서브넷이란? 서브네팅, VPN, 네트워크 보안에 관한 완벽 가이드

서브넷은 네트워크를 더 작은 세그먼트로 나누는 네트워킹의 핵심 개념입니다. 이를 통해 네트워크를 구조화하여, 기기와 서비스가 효율적이고 안전하게 통신할 수 있습니다.

이 가이드에서는 서브넷의 기본 원리, 계산 방법, VPN과의 상호 작용, 그리고 전체 네트워크 보안에 미치는 영향을 설명합니다.

네트워킹에서의 서브넷 이해하기

서브넷은 네트워크 정리, 유지 관리, 보안에 필수적인 요소입니다. 이제 서브넷이 무엇인지, 어떻게 작동하는지, 그리고 어떤 주요 이점을 제공하는지 살펴보겠습니다.

서브넷이란? 정의와 핵심 개념

서브네트워크의 줄임말인 서브넷은 네트워크보다 작은 논리적 세그먼트입니다. 여기서 "논리적"이란 기기를 물리적으로 분리하는 것이 아니라 네트워크의 인터넷 프로토콜(IP) 주소 범위를 구역별로 나누어 서브넷을 생성한다는 의미입니다.

각 서브넷은 독립적인 소형 네트워크로 운영되며, 라우터와 서브넷 마스크를 사용하여 다른 서브넷, 시스템 및 온라인 서비스와의 통신을 관리합니다.

서브넷의 네트워크 세분화 방법

네트워크는 데이터를 통신하고 공유하는 데 IP 주소를 사용합니다. 각 네트워크에는 특정 IP 주소 범위가 있으며, 연결된 모든 기기는 이를 식별하는 고유한 주소를 받습니다. 서브네팅은 이 IP 범위를 서브넷이라는 더 작은 그룹으로 나누는 작업입니다.

이후 서브넷 마스크는 IP 주소의 어느 부분이 서브넷을 식별하고 어느 부분이 개별 기기(호스트라고도 함)를 식별하는지 정의합니다. 라우터는 서브넷 마스크를 사용하여 트래픽이 해당 서브넷 내의 기기로 가야 하는지, 혹은 외부로 가야 하는지 여부를 확인합니다.

안전한 네트워크 설계에 서브네팅이 중요한 이유

서브네팅은 통제된 더 작은 구역으로 네트워크를 세분화하여, 조직 및 보호를 수월하게 해줍니다. 이를 통해 민감한 데이터를 처리하는 영역을 분리하고, 승인된 사용자만 접근하도록 설정할 수 있습니다. 또한 손상된 기기나 시스템의 영향을 제한합니다.

서브네팅은 보안 외에도 전반적인 성능을 개선하고 문제 해결을 단순화하는 역할을 합니다. 작은 세그먼트는 모니터링, 문제 해결, 유지 관리가 더욱 쉬워 IT팀이 문제를 신속하게 감지하고 개선할 수 있습니다.

IP 주소 지정 및 서브넷 마스크 설명

서브네팅을 이해하려면 IP 주소와 서브넷 마스크가 함께 작동하는 방식을 먼저 파악해야 합니다. 이 요소들은 기기가 네트워크의 어느 부분에 위치하는지, 또 데이터가 서브넷 사이를 어떻게 이동하는지를 결정합니다.

IP 주소의 조직화 과정

모든 IP 주소는 네트워크 ID와 호스트 ID로 구성되며, 주소가 나뉘는 정확한 지점은 서브넷 마스크에 따라 다릅니다. 이러한 구조 덕분에 각 기기를 고유하게 식별하면서도, 네트워크 내에서 논리적으로 그룹화할 수 있습니다.

더불어, IPv4와 IPv6라는 두 가지 버전의 IP 주소 또한 존재합니다. IPv4 주소는 192.168.4.28과 같이 점으로 구분된 4개의 숫자(옥텟이라고 함)로 구성됩니다. 반면 IPv6 주소는 2001:0db8:85a3:0000:0000:8a2e:0370:7334처럼 콜론으로 구분된 4자리 16진수 숫자의 8개 그룹으로 이루어져 있습니다.

서브넷 마스크란 무엇인가요?

IPv4의 서브넷 마스크는 IP 주소에서 네트워크 ID와 호스트 ID를 구분하는 32비트 숫자를 의미합니다. 라우터는 서브넷 마스크를 사용하여 기기가 동일한 네트워크에 있는지, 아니면 데이터가 다른 서브넷으로 전송되어야 하는지 결정합니다. 일반적인 예로는 255.255.255.0, 255.255.0.0, 255.255.255.192 등이 있으며, 각 숫자는 서로 다른 네트워크 크기를 나타냅니다.

