Tech & Investment

홈서버 구축

IT기술

자기계발

정보보안기사 | 네트워크보안 핵심 정리 (2-3편)

정보보안기사 | 네트워크보안 핵심 정리 (2-3편)

🌐 정보보안기사 | 네트워크보안 핵심 정리 (2-3편)

SSL 구조 심화 · TLS 1.3 · APT/Zero-Day · 라우터 ACL · Cisco 명령어 · Zero Trust · 클라우드 보안 · NAC · 망 분리까지
네트워크보안 전 범위 마지막 편을 완벽 정리합니다.

#정보보안기사 #네트워크보안 #SSL구조 #TLS1.3 #APT공격 #ZeroTrust #라우터ACL #클라우드보안
← 2-1편
스니핑·DoS·포트번호 ← 2-2편
VLAN·무선·IPsec 📍 2-3편 (現)
SSL심화·APT·클라우드

📋 목차

  • 1. SSL 프로토콜 구조 5종 + 레코드 처리 순서
  • 2. TLS 1.3 개선사항 · PFS · BEAST · CRIME 공격
  • 3. SSH 기능 · E2EE vs 링크 암호화
  • 4. 라우터 ACL · Ingress/Egress · Cisco 명령어
  • 5. 라우팅 심화 (IGP 3방식 · BGP · 정적/동적 · 디폴트 GW)
  • 6. ICMP 타입 · DNS 증폭 · Reflection 공격
  • 7. APT · Zero-Day · Spear Phishing · Watering Hole
  • 8. 신기술 보안 (Zero Trust · SDN · 클라우드 · NAC · 망 분리)
  • 9. 정찰 기법 · 포트 스캔 응답 · P2P 보안 위협
  • 10. 네트워크보안 2-1 ~ 2-3 전체 최종 요약

1. SSL 프로토콜 구조 5종 + 레코드 처리 순서

🔧 현직자 실무 포인트

SSL/TLS의 실제 데이터 암호화는 Record 프로토콜이 담당합니다. 핸드셰이크는 협상 단계이고, 실제 암호화 통신은 Record 계층에서 이루어집니다. 시험에서는 각 프로토콜의 역할 구분과 Record 처리 순서가 자주 출제됩니다.

SSL 구성 요소 계층 역할
Handshake 프로토콜 상위 클라이언트-서버 상호 인증 + 보안 매개변수(암호화 방식·키) 협상
Change Cipher Spec 프로토콜 상위 협상한 암호 명세를 이후 메시지부터 적용함을 상대방에게 알림
Alert 프로토콜 상위 통신 오류 및 경고 메시지 전달
Application Data 프로토콜 상위 실제 애플리케이션 데이터 전달
Record 프로토콜 하위 실제 데이터 암호화 + 무결성 보장. 상위 4개 프로토콜의 데이터를 처리

🔢 SSL Record 프로토콜 송신 처리 순서

① 단편화② 압축③ MAC 추가 (무결성) → ④ 암호화

수신 시에는 역순: 복호화 → MAC 검증 → 압축 해제 → 재조립

🎯 시험 출제 포인트

  • Handshake = 상호 인증 + 보안 매개변수 협상
  • Change Cipher Spec = 암호 명세 변경 알림
  • Alert = 오류·경고 메시지
  • Record = 하위 계층, 실제 암호화·무결성
  • Record 처리 순서: 단편화 → 압축 → MAC 추가 → 암호화

2. TLS 1.3 개선사항 · PFS · SSL 공격 기법

개념 설명
TLS 1.3 핵심 개선 ① 핸드셰이크 1-RTT로 단축 (재연결 시 0-RTT 지원)
② 정적 RSA 키 교환 제거 → PFS(순방향 비밀성) 보장
PFS
(Perfect Forward Secrecy)		 서버 개인키가 노출되더라도 과거 세션키가 노출되지 않아 이전 통신 기밀성 유지. 세션마다 임시 키 생성
BEAST 공격 Browser Exploit Against SSL/TLS. 브라우저와 SSL 취약점으로 HTTPS 쿠키를 탈취하여 세션 가로채기
CRIME 공격 Compression Ratio Info-leak Made Easy. HTTPS 압축 기능 취약점으로 쿠키 탈취
DTLS Datagram TLS. UDP 기반 애플리케이션에 TLS와 동등한 보안 제공
WTLS Wireless TLS. 무선 환경에서 사용하는 TLS 프로토콜

