│ [공격 트래픽 50G] │
│ │ │
│ ▼ │
│ ┌───────────────┐ ┌───────────────────┐ │
│ │ 인터넷 엣지 라우터 │── NetFlow (수집) ─▶│ DDoS 탐지/분석 서버 │ │
│ └───────────────┘ │ (임계치 초과 판별) │ │
│ │ └───────────────────┘ │
│ │ │ │
│ (DDoS 유입) BGP Flowspec 차단 룰 주입 │
│ │ (예: UDP 포트 80 차단) │
│ ▼ │ │
│ [내부 서버 (장애)] ◀─────────────────────────┘ │
│ │
│ => 결과: 라우터가 BGP 룰을 받아 하드웨어 ASIC 레벨에서 패킷을 드롭함. │
│ 네트워크 부하 즉시 해소, 정상 서비스 복구. │
└─────────────────────────────────────────────────────────────┘
[다이어그램 해설] 이 아키텍처는 현대 통신사 및 대형 클라우드에서 필수적으로 사용하는 Out-of-Band DDoS 방어 체계다. 트래픽의 모든 패킷을 보안 장비가 일일이 까보지 않는다. 라우터가 넘겨주는 가벼운 'NetFlow 영수증'만 분석 서버가 모니터링하다가 폭증하는 패턴이 보이면, 즉각 라우터에게 "이런 패턴의 패킷은 하드웨어 단에서 바로 버려라"라는 명령(BGP Flowspec)을 내린다. 이 과정이 플립플롭이 닫히듯 수 초 내에 자동으로 이루어짐으로써 거대 볼륨 공격을 인프라 엣지에서 손쉽게 무력화할 수 있다.
도입 체크리스트 및 안티패턴
-
타이머 설정 튜닝 (Active Timer): NetFlow Active Timer 기본값(보통 30분)을 그대로 두면, 장시간 이어지는 SSH 세션이나 대용량 파일 다운로드 트래픽이 30분 후에야 수집기로 날아온다. 실시간 악성 트래픽 탐지를 위해 이 값을 1분(60초)으로 튜닝해야만 즉각적인 관제가 가능하다.
-
안티패턴: 사내망 스위치의 모든 포트(Access Port)에 양방향(Inbound/Outbound) NetFlow를 활성화하는 행위. 이는 동일한 플로우가 스위치 이 포트 저 포트에서 중복 카운트되어 수집기 디스크 용량을 폭파시키고 대역폭을 부풀리는 결과를 낳는다. 라우터나 코어 스위치의 트렁크(Trunk) 포트에서 Inbound만 잡거나, 명확한 관문(Choke Point)에서 캡처하는 엣지 관찰 아키텍처가 필수적이다.
-
📢 섹션 요약 비유: 수만 대의 CCTV(패킷 미러링)를 사람이 다 보는 것은 불가능하므로, 번호판 자동 인식기(NetFlow)를 설치해 도난 차량(DDoS) 번호가 뜨면 즉각 차단기(BGP Flowspec)를 내리는 스마트 고속도로 통제 시스템과 같습니다.
Ⅴ. 기대효과 및 결론
정량/정성 기대효과
| 구분 | 도입 전 (SNMP 및 SPAN 미러링 위주) | 도입 후 (NetFlow / sFlow 수집 분석) | 개선 효과 |
|---|---|---|---|
| 정량 (비용) | 패킷 저장용 대형 스토리지(TAP) 구매 및 유지비 수억 원 | 트래픽 1/1,000 압축 메타데이터만 전송 및 보관 | 저장소 요구량 99% 절감 |
| 정량 (탐지 속도) | 사용자 컴플레인 접수 후 수동 패킷 분석 (수십 분 소요) | Elastic/Kibana 연동으로 대역폭 포식자 즉시 시각화 | 침해 원인 식별 속도 초 단위 단축 |
| 정성 (보안/운영) | 망 내부 수평 전파(Lateral Movement) 가시성 없음 | 내부 자산 간 랜섬웨어 전파 포트 및 연결 컨텍스트 시각화 획득 | 제로 트러스트(Zero Trust) 가시성 확보 및 청구 과금(Billing) 증빙 마련 |
미래 전망 및 진화 방향
- IPFIX (IP Flow Information Export, RFC 7011)의 표준화: Cisco 종속적이었던 NetFlow v9을 기반으로 IETF 산업 표준인 IPFIX가 정착되었다. IPFIX는 고정된 포맷을 버리고 유연한 템플릿 구조를 사용하여, 단순 IP/Port 정보를 넘어 애플리케이션 ID, HTTP 호스트 이름, 지연 시간 측정치까지 메타데이터로 함께 실어 나르는 거대한 텔레메트리 캐리어로 진화하고 있다.
