OSI 모델
개방형 시스템 상호 연결(OSI) 모델은 네트워크 트래픽이 구조화되는 방식에 대한 개념적 모델입니다. OSI 모델의 7가지 계층은 다음과 같습니다:
- 물리적 레이어: 전자, 빛 등을 통해 물리적 매체를 통해 데이터를 이동합니다.
- 데이터 링크 레이어: 노드 간에 데이터를 전송하고 물리적 매체를 관리하며 오류를 수정합니다. 이더넷은 레이어 2 프로토콜입니다.
- 네트워크 레이어: 네트워크 간 데이터 이동을 위한 네트워크 주소 지정 및 라우팅을 관리합니다. IP는 레이어 3 프로토콜입니다.
- 전송 계층: 시스템 간에 데이터를 전송하기 위해 TCP 및 UDP와 같은 프로토콜을 사용하며 오류 수정 기능을 제공할 수 있습니다.
- 세션 레이어: 두 컴퓨터 간의 연결 및 세션을 관리합니다.
- 프레젠테이션 레이어: 데이터 암호화, 압축 및 포맷을 수행하여 네트워크와 애플리케이션 간에 데이터가 올바르게 변환되도록 합니다.
- 애플리케이션 레이어: 최종 사용자 소프트웨어 애플리케이션이 네트워크를 통해 데이터를 주고받을 수 있도록 합니다.
레이어 7의 중요성
레이어 7은 OSI 모델의 최상위 계층으로 사용자와 직접 상호 작용하는 애플리케이션을 다룹니다.
OSI 모델의 낮은 애플리케이션 수준은 데이터가 필요한 곳에 전달되고 적절한 포맷을 갖출 수 있도록 하는 것과 관련이 있습니다. 레이어 7은 사용자와 상호 작용하는 애플리케이션이 작동하는 곳입니다. 예를 들어, 웹을 탐색할 때 사용자는 원격 웹 서버와 통신하기 위해 HTTPS 웹 프로토콜을 사용하게 됩니다.
HTTPS는 레이어 7 프로토콜로, 트래픽이 다음과 같은 하위 계층 프로토콜 내에서 캡슐화됩니다:
이러한 프로토콜은 클라이언트 컴퓨터의 특정 애플리케이션에서 서버의 특정 애플리케이션으로 데이터가 전달되도록 하는 역할을 하며, HTTPS는 웹 브라우징 세션이 작동하도록 하는 실제 데이터를 전달합니다.
레이어 7에서의 부하 분산
조직은 OSI 모델의 레이어 7에서 로드 밸런싱을 구현하도록 선택할 수 있습니다. 즉, 단일 애플리케이션에 대한 합법적인 트래픽이 여러 서버에 분산되어 과부하가 걸리지 않도록 합니다.
따라서 부하 분산은 전반적인 애플리케이션 성능을 향상시킵니다. 사용자 관점에서 보면 레이어 7 부하 분산 장치 뒤에 있는 모든 서버는 동일한 공용 IP 주소와 포트 번호를 가지므로 구별할 수 없습니다. 하지만 로드 밸런서는 사용률에 따라 트래픽을 서버로 라우팅할 수 있습니다.
또한 로드 밸런서는 쿠키 또는 요청에 포함된 기타 정보를 사용하여 동일한 세션의 트래픽이 동일한 서버로 이동하도록 하여 캐싱 및 서비스 최적화를 가능하게 할 수 있습니다.
로드 밸런싱은 OSI 모델의 전송 레이어인 레이어 4에서도 발생할 수 있습니다. 이 경우 업스트림 서버마다 다른TCP/UDP 포트를 사용하므로 로드밸런서가 실제 내용을 검사하지 않고도 동일한 세션의 트래픽을 동일한 서버로 빠르게 전송할 수 있습니다. 하지만 이 접근 방식은 각 백엔드 서버로 전송되는 세션을 세밀하게 제어하기 어렵습니다.
DDoS 공격으로부터 보호
레이어 7은 분산 서비스 거부( DDoS) 공격의 맥락에서도 관련이 있습니다. DDoS 애플리케이션 계층 공격에서 공격자가 제어하는 봇넷은 사용자 및 고객이 대상 서비스를 사용할 수 없도록 만들려고 시도합니다. DDoS 공격은 OSI 모델의 여러 계층에서 발생할 수 있습니다. 한 가지 접근 방식은 엄청난 양의 요청으로 시스템을 압도하는 것입니다.
이러한 공격은 OSI 모델의 레이어 3(네트워크) 및 4(전송)에서 작동합니다. 예를 들어 SYN 플러드 공격은 서버가 한 번에 열어두는 TCP 세션 수를 모두 소진시킵니다.
SYN 홍수
SYN 플러드는 연결 요청으로 서버를 과부하시켜 정상적인 고객이 서버를 사용할 수 없게 만드는 DDoS 공격의 한 유형입니다.
- 일반적으로 클라이언트는 서버에 연결을 요청하기 위해 SYN(동기화) 메시지를 서버에 보냅니다.
- 서버는 클라이언트에 SYN-ACK 메시지를 다시 전송하여 이 요청을 승인합니다.
- 그러면 클라이언트는 일반적으로 ACK(확인)로 응답하고 연결이 설정됩니다.
그러나 SYN 폭주 공격의 경우 DDoS 공격자는 서버에 SYN 요청을 대량으로 보내지만 서버가 보낸 SYN-ACK 메시지에 대해 의도적으로 최종 응답(ACK)을 하지 않습니다. 그 결과 서버는 클라이언트로부터 도착하지 않는 대량의 ACK 응답을 기다리게 됩니다.
이 프로세스는 서버의 제한된 컴퓨팅 리소스에 부담을 주며, 서버는 대량의 반개방 연결을 관리해야 하기 때문에 과부하가 걸립니다. 이 때문에 SYN 플러드 공격은 '반개방 공격'이라고도 불립니다.
레이어 7 DDoS 공격
레이어 7 DDoS 공격은 특정 애플리케이션이나 서비스의 취약성과 병목 현상을 악용하도록 설계되었습니다. 예를 들어 HTTP 플러드 공격은 웹 서버가 처리할 수 있는 것보다 더 많은 HTTP 요청을 보내려고 시도합니다. 이는 처리할 수 있는 동시 TCP 세션 수보다 훨씬 적을 수 있으므로 더 효율적인 공격이 될 수 있습니다.
다양한 유형의 DDoS 공격은 서로 다른 OSI 계층에서 처리해야 합니다. 많은 애플리케이션 방화벽이 계층 3/4 공격을 처리할 수 있지만, 계층 7 공격으로부터 보호하려면 애플리케이션 계층 데이터를 검사하고 이해하는 계층 7 방화벽이 필요합니다.
체크 포인트 솔루션과 OSI 모델
기업들은 OSI 모델의 여러 계층에서 작동하는 사이버 공격을 받을 수 있습니다. 예를 들어 DDOS 공격은 레이어 3, 4 또는 7에서 수행될 수 있습니다. 이러한 공격 유형은 각각 다르게 작동하며, 레이어 3과 4에서만 보호 기능을 제공하는 네트워크 보안 솔루션은 레이어 7에서 발생하는 공격을 차단할 수 없습니다.
체크 포인트 차세대 방화벽(NGFW)은 네트워크 패킷 페이로드를 검사하고 이해하여 애플리케이션 계층 보호를 제공하는 기능을 포함하여 OSI 모델의 여러 계층에서 보호 기능을 제공합니다. 무료 데모에 가입하여 체크포인트 Quantum Force NGFW가 제공하는 레이어 7 보호 기능에 대해 자세히 알아보세요.
피드백