
스니핑은 패킷을 보고 모으는 행위, 스푸핑은 주소·신원·응답을 속이는 행위, 스캐닝은 호스트·포트·서비스를 찾는 행위, DoS·DDoS는 자원을 소진시켜 서비스를 못 쓰게 하는 행위입니다.
OSI와 TCP/IP 계층은 공격이 어느 기능과 식별자를 노리는지 찾는 지도입니다. 다만 두 모델을 완전한 일대일 표로 외우면 틀리기 쉽습니다. TCP/IP 응용 계층은 보통 OSI의 세션·표현·응용 기능을 함께 다룹니다.
오늘의 한 줄: 본다=스니핑, 속인다=스푸핑, 찾는다=스캐닝, 못 쓰게 한다=DoS.
정보보호 전체 범위와 7일 순서는 독학사 3단계 정보보호 공부내용 총정리에서 확인할 수 있습니다.
OSI와 TCP/IP 계층 대응표
| OSI | TCP/IP 관점 | 기능·식별자 예 | 보안 예 |
|---|---|---|---|
| 7 응용 | 응용 | HTTP, DNS, SMTP 등 응용 메시지 | DNS 위조, 응용계층 DDoS |
| 6 표현 | 부호화, 직렬화, 압축, 암호 표현 | 파싱 오류, 잘못된 암호 설정 | |
| 5 세션 | 대화와 세션 상태 관리 | 세션 탈취·재전송 | |
| 4 전송 | 전송 | TCP·UDP, 포트, 세그먼트·데이터그램 | SYN 기반 탐색, 연결 상태 고갈 |
| 3 네트워크 | 인터넷 | IP·ICMP, IP 주소, 데이터그램 | IP 스푸핑, 라우팅 공격 |
| 2 데이터링크 | 링크 | Ethernet, MAC, 프레임, ARP | ARP 스푸핑, 로컬 스니핑 |
| 1 물리 | 매체, 신호, 비트 | 물리 도청, 전파 방해, 케이블 단절 |
이 표는 학습을 위한 기능 대응입니다. ISO/IEC 7498-1의 OSI 모델은 표준 조정의 공통 기반이고 구현 사양 자체가 아닙니다. RFC 1122도 엄격한 계층화는 실제 프로토콜 구현과 완전히 일치하지 않으며 계층 사이 상호작용이 있다고 설명합니다.
1. 캡슐화로 공격 위치 찾기
송신 측에서 응용 데이터는 전송 계층, 인터넷 계층, 링크 계층을 내려가며 각 계층의 제어정보가 붙습니다. 수신 측에서는 반대로 이를 해석합니다.
- 응용 데이터: HTTP 요청, DNS 질의 같은 실제 내용
- TCP 세그먼트·UDP 데이터그램: 출발지·목적지 포트 등
- IP 데이터그램: 출발지·목적지 IP 주소 등
- 링크 프레임: 같은 링크에서 사용할 MAC 주소 등
포트는 전송 계층의 응용 프로세스를, IP 주소는 인터넷 계층의 호스트·인터페이스를, MAC 주소는 로컬 링크 전달을 식별하는 데 쓰입니다. 공격이 어느 값을 위조하거나 관찰하는지 보면 계층을 찾기 쉽습니다.
2. 스니핑: 패킷을 관찰·수집
스니핑은 네트워크 패킷을 관찰하고 기록하는 행위입니다. 네트워크 관리와 장애 분석, 보안관제, 디지털 포렌식에도 쓰이는 정상 기능이지만, 권한 없이 자격증명·개인정보·통신 내용을 수집하면 공격이 됩니다.
- 수동 스니핑: 보이는 트래픽을 조용히 수집합니다.
- 능동 스니핑: 스위치 환경에서 ARP 위조 등으로 통신 경로를 바꾼 뒤 수집합니다.
- 대응: TLS·VPN 같은 종단 또는 구간 암호화, 네트워크 분리, 포트 접근통제, 이상 탐지입니다.
암호화는 패킷의 내용을 보호하지만 통신 상대 주소, 시간, 크기 같은 메타데이터까지 언제나 숨기는 것은 아닙니다. 또한 공격자가 종단 단말을 장악했다면 암호화 전후의 데이터를 볼 수 있으므로 단말 보안도 필요합니다.
3. 스푸핑: 다른 주체처럼 위조
| 유형 | 속이는 값·대상 | 계층 | 대표 대응 |
|---|---|---|---|
| ARP 스푸핑 | IP 주소와 MAC 주소의 대응 정보 | 링크 | 네트워크 분리, ARP 보호, 암호화, 이상 탐지 |
| IP 스푸핑 | IP 패킷의 출발지 주소 | 인터넷 | 출발지 검증, ingress/egress filtering |
| DNS 스푸핑 | 도메인 이름 질의의 위조 응답 | 응용 | 응답 일치 검증, DNSSEC, 보호된 DNS 운영 |
스푸핑은 스니핑과 같은 말이 아닙니다. ARP 스푸핑으로 피해자의 통신을 공격자 쪽으로 돌린 뒤 스니핑할 수 있을 뿐, 하나는 위조이고 다른 하나는 수집입니다.
