222. North-South 트래픽 (경계 통과 통신 방어)

⚠️ 이 문서는 조직의 네트워크 아키텍처에서 데이터센터(또는 클라우드 VPC) 내부 서버들끼리의 횡적인 통신(East-West)과 대비되는 개념으로, 스마트폰을 든 외부 고객(인터넷)이 사내망으로 접속해 들어오거나 반대로 내부 직원이 외부 인터넷으로 나가는 '수직적인 경계 통과 트래픽(North-South)'과 이를 철통같이 틀어막는 전통적이고 강력한 관문 보안 모델을 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 네트워크 구성도를 그릴 때 보통 상단(North)에 넓은 인터넷 망을 그리고 하단(South)에 사내 데이터센터를 그리는 관행에서 유래한 용어로, 외부와 내부를 가로지르는(Inbound/Outbound) 트래픽의 흐름이다.
  2. 가치: 가장 무식하고 거대한 디도스(DDoS) 공격과 악성코드의 직접적인 유입 경로이므로, 회사가 가진 가장 비싸고 성능 좋은 거대 보안 장비(방화벽, IPS, WAF, 로드밸런서)를 이 길목 단 한 곳(Choke Point)에 집중적으로 세워 성벽을 쌓는 성곽 방어(Perimeter Security)의 핵심 대상이다.
  3. 기술 체계: 외부에서 들어오는 인바운드(Inbound)를 통제하는 DMZ (웹 서버 및 API 게이트웨이) 구축과, 내부 직원이 몰래 밖으로 회사 기밀 데이터를 빼돌리는 아웃바운드(Outbound)를 감시하는 전진 배치 프록시(Forward Proxy)나 DLP(데이터 유출 방지) 시스템으로 양방향을 쪼개어 통제한다.

Ⅰ. 데이터센터의 톨게이트: North-South의 구조

모든 적은 위(인터넷)에서 아래(데이터센터)로 내려온다.

  1. 지리적 방위의 의미:
    • North (북쪽): 통제할 수 없는 거대하고 위험한 무법지대, 즉 외부 공용 인터넷(Public Internet) 망이다.
    • South (남쪽): 회사가 철저히 통제하고 보호해야 하는 사내 인트라넷, 데이터베이스, 프라이빗 클라우드(Private Subnet) 공간이다.
  2. 트래픽의 성격 (Inbound vs Outbound):
    • North $\rightarrow$ South (Inbound): 고객이 브라우저에서 '결제하기' 버튼을 눌러 사내 웹 서버로 들어오는 접속이다. 이 길목엔 SQL 인젝션, 웹쉘 업로드 등 해커의 악의적 공격이 무더기로 섞여 들어오므로 엑스레이 검사(WAF, IPS)가 필수다.
    • South $\rightarrow$ North (Outbound): 사내망에 있는 DB 서버가 운영체제 업데이트(Patch)를 받기 위해 외부 인터넷망으로 나가는 접속이다. 혹은 내부 직원이 앙심을 품고 고객 10만 명의 정보를 외부 구글 드라이브로 몰래 쏴버리는 유출(Data Exfiltration) 행위이므로 철저한 차단과 감시(DLP)가 필요하다.

📢 섹션 요약 비유: 마치 국경선(휴전선)을 넘나드는 통행과 같습니다. 북한(North, 인터넷)에서 남한(South, 사내망)으로 내려오는 트래픽(Inbound)은 간첩과 무장공비가 숨어있으니 철조망 초소에서 샅샅이 수색해야 하고, 반대로 남한에서 북한으로 월북하려는 트래픽(Outbound)은 군사 기밀을 싸 들고 도망가는 배신자일 수 있으니 이 역시 국경 경비대가 강력하게 통제해야 하는 남북 횡단 모델입니다.

Ⅱ. 인바운드 (In-Bound) 철통 방어 아키텍처

적을 맞이하는 첫 번째 최전선 진지는 어떻게 구축되는가.