🎯 시험 출제 포인트

  • TLS 1.3 = 1-RTT 핸드셰이크 + PFS 보장
  • PFS = 서버 키 노출돼도 과거 세션 기밀성 유지
  • BEAST = SSL 취약점 → HTTPS 쿠키 탈취
  • CRIME = HTTPS 압축 취약점 → 쿠키 탈취
  • DTLS = UDP 기반 TLS / WTLS = 무선 환경 TLS

3. SSH 기능 · E2EE vs 링크 암호화

Q SSH의 3가지 기능은?
→ ① 암호화된 원격 터미널 서비스 ② 암호화된 파일 송수신 ③ 안전하지 않은 채널에서 강력한 인증 제공 텔넷·FTP·rlogin·rsh를 안전하게 대체합니다. 22번 포트 사용.
Q IPsec이 제공하는 보안 서비스 3가지는?
→ 기밀성 · 무결성 · 데이터 원천 인증 (+ 재전송 공격 방지, 접근 제어) AH = 기밀성 제외 / ESP = 기밀성 포함. 기밀성이 필요하면 반드시 ESP를 사용해야 합니다.
구분 종단 간 암호화 (E2EE) 링크 암호화
암복호화 위치 송신자·수신자 끝단에서만 암복호화 구간마다 암복호화
중간 서버 평문 열람 불가 중간 장비에서 평문 노출 가능
보안 수준 높음 낮음 (중간 장비 타협 시 노출)
예시 WhatsApp, Signal, PGP 이메일 VPN 터널 구간 암호화

🎯 시험 출제 포인트

  • E2EE = 끝단에서만 복호화 / 중간 서버에서 평문 열람 불가
  • 링크 암호화 = 구간마다 복호화 / 중간 장비에서 평문 노출
  • IPsec 3대 보안: 기밀성 · 무결성 · 데이터 원천 인증

4. 라우터 ACL · Ingress/Egress · Cisco 명령어

🔧 현직자 실무 포인트

라우터 ACL은 네트워크 엔지니어가 매일 다루는 핵심 작업입니다. 표준 ACL(1~99)은 출발지 IP만, 확장 ACL(100~199)은 출발지·목적지 IP + 프로토콜 + 포트 번호까지 제어할 수 있습니다. 스머프 공격 방지를 위한 no ip directed-broadcast 설정은 보안 점검 필수 항목입니다.

명령어 / 개념 설명
Ingress 필터링 외부 → 내부로 들어오는 패킷 필터링. IP 스푸핑 방어에 효과적
Egress 필터링 내부 → 외부로 나가는 패킷 필터링. 위조된 출발지 IP 차단
Blackhole 필터링 특정 목적지 IP 트래픽을 Null 인터페이스로 전달하여 폐기. 널 라우팅(Null Routing)이라고도 함
no ip directed-broadcast 스머프 공격 방지. Directed Broadcast 차단. 인터페이스 설정 모드에서 입력
no snmp-server SNMP 서비스 비활성화. 글로벌 설정 모드에서 입력
access-list 100 deny udp any any eq 53 확장 ACL. UDP 53번(DNS) 포트 차단. ACL 100~199 = 확장 리스트
show vlan / show vlan brief VLAN 정보 확인. brief = 요약 출력

📋 NAT 환경에서 IP 노출

NAT 환경에서 서버 A가 외부로 통신 시 상대방에게는 게이트웨이의 공인 IP로 보입니다. 내부 사설 IP는 외부에 노출되지 않습니다. P2P 프로그램은 방화벽·NAT를 우회하여 내부망에 접근 경로를 만들 수 있어 보안 위협입니다.

