네트워크 ACL이란? (접근제어목록)

ACL(Access Control List)은 규칙을 정해놓고 승인된 트래픽 또는 사용자만 접근을 허가하도록 하는 접근제어목록입니다. 패킷을 필터링 하는 기준입니다. 네트워크 트래픽을 통제하고 보안을 강화하기 위한 목적으로 사용됩니다.

ACL

ACL 종류

• 파일 시스템 ACL : 디렉토리 또는 파일에 대한 액세스를 관리합니다.
• 네트워킹 ACL : 네트워크에 대한 엑세스를 관리합니다. 네트워크에 접근하는 트래픽 종류에 대한 규칙을 정합니다.

ACL 위치

ACL은 라우터처럼 패킷 필터링 기능이 있는 네트워크 장비에 두고 사용합니다. 구조상으로는 주로 DMZ와 인터넷 사이에 배치합니다.

ACL 필터링 기준

ACL이 있는 라우터는 필터링 기준에 따라 패킷을 전송하거나 거부합니다. 이때의 기준은 출발지와 도착지 IP 주소, 프로토콜, 포트번호 등입니다. ACL의 유형에 따라 기준이 약간 다릅니다.

ACL 유형

• Standard ACL : 출발지 IP 주소만을 기반으로 패킷을 검사합니다. 단순한 기준을 두고 필터링하기 때문에 비교적 성능이 덜 필요합니다. 라우터가 IP 주소를 식별할 수 있도록 ACL 번호로 1300-1999 또는 1-99를 사용합니다.
• Extended ACL : 출발지 뿐만 아니라 출발지, 목적지 IP 주소와 프로토콜(TCP, UDP, ICMP 등), 포트번호를 모두 검사합니다. 스탠다드에 비해 기준이 폭넓습니다. 이를 통해 특정 호스트, 전체 네트워크에 대한 소스를 차단할 수 있습니다. ACL 번호는 100-199 또는 2000-2699를 사용합니다.

ACL과 방화벽의 차이

트래픽에 대한 필터링을 수행한다는 점에서 ACL과 방화벽은 차이가 없어보입니다. 그러나 둘은 분명 차이가 있습니다. 결론부터 말하면 방화벽이 더 높은 수준의 검사를 수행합니다.

 

ACL은 라우터에서 수행되기 때문에 통제 범위가 제한적입니다. 반면 방화벽은 OSI 모델의 7계층, 즉 전체 흐름을 파악하고 통제할 수 있습니다. 방화벽은 보안 업무가 본업입니다. 반면 ACL은 트래픽을 분배하는 역할인 라우터가 수행하는 또 하나의 부업이라고 이해할 수 있습니다.

• OSI 7계층 쉽게 이해하기

 

이와 관련한 이해하기 쉬운 예시를 소개해드리겠습니다.

대통령의 기자회견이 열렸습니다. 문 앞에는 경비원이 존재합니다. 경비원은 방문 기자의 신분을 확인하기 위해 언론사 카드, 이름을 확인하고 대통령실로부터 전달받은 출입 기자 목록에 이름이 있으면 들여보내 줍니다.

 

또 다른 요원도 존재합니다. 그는 기자의 언론사 카드가 위조되지 않았는지 확인합니다. 신분증에 있는 얼굴과 기자의 얼굴을 매칭해 봅니다. 기자에게 방문 목적을 묻습니다. 금속 탐지기로 위험한 물건이 있는지 확인합니다. 기자가 이전에 방문했던 이력을 확인합니다.

 

위 예시에서 경비원은 ACL이고 요원은 방화벽입니다.