맨위로가기

비무장지대 (컴퓨팅)

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

비무장 지대(DMZ)는 네트워크 보안 영역으로, 외부 네트워크와 내부 네트워크 사이에 위치하여 외부의 공격으로부터 내부 네트워크를 보호하는 역할을 한다. DMZ를 구성하는 방식에는 단일 방화벽을 사용하는 방식과 이중 방화벽을 사용하는 방식이 있으며, 전자는 비용 효율적이지만 보안이 상대적으로 취약하고, 후자는 보안성이 높지만 비용이 더 많이 든다. DMZ 호스트는 라우터의 기능 중 하나로, 특정 노드를 DMZ로 지정하여 해당 노드의 모든 포트를 외부 네트워크에 노출시키지만, 보안상의 이유로 사용에 주의해야 한다.

더 읽어볼만한 페이지

  • 컴퓨터 네트워킹 - 유니캐스트
    유니캐스트는 데이터를 단일 목적지로 전송하는 방식으로, 브로드캐스트 및 멀티캐스트와 대비되며, 개인적 또는 고유한 리소스가 필요한 네트워크 프로세스에 사용되지만, 대량 데이터 전송 시 비용이 증가하는 단점이 있다.
  • 컴퓨터 네트워킹 - 노드 (네트워크)
    노드(네트워크)는 데이터 통신에서 데이터를 주고받는 장치를 의미하며, 물리적 네트워크 노드, 인터넷 노드, 통신 네트워크 노드, 분산 시스템 노드, 네트워크 가상화 노드 등으로 분류된다.
  • 네트워크 보안 - 스파이웨어
    스파이웨어는 사용자의 동의 없이 설치되어 개인 정보를 수집하거나 시스템을 감시하며, 다양한 형태로 존재하여 광고 표시, 정보 탈취, 시스템 성능 저하 등의 피해를 유발하는 악성 프로그램이다.
  • 네트워크 보안 - 가상 사설 서버
    가상 사설 서버(VPS)는 공유 웹 호스팅과 전용 호스팅의 중간 단계 서비스로, 가상화 기술을 기반으로 슈퍼유저 수준의 접근 권한, 높은 운용 자유도와 향상된 보안성을 제공하지만, 환경 유지 관리 필요성, 상대적으로 높은 비용, 회선 공유 문제 등의 단점도 가진다.
  • 컴퓨터 보안 - 얼굴 인식 시스템
    얼굴 인식 시스템은 디지털 이미지나 비디오에서 사람 얼굴을 감지하고 식별하는 기술로, 다양한 알고리즘 발전을 거쳐 보안, 신원 확인 등에 활용되지만, 편향성, 개인 정보 침해, 기술적 한계와 같은 윤리적 문제도 야기한다.
  • 컴퓨터 보안 - 워터마크
    워터마크는 종이 제조 시 두께 차이를 이용해 만들어지는 표식으로, 위조 방지를 위해 지폐나 여권 등에 사용되며 댄디 롤 등의 제작 기법을 통해 만들어지고 컴퓨터 프린터 인쇄 기술로도 활용된다.
비무장지대 (컴퓨팅)
개요
정의외부 네트워크로부터 내부 네트워크를 보호하기 위해 설정하는 서브 네트워크
특징외부 네트워크와 내부 네트워크 사이에 위치
외부로부터의 공격을 차단하고 내부 네트워크를 보호
내부 네트워크의 서버를 외부에서 접근 가능하도록 설정 가능
보안
역할내부 네트워크에 대한 접근을 제어
외부 네트워크로부터의 악성 트래픽을 필터링
내부 서버의 보안을 강화
구성 요소방화벽
침입 탐지 시스템(IDS)
침입 방지 시스템(IPS)
프록시 서버
장점내부 네트워크의 보안 강화
외부 공격으로부터의 보호
서버 접근 제어
단점복잡한 설정 및 관리
잘못된 설정으로 인한 보안 취약점 발생 가능성
활용
주요 사용 사례웹 서버, 메일 서버 등 외부 서비스 제공 서버 구축
개발 서버와 같이 보안이 중요한 서버 격리
안전한 파일 공유 환경 구축
예시회사 네트워크에서 외부에 공개해야 하는 웹 서버를 DMZ에 배치
개발 서버를 DMZ에 배치하여 내부 네트워크와 분리
기타
주의사항DMZ 설정 시 보안 정책을 신중하게 수립하고, 주기적인 보안 점검을 수행해야 함

2. 구성 방식

DMZ는 외부 공격에 가장 취약한 호스트를 배치하는 구역으로, 주로 웹 서버, 메일 서버, FTP 서버, VoIP 서버 등 외부 사용자에게 서비스를 제공하는 서버들이 위치한다.[3] 이러한 서버들은 공격 받을 가능성이 높기 때문에, 내부 네트워크와 분리된 DMZ에 배치하여 혹시라도 서버가 해킹되더라도 내부 네트워크를 보호한다.

