[네트워크 기초] 네트워크 분리와 기업망 구조

1. VLAN

VLAN은 Virtual Local Area Network의 약자이다.
물리적 위치와 관계없이 스위치 포트를 논리적으로 분할하여, 하나의 물리 스위치를 여러 개의 가상 네트워크로 나누는 기술이다.

쉽게 말하면 같은 스위치에 연결되어 있어도 서로 다른 네트워크처럼 나누는 방법이다.

예를 들어 하나의 회사 스위치에 인사팀 PC, 개발팀 PC, 서버, 게스트 노트북이 모두 연결되어 있다고 가정해보자.

[스위치]
 - 인사팀 PC
 - 개발팀 PC
 - 서버
 - 게스트 노트북

 

이 장비들이 모두 같은 네트워크에 있으면 서로 통신이 가능하다.
하지만 기업 환경에서는 모든 장비가 자유롭게 통신하면 보안상 위험할 수 있다.

예를 들어 게스트 노트북이 회사 서버에 접근하거나, 일반 직원 PC가 관리 장비에 접근할 수 있다면 문제가 된다.
그래서 네트워크를 역할별로 나누는 것이 필요하다.

업무망
개발망
서버망
관리망
게스트망

 

이처럼 하나의 물리적인 네트워크를 여러 개의 논리적인 네트워크로 나눌 수 있게 해주는 기술이 VLAN이다.

VLAN과 보안

VLAN은 보안 측면에서도 중요하다.

모든 장비가 같은 네트워크에 있으면 하나의 PC가 악성코드에 감염되었을 때 다른 서버나 장비로 피해가 확산되기 쉽다. 하지만 VLAN으로 업무망, 서버망, 관리망, 게스트망을 나누면 침해 확산을 줄일 수 있다.

예를 들어 게스트망을 VLAN 50으로 분리했다고 가정해보자.

게스트 노트북 → VLAN 50
회사 서버     → VLAN 30
관리자 PC    → VLAN 40

 

이 경우 게스트 노트북이 회사 네트워크에 연결되더라도 서버망이나 관리망에 바로 접근하지 못하게 통제할 수 있다.

VLAN은 다음과 같은 목적으로 사용된다.

부서별,용도별 네트워크 분할
보안 강화
침해 확산 방지
방화벽 정책 적용 단위 구분
브로드캐스트 범위 축소

 

다만 VLAN만 설정했다고 해서 완전한 보안이 보장되는 것은 아니다.

VLAN은 하나의 장비에 서로 다른 네트워크로 분할했기에 VLAN 간에 통신이 불가하며, VLAN의 통신이 필요하다면 3계층 장비가 필요하며 라우터, L3 스위치가  대표적인 예이다.

그러므로 VLAN 간 통신을 어떻게 허용하고 차단할지 방화벽, 라우터, L3 스위치에서 정책을 함께 설정해야 한다.

 

또한 VLAN의 목적 중에 브로드캐스트 범위 축소가 있는데 이를 이해하려면 브로드캐스트에 대해 알아야한다.

브로드캐스트는 같은 네트워크 안에 있는 모든 장비에게 보내는 통신이다. 대표적인 예로 ARP 요청이 있다.

192.168.1.20의 MAC 주소 아는 사람?

 

이런 요청은 같은 네트워크 안의 모든 장비에게 전달된다.

장비가 많아질수록 브로드캐스트 트래픽도 많아지고, 네트워크가 복잡해질 수 있다. VLAN을 사용하면 브로드캐스트 범위도 VLAN 단위로 나뉜다.

VLAN 10의 브로드캐스트는 VLAN 10 안에서만 전달
VLAN 20의 브로드캐스트는 VLAN 20 안에서만 전달
VLAN 50의 브로드캐스트는 VLAN 50 안에서만 전달

 

이처럼 VLAN은 브로드캐스트 범위를 축소하여 트래픽 감소와 네트워크 효율성을 높일 수 있다.

