본문 바로가기

학위공부/독학사 요점정리

[독학사 3단계/정보보호] OSI·TCP/IP와 스니핑·스푸핑·DDoS (4일차)

독학사 정보보호 4일차 OSI TCP IP 스니핑 스푸핑 DDoS 정리

스니핑은 패킷을 보고 모으는 행위, 스푸핑은 주소·신원·응답을 속이는 행위, 스캐닝은 호스트·포트·서비스를 찾는 행위, DoS·DDoS는 자원을 소진시켜 서비스를 못 쓰게 하는 행위입니다.

OSI와 TCP/IP 계층은 공격이 어느 기능과 식별자를 노리는지 찾는 지도입니다. 다만 두 모델을 완전한 일대일 표로 외우면 틀리기 쉽습니다. TCP/IP 응용 계층은 보통 OSI의 세션·표현·응용 기능을 함께 다룹니다.

오늘의 한 줄: 본다=스니핑, 속인다=스푸핑, 찾는다=스캐닝, 못 쓰게 한다=DoS.

정보보호 전체 범위와 7일 순서는 독학사 3단계 정보보호 공부내용 총정리에서 확인할 수 있습니다.

OSI와 TCP/IP 계층 대응표

OSITCP/IP 관점기능·식별자 예보안 예
7 응용응용HTTP, DNS, SMTP 등 응용 메시지DNS 위조, 응용계층 DDoS
6 표현부호화, 직렬화, 압축, 암호 표현파싱 오류, 잘못된 암호 설정
5 세션대화와 세션 상태 관리세션 탈취·재전송
4 전송전송TCP·UDP, 포트, 세그먼트·데이터그램SYN 기반 탐색, 연결 상태 고갈
3 네트워크인터넷IP·ICMP, IP 주소, 데이터그램IP 스푸핑, 라우팅 공격
2 데이터링크링크Ethernet, MAC, 프레임, ARPARP 스푸핑, 로컬 스니핑
1 물리매체, 신호, 비트물리 도청, 전파 방해, 케이블 단절

이 표는 학습을 위한 기능 대응입니다. ISO/IEC 7498-1의 OSI 모델은 표준 조정의 공통 기반이고 구현 사양 자체가 아닙니다. RFC 1122도 엄격한 계층화는 실제 프로토콜 구현과 완전히 일치하지 않으며 계층 사이 상호작용이 있다고 설명합니다.

1. 캡슐화로 공격 위치 찾기

송신 측에서 응용 데이터는 전송 계층, 인터넷 계층, 링크 계층을 내려가며 각 계층의 제어정보가 붙습니다. 수신 측에서는 반대로 이를 해석합니다.

  1. 응용 데이터: HTTP 요청, DNS 질의 같은 실제 내용
  2. TCP 세그먼트·UDP 데이터그램: 출발지·목적지 포트 등
  3. IP 데이터그램: 출발지·목적지 IP 주소 등
  4. 링크 프레임: 같은 링크에서 사용할 MAC 주소 등

포트는 전송 계층의 응용 프로세스를, IP 주소는 인터넷 계층의 호스트·인터페이스를, MAC 주소는 로컬 링크 전달을 식별하는 데 쓰입니다. 공격이 어느 값을 위조하거나 관찰하는지 보면 계층을 찾기 쉽습니다.

2. 스니핑: 패킷을 관찰·수집

스니핑은 네트워크 패킷을 관찰하고 기록하는 행위입니다. 네트워크 관리와 장애 분석, 보안관제, 디지털 포렌식에도 쓰이는 정상 기능이지만, 권한 없이 자격증명·개인정보·통신 내용을 수집하면 공격이 됩니다.

  • 수동 스니핑: 보이는 트래픽을 조용히 수집합니다.
  • 능동 스니핑: 스위치 환경에서 ARP 위조 등으로 통신 경로를 바꾼 뒤 수집합니다.
  • 대응: TLS·VPN 같은 종단 또는 구간 암호화, 네트워크 분리, 포트 접근통제, 이상 탐지입니다.

암호화는 패킷의 내용을 보호하지만 통신 상대 주소, 시간, 크기 같은 메타데이터까지 언제나 숨기는 것은 아닙니다. 또한 공격자가 종단 단말을 장악했다면 암호화 전후의 데이터를 볼 수 있으므로 단말 보안도 필요합니다.