서브넷 마스크의 작동 방식을 더욱 자세히 알아보고 싶다면 서브넷 마스크 전체 가이드를 읽어보시기 바랍니다.

네트워크 ID vs 호스트 ID

두 용어의 차이점은 다음과 같습니다.

• 네트워크 ID: IP 주소가 속한 네트워크 세그먼트를 정의합니다.
• 호스트 ID: 해당 네트워크 내의 특정한 기기를 나타냅니다.

예를 들어 IP 주소로 192.168.4.28을, 서브넷 마스크로 255.255.255.0을 사용한다고 가정해 보겠습니다. 서브넷 마스크는 IP 주소의 몇 비트가 네트워크용이고 몇 비트가 호스트용인지 알려줍니다. 이 상황에서는 192.168.4.0이 네트워크 ID이며, .28이 호스트 ID입니다.

사이버 보안에서 서브네팅의 역할

서브네팅은 네트워크 방어를 강화하고 잠재적인 공격 경로를 제한하기 때문에 사이버 보안에서 중요한 역할을 합니다. 또한 귀중한 데이터와 기기를 분리하여, 승인된 사용자만 이에 접근할 수 있게 해줍니다. 하지만 서브네팅이 실제로 효과를 발휘하기 위해서는 강력한 보안 정책, 엄격한 접근 규칙, 지속적인 모니터링이 필요합니다.

서브넷이 공격 표면을 감소시키는 방법

공격 표면에는 사이버 범죄자가 악용할 수 있는 모든 잠재적 진입점과 취약점이 포함됩니다. 서브네팅은 네트워크를 세분화하여 이러한 표면을 줄여줍니다. 공격자가 하나의 서브넷을 공격해 손상시키더라도, 이와 연결된 모든 시스템에 즉시 접근하지는 못합니다.

즉, 서브네팅은 공격자의 측면 이동(Lateral Movement)을 방해하여 네트워크 깊숙이 침투하는 것을 방지합니다. 예를 들어, 사이버 범죄자가 네트워크 보안 키를 사용하여 무단으로 접근하더라도 엄격한 접근 규칙과 보안 정책을 시행하는 라우터와 방화벽을 통과하지 않고는 서브넷 사이를 쉽게 이동할 수 없습니다.

서브네팅은 또한, 보안 도구가 특정 세그먼트에 집중하게 하여 위협 모니터링을 개선합니다. 따라서 의심스러운 활동을 더욱 간단하게 감지하고 대응할 수 있습니다.

민감한 기기 및 내부 트래픽 분리

조직의 경우, 인사 또는 재무 데이터와 같은 기밀 정보 처리 서버를 전용 서브넷에 배치하여 접근을 제한할 수 있습니다. 또한 서브넷 간의 트래픽을 필터링 및 기록하여 데이터 보호를 강화하고, 일반정보 보호규정(GDPR) 등의 개인정보 보호 규정 준수를 강화할 수 있습니다.

뿐만 아니라 기업의 경우, 게스트 트래픽을 위한 별도의 서브넷을 설정하여 관리되지 않는 기기가 회사의 메인 네트워크에 접근하는 것을 방지할 수 있습니다.

서브넷을 통한 네트워크 접근 제어

네트워크 관리자는 급여 담당자만이 직원 금융 데이터에 접근하도록 설정하는 등, 개별 부서에 특정 서브넷을 할당할 수 있습니다. 서브넷별로 사용자 및 기기를 그룹화하면 권한을 관리하고 모니터링하는 작업도 더 간단해집니다. 또한 IT 보안팀은 승인된 서브넷 IP 범위에서만 중요 시스템에 접근하도록 허용하여 보호를 강화할 수 있습니다.

잘못 구성된 서브넷에서 발생할 수 있는 일반적인 보안 위험

강력한 보안 정책과 적절한 네트워크 조직이 없는 경우 서브네팅은 데이터를 보호하기보다는, 오히려 위험에 빠뜨릴 수 있습니다. 고려해야 할 일반적인 구성 오류와 관련 위험은 다음과 같습니다.

