05. Security 전체 여정
이 장은 내 네트워크 방어 계층을 한 층씩 쌓아 올리는 이야기입니다. 가장 가까운 곳(스위치 포트)에서 시작해서 사용자 인증, 관리 접근, 트래픽 필터링, 암호화 통로, 통합 경계, 그리고 최신 보안 프레임워크까지 — 데이터 평면 → 정책 평면 → 운영 프레임워크 순서로 한 단계씩 확장됩니다.
전체 지도
| 구간 | 테마 | 챕터 | 핵심 질문 |
|---|---|---|---|
| 🔌 L2 방어 | 스위치 레벨 보안 | 02–03 | ARP·DHCP 스푸핑, STP 탈취, 불법 장비, 브로드캐스트 폭주 차단 |
| 👤 사용자 인증 | MAB / 802.1X / AAA | 04–08 | 누가 네트워크에 들어올 수 있는가 — 포트 단위·세션 단위 |
| 🔑 관리 접근 | Telnet / SSH | 09–10 | 운영자가 장비에 어떻게 안전하게 들어가는가 |
| 🚪 출입 검사 | L3 ACL (5종) | 11–15 | 누가 어디로 무엇을 지나가게 할지 결정 |
| 🏰 디바이스 하드닝 | 장비 평면 보호 | 16–18 | 문지기(라우터·스위치) 자신을 지키기 |
| 🔐 비밀 통로 | IPsec/VPN | 19–22 | 지사 간, 공개망 위에서도 안전한 채널 |
| 🛡️ 통합 경계 | 방화벽 | 23–24 | 여러 보안 요소를 전문화한 종합 방어선 |
| 🔬 침입 탐지 | IDS/IPS | 25 | 허용된 세션 안 페이로드 공격까지 탐지·차단 |
| 🆕 IPv6 보안 | 듀얼스택 대응 | 26 | IPv4 중심 보안의 사각지대 메우기 |
| 🎯 정체성 기반 | TrustSec / SGT | 27 | IP 주소가 아닌 “역할”로 정책 수립 |
| 🌐 현대 프레임워크 | Zero Trust / SASE | 28 | 경계가 사라진 시대의 보안 철학 |
| ☁️ 범위 확장 | 클라우드 보안 | 29 | 온프레미스를 넘어선 보안 관점 |
각 구간은 독립된 주제지만, “앞 구간으로는 해결 안 되는 문제” 때문에 다음 구간이 필요해지는 연결 고리가 있습니다.
1부. 🔌 L2 보안 기본기 (02–03)
질문: 같은 스위치, 같은 VLAN 안에서 벌어지는 공격은 어떻게 막을 것인가?
방화벽도 ACL도 라우터까지 올라가지 않은 트래픽은 손도 못 댑니다. 공격이 같은 스위치 안쪽에서 시작하고 끝나는 시나리오 — 가짜 DHCP, ARP 스푸핑, IP 스푸핑, STP 루트 탈취, VLAN Hopping — 은 스위치 자체가 인지하고 차단해야 합니다.
| 챕터 | 내용 | 핵심 |
|---|---|---|
| 02 | L2 Security Fundamentals | Port Security · DHCP Snooping · DAI · IPSG · BPDU Guard · DTP — 5대 시나리오 × 5대 방어 |
| 03 | Storm Control | 브로드캐스트·멀티캐스트·유니캐스트 폭주 임계값 설정 |
➡ 다음 구간으로 가는 이유: L2 데이터 평면을 막았어도, 누가 이 포트에 꽂혀도 되는지 그리고 어떤 사용자가 들어올 수 있는지는 다른 차원의 문제입니다 → 2부
2부. 👤 사용자·디바이스 인증 (04–08)
질문: 정당한 사용자·디바이스만 네트워크에 들어오게 하려면?
L2 보안이 “포트별 MAC 화이트리스트”라면, 이 구간은 인증 서버(RADIUS/TACACS+) 기반 동적 권한 검증으로 한 단계 올라갑니다.
| 챕터 | 내용 | 역할 |
|---|---|---|
| 04 | MAC Authentication Bypass (MAB) | 802.1X 못 하는 장비(프린터·IP 폰)용 폴백 |
| 05 | AAA + 802.1X Authentication | 포트 단위 사용자 인증 + EAP 프레임워크 |
| 06 | AAA Authentication on Cisco IOS | 라우터·스위치에 AAA 적용 |
| 07 | AAA Configuration on Cisco Switch | 스위치 액세스 제어 — 802.1X·MAB·웹 인증 |
| 08 | AAA Local Command Authorization | TACACS+ 기반 명령어 단위 권한 분리 |
스토리 흐름: 단순 MAC 매칭(MAB) → 동적 사용자 인증(802.1X) → 라우터/스위치 AAA 활성화 → 명령어 단위 권한.