3. 스푸핑: 다른 주체처럼 위조

유형속이는 값·대상계층대표 대응
ARP 스푸핑IP 주소와 MAC 주소의 대응 정보링크네트워크 분리, ARP 보호, 암호화, 이상 탐지
IP 스푸핑IP 패킷의 출발지 주소인터넷출발지 검증, ingress/egress filtering
DNS 스푸핑도메인 이름 질의의 위조 응답응용응답 일치 검증, DNSSEC, 보호된 DNS 운영

스푸핑은 스니핑과 같은 말이 아닙니다. ARP 스푸핑으로 피해자의 통신을 공격자 쪽으로 돌린 뒤 스니핑할 수 있을 뿐, 하나는 위조이고 다른 하나는 수집입니다.

4. 스캐닝: 공격 표면을 찾는 정찰

네트워크 스캐닝은 활성 호스트, 열린 포트, 서비스 종류와 버전, 운영체제 특성 등을 식별하는 활동입니다. 관리자와 보안평가자도 자산 발견과 취약점 관리에 사용하지만 승인되지 않은 대상에 실행하면 침해 시도로 간주될 수 있고 운영 중단도 일으킬 수 있습니다.

  1. 호스트 발견: 살아 있는 장비와 주소 범위를 확인합니다.
  2. 포트·서비스 식별: 어떤 프로세스가 통신을 기다리는지 확인합니다.
  3. 운영체제·버전 추정: 응답 특성을 분석합니다.
  4. 취약점 스캔: 식별된 서비스와 알려진 약점을 대조합니다.

열린 포트가 곧 취약점은 아닙니다. 정상적으로 필요한 서비스일 수 있으며 실제 위험은 버전, 설정, 인증, 노출 범위, 보유 데이터 등을 함께 봐야 합니다. 무응답도 반드시 닫힘을 뜻하지 않고 방화벽 때문에 필터링된 상태일 수 있습니다.

5. DoS와 DDoS: 가용성을 겨냥

구분출발원핵심방어 난점
DoS한 출발원 또는 소수트래픽·연결·연산 자원 소진출발원이 비교적 집중됨
DDoS여러 분산 출발원동시에 대량 요청을 보내 가용성 저하정상 사용자와 구별·일괄 차단이 어려움

CISA·FBI·MS-ISAC 공동 지침은 DDoS를 다음 세 유형으로 설명합니다.

  • 네트워크 자원 과부하: 회선·장비·대역폭을 소진합니다.
  • 프로토콜 자원 과부하: 세션·연결 상태 같은 프로토콜 자원을 소진합니다.
  • 애플리케이션 자원 과부하: CPU·메모리·저장소·백엔드 작업을 소진합니다.

반사·증폭과 봇넷 구분

형태원리IP 스푸핑과 관계
반사·증폭피해자 주소로 위조한 작은 요청을 제3자에게 보내 큰 응답이 피해자에게 가게 함위조 출발지 차단이 중요
봇넷 직접 공격감염된 실제 장비들이 각자 대상에 요청실제 출발지일 수 있어 BCP 38만으로 해결되지 않음

모든 DDoS가 IP 스푸핑을 쓰는 것은 아닙니다. 또한 접속자가 갑자기 몰린 플래시 크라우드나 설정 오류도 과부하를 일으킬 수 있으므로 가용성 현상과 공격 의도를 구분해야 합니다.

6. DDoS 대응은 경로 전체에서

  1. 평시 기준선: 정상 트래픽과 자원 사용량을 측정합니다.
  2. 공격면 축소: 불필요 서비스와 공개 포트를 제거합니다.
  3. 조기 폐기: 출발지 검증, 속도 제한, 방화벽·라우터 정책을 적용합니다.
  4. 분산·복원력: 용량, 캐시, 다중 경로, 분산 서비스로 단일 병목을 줄입니다.
  5. 상위망 협력: ISP·클라우드·DDoS 완화 제공자와 연락·우회 절차를 정합니다.
  6. 대응계획: 탐지 기준, 의사결정자, 증거 보존, 고객 안내, 복구 순서를 연습합니다.

