223. 네트워크 세그멘테이션 (VLAN, VRF를 통한 논리적 격리)

⚠️ 이 문서는 기업 내 거대한 하나의 네트워크(통짜 운동장)를 부서별, 용도별로 잘게 쪼개어 해커의 감염 확산(수평 이동)을 막는 방어 기법에서, 과거처럼 스위치를 부서마다 10대씩 물리적으로 따로 사서 꽂는 막대한 낭비 대신 **단 1대의 비싼 스위치 라우터 기계를 소프트웨어적으로 여러 대처럼 쪼개어 쓰는 '논리적 망분리 기술인 VLAN(L2)과 VRF(L3)'**를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: 해커가 영업팀 PC를 랜섬웨어로 감염시켜도 옆에 있는 재무팀 서버로 넘어가지 못하게 방화벽과 격벽을 치는 행위(Segmentation)를, 돈과 선이 많이 드는 '물리적 기계' 분리가 아닌 '소프트웨어 태그(Tag)' 기반으로 구현한 네트워크 가상화 기술이다.
  2. 가치: 물리적 장비 구매 비용을 극적으로 1/10 이하로 절감하고, 영업팀 직원이 책상을 2층에서 5층으로 이사하더라도 랜선을 새로 깔 필요 없이 관리자가 컴퓨터 마우스 클릭 몇 번만으로 직원의 소속 망(VLAN)을 그대로 유지해 주는 극강의 유연성을 제공한다.
  3. 기술 체계: 같은 스위치에 꽂혀도 서로 브로드캐스트(방송)를 듣지 못하게 2계층(MAC)을 쪼개는 **VLAN(가상 랜)**과, 한 대의 라우터 안에 여러 개의 독립적인 길 찾기 지도(라우팅 테이블)를 만들어 아예 다른 세상인 것처럼 3계층(IP)을 쪼개는 **VRF(가상 라우팅 및 포워딩)**가 대표적이다.

Ⅰ. 평평한 네트워크의 재앙과 물리적 분리의 비용

통짜망은 해커의 놀이터다. 그렇다고 부서마다 기계를 사줄 수는 없다.

  1. 플랫 네트워크(Flat Network)의 위협:
    • 영업부, 회계부, 개발부가 모두 한 대의 스위치 허브(Switch)에 꽂혀 있는 상태다.
    • 해커가 영업부 PC 하나를 점령하면, ARP 스푸핑 같은 해킹 기법을 써서 스위치에 물린 회계부나 개발부 PC의 트래픽을 몽땅 도청하거나 1초 만에 사내 전체로 랜섬웨어를 퍼뜨릴 수 있다.
  2. 물리적 망분리의 고통:
    • 이 끔찍한 사태를 막으려면 영업부용 스위치 1대, 회계부용 1대를 따로 사서 선을 분리하면 된다 (물리적 에어갭).
    • 하지만 회사가 10층짜리 건물에 부서가 50개면 스위치를 50대 사야 하고, 천장에 깔아야 하는 랜선(UTP) 케이블 비용과 구멍 뚫는 공사비가 수억 원이 든다. 게다가 직원이 자리를 옮길 때마다 천장 랜선 공사를 다시 해야 한다.

📢 섹션 요약 비유: 넓은 대강당에 50개 부서 직원이 벽도 없이 다 같이 모여 일하면(통짜망), 감기 환자(랜섬웨어) 1명이 기침했을 때 전 직원이 다 옮습니다. 그렇다고 50개의 별도 건물(물리적 스위치)을 새로 지어서 부서원들을 각각 찢어놓기엔 건축비(장비/랜선 비용)가 너무 많이 드는 답답한 딜레마 상황입니다.

Ⅱ. L2 논리적 쪼개기: VLAN (Virtual LAN)

스위치 하나를 여러 대처럼 쪼개는 2계층 가상화 마법이다.