➡ 다음 구간으로 가는 이유: 사용자 단말기 인증은 됐습니다. 그런데 운영자가 장비 자체에 들어가는 경로는? Telnet은 평문이라 위험하니 SSH로 갈아타야 → 3부
3부. 🔑 관리 접근 — Telnet / SSH (09–10)
질문: 운영자가 라우터·스위치에 어떻게 안전하게 로그인할 것인가?
| 챕터 | 내용 |
|---|---|
| 09 | Cisco IOS Telnet Server and Client — 기본 원격 접속 |
| 10 | How to configure SSH on Cisco IOS — 평문 → 암호화 전환 |
➡ 다음 구간으로 가는 이유: 사용자도 인증 받고 운영자도 SSH로 접속 가능. 이제 트래픽이 어디서 어디로 흐를지 정책 단위로 통제할 차례 → 4부
4부. 🚪 출입 검사 — ACL 5종 (11–15)
질문: 내 네트워크로 들어오는 트래픽 중 어떤 것을 통과시키고 어떤 것을 막을 것인가?
ACL은 가장 기초적이고 강력한 필터링 도구입니다. 정밀도와 적용 범위가 진화하는 5단계:
| 챕터 | 타입 | 새로 추가되는 능력 |
|---|---|---|
| 11 | Standard | 출발지 IP만 |
| 12 | Extended | +목적지 +프로토콜 +포트 |
| 13 | VACL | L2 VLAN 내부까지 |
| 14 | Infrastructure | 관점 전환 — 트래픽 대신 장비 보호 |
| 15 | Time-Based | 모든 ACL에 시간축 |
스토리 흐름: 출발지만으로 필터(11) → 프로토콜·포트·목적지 추가(12) → 같은 VLAN 내부까지(13) → “지나가는 트래픽” 말고 “장비로 향하는 트래픽”으로 관점 전환(14) → 모든 규칙 위에 시간 조건 얹기(15).
➡ 다음 구간으로 가는 이유: ACL이 데이터 평면을 거르긴 하지만, 장비 자체의 CPU 제어 평면이나 SSH·SNMP 관리 평면이 별도로 공격당할 수 있습니다 → 5부
5부. 🏰 디바이스 하드닝 — 장비 평면 보호 (16–18)
질문: 문지기(라우터·스위치)도 공격 대상이다. 장비 내부 3가지 평면(Data/Control/Management)을 어떻게 지킬 것인가?
네트워크 장비는 내부적으로 세 개의 “평면”으로 동작합니다:
- Data Plane: 실제 패킷 포워딩 (ACL·L2 보안이 주로 여기 작용)
- Control Plane: 라우팅·STP·ARP 등 토폴로지 연산
- Management Plane: SSH·SNMP로 장비 설정
14편 Infrastructure ACL에서 장비 보호 관점을 처음 연 뒤, 여기서 본격화합니다.
| 챕터 | 보호 대상 | 역할 |
|---|---|---|
| 16 | Control Plane (CoPP) | 제어 트래픽 과다로 CPU 마비 방지 |
| 17 | Management Plane (MPP) | 관리 접근 경로 최소화·고립 |
| 18 | 종합 보안 정책 + 트래픽 가시성(NetFlow·Syslog·SIEM) | 위 모두와 물리·운영 정책을 아우르는 가이드라인 + 이상 탐지 인프라 |
➡ 다음 구간으로 가는 이유: 한 사이트 안 장비를 아무리 잘 지켜도, 지사와 본사 사이가 공개망(인터넷)으로 연결돼 있다면 그 구간 트래픽은 누가 지키나? 원격지 사이 암호화 채널이 필요 → 6부
6부. 🔐 비밀 통로 — IPsec/VPN (19–22)
질문: 공개망 위에서 지사·본사 사이 트래픽을 어떻게 암호화·인증할 것인가?