  1. 디도스(DDoS) 방어와 트래픽 분산:
    • 공격은 무식하게 양(Volume)으로 밀고 들어오는 1차 관문부터 시작된다. 인터넷과 맞닿은 최전선 라우터 앞단에 Anti-DDoS 장비를 세워 쓰레기 봇 트래픽을 허공으로 날려버린다(Null Routing).
    • 정제된 트래픽은 로드밸런서(L4/L7 스위치)가 받아 밑(South)에 있는 10대의 웹 서버로 공평하게 나눠준다.
  2. 단일 병목 지점 (Choke Point)의 3중 방화벽:
    • N-S 트래픽의 특징은 "모든 패킷이 반드시 이 좁은 깔때기 한 곳을 통과해야만 내부에 들어올 수 있다"는 점이다.
    • 이 길목에 외부 방화벽(L4) $\rightarrow$ 웹 방화벽(WAF, L7) $\rightarrow$ 침입 방지 시스템(IPS)을 차례대로 직렬로 박아두어 패킷의 뼈와 살을 분리해 검사한다.
  3. DMZ (비무장 지대) 샌드박싱:
    • 이렇게 철저히 검사했음에도 통과한 트래픽은 사내망(DB)으로 직행시키지 않는다. 바깥의 웹 서버만 덩그러니 놓아둔 완충지대(DMZ)라는 임시 구역까지만 South로 내려오게 허락하여, 털려도 웹 서버 하나만 털리고 끝나게 막는다.

📢 섹션 요약 비유: 고속도로 요금소(Choke Point) 하나만 뚫어놓고 모든 차(패킷)를 그곳으로만 억지로 통과하게 만듭니다. 차가 톨게이트에 들어오면 1번 경찰이 트렁크를 열어보고(방화벽), 2번 탐지견이 마약을 냄새 맡고(WAF), 3번 경찰이 신분증을 대조하는(IPS) 3중 검문소입니다. 통과한 차도 바로 청와대(DB)로 가는 게 아니라, 일단 바깥에 있는 민원 안내실(DMZ)까지만 들어올 수 있게 하는 지독한 진지 구축술입니다.

Ⅲ. 아웃바운드 (Out-Bound) 통제와 NAT 게이트웨이

의외로 밖으로 새 나가는 것을 막는 것이 더 어렵고 중요하다.

  1. 내부 서버의 은닉 (Private Subnet):
    • 클라우드 환경에서 DB나 WAS 서버에는 아예 외부 공인 IP(Public IP) 자체를 주지 않는다. 외부에서 주소를 모르니 직접 찌를 방법이 없다.
  2. NAT 게이트웨이 (Network Address Translation):
    • 사내 DB 서버가 밖(인터넷)에서 업데이트 패치를 다운받으려면 밖으로 나가야(Outbound) 한다. 공인 IP가 없는 DB 서버를 위해, DMZ 구역에 'NAT 게이트웨이'를 세워둔다.
    • 사내 DB는 NAT를 거쳐 공인 IP로 변장한 뒤 외부로 나간다. 밖에서는 이 패킷이 방화벽 IP에서 나온 것처럼 보이므로 진짜 DB 서버의 주소는 영원히 감춰진다.
  3. 포워드 프록시 (Forward Proxy)와 암호화 감시:
    • 내부 직원이 웹하드에 중요 문서를 몰래 올리려 할 때, N-S 길목에 설치된 포워드 프록시가 이 트래픽을 낚아챈다.
    • 직원이 압축 암호(HTTPS)를 걸어서 빼돌려도, 프록시가 강제로 암호를 한 번 풀어서 엑스레이로 기밀문서(주민번호 등)가 들어있는지 싹 다 스캔(DLP 연동)한 뒤에 밖(North)으로 내보내는 강력한 사전 검열을 수행한다.

📢 섹션 요약 비유: 내부의 직원이 성 밖(인터넷)으로 나갈 때, 자기 신분증(IP)을 내밀면 적군에게 신상이 털리므로 성문에 있는 위장 소장(NAT 게이트웨이)이 자기 이름표를 달아서 몰래 내보내 줍니다. 그리고 직원이 보따리에 궁궐의 보물을 훔쳐 나가는지, 수문장(포워드 프록시)이 보따리의 자물쇠를 강제로 따서 속옷까지 샅샅이 뒤져보고(DLP) 밖으로 보내는 완벽한 내부자 통제 룰입니다.