10. 네트워크 종류와 구성 4

36. 인터넷에 연결된 네트워크

인터넷 연결의 기본 구조

내부 네트워크와 외부 인터넷의 경계:

인터넷과 내부 네트워크 사이에는 라우터, 방화벽, NAT 게이트웨이 등의 경계 장비가 위치하여 내외부 트래픽을 분리하고 보안 정책을 적용하며 주소 변환을 수행합니다.

경계의 주요 역할:

내외부 트래픽 분리
보안 정책 적용
주소 변환

라우터의 역할: 내부와 외부 패킷 분리

라우터의 핵심 기능:

라우터는 패킷의 목적지 IP 주소를 확인하여 내부 네트워크로 갈 패킷과 외부 인터넷으로 나갈 패킷을 구분합니다.

시나리오 1: 외부로 나가는 패킷

내부 PC (10.0.10.5)가 Google DNS (8.8.8.8)로 패킷 전송
라우터가 라우팅 테이블 확인: 0.0.0.0/0 → 인터넷
외부 패킷으로 판단하여 NAT 변환 후 인터넷으로 전달

시나리오 2: 내부로 가는 패킷

내부 PC (10.0.10.5)가 내부 서버 (10.0.100.10)로 패킷 전송
라우터가 라우팅 테이블 확인: 10.0.0.0/8 → 내부
내부 패킷으로 판단하여 NAT 없이 내부 네트워크로 전달

라우팅 테이블 예시:

경계 라우터 라우팅 테이블:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

목적지           게이트웨이         인터페이스    설명
─────────────────────────────────────────────────
10.0.0.0/8       직접 연결          eth1         내부 네트워크
192.168.1.0/24   직접 연결          eth1         내부 네트워크
0.0.0.0/0        203.0.113.1        eth0         인터넷 (기본 게이트웨이)

판단 로직:
1. 목적지 IP 확인
2. 10.0.x.x 또는 192.168.x.x → 내부
3. 그 외 모든 주소 → 외부 (0.0.0.0/0)

방화벽: 보안 필터링

방화벽의 동작 원리:

방화벽은 패킷이 도착하면 다음 항목들을 검사합니다:

출발지 IP 주소
목적지 IP 주소
프로토콜 (TCP/UDP/ICMP)
포트 번호
연결 상태 (Stateful)

검사 후 정책과 매칭하여 패킷을 통과(ACCEPT) 또는 차단(DROP/REJECT)합니다.

방화벽 정책 예시:

인바운드 정책 (외부 → 내부):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

우선순위  출발지          목적지              프로토콜  포트    액션
────────────────────────────────────────────────────────────
1        any            10.0.100.10         TCP      80      ACCEPT  (웹 서버)
2        any            10.0.100.10         TCP      443     ACCEPT  (HTTPS)
3        203.0.113.0/24 10.0.10.0/24        TCP      22      ACCEPT  (관리자 SSH)
4        any            10.0.0.0/8          any      any     DROP    (나머지 차단)

아웃바운드 정책 (내부 → 외부):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

우선순위  출발지          목적지              프로토콜  포트    액션
────────────────────────────────────────────────────────────
1        10.0.10.0/24   any                 TCP      80      ACCEPT  (HTTP)
2        10.0.10.0/24   any                 TCP      443     ACCEPT  (HTTPS)
3        10.0.10.0/24   any                 UDP      53      ACCEPT  (DNS)
4        10.0.100.0/24  any                 TCP      any     ACCEPT  (서버 전체)
5        any            any                 any      any     DROP    (기본 차단)

Stateful 방화벽:

Stateful 방화벽은 연결 상태를 추적합니다. 내부에서 시작된 연결의 응답 패킷은 별도의 규칙 없이 자동으로 허용됩니다.

Stateful 동작 예시:

내부 PC가 외부 웹 서버로 SYN 패킷 전송
방화벽이 상태 테이블에 연결 추적 시작 (방향: 아웃바운드)
외부 웹 서버의 SYN-ACK 응답 패킷 도착
방화벽이 상태 테이블 확인: 기존 연결의 응답 → 자동 허용
이후 모든 패킷이 상태 기반으로 자동 허용

Stateless vs Stateful:

구분	Stateless	Stateful
연결 추적	없음	있음
규칙 복잡도	높음 (양방향 규칙)	낮음 (단방향 규칙)
성능	빠름	상대적으로 느림
보안	낮음	높음
메모리	적음	많음 (상태 테이블)
현재 사용	레거시	표준

방화벽의 다양한 필터링 기준

5-튜플 기반 필터링:

방화벽은 다음 5가지 요소로 패킷을 검사합니다:

출발지 IP 주소
목적지 IP 주소
프로토콜 (TCP/UDP/ICMP)
출발지 포트 번호
목적지 포트 번호

고급 필터링:

애플리케이션 계층 (HTTP, FTP 등)
사용자/그룹
시간대
지역 (GeoIP)

프로토콜 기반 차단 예시:

특정 서비스 차단:
━━━━━━━━━━━━━━━━━━━━━━━

FTP 차단:
- 프로토콜: TCP
- 포트: 20, 21
- 액션: DROP

BitTorrent 차단:
- 프로토콜: TCP/UDP
- 포트: 6881-6889, 6969
- 액션: DROP

VPN 차단 (회사 정책):
- 프로토콜: UDP
- 포트: 1194 (OpenVPN)
- 프로토콜: UDP
- 포트: 500, 4500 (IPsec)
- 액션: DROP

NAT/방화벽의 통합 구성

일반적인 경계 구조:

인터넷 ↔ 경계 라우터 ↔ 방화벽 ↔ NAT 게이트웨이 ↔ 내부 네트워크

처리 순서:

라우팅 판단
방화벽 검사
NAT 변환
내부 전달

통합 장비 (UTM):

UTM (Unified Threat Management):
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

하나의 장비에 통합:
✅ 방화벽 (Firewall)
✅ NAT/NAPT
✅ VPN
✅ IPS/IDS (침입 탐지/차단)
✅ 안티바이러스
✅ 웹 필터링
✅ 애플리케이션 제어

장점:
→ 관리 통합
→ 비용 절감 (중소기업)
→ 간편한 설정

단점:
→ 성능 제약
→ 단일 장애점
→ 대규모에 부적합

DMZ (Demilitarized Zone): 완충 지대

DMZ의 개념:

DMZ는 외부 인터넷과 내부 네트워크 사이에 위치한 완충 지대로, 공개 서비스(웹, 메일 등)를 배치하는 영역입니다.

구조:

인터넷 ↔ 외부 방화벽 ↔ DMZ ↔ 내부 방화벽 ↔ 내부 네트워크

DMZ 설계 원칙:

공개 서비스만 DMZ에 배치
이중 방화벽으로 심층 방어
DMZ 침해 시에도 내부 네트워크 보호

DMZ 네트워크 구성:

IP 주소 할당 예시:
━━━━━━━━━━━━━━━━━━━━━━━

외부 (인터넷):
- 글로벌 IP: 203.0.113.0/24

DMZ:
- 세그먼트: 172.16.0.0/24
- 웹 서버: 172.16.0.10
- 메일 서버: 172.16.0.20
- DNS 서버: 172.16.0.30

내부 (프라이빗):
- 세그먼트: 10.0.0.0/8
- 사용자: 10.0.10.0/24
- 앱 서버: 10.0.100.0/24
- DB: 10.0.101.0/24

방화벽 정책:
━━━━━━━━━━━━━━━━━━━━━━━

외부 방화벽:
인터넷 → DMZ: 80, 443, 25 허용
인터넷 → 내부: 전체 차단
DMZ → 인터넷: 제한적 허용

내부 방화벽:
내부 → DMZ: 관리 포트만 (SSH 등)
DMZ → 내부: 최소한의 접근 (DB 쿼리)
내부 → 인터넷: NAT 통해 허용

DMZ 침해 시나리오:

DMZ 웹 서버가 공격자에게 침해당했더라도, 내부 방화벽이 DMZ에서 내부로의 접근을 최소한으로 제한하기 때문에 내부 네트워크는 보호됩니다.

핵심 이해

인터넷 연결의 보안 계층:
━━━━━━━━━━━━━━━━━━━━━━━

계층적 방어 (Defense in Depth):

1단계: 경계 라우터
   → 기본 라우팅
   → 패킷 필터링 (ACL)

2단계: 외부 방화벽
   → 인터넷 위협 차단
   → DMZ 보호

3단계: DMZ
   → 공개 서비스 격리
   → 침해 시 완충 역할

4단계: 내부 방화벽
   → 내부 네트워크 보호
   → 동-서 트래픽 제어

5단계: NAT
   → 내부 IP 은닉
   → 주소 절약

핵심 원칙:
✅ 최소 권한 (Least Privilege)
✅ 심층 방어 (Defense in Depth)
✅ 실패 시 안전 (Fail-Safe)
✅ 로깅 및 모니터링

내부와 외부를 명확히 분리하고,
여러 계층의 보안 장치로 보호!