• 플랫 네트워크 설계: 추가적인 세분화가 없는 대규모 서브넷은 공격 표면을 늘리며, 공격자가 무단 접근 권한을 얻을 경우 측면 이동을 허용할 수 있습니다.
• 서브넷 오버랩: 두 개 이상의 서브넷이 동일한 IP 주소 범위를 사용하면 라우팅 오류가 발생하고 내부 트래픽이 노출되어 잠재적으로 민감한 데이터가 유출될 수 있습니다.
• 로깅 부족: 서브넷 간의 트래픽이 제대로 모니터링되지 않으면 의심스러운 활동이나 세그먼트 사이의 사이버 공격을 탐지하기 어렵습니다.
• 분리 미흡: 게스트 또는 사물 인터넷(IoT) 네트워크는 중요한 시스템이나 데이터를 호스팅하는 서브넷과 완전히 분리되어야 합니다. 그렇지 않으면 공격자가 연결 기기를 진입점으로 악용하여 메인 네트워크에 접근할 수 있습니다.

서브넷이 VPN과 함께 작동하는 방식

가상 사설망(VPN)은 보안과 원격 연결을 강화하기 위해 서브넷화된 네트워크에서 자주 사용되지만, 네트워크가 올바르게 구성되지 않으면 충돌이 발생할 수 있습니다. 이 섹션에서는 비즈니스급 VPN을 중점적으로 다룹니다. 상업용 VPN은 별도의 대규모 IP 주소 풀을 사용하여 충돌을 피하도록 설계되므로, 일반적으로 서브넷화된 네트워크에 영향을 미치지 않습니다.

서브넷화된 네트워크에서 VPN 사용 시의 작용

사용자가 VPN에 연결하면, VPN은 자체 서브넷(VPN의 원격 네트워크)에서 가상 IP 주소를 기기에 할당합니다. 이 새로운 IP는 VPN 서브넷에서 기기를 식별하여, 해당 기기가 VPN에 연결된 다른 시스템과 통신할 수 있게 합니다. 로컬 IP 주소도 여전히 존재하지만, 이는 로컬 서브넷에서 통신하는 데만 사용됩니다. 이러한 설정은 악의적인 제3자가 사용자의 실제 IP 주소를 추적하거나 네트워크 활동을 추적하는 것을 방지하는 데도 도움이 됩니다.

VPN은 서브넷과 서버 사이의 모든 데이터를 암호화하여 모니터링 또는 염탐을 거의 불가능하게 합니다. 모든 VPN 암호화 트래픽은 서브넷의 내부 통신 및 외부 공용 트래픽과 논리적으로 분리되어 데이터가 비공개로 안전하게 보호됩니다.

VPN에서의 분할 터널링과 서브넷 라우팅

분할 터널링(Split tunneling)은 암호화된 VPN 터널을 통과할 트래픽과 로컬 연결을 사용할 데이터를 선택하게 해주는 기능입니다. 네트워크 관리자는 속도와 대역폭 사용을 최적화하거나 민감한 서브넷을 분리하기 위해 이 기능을 자주 구성합니다. 예를 들어, 모든 업무 관련 트래픽은 VPN을 통해 라우팅하고 일반 인터넷 검색은 로컬 연결을 사용하도록 허용할 수 있습니다.

VPN 서브넷 충돌과 그 방지 방법

VPN 서브넷 충돌은 두 개 이상의 네트워크가 동일한 IP 주소를 사용할 때 발생합니다. 이는 VPN의 서브넷이 로컬 부서(예: 인사팀)의 서브넷과 겹치거나, 두 개의 서로 다른 VPN 네트워크가 동일한 IP 범위를 사용하는 경우에 발생할 수 있습니다.

충돌을 방지하는 가장 쉬운 방법은 각 서브넷이 고유한 IP 주소 범위를 사용하는지 확인하는 것입니다. 이것이 불가능할 경우, 중복되는 서브넷의 기기가 통신할 수 있도록 네트워크 주소 변환(NAT)을 구성할 수 있습니다. 그러나 NAT만으로는 문제가 완전히 해결되지 않으며, 트래픽이 네트워크 전반에 걸쳐 올바른 기기로 전달되도록 추가 라우팅 규칙이나 포트 포워딩을 설정해야 하는 경우가 많습니다.

서브넷 생성 및 관리 방법

서브넷을 생성하려면 먼저 Classless Inter-Domain Routing(CIDR) 표기법을 사용하여 IP 주소가 할당되고 구성되는 방식을 이해해야 합니다. 서브넷을 수동으로 생성할 수도 있지만, 대부분의 네트워크 관리자는 전문 도구를 사용하여 효율적으로 계산, 구성 및 모니터링하여 작업합니다.

CIDR 표기법 및 주소 블록

CIDR은 IP 주소를 할당하고 조직하기 위한 현대 표준입니다. 1993년에 도입된 이 방식은 기존의 IP 등급 주소 지정 체계(A, B, C, D, E 등급)를 대체했습니다. 이는 IPv4와 IPv6에서 모두 사용되며, IPv6의 경우 더 큰 주소 블록을 사용합니다.

