보안 공부를 처음 시작했을 때 저는 네트워크보다 해킹 기법과 보안 도구를 먼저 익혀야 한다고 생각했습니다. 하지만 Nmap 결과를 봐도 포트의 의미를 모르고, Wireshark 화면을 열어도 패킷 흐름을 해석하지 못하면서 생각이 달라졌습니다. 보안 위협은 대부분 데이터가 이동하는 네트워크 구조 안에서 발생합니다. IP와 포트, HTTP 요청과 응답, DNS와 방화벽 개념을 알아야 공격이 어디서 시작되고 어떤 방식으로 차단해야 하는지 보입니다. 저는 네트워크 기초가 없으면 보안 공부가 단순 암기에 그칠 수 있다고 느꼈습니다. 이 글에서는 제 경험을 바탕으로 보안 입문자가 네트워크를 먼저 공부해야 하는 이유를 정리해 보겠습니다.
정보보안 공부, 네트워크 기초 없이는 그냥 암기입니다
일반적으로 보안 도구부터 익히면 실력이 빨리 는다고 알려져 있지만, 제 경험상 이건 완전히 반대였습니다. Nmap을 실행하면 열린 포트 목록이 화면에 쭉 나옵니다. 그런데 포트의 의미를 모르면 그게 위험한 건지 정상인지 판단이 안 됩니다. 결국 화면 출력을 그냥 넘기게 됩니다. 보안의 거의 모든 위협은 네트워크 트래픽, 즉 데이터가 오가는 흐름 안에서 발생합니다. 여기서 네트워크 트래픽이란 서버와 클라이언트 사이에서 주고받는 데이터의 흐름 전체를 의미합니다. 사용자가 웹사이트에 접속하는 순간부터 서버가 응답을 돌려주기까지, 이 모든 과정이 트래픽입니다. 중간자 공격(MITM, Man-in-the-Middle)은 이 트래픽을 가로채는 방식입니다. 여기서 MITM이란 공격자가 사용자와 서버 사이에 몰래 끼어들어 통신 내용을 도청하거나 변조하는 공격입니다. 이 개념이 머릿속에 없으면 HTTPS가 왜 필요한지도 피부로 와닿지 않습니다. 포트 스캔도 마찬가지입니다. 포트란 하나의 서버 안에서 어떤 서비스로 연결할지 구분하는 번호입니다. 웹 서비스는 80번(HTTP)과 443번(HTTPS), 원격 접속은 22번(SSH), 데이터베이스는 보통 3306번(MySQL)을 씁니다. 이 번호들을 모르면 포트 스캔 결과가 의미하는 위험도를 전혀 가늠할 수 없습니다.
DDoS 공격도 네트워크 구조를 알아야 원리가 보입니다. DDoS란 수많은 출처에서 동시에 대량의 요청을 보내 서버가 정상 응답을 못 하도록 마비시키는 공격입니다. 이 개념을 이해해야 방화벽 정책이나 트래픽 필터링이 왜 필요한지가 연결됩니다. 제가 직접 실습 환경에서 패킷을 분석해 봤을 때, IP와 포트, 프로토콜 개념이 잡혀 있으니 Wireshark 화면이 전혀 다르게 보였습니다. 같은 화면인데도 이전엔 그냥 숫자 나열이었던 것이 어떤 통신인지 읽히기 시작했습니다.
실전 경험이 바꿔준 것들
저는 처음에 웹 보안이 네트워크와 별개라고 생각했습니다. 솔직히 이건 예상 밖이었습니다. SQL Injection이나 XSS 같은 취약점은 웹 애플리케이션 문제라고만 봤는데, 실제로는 HTTP 요청과 응답 구조를 모르면 이해가 절반도 안 됩니다. HTTP(HyperText Transfer Protocol)란 브라우저와 서버가 데이터를 주고받기 위해 약속한 통신 규약입니다. 사용자가 로그인 버튼을 누르면 브라우저는 아이디와 비밀번호를 담은 POST 요청을 서버로 보냅니다. 서버는 그 값을 데이터베이스에서 확인하고 응답 코드로 결과를 돌려줍니다. SQL Injection은 이 POST 요청 안에 악의적인 쿼리를 삽입해 데이터베이스를 조작하는 공격입니다. 이 흐름이 머릿속에 그려져야 왜 입력값 검증이 중요한지가 와닿습니다.