🎯 시험 출제 포인트

  • Ingress = 외부→내부 패킷 필터링 / Egress = 내부→외부 필터링
  • Blackhole 필터링 = Null 인터페이스로 폐기
  • 스머프 방지: no ip directed-broadcast
  • SNMP 비활성화: no snmp-server
  • 확장 ACL: 100~199번 / 표준 ACL: 1~99번
  • DNS UDP 53 차단: access-list 100 deny udp any any eq 53

5. 라우팅 심화 — IGP 3방식 · BGP · 정적/동적 · 디폴트 GW

프로토콜 방식 특징 키워드
RIP 거리 벡터 홉 카운트 기준. 최대 15홉. 소규모 네트워크 홉 카운트 / 최대 15
OSPF 링크 상태 Cost(대역폭) 기준. 대규모 네트워크. 빠른 수렴 Cost / 링크 상태
EIGRP 하이브리드 거리 벡터 + 링크 상태 결합. 시스코 독점 프로토콜 하이브리드 / Cisco
BGP 경로 벡터 AS 간 라우팅(EGP). 인터넷 백본. 정책 기반 경로 선택 AS 간 / 인터넷 백본
Q 라우팅 테이블에서 디폴트 게이트웨이 표현은?
→ 목적지 0.0.0.0 / 서브넷 마스크 0.0.0.0 일치하는 라우팅 경로가 없을 때 모든 패킷을 디폴트 게이트웨이로 전송. 마지막 수단 경로.
Q 정적 vs 동적 라우팅 장단점은?
→ 정적: 관리자 직접 설정 / 간단·부하 적음 / 규모 커지면 관리 어려움 동적: 자동 경로 갱신 / 편리 / 라우터 부하 높음 / RIP·OSPF·BGP 사용

🎯 시험 출제 포인트

  • IGP 3방식: RIP=거리 벡터 / OSPF=링크 상태 / EIGRP=하이브리드
  • BGP = 경로 벡터 / AS 간 EGP
  • 디폴트 GW = 0.0.0.0 / 0.0.0.0
  • 정적 라우팅 = 간단·부하 적음 / 동적 라우팅 = 자동 갱신·부하 높음
  • OSI 계층별 장비: 1=허브·리피터 / 2=스위치·브릿지 / 3=라우터 / 4=L4 스위치 / 7=L7 스위치

6. ICMP 타입 · DNS 증폭 · Reflection 공격

ICMP 타입 의미 활용 장면
Type 0 Echo Reply (응답) ping 응답
Type 3 Destination Unreachable (목적지 도달 불가) 포트 닫힘: Code 3 (Port Unreachable). UDP 스캔에서 닫힌 포트 판단
Type 8 Echo Request (요청) ping 요청
Type 11 Time Exceeded (시간 초과) TTL=0 시 라우터가 반환. traceroute 경로 추적에 활용
대역폭 증폭 DDoS
📡 DNS 증폭 공격
출발지 IP를 피해자로 위조 → 대량 DNS 질의 → 증폭된 응답이 피해자에게 집중. UDP 사용으로 IP 위조 용이.
제3자를 이용한 반사
🪞 Reflection 공격
출발지 IP를 피해자로 위조 → 제3자 서버에 요청 → 응답이 피해자에게 향함. 공격자 IP 은폐 효과.
활성 호스트 탐색
🔍 Ping Sweep
네트워크 전체 대역에 ping 전송 → 응답하는 호스트 목록 작성. 공격 전 정찰(Reconnaissance) 단계.
포트 스캔 응답 원칙
🔌 TCP 스캔 응답
열린 포트 = SYN-ACK 응답. 닫힌 포트 = RST 응답. Null·FIN 스캔: 열린 포트=응답 없음, 닫힌 포트=RST.

🎯 시험 출제 포인트

  • ICMP Type 3 = Destination Unreachable / Code 3 = Port Unreachable
  • ICMP Type 11 = Time Exceeded (traceroute에서 TTL=0 시 반환)
  • DNS 증폭 = 위조된 IP로 대량 DNS 질의 → 증폭 응답 피해자 집중
  • Reflection = 제3자 서버를 통한 트래픽 반사
  • Ping Sweep = 네트워크 전체 ping → 활성 호스트 탐색
  • 열린 포트 = SYN-ACK / 닫힌 포트 = RST

7. APT · Zero-Day · Spear Phishing · Watering Hole

🔧 현직자 실무 포인트

현대 보안 침해의 대부분은 APT 형태로 시작됩니다. 공격자는 수개월간 잠복하며 내부 정찰 후 핵심 자산을 탈취합니다. 스피어 피싱 이메일 한 통으로 내부망 침투가 시작되는 경우가 가장 흔합니다. Zero Trust와 EDR, 망 분리가 핵심 대응 수단입니다.

