콘텐츠로 바로가기
HY_TECH_BASE

Infrastructure & Platform Security

네트워크 장치, 서버, 클라우드 플랫폼 등 시스템 기반 환경을 보호하기 위한 방화벽, 침입 탐지 및 컨테이너 보안의 물리적 요새화를 다루는 학습 노드입니다.

sys.entry
M

Me

hyunyoun's Blog

posts6 min read

1. Overview

인프라 및 플랫폼 보안(Infrastructure & Platform Security, IPS)은 소프트웨어가 구동되는 '터전'을 외부의 위협으로부터 물리적/논리적으로 격리하는 방어 전략을 다룹니다.

아무리 단단한 성벽도 지반이 약하면 무너집니다. 학습자는 네트워크 트래픽을 필터링하는 방화벽(Firewall), 외부 침입을 실시간으로 감시하는 IDS/IPS, 그리고 현대적 클라우드 환경의 핵심인 가상 프라이빗 클라우드(VPC)와 컨테이너 보안 물리(Docker/K8s)를 배웁니다. 이를 통해 서비스의 가용성을 유지하면서도 신뢰할 수 없는 외부 통신으로부터 내부 자원을 보호하는 다층 방어(Defense in Depth) 구조를 구축합니다.

2. Scope & Boundaries

In-Scope

  • Network Defense: 방화벽, ACL(Access Control List), VPN 및 DMZ 구성 물리
  • Detection & Prevention: 침입 탐지(IDS) 및 방지(IPS) 시스템의 작동 논리
  • Cloud/Platform Security: VPC 설계, IAM 권한 분리, 클라우드 자원 요새화
  • Endpoint/Server Security: 호스트 기반 보안(HIDS), 커널 요새화 및 패치 관리 역학

Out-of-Scope

  • 웹 애플리케이션의 XSS, SQLi 공격 대응 (10-03 Application Security 영역으로 위임)
  • 암호학적 알고리즘 자체의 수학적 구현 (10-01 SFC 영역으로 위임)

Boundaries

  • IPS vs. Cloud-Native Architecture: 07-07 노드가 '플랫폼의 효율적 운영'에 집중한다면, IPS는 해당 플랫폼 위에서 '공격자의 수평 이동(Lateral Movement)을 어떻게 물리적으로 차단할 것인가'에 집중합니다.

3. Counterexample

  • 단순히 클라우드 콘솔에서 모든 포트를 열어두고 서비스가 잘 돌아가는 것을 확인하는 것은 IPS 학습이 아닙니다. 왜 최소 권한(Least Privilege) 원칙에 따라 특정 IP 대역만 허용해야 하는지 그 공격 표면(Attack Surface) 감소 역학을 설명하고, 외부에서 내부망으로 들어오는 모든 트래픽을 검증하지 않는 '성벽 중심 보안(Perimeter-based)'이 현대의 지능형 위협(APT) 앞에서 왜 물리적으로 무력한지 논증할 수 있어야 합니다.

4. Prerequisites

  • 네트워크 기초 및 OSI 스택 (Basic): IP 주소 체계와 포트, 패킷의 구조 이해가 필수적입니다. (08. NFS)
  • 보안 기초 및 암호학 (Recommended): VPN 등 전송 구간 보호를 위한 암호 기술 기초가 권장됩니다. (10. SFC)

5. Learning Map

  1. Perimeter Defense: 성벽 역할을 하는 방화벽과 네트워크 분할 정책을 익힙니다.
  2. Detection Logic: 외부의 수상한 움직임을 감지하고 차단하는 자동화된 파수꾼 체계를 이해합니다.
  3. Cloud Hardening: 무형의 인프라인 클라우드에서 논리적 경계(VPC)를 획정하는 물리적 방법을 배웁니다.
  4. Next Gen Security: 경계가 사라진 현대 인프라에서 모든 연결을 의심하는 제로 트러스트(Zero Trust) 철학을 탐구합니다.

6. Learning Topics

Basic

Core: 네트워크 방화벽과 패킷 필터링 (Firewall Mechanics)

  • Why to Learn: 서비스와 상관없는 불필요한 접근을 물리적으로 차단하여 시스템 부하와 위협을 줄이기 위함입니다.
  • What to Learn:
    • 상태 기반(Stateful Inspection) vs 무상태(Stateless) 필터링 물리
    • 기본 차단(Deny All) 및 예외 허용(Allow) 정책 수립 원리
    • DMZ(비무장 지대) 구성을 통한 외부/내부 자원 격리 논리
  • How to Learn:
    • 리눅스 iptables나 클라우드 보안 그룹(Security Group)을 사용해 특정 포트만 허용하는 실습
    • 외부에서 허용되지 않은 포트로 접속 시도 시 패킷이 드롭(Drop)되는 현상 로그 확인
  • Implement: 3-Tier 아키텍처(Web-WAS-DB) 환경을 위한 네트워크 필터링 규칙 설계서

Core: 침입 탐지 및 방지 시스템 (IDS/IPS)

  • Why to Learn: 방화벽을 통과한 정상 트래픽 속에 숨어있는 공격 행위를 실시간으로 포착하기 위해서입니다.
  • What to Learn:
    • 오용 탐지(Signature-based) vs 이상 탐지(Anomaly-based) 물리
    • 호스트 기반(HIDS) vs 네트워크 기반(NIDS)의 감시 범위 차이
    • 허니팟(Honeypot)을 이용한 공격 유도 및 정보 수집 역학
  • How to Learn:
    • Snort와 같은 도구에서 공격 시그니처 룰(Rule)을 작성하고 실제 웹 공격 시 알람 발생 여부 확인
    • 대량의 트래픽을 IDS에 통과시켰을 때 발생하는 지연 시간 및 물리적 병목 현상 측정
  • Implement: 특정 공격 유형(예: 포트 스캔)을 탐지하기 위한 IDS 룰셋 구성안