CIDR은 고정된 등급 경계를 사용하는 대신 유연한 크기의 IP 주소 블록을 허용하여, 낭비되는 주소 공간을 줄이기 때문에 더 효율적입니다. 또한, 슬래시 뒤에 프리픽스 길이(prefix length)라고 하는 숫자를 사용하여 주소의 네트워크 부분을 정의하는 비트 수를 나타냅니다(예: /24, /25 또는 /26).

CIDR 표기법은 서브넷 마스크에도 적용되며, 각 블록에서 사용 가능한 주소의 수를 보여줍니다. 예를 들어 프리픽스 /23은 512개의 주소를 포함하고 255.255.254.0을 서브넷 마스크로 사용하는 반면, 프리픽스 /24는 256개의 주소를 보유하며 255.255.255.0을 서브넷 마스크로 사용합니다. 인터넷 레지스트리와 같이 IP를 할당하는 대부분의 조직은 특정 네트워크에 할당된 주소 블록을 보여주는 CIDR 목록을 게시합니다.

단계별 서브넷 계산 방법

서브넷은 일반적으로 더욱 빠르고 정확한 전문 도구를 사용하여 계산합니다. 그럼에도, 계산 방법을 이해하면 IP가 어떻게 분리되는지 파악하는 데 도움이 됩니다. 간단한 개요는 다음과 같습니다.

1. 기본 네트워크 주소와 서브넷 마스크부터 시작합니다. 이 예시에서는 192.168.3.0/24를 사용하겠습니다.
2. 부서, 기기 또는 위치를 기준으로 필요한 서브넷 수를 결정합니다.
3. 호스트 ID에서 비트를 빌려옵니다. 빌려온 비트 하나당 서브넷 수는 두 배가 되지만 사용 가능한 호스트 수는 절반으로 줄어듭니다. 이 /24 예시에는 256개의 주소가 있습니다. 1비트를 빌려오면 각각 128개의 주소를 가진 두 개의 /25 서브넷이 생성됩니다.
4. 새로운 서브넷 마스크를 메모합니다. /25의 경우 새 마스크는 255.255.255.128입니다.
5. 사용할 수 없는 네트워크 및 브로드캐스트 주소를 나열합니다. 네트워크 주소는 항상 처음에 자리하며, 브로드캐스트 주소는 마지막에 있습니다. 예를 들어 첫 번째 서브넷은 네트워크 주소로 192.168.3.0을 사용하고, 브로드캐스팅용으로 192.168.3.127을 사용합니다.
6. 사용 가능한 호스트(기기에 할당 가능한 IP)의 범위를 기록해 둡니다. 예시에서 첫 번째 서브넷의 사용 가능 범위는 192.168.3.1~192.168.3.126입니다.
7. 오버랩을 피하기 위해, 각 서브넷의 IP 범위가 고유한지 확인합니다.
8. 예를 들어, 부서 또는 위치당 하나씩 할당하는 등 논리적으로 서브넷을 할당합니다.

서브넷 관리를 위한 도구와 스크립트

• 서브넷 계산기: 네트워크, 브로드캐스트 및 호스트 범위를 계산하는 온라인 앱입니다.
  • 예: IP Subnet Calculator, Calculator.net
• IP 주소 관리 서비스: 서브넷을 시각화하여 제공하고 연결 문제를 해결하는 플랫폼입니다.
  • 예: phpIPAM, SolarWinds
• 명령줄 도구: 명령줄 환경에서 실행되며 빠른 네트워크 정보 또는 진단을 제공하는 유틸리티입니다.
  • 예: ipconfig, netstat, traceroute
• 스크립팅 도구: 프로그래밍 방식으로 서브넷을 관리하거나 서브넷 유효성 검사를 자동화하는 스크립트 및 라이브러리입니다.
  • 예: Python, PowerShell
• 모니터링 플랫폼: 서브넷 사용량을 추적하고 충돌을 감지하며 전반적인 네트워크 상태를 확인하는 프로그램입니다.
  • 예: Nagios, Paessler PRTG

IPv4 및 IPv6에서의 서브네팅

IPv4와 IPv6는 모두 네트워크 트래픽을 조직 및 라우팅하는 데 서브네팅을 활용하지만, 그 처리 방식은 각기 다릅니다. 예를 들어 각 프로토콜은 고유한 주소 형식을 사용합니다. 또한 IPv6는 더 나은 유연성과 확장성을 제공하는 반면, IPv4는 작은 주소 공간으로 인해 여전히 제한적입니다.