DMZ 내 호스트는 내부 네트워크와 외부 네트워크 모두와 통신할 수 있지만, 연결은 제한적으로 허용된다. 중간 방화벽은 DMZ 서버와 내부 네트워크 클라이언트 간 트래픽을 제어하고, 다른 방화벽은 외부 네트워크로부터 DMZ를 보호한다.

DMZ 구성은 외부 공격에 대한 추가적인 보안을 제공하지만, 패킷 분석기를 통한 통신 가로채기나 스푸핑(예: 이메일 스푸핑)과 같은 내부 공격에는 영향을 미치지 않는다.

보안을 강화하기 위해 웹 서버와 같이 외부와 통신하는 서버들로 구성된 특별 관리 구역(CMZ)을 별도로 구성하기도 한다.[3] CMZ는 데이터베이스 서버와 같이 중요한 정보를 담고 있는 내부 서버에 접근하는 데 필요한 정보를 담고 있다.

DMZ에는 다음과 같은 서비스들이 배치될 수 있다.



내부 데이터베이스와 통신하는 웹 서버는 데이터베이스 서버에 접근해야 하는데, 이 서버는 공개적으로 접근할 수 없고 중요한 정보를 포함할 수 있다. 웹 서버는 보안상의 이유로 애플리케이션 방화벽을 통해 데이터베이스 서버와 통신할 수 있다.

이메일 메시지, 특히 사용자 데이터베이스는 기밀이므로 인터넷에서 접근할 수 없는 서버에 저장되지만, 인터넷에 노출된 이메일 서버에서 접근할 수 있다. DMZ 내부의 메일 서버는 수신 메일을 보안/내부 메일 서버로 전달하고, 발신 메일도 처리한다.

일부 기업은 프록시 서버를 DMZ 내에 설치하여 사용자 활동 기록 및 모니터링, 웹 콘텐츠 필터링 등의 이점을 얻기도 한다. 리버스 프록시 서버는 외부 네트워크가 내부 리소스에 간접적으로 접근할 수 있도록 하는 역할을 한다.

DMZ의 특징은 내부, 외부 네트워크에서 DMZ로의 접근은 허용하지만, DMZ에서는 외부 네트워크로의 접속만 허용한다는 것이다. 즉 DMZ내 호스트는 내부 네트워크에 접속이 불가능하며, 외부 네트워크에 서비스를 제공하며, 외부 네트워크에서 내부 네트워크로의 접속 시도에 대해 막다른 골목으로 기능한다.

2. 1. 다단계 방화벽 (Dual Firewall)

듀얼 방화벽을 사용하여 DMZ를 구현한 일반적인 네트워크 다이어그램


콜튼 프랄릭(Colton Fralick)에 따르면[4] DMZ를 만드는 가장 안전한 방법은 2개의 방화벽을 사용하는 것이다. 첫 번째 방화벽("프론트 엔드" 또는 "주변"[5] 방화벽이라고도 함)은 DMZ로만 트래픽을 허용하도록 구성해야 한다. 두 번째 방화벽("백 엔드" 또는 "내부" 방화벽이라고도 함)은 내부 네트워크에서 DMZ로의 트래픽만 허용한다.

이러한 구성은 두 개의 장치가 모두 손상되어야 하기 때문에[4] 더 안전하다고 간주된다. 서로 다른 공급업체의 방화벽을 사용하면 두 장치 모두 동일한 보안 취약점을 가질 가능성이 줄어들어 보안을 강화할 수 있다. 예를 들어 한 공급업체의 시스템에서 발견된 보안 구멍은 다른 공급업체에서는 발생할 가능성이 적다. 그러나 이 아키텍처는 구매 및 관리에 더 많은 비용이 든다는 단점이 있다.[6] 이처럼 서로 다른 공급업체의 방화벽을 사용하는 것은 심층 방어[7] 보안 전략의 한 요소로 설명되기도 한다.

DMZ는 내부 및 외부 네트워크에서 DMZ로의 접속은 허용하지만, DMZ에서 내부 네트워크로의 접속은 허용하지 않는다는 특징이 있다. 즉, DMZ 내의 호스트는 내부 네트워크에 접속할 수 없다. 이를 통해 침입자가 DMZ 내 호스트를 장악하더라도 내부 네트워크를 보호할 수 있으며, DMZ 내 호스트는 외부 네트워크에 서비스를 제공할 수 있다. 동시에 DMZ는 외부 네트워크에서 내부 네트워크로 접속을 시도하는 침입자에게 막다른 골목과 같은 역할을 한다.