IPsec은 IP 위에서 기밀성·무결성·인증을 제공하는 프레임워크. 이론 → 실전 구성 → 진화된 방식 순서로 네 편:
| 챕터 | 내용 | 특징 |
|---|---|---|
| 19 | IPsec 이론 (IKEv2·NAT-T·PKI 포함) | IKE, ESP/AH, 인증 방식, NAT 통과 |
| 20 | Crypto Map 기반 Tunnel Mode | 전통적 방식. 레거시 호환용 |
| 21 | GRE + IPsec | 멀티캐스트·라우팅 프로토콜도 터널링 |
| 22 | Static VTI (현대 표준) + Crypto Map vs VTI 비교 | 인터페이스 기반, 신규 배치의 기본값 |
스토리 흐름: 원리 이해(19) → 레거시 방식(20) → “라우팅 프로토콜이나 멀티캐스트가 안 넘어가네” 해결(21) → “설정이 너무 번잡하네” 해결하는 현대 방식(22).
➡ 다음 구간으로 가는 이유: 사이트 간 점-대-점 암호화는 해결. 하지만 다수 출입구·다양한 서비스를 종합 통제하려면 ACL·CoPP·IPsec을 조각조각 쓰기보다 전문 경계 장비가 효율적 → 7부
7부. 🛡️ 통합 경계 — 방화벽 (23–24)
질문: 앞서 배운 여러 보안 요소를 한 장비에 모아 체계적으로 운영할 순 없나?
방화벽은 “트래픽 필터 + 세션 추적(stateful) + 정책 엔진”을 하나의 장비로 통합한 전문 경계 보안 장비입니다.
| 챕터 | 내용 |
|---|---|
| 23 | 방화벽 개요 + ASA/FTD/NGFW 제품군 — 종류·세대·현업 선택 기준 |
| 24 | Zone-Based Firewall — Cisco IOS의 현대적 방화벽 모델 구성 |
스토리 흐름: ACL이 “규칙 나열식”이라면, Zone-Based Firewall은 “인터페이스를 존으로 묶고 존 간 정책을 선언하는” 상위 추상화. NGFW는 여기에 앱/사용자 ID·IPS·URL 필터를 더한 현대 플랫폼.
➡ 다음 구간으로 가는 이유: 방화벽은 “허용/차단” 정책 판단 장비입니다. 하지만 허용된 세션 안에 악성 페이로드가 섞여 있으면? 규칙 기반으로는 못 잡습니다 → 8부
8부. 🔬 침입 탐지·방어 — IDS/IPS (25)
질문: 허용된 세션의 페이로드 수준 공격을 어떻게 탐지하고 자동 대응할 것인가?
- 탐지 방식: 시그니처 / 이상 / 평판 3축 조합
- 배치: 인라인(IPS) vs 패시브(IDS), 남-북 vs 동-서
- 주요 스택: Snort/Suricata, Cisco FirePOWER, Palo Alto Threat Prevention
- SSL 복호화 없으면 반쯤 눈 감은 상태
- 탐지는 시작 — SIEM·SOAR·EDR 연계가 실전 대응력
➡ 다음 구간으로 가는 이유: 여기까지는 모두 IPv4 중심 대응이었습니다. 듀얼스택 시대 IPv6 고유의 사각지대(RA 스푸핑·ND 공격·확장 헤더)를 짚고 넘어가야 온전한 보안이 됩니다 → 9부
9부. 🆕 IPv6 보안 (26)
질문: IPv4 보안을 촘촘히 해놔도 IPv6가 기본 활성화된 OS들이 RA·DHCPv6로 노출된 경로를 사용하고 있다면?
- ND(Neighbor Discovery) 공격: Rogue RA, NS/NA 스푸핑, DAD DoS, ND 캐시 고갈
- FHS(First Hop Security): RA Guard, DHCPv6 Guard, IPv6 Snooping, IPv6 Source Guard — IPv4 DHCP Snooping·DAI·IPSG의 IPv6 대응물
- IPv6 ACL + ICMPv6 주의: ICMPv6는 완전 차단 금지 (RFC 4890)
- 확장 헤더 필터링: RH0 드롭, Fragment 제어
- 듀얼스택 감사: IPv4와 IPv6 정책 일치성 정기 점검
➡ 다음 구간으로 가는 이유: 여기까지의 모든 정책(ACL·방화벽·IPS·IPv4/6)은 IP 주소를 기준으로 씁니다. 하지만 BYOD·동적 환경에서 IP는 매번 바뀌고 ACL은 폭증합니다. 정책 단위를 “주소”에서 “역할”로 바꿔야 → 10부
10부. 🎯 정체성 기반 정책 — TrustSec / SGT (27)
질문: IP 주소는 매번 바뀌고 ACL은 수만 줄로 폭증합니다. 정책을 “누가, 어떤 역할로” 기준으로 바꿀 수 없을까?