  1. VLAN의 작동 원리 (802.1Q 태그):
    • 기계는 1대지만, 스위치 포트(구멍)마다 꼬리표(VLAN ID)를 설정한다. "1~10번 포트는 영업팀(VLAN 10), 11~20번 포트는 회계팀(VLAN 20)."
    • 영업팀 PC에서 보낸 패킷이 스위치로 들어올 때, 스위치는 이 패킷 엉덩이에 [VLAN 10]이라는 딱지를 붙인다.
    • 스위치는 이 딱지를 보고 오직 같은 VLAN 10번이 붙은 포트들 사이에서만 패킷을 돌려주고(브로드캐스트 도메인 분할), 회계팀(VLAN 20) 쪽으로는 절대 데이터를 넘겨주지 않는다.
  2. 완벽한 논리적 격리:
    • 같은 스위치 기계에 꽂혀 있어도, 서로 다른 VLAN에 속한 PC들은 물리적으로 아예 선이 끊어진 다른 네트워크에 있는 것처럼 서로를 전혀 볼 수도, 대화할 수도 없다.
  3. 트렁크 (Trunk) 포트의 유연성:
    • 1층 스위치와 2층 스위치를 연결할 때, 부서별로 랜선 50가닥을 천장에 뚫을 필요 없이, 굵은 선(Trunk 포트) 1가닥만 연결한다. 이 1가닥 안으로 VLAN 10, 20 딱지가 붙은 패킷들이 모두 뒤섞여 이동하다가 2층 스위치에서 딱지 색깔별로 자기 자리를 다시 찾아 들어간다.

📢 섹션 요약 비유: 50개의 건물을 새로 짓는 대신, 하나의 거대한 대강당(1대의 스위치) 바닥에 안 보이는 '마법의 선(VLAN)'을 긋고 직원들에게 빨강, 파랑 색안경을 씌웁니다. 빨간 안경을 쓴 영업팀끼리는 서로 보이고 대화할 수 있지만, 파란 안경을 쓴 회계팀은 눈앞에 영업팀이 서 있어도 투명 인간처럼 아예 보이지 않게 되는 공간 가상화 기술입니다.

Ⅲ. L3 라우터 쪼개기: VRF (Virtual Routing and Forwarding)

스위치뿐만 아니라, 길을 찾아주는 지도(라우터)마저 쪼개버린다.

  1. VLAN 간의 통신 문제:
    • 영업팀(VLAN 10)과 회계팀(VLAN 20)이 완전히 격리된 건 좋은데, 결재를 위해 가끔 대화가 필요하다면?
    • 2계층(MAC) 통신은 막혔으므로, 3계층(IP) 장비인 라우터나 L3 스위치를 통해 문(Gateway)을 거쳐서 대화해야 한다.
  2. 라우터의 혼란과 VRF의 도입:
    • 회사 네트워크가 합병되어 A 자회사망과 B 자회사망이 라우터 하나에 다 물렸다. 하필 두 자회사가 똑같이 192.168.1.0 이라는 동일한 사설 IP 대역을 쓰고 있다(IP 충돌).
    • 이때 라우터 한 대 안에 **독립된 여러 개의 길 찾기 지도(라우팅 테이블)**를 논리적으로 쪼개어(VRF A, VRF B) 만든다.
    • 라우터는 "아, 왼쪽 구멍으로 들어온 192.168.1.5는 A 회사 거니까 A 지도를 보고 안내하고, 오른쪽 구멍으로 들어온 192.168.1.5는 B 회사 거니까 헷갈리지 말고 B 지도를 보고 안내해!"라며 완전히 분리된 세계를 하나로 처리해 낸다.

📢 섹션 요약 비유: 라우터는 우체부 아저씨입니다. 우체부 수첩(라우팅 테이블)에 '101호'라고만 적혀 있으면 이게 영업동 101호인지 회계동 101호인지 헷갈려 배달 사고가 납니다. VRF는 아예 우체부 수첩 자체를 반으로 쪼개서 왼쪽 페이지는 영업동 전용 지도, 오른쪽 페이지는 회계동 전용 지도로 따로따로 그려주어 동일한 호수라도 절대 헷갈리지 않게 배달(라우팅)하는 고급 기술입니다.