지능형 지속 표적 공격
🎯 APT
Advanced Persistent Threat. 특정 목표를 대상으로 장기간 다양한 기법을 결합한 지속 공격. 스피어 피싱·워터링홀·제로데이 등 활용.
패치 이전 취약점 악용
💣 Zero-Day 공격
취약점 발견 후 패치 배포 전에 공격. 방어가 매우 어려움. APT 공격에서 자주 활용됨.
맞춤형 표적 피싱
🎣 Spear Phishing
특정 개인·조직을 대상으로 개인 정보를 활용한 맞춤형 피싱 이메일. 일반 피싱보다 성공률 높음.
방문 사이트 사전 감염
💧 Watering Hole
공격 대상이 자주 방문하는 웹사이트를 악성코드로 미리 감염 → 방문자 자동 감염. 먹잇감의 물웅덩이에 독을 타는 방식.

🎯 시험 출제 포인트

  • APT = Advanced Persistent Threat / 장기간 지속 표적 공격
  • Zero-Day = 패치 배포 전 취약점 악용
  • Spear Phishing = 특정 표적 맞춤형 피싱
  • Watering Hole = 자주 방문하는 사이트 사전 감염
  • APT 공격 수단: 스피어 피싱 + 워터링홀 + 제로데이 + 사회공학

8. 신기술 보안 — Zero Trust · SDN · 클라우드 · NAC · 망 분리

🔧 현직자 실무 포인트

Zero Trust는 최근 정보보안 트렌드의 핵심입니다. 재택근무·클라우드 확산으로 전통적인 경계 보안(Perimeter Security)이 무력화되면서 Zero Trust가 새로운 표준이 되고 있습니다. 클라우드 공동 책임 모델은 IaaS/PaaS/SaaS별로 고객 책임 범위가 다릅니다.

개념 설명
Zero Trust 내부 네트워크도 무조건 신뢰하지 않고 모든 접근에 인증·권한 검증. “절대 신뢰하지 말고, 항상 검증하라(Never Trust, Always Verify)”
SDN
(소프트웨어 정의 네트워킹)		 네트워크 제어 평면과 데이터 평면을 분리하여 소프트웨어로 중앙에서 제어. 유연한 네트워크 관리
클라우드 공동 책임 모델 CSP = 인프라 보안 담당 / 고객 = 데이터·애플리케이션 보안 담당. Shared Responsibility Model
NAC
(Network Access Control)		 네트워크 접속 단말기의 보안 상태 검사 후 정책에 따라 접근 허용 또는 격리
클라우드 제공 서비스 고객 책임 범위
IaaS 서버·네트워크 인프라 OS · 미들웨어 · 애플리케이션 · 데이터
PaaS 개발 플랫폼 애플리케이션 · 데이터
SaaS 완성된 소프트웨어 데이터 · 접근 권한 관리
Q 망 분리 두 가지 방식은?
→ ① 물리적 망 분리: 업무망·인터넷망을 물리적으로 분리
② 논리적 망 분리: 가상화 기술로 소프트웨어적 분리 물리적 분리가 보안성 더 높음. 금융·공공기관 등에서 의무 적용.
Q 유무선 공유기 가장 중요한 보안 설정 3가지는?
→ ① 관리자 비밀번호 변경 ② SSID 숨김 설정 ③ Wi-Fi 보안 방식 WPA2 이상 설정

🎯 시험 출제 포인트

  • Zero Trust = 내부도 무조건 신뢰 금지 / 모든 접근 인증·검증
  • SDN = 제어 평면과 데이터 평면 분리 / 소프트웨어 중앙 제어
  • 클라우드 공동 책임: CSP=인프라 / 고객=데이터·애플리케이션
  • IaaS=인프라 / PaaS=플랫폼 / SaaS=완성 소프트웨어
  • NAC = 단말 보안 상태 검사 후 접근 제어
  • 망 분리: 물리적(분리) vs 논리적(가상화)

