토픽 157 / 164·비교표
## Part 5: 네트워크 보안
포워드 프록시 vs 리버스 프록시
| 항목 | 포워드 프록시 | 리버스 프록시 |
|---|
| 위치 | 클라이언트 측 | 서버 측 |
| 보호 대상 | 클라이언트 | 서버 |
| IP 숨김 | 클라이언트 IP 숨김 | 서버 IP 숨김 |
| 캐싱 | 사용자 요청 캐싱 | 정적 콘텐츠 캐싱 |
| 사례 | Squid, 기업 프록시 | Nginx, HAProxy |
IPSec VPN vs SSL/TLS VPN
| 항목 | IPSec VPN | SSL/TLS VPN |
|---|
| 계층 | L3 (네트워크) | L4-L7 (전송/응용) |
| 클라이언트 | 전용 소프트웨어 필수 | 웹 브라우저 가능 (클라이언트리스) |
| 제어 범위 | 네트워크 레벨 (전체 트래픽) | 애플리케이션 레벨 |
| NAT 통과 | 설정 필요 | 용이 |
| 적합 | Site-to-Site VPN | 원격 접속 VPN |
TLS 1.2 vs TLS 1.3
| 항목 | TLS 1.2 | TLS 1.3 |
|---|
| 핸드셰이크 | 2-RTT | 1-RTT (재연결 0-RTT) |
| 암호화 | 다양한 조합 | AEAD만 (안전한 것만) |
| PFS | 선택적 | 필수 (Forward Secrecy) |
| 핸드셰이크 암호화 | 평문 | 암호화됨 |
| 레거시 | 레거시 지원 | 취약 알고리즘 제거 |
Split Tunneling vs Full Tunneling (VPN)
| 항목 | Split Tunneling | Full Tunneling |
|---|
| 대상 | 기업 트래픽만 VPN | 모든 트래픽 VPN |
| 속도 | 빠름 | 느림 |
| 보안 | 낮음 (일부 노출) | 높음 |
| 대역폭 | 절약 | 소모 큼 |
방화벽 세대 비교
| 항목 | 패킷 필터링 (1세대) | 상태기반 (2세대) | 애플리케이션 GW (3세대) | NGFW (4세대) |
|---|
| 계층 | L3-L4 | L3-L4 | L7 | L3-L7 |
| 검사 | IP/Port | + 연결 상태 | + 콘텐츠 | + App/User/위협 |
| 성능 | 빠름 | 빠름 | 느림 | 중간 |
전통 방화벽 vs NGFW
| 항목 | 전통 방화벽 | NGFW |
|---|
| 계층 | L3-L4 | L3-L7 |
| 식별 | IP/Port | App/User/Content |
| 위협 탐지 | 없음 | IPS, APT 방어 |
| SSL 검사 | 불투명 | SSL 복호화/검사 |
| 기능 | 단일 | 다기능 통합 |
방화벽 vs IDS vs IPS vs WAF
| 항목 | 방화벽 | IDS | IPS | WAF |
|---|
| 계층 | L3-L4 | L3-L7 | L3-L7 | L7 |
| 동작 | 허용/차단 | 탐지/경고 | 탐지/차단 | HTTP 검사/차단 |
| 배치 | 인라인 | 미러링 | 인라인 | 인라인/프록시 |
| 대상 | IP/Port | 네트워크 패킷 | 네트워크 패킷 | HTTP/HTTPS |
IDS vs IPS
| 항목 | IDS (탐지) | IPS (방지) |
|---|
| 동작 | 탐지 → 경고 | 탐지 → 차단 |
| 배치 | 미러링 (Out-of-Band) | 인라인 (In-Band) |
| 트래픽 영향 | 없음 | 지연 발생 |
| 위험 | 경고만 (공격 통과) | 정상 트래픽 차단 가능 (오탐) |
단일 방화벽 DMZ vs 이중 방화벽 DMZ
| 항목 | 단일 방화벽 DMZ | 이중 방화벽 DMZ |
|---|
| 구조 | 방화벽 1대 | 외부 FW + 내부 FW |
| 보안 | 단일 장애점 | 벤더 분리로 보안 강화 |
| 비용 | 저렴 | 고가 |
| 적합 | 소규모 | 대규모 (권장) |
WPA2 vs WPA3
| 항목 | WPA2 | WPA3 |
|---|
| 키 교환 | PSK | SAE (Dragonfly) |
| 오프라인 공격 | 취약 | 방어 (Forward Secrecy) |
| 공개 WiFi | Open (평문) | OWE (기회적 암호화) |
| 암호화 | CCMP (AES-128) | GCMP (AES-256) |
| 암호 추측 | 무제한 시도 가능 | 제한 |
DNSSEC vs DoH vs DoT
| 항목 | DNSSEC | DoH (DNS over HTTPS) | DoT (DNS over TLS) |
|---|
| 보호 대상 | 응답 무결성 | 쿼리 암호화 | 쿼리 암호화 |
| 방식 | 서명 검증 | HTTPS 캡슐화 | TLS 암호화 |
| 포트 | 53 (기존) | 443 | 853 |
| 프라이버시 | 미제공 | 제공 | 제공 |
전통 경계 보안 vs Zero Trust
| 항목 | 전통 경계 보안 | Zero Trust |
|---|
| 원칙 | 내부=신뢰, 외부=불신 | 모든 접근=검증 필요 |
| 경계 | 방화벽 (경계 기반) | 모든 연결에 인증/암호화 |
| 접근 제어 | 네트워크 위치 기반 | 신원/장치/맥락 지속 검증 |
| 횡적 이동 | 내부 자유 통신 | 마이크로세그멘테이션 |
전통 WAN vs SASE
| 항목 | 전통 | SASE |
|---|
| 중심 | 데이터센터 | 클라우드 |
| 보안 | 장비 분산 | 클라우드 통합 |
| 확장 | 하드웨어 추가 | 탄력적 확장 |
| 원격 접속 | VPN 백홀 | 직접 접근 |
| 관리 | 다수 콘솔 | 단일 콘솔 |
L4 로드밸런서 vs L7 로드밸런서
| 항목 | L4 로드밸런서 | L7 로드밸런서 |
|---|
| 기준 | IP/Port | HTTP 헤더/URL/쿠키 |
| 속도 | 빠름 | 느림 (콘텐츠 파싱) |
| 분산 | 단순 분산 | 콘텐츠 기반 라우팅 |
| SSL | 투명 통과 | SSL 종료 (오프로드) |
| 세션 유지 | IP 기반 | 쿠키 기반 |
마이크로세그멘테이션 vs VLAN/서브넷 분리
| 항목 | 마이크로세그멘테이션 | VLAN/서브넷 |
|---|
| 단위 | 워크로드 (VM/컨테이너) | VLAN/서브넷 |
| 횡적 이동 | 차단 (정책 기반) | 가능 (VLAN 내 자유) |
| 세밀도 | 높음 | 낮음 |
| 구현 | 에이전트/하이퍼바이저/SDN | 스위치 설정 |
방화벽(FW) vs IPS vs WAF
| 항목 | 방화벽(FW) | IPS | WAF |
|---|
| 계층 | L3-L4 | L3-L7 | L7 |
| 대상 | IP/Port | 네트워크 패킷 | HTTP/HTTPS |
| 방어 | 비인가 접근 | 알려진 취약점 | 웹 공격(OWASP) |
| 검사 | 헤더 | 페이로드 | HTTP 요청/응답 |