본문 바로가기

학위공부/독학사 요점정리

[독학사 3단계/정보보호] 방화벽·IDS·IPS·VPN과 HTTP 세션 (5일차)

독학사 정보보호 5일차 방화벽 IDS IPS VPN HTTP 세션 공부 정리

방화벽·IDS·IPS·VPN은 모두 네트워크 보안 기술이지만 하는 일이 다릅니다. 방화벽은 정책에 따라 통신을 허용하거나 차단하고, IDS는 침입 징후를 탐지해 알리며, IPS는 탐지한 악성 통신을 차단합니다. VPN은 공용망 위에 보호된 사설 통신 경로를 만듭니다.

웹 부분에서는 HTTP 요청과 응답 → 쿠키 → 세션 → TLS 순서로 이해하면 됩니다. HTTP 자체는 상태를 기억하지 않는 프로토콜이고, 쿠키와 세션이 로그인 같은 연속 상태를 이어 줍니다. 이 글은 독학사 정보보호 7일 공부 중 5일차 분량입니다.

오늘의 한 줄: 통신을 통제하는 장비와 상태를 이어 주는 웹 구조를 역할·위치·한계로 비교한다.

정보보호 전체 범위와 7일 순서는 독학사 3단계 정보보호 공부내용 총정리에서 확인할 수 있습니다.

먼저 보는 핵심 비교표

기술주요 역할일반적인 동작시험 함정
방화벽보안정책에 따른 트래픽 통제허용·거부 규칙 적용모든 공격을 분석하는 만능 장비가 아님
IDS침입 징후 탐지·경고트래픽 또는 호스트 활동 감시기본 역할은 차단이 아니라 탐지
IPS침입 탐지 후 능동 차단통신 경로에서 패킷 폐기·연결 차단오탐이면 정상 통신도 막을 수 있음
VPN공용망에서 보호된 사설 통신암호화·무결성·상대 인증 등을 결합감염된 단말까지 안전하게 만들지는 않음
WAF웹 애플리케이션 요청 보호HTTP 요청의 공격 패턴·정책 분석안전한 코딩을 대신하지 않음

1. 방화벽: 무엇을 어디까지 통과시킬 것인가

NIST는 방화벽을 서로 다른 보안 수준의 네트워크 또는 호스트 사이에서 트래픽 흐름을 통제하는 장치나 프로그램으로 설명합니다. 핵심은 사전에 정한 보안정책을 통신 규칙으로 구현하는 것입니다.

방식판단 정보장점한계
패킷 필터링출발지·목적지 IP, 포트, 프로토콜단순하고 빠름애플리케이션 내용 파악이 제한적
상태기반 검사패킷 정보와 연결 상태정상 세션의 흐름을 함께 판단암호화된 내용이나 앱 논리까지 알지는 못함
애플리케이션 프록시특정 응용 프로토콜의 메시지세밀한 검사와 중계 가능처리 부담과 구성 복잡성

규칙은 일반적으로 필요한 통신만 허용하고 나머지는 거부하는 기본 거부(default deny) 방식이 안전합니다. 다만 방화벽을 설치했다고 내부자 오용, 허용된 통신 안의 취약한 요청, 감염된 단말의 행동이 모두 사라지는 것은 아닙니다.

2. IDS와 IPS: 탐지와 차단을 구분

IDS(Intrusion Detection System)는 공격 징후나 보안정책 위반을 찾아 경고하고, IPS(Intrusion Prevention System)는 네트워크 경로에서 악성 통신을 차단할 수 있도록 배치됩니다. 시험에서는 이름보다 탐지 결과가 실제 통신에 즉시 개입하는가를 묻는 경우가 많습니다.

감시 위치에 따른 구분

  • NIDS/NIPS: 네트워크 구간의 패킷과 흐름을 감시합니다.
  • HIDS/HIPS: 서버·PC 안의 로그, 파일, 프로세스, 시스템 호출 등을 감시합니다.

판정 방식에 따른 구분

  • 오용·서명 기반: 알려진 공격의 특징과 비교합니다. 설명 가능성이 높지만 새로운 변종을 놓칠 수 있습니다.
  • 이상행위 기반: 정상 기준에서 벗어난 행동을 찾습니다. 알려지지 않은 이상을 잡을 수 있지만 오탐 관리가 어렵습니다.

