211. 네트워크 보안 3대 영역 — 경계/세그멘테이션/무결성

⚠️ 이 문서는 해커의 침입을 막고, 침입한 해커의 이동을 제한하며, 데이터가 통신 중에 변조되지 않도록 지키는 전통적이고 핵심적인 **네트워크 방어 아키텍처의 3대 요소(경계 보안, 네트워크 분리, 데이터 무결성)**를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 외부의 위협이 내부로 들어오지 못하게 성벽을 치고(경계), 성벽이 뚫리더라도 방마다 쇠창살을 달아 해커의 확산을 막으며(세그멘테이션), 오가는 연락망(데이터)이 중간에 조작되지 않도록 암호화하는(무결성) 다층 방어 체계다.
  2. 가치: 단 하나의 보안 장비(예: 방화벽)에만 의존할 때 발생하는 단일 장애점(SPOF) 리스크를 제거하고, '심층 방어(Defense in Depth)' 철학을 인프라 레벨에 구현하여 기업의 존립을 보호한다.
  3. 기술 체계: 방화벽(FW)/침입방지(IPS)를 통한 입구 통제, VLAN과 서브넷을 통한 망분리(망 연계 시스템), 그리고 IPSec VPN 및 MAC(메시지 인증 코드)을 활용한 암호화 통신으로 완성된다.

Ⅰ. 경계 보안 (Perimeter Security): 철옹성의 구축

모든 공격의 첫 번째 관문이자 외부망(인터넷)과 내부망의 접점이다.

  1. 성벽과 출입국 관리소:
    • 기업 네트워크로 들어오는 유일한 길목(게이트웨이)에 강력한 검문소를 세우는 것이다. "아무도 믿지 않는다"는 전제하에 외부의 악성 트래픽을 필터링한다.
  2. 핵심 보안 장비 (DMZ 구간):
    • 방화벽 (Firewall): IP와 포트 번호를 확인하여(L3/L4) 허가받은 트래픽만 들여보낸다.
    • IPS (침입 방지 시스템): 포트가 열려있더라도(예: 80번 웹 포트), 그 안에 숨어있는 악성코드나 SQL 인젝션 패턴(L7)을 패킷의 내용(Payload)까지 뜯어보고 차단한다.
    • DDoS 방어 장비 (Anti-DDoS): 무식하게 밀고 들어오는 대규모 트래픽 쓰레기 더미를 우회시켜 서버 마비를 막는다.

📢 섹션 요약 비유: 중세 시대 성의 가장 바깥쪽에 있는 높은 성벽과 같습니다. 경비병(방화벽)이 신분증과 마차 번호판을 검사하고, 세관원(IPS)이 마차 안에 폭탄이 없는지 박스를 직접 열어 내용물을 샅샅이 뒤져보는 첫 번째 통제선입니다.

Ⅱ. 세그멘테이션 (Segmentation / 망분리): 방화벽이 뚫린 이후의 대비

해커가 경계 보안을 우회해 내부 직원의 PC(엔드포인트) 하나를 감염시켰을 때의 피해를 최소화하는 전략이다.

  1. 평평한 네트워크(Flat Network)의 재앙:
    • 내부망이 통째로 하나로 연결되어 있으면, 영업팀 PC 1대가 랜섬웨어에 감염되는 순간 회계팀 DB와 공장 제어 서버까지 순식간에 수평 확산(Lateral Movement)되어 회사 전체가 초토화된다.
  2. 네트워크 분할 (VLAN 및 마이크로 세그멘테이션):
    • 스위치의 VLAN 기능이나 서브넷 마스크를 이용해 네트워크를 잘게 쪼갠다. (예: 개발망, 운영망, 회계망, 임원망 분리)
    • 각 조각(망) 사이를 통과할 때 반드시 또 다른 내부 방화벽(ACL)의 승인을 받도록 만든다. 망분리(물리적/논리적)는 가장 강력한 세그멘테이션의 형태다.
  3. 최소 권한의 원칙:
    • 영업팀 서브넷에서는 회계망으로 가는 통로(라우팅) 자체를 아예 끊어버린다.

📢 섹션 요약 비유: 잠수함이 어뢰를 맞아 한 칸에 물이 차더라도(감염), 잠수함 전체가 가라앉지 않도록 두꺼운 격벽(세그멘테이션)을 내리고 문을 굳게 잠가버리는 것과 같습니다. 침입자가 복도를 따라 옆방으로 이동(수평 확산)하려는 것을 물리적으로 차단합니다.

Ⅲ. 통신 무결성 (Integrity) 유지: 중간자 공격 방어

네트워크 내부를 흐르는 데이터 자체를 보호하는 마지막 방어선이다.

  1. 데이터 변조의 위협 (Man-in-the-Middle):
    • 해커가 스위치 미러링이나 ARP 스푸핑 등으로 통신망의 패킷을 가로채서, 송금 계좌 번호를 자기 계좌로 슬쩍 바꿔치기하고 다시 전송하는 것을 막아야 한다.
  2. 해시(Hash)와 메시지 인증 코드(MAC):
    • 데이터에 지문(Hash)을 찍고, 송신자와 수신자만 아는 비밀키를 이용해 HMAC(Hash-based Message Authentication Code)을 생성하여 패킷 뒤에 붙여 보낸다.
    • 수신자는 데이터를 받고 직접 지문을 계산해 본 뒤, HMAC과 다르면 "이 데이터는 배달 도중 누군가 뜯어보고 변조했구나!"라고 판단하여 즉시 폐기한다.
  3. VPN과 IPsec:
    • 인터넷이라는 공용 도로를 지날 때, 데이터에 무결성(AH)과 암호화 기밀성(ESP) 터널을 씌워 본사와 지사 간의 안전한 통신을 보장한다.

📢 섹션 요약 비유: 중요한 결재 서류(데이터)를 보낼 때, 중간에 배달부가 숫자를 지우고 고쳐 쓰지 못하도록 서류 봉투 입구에 촌장을 녹여 특별한 문양의 도장(MAC/무결성)을 찍어 봉인하는 것과 같습니다. 도장이 깨져있으면 무조건 가짜 서류로 간주하고 버립니다.