다단계 방화벽형 DMZ는 네트워크의 안쪽과 바깥쪽에 2개 이상의 방화벽을 설치하고, 그 사이에 DMZ를 배치하는 방식이다. 이 방식에서는 외부 네트워크와 DMZ 사이, DMZ와 내부 네트워크 사이에 각각 방화벽이 설치되어 단계적으로 통신을 제한할 수 있다.

2. 2. 단일 방화벽 (Single Firewall)

단일 방화벽을 사용하는 DMZ를 활용한 일반적인 세 갈래 네트워크 모델


싱글 방화벽형 DMZ를 이용한 일반적인 네트워크 구성도


최소 3개의 네트워크 인터페이스를 가진 단일 방화벽DMZ를 포함하는 네트워크 아키텍처를 만드는 데 사용될 수 있다. 외부 네트워크는 첫 번째 네트워크 인터페이스의 ISP(인터넷 서비스 제공업체)에서 방화벽으로 형성되고, 내부 네트워크는 두 번째 네트워크 인터페이스에서, DMZ는 세 번째 네트워크 인터페이스에서 형성된다. 방화벽은 네트워크의 단일 실패 지점이 되며 DMZ뿐만 아니라 내부 네트워크로 가는 모든 트래픽을 처리할 수 있어야 한다.

DMZ의 특징은 내부 네트워크와 외부 네트워크에서 DMZ에 접속하는 것은 허용하지만, DMZ에서는 외부 네트워크에만 접속을 허용한다는 점이다. 즉, DMZ 내의 호스트에서는 내부 네트워크에 접속할 수 없다. DMZ는 침입자가 DMZ의 호스트에 침입했을 경우에도 내부 네트워크를 보호하면서 DMZ의 호스트가 외부 네트워크에 서비스를 제공할 수 있게 한다. 동시에, 침입자가 외부 네트워크에서 내부 네트워크로 접속을 시도할 때 DMZ는 침입자에게 막다른 골목으로 기능한다.

싱글 방화벽형 DMZ는 기본적인 구성으로 1대의 방화벽에 내부용, DMZ용, 외부용 3개의 포트를 준비하여 네트워크의 안쪽과 바깥쪽, DMZ와 바깥쪽을 하나의 방화벽을 경유하도록 배치한다.

이 방식은 방화벽이 1대만 필요하므로 비용적인 면에서 유리하다. 그러나 네트워크의 바깥쪽과 안쪽이 (DMZ를 경유하지 않고) 직접 통신하기 때문에 다단 방식에 비해 보안이 저하되는 경우가 있다. 반면, 방화벽이 분산되지 않고 집중 관리할 수 있다는 점 때문에 다단 방식에 비해 보안이 향상되는 경우도 있다.

이러한 구성 형태 때문에 "세 발 방화벽"이라고도 불린다.

가정용 라우터 (흔히 브로드밴드 라우터라고 불리는, 광 회선 종단 장치 등에 접속하는 라우터)의 포트 포워딩 기능 중에는, 예를 들어 NEC의 Aterm 등이 "DMZ 호스트 기능" 등으로 부르는 것이 있다. 이는 싱글 방화벽형 구성에서 DMZ에 놓이는 것과 같은 호스트에 상당하는 것을, 일반적인 방화벽 기능을 가진 라우터의 기능으로서 가상적으로 설정할 수 있다는 것이다. 라우터에서의 포트 포워딩에 의해 이 기능으로 지정된 내부에 있는 노드가 마치 외부에서 보이는 주소에 있는 것처럼 외부에서 보이게 된다 (사실상 모든 포트를 개방하고 있다).

원래의 싱글 방화벽형 DMZ에서는 DMZ가 네트워크적으로 별도의 세그먼트가 되는 것이 기본이지만, 이 기능에서는 단순히 LAN 내의 어떤 노드가 가상적으로 DMZ에 있는 것처럼 간주되므로, 보안상 원래 DMZ의 목적인 격리 등은 실현되지 않는다.