Practical

Core: 클라우드 VPC 아키텍처와 격리 (VPC & Cloud Assets)

  • Why to Learn: 전용망이 없는 인터넷 환경에서 우리만의 안전한 논리적 요새를 구축하기 위함입니다.
  • What to Learn:
    • VPC(Virtual Private Cloud) 서브넷 설계와 라우팅 테이블 제어 물리
    • 프라이빗 서브넷 내 자원의 외부 소통을 위한 NAT 게이트웨이 운영 역학
    • IAM(Identity and Access Management)을 통한 관리 권한의 미세 조정 물리
  • How to Learn:
    • Terraform이나 콘솔을 통해 공인 IP가 없는 서버를 구축하고 베스천 호스트(Bastion)를 통해서만 접속하는 환경 구축
    • 클라우드 로그 분석 도구(CloudTrail 등)를 이용해 비정상적인 자원 변경 시도 추적 실습
  • Implement: 고가용성과 보안성을 동시에 갖춘 클라우드 인프라 표준 토폴로지 설계도

Advanced

Core: 제로 트러스트와 현대적 플랫폼 보안 (Platform Security & Zero Trust)

  • Why to Learn: 인프라의 경계가 무너진 환경(멀티 클라우드, 원격 근무)에서도 데이터 중심의 안전을 유지하기 위해서입니다.
  • What to Learn:
    • 제로 트러스트 아키텍처(ZTA)의 7가지 원칙과 사용자-기기-데이터 연결 물리
    • 컨테이너 보안: 런타임 감시, 이미지 취약점 스캔 및 쿠버네티스 RBAC/Network Policy
    • 마이크로서비스 간 통신 보호를 위한 mTLS 및 서비스 메시 보안 역학
  • How to Learn:
    • 서비스 메시(Istio 등)를 활용해 서비스 간 통신 시 상호 인증(mTLS)이 강제되는 과정 분석
    • 컨테이너 이미지 스캔 도구(Trivy 등)로 취약점이 있는 라이브러리를 물리적으로 배포 차단하는 파이프라인 구축
  • Implement: 레거시 환경에서 제로 트러스트 모델로의 전환을 위한 단계별 보안 가이드라인

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무/심화) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
Defense in Depth 여러 겹의 상이한 보안 통제 수단을 배치하여 하나의 방어선이 무너지더라도 시스템 전체를 보호하는 전략입니다. 기본 방어 철학 Layering Multi-factor 단순히 '많은 툴 설치'로 오해 P3:CyBOK core
DMZ 외부 네트워크와 내부 네트워크 사이에 위치하여 공통으로 접근 가능한 서비스를 물리적으로 격리하는 구간입니다. 기본 영역 분리 Perimeter Segment 완벽히 외부인 것으로 오해 P1:CS2023/Network core
IDS/IPS 네트워크 트래픽을 분석하여 공격을 탐지(IDS)하거나 실시간으로 차단(IPS)하는 보안 장치 또는 소프트웨어입니다. 추천 실시간 탐지 Snort Firewall 방화벽과 동일시함 P3:CyBOK core
Zero Trust 내부망을 포함한 그 어떤 연결도 신뢰하지 않고 매 순간 명시적인 검증을 요구하는 현대적 보안 패러다임입니다. 심화 플랫폼 보안 IAM / ZTA Perimeter Security '아무도 안 믿는 개발자'로 오해 Industry SP 800-207 core

8. References

Primary References

Secondary References

  • [Network Security: Private Communication in a Public World] Charlie Kaufman — Deep network security theory.
  • [Cloud Security and Privacy] Tim Mather — Practitioner's cloud guide.

Industry References

  • [NIST SP 800-53] — Security and Privacy Controls for Information Systems.
  • [AWS Security Best Practices Whitepaper] — Industry standard cloud defense.

9. Final Checklist

Primary Checklist

  • 특정 네트워크 아키텍처에서 '단일 장애점(SPOF)'과 '단일 보안 침해점'을 물리적으로 구분하여 개선안을 제안할 수 있는가? (P3)
  • OSI 7계층 모델의 각 계층(L3, L4, L7)에서 방화벽이 어떻게 트래픽을 처리하는지 물리적 차이를 기술 가능한가? (P1)

Secondary Checklist

  • IDS에서 발생하는 '탐지 누락(False Negative)'과 '오탐(False Positive)'이 보안 운영의 피로도와 안전성에 미치는 물리적 영향을 이해하는가?
  • 클라우드 IAM 정책 설계 시 '역할 기반 접근 제어(RBAC)'와 '속성 기반 접근 제어(ABAC)'의 물리적 유연성 차이를 식별 가능한가?

Industry Checklist

  • 실무 서비스 환경에서 외부 노출이 필요한 서비스(Web)와 내부 자원(DB)을 물리적으로 레이어링(Subnetting)하여 격리 설계할 수 있는가? (SFIA)
  • 컨테이너 기반 배포 시 도커 데몬의 권한 남용을 막기 위한 '비루트(Rootless)' 구동의 보안 이점을 물리적으로 입증 가능한가?

Concepts & Tags

#network-security#cloud-security#firewalls#intrusion-detection