기본적인 IPv4 서브네팅

IPv4 서브네팅은 CIDR 및 서브넷 마스크에 의존하며, 주소 부족 문제를 관리하는 것을 주 목표로 합니다. IPv4는 32비트 구조를 사용하므로, 약 43억 개의 주소만을 지원합니다. 이러한 한계를 극복하고 IP 주소를 효율적으로 할당 및 관리하기 위해, 서브네팅과 NAT가 널리 사용되었습니다. 오늘날까지 여전히 IPv4가 널리 사용되고 있지만, 글로벌 네트워크는 계속해서 IPv6로 전환하는 추세입니다.

IPv6 서브네팅 및 프리픽스 길이

IPv6는 128비트 구조를 사용하여 거의 무한한 주소 풀(약 340언디실리온)을 제공합니다. IPv6의 서브네팅은 주소 공간 절약에 초점을 맞추지 않고, 논리적이며 계층적인 네트워크 설계를 만드는 데 중점을 둡니다.

IPv4와 마찬가지로 IPv6도 CIDR에 의존하지만, 서브넷 마스크를 프리픽스 길이로 대체하며, 대부분의 서브넷에서 /64를 표준으로 합니다. 각 /64 서브넷에는 1,800경 개 이상의 주소가 포함되어 있어 모든 기기가 전 세계적으로 고유한 IP를 가질 수 있으며 NAT가 필요하지 않습니다.

IPv6 서브넷이 보안과 효율성을 강화하는 방법

IPv6 서브네팅은 다음과 같은 혜택을 제공합니다.

• 분리 개선: 방대한 주소 공간으로 인해 IP를 추측하는 것이 거의 불가능하므로 공격 표면이 더욱 줄어듭니다.
• 기본 IPsec 지원: 기본적으로 IPsec 프로토콜을 지원하므로 서브넷 간의 암호화된 통신을 설정하기가 더 쉽습니다.
• 브로드캐스트 트래픽 감소: 브로드캐스트를 멀티캐스트 통신으로 대체하여 불필요한 트래픽을 제한하고 네트워크 혼잡을 줄입니다.
• 더 나은 트래픽 관리: 프리픽스 경계를 기반으로 접근 규칙, 라우팅 정책 및 방화벽 제한을 보다 간편하게 적용할 수 있습니다.
• 우수한 확장성: 기업 및 ISP를 위해 깔끔하고 계층적인 서브넷 설계를 실현하여, 향후 네트워크 확장을 단순화합니다.

일반적인 문제 및 모범 사례

올바르지 않은 방식으로 설계된 서브넷은 성능 문제, 연결 오류, 심지어 보안 취약성을 유발할 수 있습니다. 이 섹션에서는 발생할 수 있는 가장 일반적인 문제에 대해 살펴보고, 안전한 서브넷 생성을 위한 몇 가지 모범 사례를 간략하게 설명합니다.

잘못 구성된 서브넷 및 IP 충돌

가장 일반적인 서브넷 및 IP 주소 문제는 다음과 같습니다.

• 서브넷 오버랩: 두 개의 하위 네트워크가 동일한 IP 주소 범위를 사용하면 라우팅 혼란이 발생하고 호스트에 연결할 수 없게 됩니다. 예를 들어 두 위치에서 192.168.3.0/24를 사용하면 라우터가 이를 구별할 수 없습니다.
• IP 주소 중복: 담당자의 실수나 DHCP 구성 오류로 인해 두 기기에 동일한 IP가 할당되면 연결 문제나 간헐적인 접속 장애가 발생할 수 있습니다.
• 잘못된 서브넷 마스크: 기기의 서브넷 마스크가 네트워크의 나머지 부분과 일치하지 않으면 통신 오류 및 IP 구성 실패가 발생할 수 있습니다.

안전한 서브넷 설계를 위한 모범 사례

서브넷을 보호하는 가장 훌륭한 방법은 다음과 같습니다.

• IP 주소 체계 계획: 명확하고 계층적인 구조를 설계하고 각 위치나 VPN 사이에 주소 범위를 재사용하지 마세요.
• 액세스 규칙 시행: 라우터와 방화벽을 사용하여 승인된 서브넷만이 중요한 시스템과 리소스에 접근할 수 있게 하세요.
• VLAN과 서브넷 결합: 물리적 네트워크를 여러 가상 네트워크(VLAN)로 나누고 각각에 고유한 서브넷을 할당하여 트래픽 분리를 개선하세요.
• 서브넷 사용량 모니터링: IP 및 네트워크 모니터링 도구를 사용하여 승인되지 않은 기기나 의심스러운 라우팅 활동과 같은 잠재적 보안 문제를 감지하세요.