4. 스캐닝: 공격 표면을 찾는 정찰
네트워크 스캐닝은 활성 호스트, 열린 포트, 서비스 종류와 버전, 운영체제 특성 등을 식별하는 활동입니다. 관리자와 보안평가자도 자산 발견과 취약점 관리에 사용하지만 승인되지 않은 대상에 실행하면 침해 시도로 간주될 수 있고 운영 중단도 일으킬 수 있습니다.
- 호스트 발견: 살아 있는 장비와 주소 범위를 확인합니다.
- 포트·서비스 식별: 어떤 프로세스가 통신을 기다리는지 확인합니다.
- 운영체제·버전 추정: 응답 특성을 분석합니다.
- 취약점 스캔: 식별된 서비스와 알려진 약점을 대조합니다.
열린 포트가 곧 취약점은 아닙니다. 정상적으로 필요한 서비스일 수 있으며 실제 위험은 버전, 설정, 인증, 노출 범위, 보유 데이터 등을 함께 봐야 합니다. 무응답도 반드시 닫힘을 뜻하지 않고 방화벽 때문에 필터링된 상태일 수 있습니다.
5. DoS와 DDoS: 가용성을 겨냥
| 구분 | 출발원 | 핵심 | 방어 난점 |
|---|---|---|---|
| DoS | 한 출발원 또는 소수 | 트래픽·연결·연산 자원 소진 | 출발원이 비교적 집중됨 |
| DDoS | 여러 분산 출발원 | 동시에 대량 요청을 보내 가용성 저하 | 정상 사용자와 구별·일괄 차단이 어려움 |
CISA·FBI·MS-ISAC 공동 지침은 DDoS를 다음 세 유형으로 설명합니다.
- 네트워크 자원 과부하: 회선·장비·대역폭을 소진합니다.
- 프로토콜 자원 과부하: 세션·연결 상태 같은 프로토콜 자원을 소진합니다.
- 애플리케이션 자원 과부하: CPU·메모리·저장소·백엔드 작업을 소진합니다.
반사·증폭과 봇넷 구분
| 형태 | 원리 | IP 스푸핑과 관계 |
|---|---|---|
| 반사·증폭 | 피해자 주소로 위조한 작은 요청을 제3자에게 보내 큰 응답이 피해자에게 가게 함 | 위조 출발지 차단이 중요 |
| 봇넷 직접 공격 | 감염된 실제 장비들이 각자 대상에 요청 | 실제 출발지일 수 있어 BCP 38만으로 해결되지 않음 |
모든 DDoS가 IP 스푸핑을 쓰는 것은 아닙니다. 또한 접속자가 갑자기 몰린 플래시 크라우드나 설정 오류도 과부하를 일으킬 수 있으므로 가용성 현상과 공격 의도를 구분해야 합니다.
6. DDoS 대응은 경로 전체에서
- 평시 기준선: 정상 트래픽과 자원 사용량을 측정합니다.
- 공격면 축소: 불필요 서비스와 공개 포트를 제거합니다.
- 조기 폐기: 출발지 검증, 속도 제한, 방화벽·라우터 정책을 적용합니다.
- 분산·복원력: 용량, 캐시, 다중 경로, 분산 서비스로 단일 병목을 줄입니다.
- 상위망 협력: ISP·클라우드·DDoS 완화 제공자와 연락·우회 절차를 정합니다.
- 대응계획: 탐지 기준, 의사결정자, 증거 보존, 고객 안내, 복구 순서를 연습합니다.
대상 서버 앞의 장비 하나가 모든 공격 트래픽을 받은 뒤 차단하려 하면 회선이 먼저 포화될 수 있습니다. 대규모 DDoS는 조직 내부뿐 아니라 상위 네트워크와 분산 인프라의 협력이 필요합니다.
객관식에서 자주 틀리는 5가지
- “OSI와 TCP/IP는 계층이 완전히 일대일이다” → TCP/IP 응용 계층은 여러 OSI 상위 기능을 함께 처리합니다.
- “스니핑과 스푸핑은 같은 공격이다” → 하나는 수집, 다른 하나는 위조입니다.
- “열린 포트는 곧 취약점이다” → 서비스 노출일 뿐이며 버전·설정·권한 등을 더 봐야 합니다.
- “트래픽이 크면 모두 DDoS다” → DDoS의 핵심 구별은 여러 분산 출발원의 동시 공격입니다.