오탐(false positive)은 정상 행위를 공격으로 판단한 것이고, 미탐(false negative)은 실제 공격을 정상으로 놓친 것입니다. IPS는 오탐이 곧 정상 서비스 차단으로 이어질 수 있어 탐지 정확도와 정책 조정이 특히 중요합니다.

3. VPN: 터널이 보호하는 것과 보호하지 못하는 것

VPN(Virtual Private Network)은 공용 네트워크를 이용하면서도 논리적으로 사설망처럼 통신하도록 보호 경로를 구성하는 기술입니다. NIST SP 800-77 Rev.1은 IPsec을 IP 네트워크의 통신을 보호하는 네트워크 계층 보안 통제로 설명합니다.

형태연결 대상대표 상황
사이트 대 사이트지점 네트워크 ↔ 본사 네트워크서로 떨어진 사내망 연결
원격 접속사용자 단말 ↔ 조직 네트워크재택·외근 사용자의 내부 서비스 접속

VPN은 전송 구간의 기밀성·무결성·상대 인증에 도움을 주지만 취약한 계정, 감염 단말, 과도한 내부 권한, 잘못된 설정까지 자동 해결하지는 않습니다. CISA는 2024년 지침에서 전통적인 원격접속 VPN만 의존하기보다 제로 트러스트, SSE, SASE 같은 현대적 접근통제 방식으로의 전환도 검토하도록 권고했습니다. 시험 답안에서는 VPN의 기본 원리를 먼저 쓰고, 실무 한계는 보충 설명으로 붙이면 됩니다.

4. HTTP 요청과 응답 구조

RFC 9110은 HTTP를 분산 하이퍼텍스트 정보시스템을 위한 상태 비저장(stateless) 애플리케이션 계층 프로토콜로 정의합니다. 클라이언트가 요청을 보내고 서버가 응답하며, 각 요청의 의미는 원칙적으로 독립적으로 이해할 수 있습니다.

요청응답
메서드: GET, POST 등상태 코드: 200, 404, 500 등
요청 대상: URI 경로와 질의헤더: 서버·표현 메타데이터
헤더: 클라이언트·표현 메타데이터콘텐츠: HTML, JSON, 이미지 등
필요한 경우 요청 콘텐츠필요한 경우 트레일러

HTTP가 상태를 기억하지 않는다는 말은 서버가 절대로 상태를 저장할 수 없다는 뜻이 아닙니다. 프로토콜의 각 요청은 독립적이지만, 애플리케이션은 쿠키·세션·토큰 등을 이용해 여러 요청을 같은 사용자 흐름으로 연결할 수 있다는 뜻입니다.

5. 쿠키와 세션: 저장 위치부터 구분

서버는 응답의 Set-Cookie로 브라우저에 쿠키 저장을 요청하고, 브라우저는 조건이 맞는 다음 요청의 Cookie 헤더에 값을 담아 보냅니다. 쿠키에는 작은 상태값을 둘 수 있지만 민감한 서버 상태 전체를 그대로 넣기보다 무작위 세션 식별자를 두는 방식이 일반적입니다.

구분쿠키세션
주 저장 위치사용자 에이전트(브라우저)서버 저장소
전달 방식조건에 맞으면 요청 헤더에 포함대개 세션 ID로 서버 상태 조회
주요 위험탈취·변조·과도한 범위·추적세션 고정·탈취·예측·만료 실패
핵심 통제Secure, HttpOnly, SameSite, 범위 최소화로그인 후 ID 재발급, 강한 난수, 만료·폐기
  • Secure: 보안 채널, 일반적으로 HTTPS에서만 쿠키를 보내도록 제한합니다.
  • HttpOnly: 브라우저 스크립트 API에서 쿠키에 접근하지 못하도록 제한합니다.
  • SameSite: 교차 사이트 요청에 쿠키를 보낼 범위를 제한해 CSRF 완화에 도움을 줍니다.
  • 만료·폐기: 일정 시간 미사용 또는 절대 시간이 지나면 세션을 끝내고 서버 상태도 무효화합니다.

속성 하나가 모든 공격을 막지는 않습니다. 예를 들어 HttpOnly는 스크립트가 쿠키 값을 직접 읽는 위험을 줄이지만, 이미 실행된 악성 스크립트가 사용자의 브라우저에서 요청을 보내는 것까지 모두 막는 장치는 아닙니다.