- SGT(Security Group Tag): 패킷에 붙는 16비트 역할 태그
- SGACL: “출발 SGT × 도착 SGT” 매트릭스 정책
- Classification → Propagation → Enforcement 3단계
- ISE + 하드웨어 지원(Catalyst 9K, ASR 등) 조합이 표준
- 마이크로세그멘테이션의 Cisco 스택 구현체
➡ 다음 구간으로 가는 이유: TrustSec이 구현 수단이라면, 그 위의 보안 철학은? “내부는 신뢰, 외부는 불신”이 깨진 시대의 전체 프레임워크 → 11부
11부. 🌐 현대 보안 프레임워크 — Zero Trust / SASE / ZTNA (28)
질문: 재택·클라우드·SaaS로 “경계”가 사라진 2026년, 보안 모델 자체를 어떻게 새로 그릴 것인가?
- Zero Trust: “Never trust, always verify” + “Assume breach” 철학 (NIST SP 800-207)
- SASE: SD-WAN + 보안 스택(SWG/CASB/FWaaS/ZTNA)을 클라우드 에지에서 통합
- ZTNA: VPN을 앱 단위 Zero Trust 접근으로 대체
- 도입 로드맵: 가시성 → MFA → NAC → ZTNA → 마이크로세그멘테이션 → 자동화 (2~3년짜리 여정)
➡ 다음 구간으로 가는 이유: 지금까지 온프레미스 방어를 철학 수준까지 구축했습니다. 이제 워크로드가 클라우드로 확장되면 책임 공유 모델·IAM·VPC 격리 같은 새 축이 필요합니다 → 12부
12부. ☁️ 범위 확장 — 클라우드 보안 (29)
질문: AWS/Azure/GCP로 워크로드가 나가면서 온프레미스 방어 모델은 어떻게 확장해야 하는가?
- 책임 공유 모델(Shared Responsibility): IaaS/PaaS/SaaS별 조직과 CSP의 책임 구분
- 정체성 기반 보안: IAM·SSO·조건부 접근이 핵심
- 네트워크 격리: VPC/VNet, Security Group, Private Link
- 암호화: 저장·전송·KMS 키 관리
- 가시성: CloudTrail, VPC Flow Logs, CASB
읽는 순서 권장
순차적으로 읽으면 “왜 이 단계가 필요한가?”가 자연스럽게 연결됩니다. 시간이 부족하면 아래 경로 추천:
- 기초 다지기: 02 → 11 → 12 → 14 → 16 → 23 (L2 → ACL → Infra ACL → CoPP → 방화벽)
- L2/인프라 집중: 02 → 03 → 04 → 13 → 27 (L2 → Storm Control → MAB → VACL → 정체성 기반)
- 사용자 인증 중심: 04 → 05 → 06 → 07 → 08 (MAB → 802.1X → AAA 적용 → 명령어 권한)
- VPN 중심: 19 → 22 → (04_VPN/DMVPN)
- 운영 관점: 18 → 16 → 17 → 25 (종합 정책 → 평면별 보호 → IPS/SIEM 연계)
- 현대 트렌드: 27 → 28 → 29 (TrustSec → Zero Trust/SASE → Cloud)
- 이중 스택 감사: 14 → 02 → 26 (IPv4 인프라 ACL → L2 보안 → IPv6 대응)
각 챕터 도입부에 위치 배지와 앞·다음 편 브릿지가 있어 어디서 합류해도 흐름을 놓치지 않도록 설계되어 있습니다.
이 교재의 범위·한계
- 포함: Cisco 라우터/스위치/ASA·FTD 중심 엔터프라이즈 보안, 현대 프레임워크의 개념·구현
- 범위 외(별도 학습 필요):
- DMVPN/FlexVPN/GETVPN: 04_VPN 폴더에서 별도 다룸
- EDR·XDR·SOAR: 엔드포인트 보안 영역 — SIEM·IPS와 연계되지만 별도 제품군
- OT/ICS 보안: 산업 제어 시스템은 고유의 프로토콜·제약 — 별도 전문 영역
- 감사/컴플라이언스(PCI-DSS, ISO 27001 등): 기술 구현보다 정책·감사 프로세스 중심
- 위 범위 외 주제가 발표·질문에서 나온다면 “여기서는 네트워크 보안 구현에 초점을 맞췄고, 해당 영역은 별도 체계로 다룬다”고 응답하는 것이 정직.