37. 모바일 네트워크를 활용한 네트워크

모바일 네트워크의 기본 개념

모바일 네트워크 정의: 스마트폰의 셀룰러 통신 회선 (4G LTE, 5G 등)

특징:

인터넷과 호환 안 됨 (독자 프로토콜)
패킷 교환 방식 (공통점)
캡슐화로 연결 (터널링)

모바일 네트워크와 인터넷의 연결

프로토콜 스택 캡슐화:

앱이 IP 패킷 생성
IP 패킷을 GTP 페이로드로 캡슐화
GTP를 LTE/5G 프레임에 실음
기지국으로 전송

인터넷 게이트웨이의 역할:

스마트폰 앱이 HTTP 요청을 생성하면:

IP 패킷 생성 (목적지: 웹 서버)
GTP 터널로 캡슐화하여 LTE/5G로 전송
모바일 네트워크를 통해 코어까지 전달
인터넷 게이트웨이에서 GTP 헤더 제거 및 IP 패킷 추출, NAT 수행
순수 IP 패킷을 인터넷으로 전달
웹 서버로부터 HTTP 응답 수신
다시 GTP 터널로 재캡슐화
앱으로 전달

GTP (GPRS Tunneling Protocol):

GTP의 역할:
━━━━━━━━━━━━━━━━━━━━━━━

- 모바일 네트워크 내부에서 IP 패킷을 전달하는 터널 프로토콜
- 사용자 패킷과 제어 정보를 구분하여 전송
- 이동성 지원: 기지국 간 핸드오버 시에도 세션 유지

GTP 터널 구조:
┌─────────────────────────────┐
│ 외부 IP 헤더                │ → 코어 네트워크 라우팅
├─────────────────────────────┤
│ UDP 헤더                    │
├─────────────────────────────┤
│ GTP 헤더                    │ → 터널 식별
├─────────────────────────────┤
│ 내부 IP 패킷 (사용자 데이터) │ → 실제 인터넷 트래픽
└─────────────────────────────┘

통신 모듈을 활용한 IoT 기기

통신 모듈의 구성:

IoT 기기는 센서/액추에이터 → 마이크로컨트롤러 → 통신 모듈 (4G/5G/NB-IoT) → SIM 카드로 구성되며, 무선으로 기지국에 연결되어 인터넷에 접속합니다.

통신 모듈 특징:

화면/키패드 없음 (핵심 기능만)
저전력 (배터리 효율)
SIM 카드로 인증

활용 사례:

자동차 텔레매틱스:
━━━━━━━━━━━━━━━━━━━━━━━

기능:
- 차량 위치 추적 (GPS + 4G/5G)
- 원격 진단 (엔진 상태 전송)
- 긴급 호출 (사고 시 자동 연락)
- 차량 도난 방지
- 소프트웨어 OTA 업데이트

통신 모듈:
→ 4G/5G 모뎀 내장
→ SIM 카드 (eSIM)
→ 항상 연결 유지

스마트 미터 (전기/가스/수도):
━━━━━━━━━━━━━━━━━━━━━━━

기능:
- 사용량 자동 전송
- 원격 검침
- 이상 탐지 알림

통신 모듈:
→ NB-IoT (저전력 광역)
→ 배터리로 수년 동작

산업용 IoT:
━━━━━━━━━━━━━━━━━━━━━━━

기능:
- 공장 설비 모니터링
- 물류 추적
- 농업 센서 (온습도, 토양)

통신 모듈:
→ 4G/5G/NB-IoT
→ 환경에 따라 선택

텔레워크와 VPN

원격 접속의 필요성:

재택근무자가 집에서 회사 네트워크에 접속할 때, 공용 인터넷을 경유하므로 암호화가 필요합니다. VPN 터널을 통해 안전하게 연결합니다.

보안 고려사항:

인터넷 경유 (도청 위험)
암호화 필수 (IPsec/SSL)
인증 강화 (MFA)

VPN의 종류

IPsec VPN (Site-to-Site):

본사 LAN과 지사 LAN을 IPsec 터널로 연결합니다.