6. HTTPS와 TLS

HTTPS는 HTTP를 TLS로 보호해 통신 상대 인증, 전송 구간 암호화, 무결성 보호를 제공합니다. 독학사 공식 평가영역에 ‘SSL’이라는 표현이 있어도 현재 공부에서는 SSL의 후속 표준인 TLS 중심으로 이해하는 편이 정확합니다.

TLS가 적용되어도 서버 애플리케이션의 SQL 인젝션, 잘못된 권한검사, 악성 콘텐츠는 별도 문제입니다. TLS는 전송 구간을 보호하지, 애플리케이션 로직 자체의 안전성을 보증하지 않습니다.

객관식에서 자주 틀리는 5가지

  1. “IDS는 공격 패킷을 즉시 폐기한다” → 기본 역할은 탐지·경고이며, 차단은 IPS의 대표 역할입니다.
  2. “이상행위 탐지는 알려진 서명만 찾는다” → 알려진 패턴 비교는 서명 기반, 정상 기준 이탈 탐지는 이상행위 기반입니다.
  3. “VPN을 쓰면 단말도 안전해진다” → 통신 경로 보호와 단말 보안은 별도 통제입니다.
  4. “HTTP 상태 비저장은 로그인 상태 유지가 불가능하다는 뜻이다” → 쿠키·세션·토큰으로 애플리케이션 상태를 연결할 수 있습니다.
  5. “HttpOnly와 Secure는 같은 속성이다” → 하나는 스크립트 접근, 다른 하나는 전송 채널을 제한합니다.

80자 내외 서술형 연습 답안

아래 문장은 기출문제가 아니라 공식 범위를 바탕으로 직접 만든 연습용 답안입니다.

  1. 방화벽
    서로 다른 보안 영역 사이에서 미리 정한 정책에 따라 네트워크 트래픽을 허용하거나 차단하는 보안 통제다.
  2. IDS와 IPS
    IDS는 침입 징후를 탐지해 경고하고, IPS는 통신 경로에서 탐지한 악성 트래픽을 능동적으로 차단한다.
  3. VPN
    공용망 위에 암호화와 무결성 보호 등을 적용한 논리적 사설 통신 경로를 구성하는 기술이다.
  4. HTTP 상태 비저장
    각 HTTP 요청의 의미를 독립적으로 처리한다는 뜻이며, 연속 상태는 쿠키·세션 등으로 별도 구현한다.
  5. 쿠키와 세션
    쿠키는 브라우저가 저장·전송하는 값이고, 세션은 보통 서버 상태를 세션 식별자로 연결해 관리한다.
  6. TLS
    통신 상대 인증과 암호화·무결성 보호로 HTTP 전송 구간을 보호하지만 웹 로직 취약점까지 제거하지는 않는다.

5분 셀프 테스트

  1. 정상 통신을 공격으로 판단한 오류는 오탐인가, 미탐인가?
  2. 네트워크 경로에서 악성 트래픽을 차단하도록 배치하는 장비는 IDS인가, IPS인가?
  3. HTTP 요청의 대표 네 요소를 적어 보세요.
  4. 쿠키의 Secure와 HttpOnly가 각각 제한하는 대상을 적어 보세요.
  5. VPN이 해결하지 못하는 위험을 두 가지 적어 보세요.
정답 확인

1. 오탐 2. IPS 3. 메서드·요청 대상·헤더·필요한 경우 콘텐츠 4. 보안 채널 전송·스크립트 API 접근 5. 예: 감염 단말, 탈취 계정, 과도한 권한, 잘못된 내부 설정

오늘의 마무리 체크

  • 방화벽·IDS·IPS·VPN·WAF를 한 문장씩 구분할 수 있는가?
  • 서명 기반과 이상행위 기반의 장단점을 설명할 수 있는가?
  • 오탐과 미탐을 반대로 외우지 않았는가?
  • HTTP 요청·응답과 상태 비저장의 뜻을 설명할 수 있는가?
  • 쿠키·세션의 저장 위치와 보안 통제를 연결할 수 있는가?

전체 범위로 돌아가려면 독학사 3단계 정보보호 공부내용 총정리를 확인하세요.

공식 자료

이 글은 2026년 7월 10일 기준 학습용 정리입니다. NIST SP 800-41 Rev.1(2009)과 SP 800-94(2007)는 기본 개념의 근거로 사용한 오래된 문서이므로 최신 제품 운영 지침으로 그대로 적용하지 않았습니다. RFC 9110은 2022년, NIST SP 800-77 Rev.1은 2020년 문서입니다.