대상 서버 앞의 장비 하나가 모든 공격 트래픽을 받은 뒤 차단하려 하면 회선이 먼저 포화될 수 있습니다. 대규모 DDoS는 조직 내부뿐 아니라 상위 네트워크와 분산 인프라의 협력이 필요합니다.

객관식에서 자주 틀리는 5가지

  1. “OSI와 TCP/IP는 계층이 완전히 일대일이다” → TCP/IP 응용 계층은 여러 OSI 상위 기능을 함께 처리합니다.
  2. “스니핑과 스푸핑은 같은 공격이다” → 하나는 수집, 다른 하나는 위조입니다.
  3. “열린 포트는 곧 취약점이다” → 서비스 노출일 뿐이며 버전·설정·권한 등을 더 봐야 합니다.
  4. “트래픽이 크면 모두 DDoS다” → DDoS의 핵심 구별은 여러 분산 출발원의 동시 공격입니다.
  5. “모든 DDoS는 IP 스푸핑을 쓴다” → 실제 봇 주소로 직접 요청하는 공격도 많습니다.

80자 내외 서술형 연습 답안

아래 문장은 기출문제가 아니라 공식 범위를 바탕으로 직접 만든 연습용 답안입니다.

  1. OSI와 TCP/IP
    OSI 상위 세 계층은 TCP/IP 응용, 전송은 전송, 네트워크는 인터넷, 하위 두 계층은 링크에 대응해 볼 수 있다.
  2. 스니핑과 스푸핑
    스니핑은 패킷을 관찰·수집하는 행위이고, 스푸핑은 주소나 응답을 위조해 다른 주체처럼 보이게 한다.
  3. ARP·IP·DNS 스푸핑
    ARP는 IP-MAC 대응, IP는 출발지 주소, DNS는 이름 질의 응답을 속이며 각각 대상 계층과 통제가 다르다.
  4. 포트 스캐닝
    호스트의 열린 포트와 서비스를 식별하는 정찰 활동이며, 열린 포트 자체가 취약점을 뜻하지는 않는다.
  5. DoS와 DDoS
    DoS는 한 출발원 중심이고 DDoS는 여러 분산 출발원이 동시에 자원을 소진해 서비스 가용성을 해친다.
  6. DDoS 대응
    트래픽 가시화, 속도 제한·필터링, 용량·분산, 우회 경로와 상위 제공자 협력을 대응계획으로 함께 준비한다.

5분 셀프 테스트

  1. IP 주소·포트·MAC 주소는 각각 어느 계층의 대표 식별자인가?
  2. 스니핑·스푸핑·스캐닝을 동사 하나씩으로 구분해 보세요.
  3. ARP·IP·DNS 스푸핑이 각각 속이는 값을 적어 보세요.
  4. 열린 포트와 취약점이 같은 말이 아닌 이유는?
  5. 반사·증폭 DDoS와 봇넷 직접 공격의 출발지 차이는?
정답 확인

1. 인터넷·전송·링크 계층 2. 본다·속인다·찾는다 3. IP-MAC 대응·출발지 IP·이름 질의 응답 4. 서비스 노출일 뿐 실제 약점은 버전·설정·권한 등을 함께 판단 5. 전자는 피해자 주소로 위조할 수 있고 후자는 감염 장비의 실제 주소일 수 있음

오늘의 마무리 체크

  • OSI와 TCP/IP 대응을 엄격한 일대일로 단정하지 않는가?
  • 캡슐화 순서와 대표 주소·전송 단위를 연결했는가?
  • 스니핑·스푸핑·스캐닝의 행위와 합법적 사용 가능성을 구분하는가?
  • DoS·DDoS와 반사·증폭·봇넷 공격을 구분하는가?
  • DDoS 대응에 상위망 협력이 필요한 이유를 설명할 수 있는가?

전체 범위로 돌아가려면 독학사 3단계 정보보호 공부내용 총정리를 확인하세요.

공식 자료

이 글은 2026년 7월 10일 기준 학습용 정리입니다. RFC 1122는 TCP/IP 계층의 근거이지 OSI 대응표를 직접 규정하는 문서는 아닙니다. 실제 스캔·패킷 수집은 명시적 승인과 범위 합의 아래 수행해야 합니다.