- “모든 DDoS는 IP 스푸핑을 쓴다” → 실제 봇 주소로 직접 요청하는 공격도 많습니다.
80자 내외 서술형 연습 답안
아래 문장은 기출문제가 아니라 공식 범위를 바탕으로 직접 만든 연습용 답안입니다.
- OSI와 TCP/IP
OSI 상위 세 계층은 TCP/IP 응용, 전송은 전송, 네트워크는 인터넷, 하위 두 계층은 링크에 대응해 볼 수 있다. - 스니핑과 스푸핑
스니핑은 패킷을 관찰·수집하는 행위이고, 스푸핑은 주소나 응답을 위조해 다른 주체처럼 보이게 한다. - ARP·IP·DNS 스푸핑
ARP는 IP-MAC 대응, IP는 출발지 주소, DNS는 이름 질의 응답을 속이며 각각 대상 계층과 통제가 다르다. - 포트 스캐닝
호스트의 열린 포트와 서비스를 식별하는 정찰 활동이며, 열린 포트 자체가 취약점을 뜻하지는 않는다. - DoS와 DDoS
DoS는 한 출발원 중심이고 DDoS는 여러 분산 출발원이 동시에 자원을 소진해 서비스 가용성을 해친다. - DDoS 대응
트래픽 가시화, 속도 제한·필터링, 용량·분산, 우회 경로와 상위 제공자 협력을 대응계획으로 함께 준비한다.
5분 셀프 테스트
- IP 주소·포트·MAC 주소는 각각 어느 계층의 대표 식별자인가?
- 스니핑·스푸핑·스캐닝을 동사 하나씩으로 구분해 보세요.
- ARP·IP·DNS 스푸핑이 각각 속이는 값을 적어 보세요.
- 열린 포트와 취약점이 같은 말이 아닌 이유는?
- 반사·증폭 DDoS와 봇넷 직접 공격의 출발지 차이는?
정답 확인
1. 인터넷·전송·링크 계층 2. 본다·속인다·찾는다 3. IP-MAC 대응·출발지 IP·이름 질의 응답 4. 서비스 노출일 뿐 실제 약점은 버전·설정·권한 등을 함께 판단 5. 전자는 피해자 주소로 위조할 수 있고 후자는 감염 장비의 실제 주소일 수 있음
오늘의 마무리 체크
- OSI와 TCP/IP 대응을 엄격한 일대일로 단정하지 않는가?
- 캡슐화 순서와 대표 주소·전송 단위를 연결했는가?
- 스니핑·스푸핑·스캐닝의 행위와 합법적 사용 가능성을 구분하는가?
- DoS·DDoS와 반사·증폭·봇넷 공격을 구분하는가?
- DDoS 대응에 상위망 협력이 필요한 이유를 설명할 수 있는가?
전체 범위로 돌아가려면 독학사 3단계 정보보호 공부내용 총정리를 확인하세요.
공식 자료
- 국가평생교육진흥원 독학학위제 과목별 평가영역
- ISO/IEC 7498-1:1994 OSI Basic Reference Model
- IETF RFC 1122 Internet Host Communication Layers
- NIST SP 800-86 Guide to Integrating Forensic Techniques
- NIST SP 800-115 Technical Guide to Information Security Testing
- IETF RFC 9293 Transmission Control Protocol
- IETF RFC 826 Address Resolution Protocol
- IETF BCP 38/RFC 2827 Network Ingress Filtering
- NIST SP 800-81 Rev.3 Secure Domain Name System Deployment Guide
- CISA·FBI·MS-ISAC DDoS 공동 지침
이 글은 2026년 7월 10일 기준 학습용 정리입니다. RFC 1122는 TCP/IP 계층의 근거이지 OSI 대응표를 직접 규정하는 문서는 아닙니다. 실제 스캔·패킷 수집은 명시적 승인과 범위 합의 아래 수행해야 합니다.
'학위공부 > 독학사 요점정리' 카테고리의 다른 글
| [독학사 3단계/정보보호] OWASP Top 10·ISMS-P·개인정보보호 (6일차) (0) | 2026.07.11 |
|---|---|
| [독학사 3단계/정보보호] 방화벽·IDS·IPS·VPN과 HTTP 세션 (5일차) (0) | 2026.07.11 |
| [독학사 3단계/정보보호] 버퍼 오버플로·레이스 컨디션과 시스템 보안 (3일차) (0) | 2026.07.11 |
| [독학사 3단계/정보보호] 대칭키·비대칭키·해시·전자서명 정리 (2일차) (0) | 2026.07.11 |
| [독학사 3단계/정보보호] CIA·인증·인가·위험관리 정리 (1일차) (1) | 2026.07.11 |