- 스트리밍 텔레메트리 (Streaming Telemetry)와의 융합: NetFlow가 '과거의 사건'을 폴링 주기나 타이머 만료 시점에 밀어내는 방식이라면, 최신 gRPC 기반의 스트리밍 텔레메트리는 '마이크로버스트(초단기 트래픽 폭증)' 현상까지 수 밀리초 단위로 중앙 관제 컨트롤러에 푸시한다. 향후 6G 인프라 및 AI 기반 자율 운영 네트워크(AIOps)에서는 두 기술이 상호 보완적으로 작동할 것이다.
참고 표준
- RFC 3954: Cisco Systems NetFlow Services Export Version 9
- RFC 7011: Specification of the IP Flow Information Export (IPFIX) Protocol
- RFC 3176: InMon Corporation's sFlow
네트워크에서 일어나는 모든 이벤트는 반드시 흔적(Flow)을 남긴다. 이 거대한 흔적의 바다에서 핵심 컨텍스트만 건져 올리는 넷플로우(NetFlow) 아키텍처는 통신 인프라가 존재하는 한 가장 강력한 관제 레이더로 영속할 것이다.
- 📢 섹션 요약 비유: 인터넷이라는 혈관을 타고 도는 무수한 핏방울(패킷)을 다 뽑아 검사하지 않고, 혈액의 흐름과 속도(Flow)만 초음파로 정밀하게 읽어내어 병목과 질병(해킹)을 즉각 찾아내는 최첨단 MRI 장비와 같습니다.
📌 관련 개념 맵 (Knowledge Graph)
| 개념 명칭 | 관계 및 시너지 설명 |
|---|---|
| IPFIX (IP Flow Information Export) | NetFlow v9을 기반으로 만들어진 국제 표준으로, 벤더 제약 없이 유연한 템플릿(Template)을 사용하여 다양한 네트워크 장비 간 상호 운용성을 보장한다. |
| 7-Tuple (7가지 식별자) | 스위치가 수백만 개의 패킷 중 '동일한 통화(세션)'임을 인지하기 위해 IP, Port, 프로토콜, ToS, 인터페이스를 조합해 만든 절대적인 플로우 식별 키 값이다. |
| BGP Flowspec (RFC 5575) | NetFlow로 이상 트래픽을 탐지한 후, 방화벽을 거치지 않고 라우터단에서 특정 조건(IP, Port 등)의 패킷을 하드웨어적으로 즉시 폐기하도록 지시하는 라우팅 방어 기술이다. |
| Active/Inactive Timer | 통신이 계속 길어지거나(Active), 끊긴 후 무응답일 때(Inactive) 라우터 메모리가 고갈되지 않도록 강제로 플로우 영수증을 끊어 수집기로 보내는 캐시 관리 정책이다. |
| SNMP (Simple Network Management Protocol) | NetFlow가 디테일한 영수증 내역을 제공한다면, SNMP는 장비 자체의 CPU 부하나 인터페이스 총 사용량(계량기)을 폴링하는 상호 보완적 모니터링 기술이다. |
👶 어린이를 위한 3줄 비유 설명
- 고속도로(네트워크) 관리자는 지나가는 수십만 대의 차 안(패킷)에 누가 탔고 무슨 얘기를 하는지 일일이 다 들어볼 수는 없어요. 그래서 길이 꽉 막혀버리거든요.
- NetFlow는 차 안을 보지 않고, 톨게이트 카메라를 통해 "빨간 트럭이 A 톨게이트에서 B 톨게이트로 15분 동안 짐을 옮겼다"라는 깔끔한 요약 영수증만 본사에 보내는 기술이에요.
- 이 영수증 덕분에, 누가 쓸데없이 도로를 꽉 막고 있는지(유튜브 족), 나쁜 도둑 차(DDoS 공격)가 어디서 몰려오는지 장비 고장 없이 순식간에 알아내서 차단기를 내릴 수 있답니다.