---

2. DMZ

DMZ는 Demilitarized Zone의 약자이다.
DMZ는 외부 인터넷과 내부망 사이에 위치한 중간 네트워크 영역을 의미한다.

외부 사용자가 접근해야 하는 서버를 내부망에 바로 두지 않고, 별도의 중간 구역에 배치하는 구조이다.

인터넷 → 외부 방화벽 → DMZ → 내부 방화벽 → 내부망

 

그러면 DMZ는 왜 필요할까?

기업은 외부 사용자에게 서비스를 제공해야 하는 경우가 많다.

예를 들어 다음과 같은 서버는 외부 인터넷에서 접근 가능해야 한다.

웹 서버
메일 서버
DNS 서버
VPN 서버
프록시 서버
파일 업로드 서버

 

문제는 이런 서버들이 외부에 노출되어 있기 때문에 공격을 받을 가능성도 높다는 점이다.

만약 웹 서버를 아래처럼 내부망에 직접 배치하면 어떻게 될까?

인터넷 → 웹 서버 → 내부망

 

이 경우 웹 서버가 침해되었을 때 공격자가 내부망으로 바로 이동할 수 있다.
즉, 외부에 노출된 서버 하나가 뚫리면 회사 내부 시스템 전체가 위험해질 수 있다.

그래서 외부에 공개해야 하는 서버는 내부망과 분리된 DMZ에 배치한다.

인터넷 → DMZ의 웹 서버 → 내부망은 직접 접근 차단

 

DMZ의 핵심 목적은 다음과 같다.

외부 공개 서버와 내부망 분리
침해 발생 시 내부망 확산 방지
외부 접근 통제
내부 중요 시스템 보호
방화벽 정책 적용 구간 명확화

 

DMZ는 맨 처음 적은 구조처럼 보통 외부 방화벽과 내부 방화벽 사이에 위치한다.

인터넷 → External Firewall → DMZ → Internal Firewall → 내부망

각 영역의 역할은 다음과 같다.

인터넷: 신뢰할 수 없는 외부 네트워크
External Firewall: 외부에서 DMZ로 들어오는 트래픽 통제
DMZ: 외부 공개 서버가 위치하는 중간 영역
Internal Firewall: DMZ에서 내부망으로 들어오는 트래픽 통제
내부망: 업무 시스템, DB, 파일 서버 등이 위치하는 내부망

 

이 구조에서 중요한 점은 인터넷에서 내부망으로 직접 접근하지 못하게 하는 것이다.

외부 사용자는 DMZ에 있는 웹 서버나 메일 서버까지만 접근할 수 있어야 하고, 내부 DB나 업무 시스템에는 직접 접근할 수 없어야 한다.

---

3. 망분리

망분리는 보안 수준이나 목적에 따라 네트워크를 분리하는 것이다.

망분리를 할 때 보통 부서별, 용도별, 보안 수준별로 네트워크를 나누는 것이고, 그 방법 중 하나로 위의 적은 VLAN과 DMZ를 사용한다.

예를 들어 기업에서는 다음과 같이 네트워크를 나눈다.

업무망
인터넷망
서버망
DB망
관리망
개발망
게스트망

 

망분리의 목적은 침해 확산을 막고 중요한 자산을 보호하는 것이다.

예를 들어 직원 PC가 악성코드에 감염되었더라도 DB망이나 관리망으로 바로 접근할 수 없도록 설계한다.

망분리는 물리적으로 장비를 분리하는 방식도 있고, VLAN이나 방화벽을 이용해 논리적으로 분리하는 방식도 있다.

 

쉽게 말하여, 망분리는 부서별, 용도별, 보안 수준별로 네트워크를 나누는 것이고, 내부망 분리에는 VLAN을 많이 사용하며, 외부에 공개해야 하는 서버는 DMZ로 분리한다. 

다만 핵심은 VLAN과 DMZ를 만드는 것 자체가 아니라, 각 망 사이의 통신을 방화벽 정책으로 필요한 만큼만 허용하는 것이다.