IPsec 특징:

네트워크 간 연결 (상시 연결)
라우터/방화벽 구성
강력한 암호화 (AES)
투명한 연결 (클라이언트 인식 불필요)

IPsec 구성 요소:

IKE (Internet Key Exchange):
- 암호화 키 협상
- Phase 1: VPN 터널 설정
- Phase 2: 데이터 암호화 키 교환

ESP (Encapsulating Security Payload):
- IP 패킷 암호화 및 무결성
- 페이로드 보호

AH (Authentication Header):
- 인증 및 무결성 (암호화 없음)
- 현재는 ESP 선호

IPsec 패킷 구조 (터널 모드):
┌────────────────────────────┐
│ 새 IP 헤더                 │ → VPN 게이트웨이 간
├────────────────────────────┤
│ ESP 헤더                   │
├────────────────────────────┤
│ 원본 IP 헤더 (암호화됨)    │ → 실제 통신 주소
├────────────────────────────┤
│ TCP/UDP 헤더 (암호화됨)    │
├────────────────────────────┤
│ 데이터 (암호화됨)          │
├────────────────────────────┤
│ ESP 트레일러               │
└────────────────────────────┘

SSL VPN (Remote Access):

원격 사용자가 웹 브라우저를 통해 회사 네트워크에 접속합니다.

SSL VPN 특징:

웹 브라우저 기반 (클라이언트 불필요)
HTTPS (443) 사용 (방화벽 통과 용이)
개인 장치 지원 (BYOD)
세밀한 접근 제어 (앱 단위)

SSL VPN 동작 방식:

원격 사용자가 웹 브라우저로 VPN 포털 접속 (https://vpn.company.com)
HTTPS 연결 및 SSL/TLS 핸드셰이크
인터넷 게이트웨이가 인증서 검증 후 로그인 페이지 제공
사용자가 사용자명/암호 + MFA 입력
인증 확인 (Active Directory 등)
VPN 터널 생성 및 가상 IP 할당
로컬에 VPN 어댑터 생성 (예: 10.255.1.100)
이후 내부 서버 접속 시 SSL 터널 경유
게이트웨이가 복호화 후 내부 서버로 전달

VPN 비교

구분	IPsec VPN	SSL VPN
사용 목적	Site-to-Site (지사 간)	Remote Access (개인 접속)
클라이언트	라우터/방화벽	웹 브라우저 또는 가벼운 앱
포트	UDP 500, 4500	TCP 443 (HTTPS)
방화벽 통과	어려울 수 있음	쉬움
투명성	완전 투명 모든 트래픽	선택적 특정 앱만
설정 복잡도	높음	낮음
보안	매우 강력	강력
속도	빠름	상대적으로 느림
비용	높음 (전용 장비)	낮음 (범용 서버)

모바일 네트워크 VPN

모바일 환경에서의 VPN:

스마트폰의 VPN 클라이언트가 모바일 네트워크 (4G/5G)를 통해 VPN 터널을 생성하고, 인터넷을 거쳐 회사 VPN 게이트웨이에 연결됩니다.

모바일 VPN 특징:

항상 연결 (Always-On)
네트워크 전환 (Wi-Fi ↔ 셀룰러)
배터리 소모 (암호화 부담)

실무 시나리오:

영업 사원의 모바일 VPN 사용:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

1. 사무실 출발 (Wi-Fi)
   → VPN 연결 시작
   → 내부 CRM 시스템 접속

2. 차량 이동 (4G/5G)
   → 네트워크 자동 전환
   → VPN 연결 유지
   → CRM 계속 사용

3. 고객사 도착 (고객사 Wi-Fi)
   → 고객사 네트워크로 전환
   → VPN 터널은 유지
   → 회사 시스템 안전하게 접근

4. 카페 업무 (공용 Wi-Fi)
   → 위험한 네트워크
   → VPN 암호화로 보호
   → 안전한 업무 처리

핵심:
VPN은 어떤 네트워크든 상관없이
회사 네트워크에 안전하게 연결

핵심 이해

모바일 네트워크의 활용:
━━━━━━━━━━━━━━━━━━━━━━━

1. 스마트폰 인터넷 접속
   모바일 네트워크 → GTP 터널 → 인터넷 게이트웨이
   → 프로토콜 변환으로 인터넷 연결

2. IoT 기기 연결
   통신 모듈 + SIM 카드
   → 별도 Wi-Fi 없이 인터넷 직접 연결
   → 자동차, 스마트 미터, 산업 센서 등

3. 원격 근무 (VPN)
   IPsec: 지사 ↔ 본사 (네트워크 간)
   SSL: 개인 ↔ 회사 (원격 접속)
   → 인터넷 경유하지만 암호화로 보안

공통점:
━━━━━━━━━━━━━━━━━━━━━━━
모두 인터넷을 활용하지만
보안이 필요한 경우 VPN/암호화 사용

차이점:
━━━━━━━━━━━━━━━━━━━━━━━
- 모바일 네트워크: 캡슐화 (GTP)
- VPN: 암호화 터널 (IPsec/SSL)

목적은 같음:
→ 안전하고 신뢰할 수 있는 통신