3. DMZ 호스트

일부 라우터는 '''DMZ 호스트'''라는 기능을 가지고 있다. 이 기능은 하나의 노드 (IP 주소를 가진 PC 또는 기타 장치)를 DMZ 호스트로 지정할 수 있게 한다. 라우터의 방화벽은 DMZ 호스트의 모든 포트를 외부 네트워크에 노출시키며, 외부에서 DMZ 호스트로 들어오는 트래픽을 방해하지 않는다.[8][9] 이는 소수의 포트만 노출시키는 포트 포워딩보다 보안상 덜 안전한 대안이다. 이 기능은 다음과 같은 경우를 제외하고는 사용을 피해야 한다.[9]


  • DMZ 호스트로 지정된 노드가 실제 DMZ의 다운스트림 방화벽인 경우 (예: 라우터 자체가 홈 네트워크의 일부가 아닌 경우)
  • 노드가 내부 보안을 관리할 수 있는 강력한 방화벽을 실행하는 경우
  • 포트 수가 포트 포워딩 기능으로 처리하기에 너무 많은 경우
  • 정확한 포트 포워딩 규칙을 미리 구성할 수 없는 경우
  • 라우터의 포트 포워딩이 관련 트래픽, 예를 들어 6in4 또는 GRE 터널을 처리할 수 없는 경우


위의 첫 번째 시나리오를 제외하고는, DMZ 호스트 기능은 진정한 DMZ 구성 외부에서 사용된다.

가정용 라우터 (브로드밴드 라우터 등 속칭으로 불리는, 광 회선 종단 장치 등에 접속하는 라우터)의 포트 포워딩 기능의 일종에 대해, 예를 들어 NEC의 Aterm 등이 "DMZ 호스트 기능" 등으로 부르고 있다. 앞서 언급한 싱글 방화벽형 구성에서 DMZ에 놓이는 것과 같은 호스트에 상당하는 것을, 일반적인 방화벽 기능을 가진 라우터의 기능으로서 가상적으로 설정할 수 있다는 것이다. 라우터에서의 포트 포워딩에 의해 이 기능으로 지정된 내부에 있는 노드가 마치 외부에서 보이는 주소에 있는 것처럼 외부에서 보이게 된다 (사실상 모든 포트를 개방하고 있다).

원래의 싱글 방화벽형 DMZ에서는 DMZ는 네트워크적으로 별도의 세그먼트가 되는 것이 기본인 반면, 이 기능에서는 단순히 LAN 내의 어떤 노드가 가상적으로 DMZ에 있는 것처럼 간주되므로, 보안상 원래 DMZ의 목적인 격리 등은 실현되지 않는다.

4. 추가적인 보안 고려 사항

DMZ는 외부 공격에 대한 추가적인 보안을 제공하지만, 패킷 분석기를 이용한 통신 가로채기나 스푸핑(예: 이메일 스푸핑)과 같은 내부 공격에는 영향을 미치지 않는다.[3]

웹 서버와 같이 외부와 상호 작용하는 서버들을 위해 별도의 관리 구역(CMZ, Controlled Management Zone)을 구성하여, 데이터베이스 서버와 같은 중요한 정보를 담고 있는 서버에 대한 접근을 더욱 엄격하게 통제할 수 있다. 이러한 아키텍처에서 DMZ는 일반적으로 애플리케이션 방화벽과 FTP를 가지며, CMZ는 웹 서버를 호스팅한다.

비즈니스 환경에서는 프록시 서버 또는 리버스 프록시 서버를 DMZ에 설치하여 보안, 법적 기준 준수, 모니터링 등의 이점을 얻을 수 있다. 특히, 리버스 프록시는 외부에서 내부 리소스에 접근해야 할 때 추가적인 보안 계층을 제공하는 데 유용하다. 하지만 리버스 프록시가 악성 트래픽을 내부 네트워크로 전달할 수 있으므로, 공격 탐지 및 필터링 기능이 중요하며, 지속적인 시그니처 업데이트가 필요하다.

참조

[1] 웹사이트 Control System Security DMZ https://web.archive.[...] 2020-06-09
[2] 웹사이트 What is a DMZ and How does it Work? https://searchsecuri[...] 2020-06-09
[3] 웹사이트 Demilitarized Zone in Computer Networking https://www.lifewire[...] 2018-08-27
[4] 서적 Engineering Information Security: The Application of Systems Engineering Concepts to Achieve Information Assurance https://books.google[...] John Wiley & Sons
[5] 웹사이트 Perimeter Firewall Design https://technet.micr[...] Microsoft Corporation 2009-06-29
[6] 간행물 Firewall Deployment for Multitier Applications https://zeltser.com/[...] 2002-04
[7] 웹사이트 Designing a DMZ https://www.sans.org[...] SANS Institute 2001
[8] 웹사이트 What is a DMZ and how to configure DMZ host https://www.tp-link.[...] TP-Link Systems Inc 2017-04-27
[9] 웹사이트 What does the DMZ setting on routers do https://www.microcen[...] Micro Electronics 2024-12-14
[10] 웹사이트 DMZ(DeMilitarized Zone)とは https://www.atmarkit[...] 2020-09-23


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com