10. 📌 네트워크보안 2-1 ~ 2-3 전체 최종 요약

🎯 네트워크보안 전 범위 — 절대 암기 포인트

  • 스니핑=Promiscuous Mode / MAC Flooding=CAM 테이블 포화 / SPAN=포트 미러링
  • PDU: 1=비트/2=프레임/3=패킷/4=세그먼트 / CSMA/CD=유선(802.3)/CSMA/CA=무선(802.11)
  • DoS/DDoS=가용성 침해 / SYN Flood 대응=SYN Cookie
  • Smurf=ICMP 브로드캐스트 증폭 / LAND=출발지=목적지 / PoD=65,535바이트 초과
  • ARP=IP→MAC / RARP=MAC→IP / ARP 스푸핑 대응=arp -s 정적 등록
  • 3-Way Handshake: SYN → SYN-ACK → ACK
  • SYN Scan=-sS / Null Scan=플래그 없음 / UDP Scan=ICMP Type 3으로 판단
  • FTP:20/21 / SSH:22 / Telnet:23 / SMTP:25 / DNS:53 / HTTP:80 / POP3:110 / IMAP:143 / HTTPS:443 / DHCP:67/68 / SNMP:161 / CoAP:5683
  • IDS=탐지 / IPS=탐지+차단 / WAF=웹 공격 / DMZ=중립 구역
  • 2계층=L2TP / 3계층=IPsec / 4계층=SSL/TLS
  • WEP=RC4 / WPA=RC4+TKIP / WPA2=AES-CCMP / WPA3=SAE
  • IPsec: AH=무결성+인증 / ESP=기밀성+무결성+인증
  • 전송 모드=페이로드만 / 터널 모드=전체 패킷 암호화
  • SSL 5구성: Handshake+Change Cipher Spec+Alert+AppData (상위) + Record(하위)
  • Record 처리 순서: 단편화→압축→MAC추가→암호화
  • TLS 1.3=1-RTT + PFS / BEAST=SSL취약점 쿠키탈취 / CRIME=압축취약점
  • PFS=서버키 노출돼도 과거 세션 기밀성 유지
  • E2EE=끝단 복호화 / 링크 암호화=구간마다 복호화
  • Ingress=외부→내부 / Egress=내부→외부 / Blackhole=Null 인터페이스 폐기
  • Cisco: no ip directed-broadcast(스머프방지) / no snmp-server / access-list 100 deny udp any any eq 53
  • RIP=거리벡터/15홉 / OSPF=링크상태/Cost / EIGRP=하이브리드 / BGP=AS간/경로벡터
  • 디폴트 GW=0.0.0.0/0.0.0.0
  • ICMP Type 3=Destination Unreachable / Type 11=Time Exceeded
  • DNS 증폭=위조IP로 대량질의 / Reflection=제3자 통한 반사
  • APT=장기지속표적공격 / Zero-Day=패치전공격 / Spear Phishing=맞춤형피싱 / Watering Hole=방문사이트 사전감염
  • Zero Trust=내부도 신뢰 금지 / NAC=단말보안검사 후 접근제어
  • IaaS=인프라 / PaaS=플랫폼 / SaaS=소프트웨어 / 공동책임=CSP인프라+고객 데이터
  • 망 분리: 물리적(분리) vs 논리적(가상화)

📚 정보보안기사 실기 핵심 정리 — 전체 목차

🖥️ 시스템보안
시스템보안 핵심 정리 (1-1편) 시스템보안 핵심 정리 (1-2편) 시스템보안 핵심 정리 (1-3편)
🌐 네트워크보안
네트워크보안 핵심 정리 (2-1편) 네트워크보안 핵심 정리 (2-2편) 네트워크보안 핵심 정리 (2-3편)
🔗 애플리케이션보안
애플리케이션보안 핵심 정리 (3-1편) 애플리케이션보안 핵심 정리 (3-2편) 애플리케이션보안 핵심 정리 (3-3편)
🚨 침해사고분석대응
침해사고분석대응 핵심 정리 (4-1편) 침해사고분석대응 핵심 정리 (4-2편) 침해사고분석대응 핵심 정리 (4-3편) 침해사고분석대응 핵심 정리 (4-4편)
🔐 정보보안일반 · 법규
정보보안일반 핵심 정리 (5-1편) 정보보안일반 핵심 정리 (5-2편) 정보보안 법규 핵심정리(6-1편) 정보보안 법규 핵심정리(6-2편)
더 많은 실무 인프라 포스팅 → itcontainer.co.kr