CSRF(Cross-Site Request Forgery)도 HTTP 요청 구조를 알아야 원리가 보입니다. 여기서 CSRF란 사용자가 의도하지 않은 요청을 공격자가 대신 서버로 보내게 만드는 방식입니다. 사용자가 로그인된 상태에서 악성 링크를 클릭하면, 본인 모르게 계좌 이체나 비밀번호 변경 요청이 서버로 전송될 수 있습니다. HTTP 응답 코드도 실무에서 자주 씁니다. 200은 정상, 401은 인증 필요, 403은 접근 금지, 500은 서버 오류입니다. 로그를 볼 때 403이 짧은 시간에 수백 번 찍히면 계정 공격이나 크롤링을 의심하게 됩니다. 국내 정보보안 자격증 출제 기준을 보면 네트워크 계층 구조와 프로토콜이 핵심 출제 영역으로 포함되어 있습니다(출처: 한국인터넷진흥원). 보안 실무에서도 네트워크 기초 없이는 방화벽 정책 설계나 침해사고 분석이 어렵다는 건 현장에서 이미 검증된 사실입니다. 제 경험상 이건 이론이 아니라 실제로 로그를 처음 분석해 봤을 때 느꼈습니다. 어떤 IP가 어떤 포트를 반복 시도했는지 보이는 순간, 네트워크 공부가 왜 먼저여야 하는지 몸으로 납득이 됐습니다.
네트워크 기초를 잡는 실전 팁
네트워크를 처음 공부한다고 해서 OSI 7 계층을 통째로 외울 필요는 없습니다. 저도 처음엔 그렇게 시작하려다가 진도가 안 나갔습니다. 보안 입문자에게 실제로 필요한 범위는 생각보다 좁습니다. 먼저 잡아야 할 개념을 정리하면 다음과 같습니다.
- DNS(Domain Name System): 도메인 주소를 IP로 변환하는 시스템. DNS가 공격받으면 엉뚱한 서버로 연결됩니다.
- TCP와 UDP: TCP는 신뢰성 기반의 연결 방식, UDP는 속도 중심의 비연결 방식입니다. 웹과 SSH는 TCP, 스트리밍은 UDP를 주로 씁니다.
- HTTP와 HTTPS: HTTPS는 TLS 암호화가 적용된 버전으로, 패킷을 가로채도 내용을 읽기 어렵습니다.
- 방화벽 기본 정책: IP, 포트, 프로토콜을 기준으로 허용과 차단을 결정하는 장비 또는 소프트웨어입니다.
- 패킷: 데이터를 작은 단위로 나눈 것. 네트워크에서 데이터는 한 덩어리가 아니라 패킷 단위로 분리되어 이동합니다.
이 개념들을 이해한 다음, 가상머신에 실습 환경을 구성하고 Wireshark로 패킷을 직접 캡처해 보는 것을 권합니다. 단, 실습은 반드시 자신이 소유하거나 허가받은 환경에서만 해야 합니다. 허가 없이 외부 서버를 스캔하거나 트래픽을 분석하는 행위는 정보통신망법 위반에 해당할 수 있습니다(출처: 법제처). 제 경험상 CTF(Capture The Flag) 플랫폼을 활용하는 것이 입문자에게 가장 효과적이었습니다. CTF란 보안 문제를 풀며 실력을 키우는 경쟁 방식의 학습 플랫폼으로, 법적으로 안전한 환경에서 실전 감각을 익힐 수 있습니다. picoCTF나 HackTheBox 같은 플랫폼이 대표적입니다. 도구보다 개념이 먼저라는 것, 저는 이걸 꽤 늦게 깨달았습니다.
보안 공부에서 네트워크 기초를 건너뛰는 건 지도 없이 낯선 도시를 돌아다니는 것과 비슷합니다. 어딘가에 도착할 수는 있지만, 어디쯤 있는지는 모릅니다. IP와 포트, HTTP 요청과 응답, DNS 흐름 정도만 잡혀 있어도 보안 개념들이 하나의 흐름으로 연결되기 시작합니다. 처음엔 작은 웹 요청 하나가 서버에 닿는 과정부터 따라가 보는 것으로 충분합니다. 그 흐름이 눈에 보이는 순간, 보안 공부의 방향이 훨씬 선명해질 것입니다.