snowfairy

[서버 구축 소전] 3차시 과제

Fri, 12 Jun 2026 00:00:00 GMT

이번 글에서는, 서버 구축 3차시 과제인 가상화 기술을 사용하는 기술 사례에 대해 다루었다.

1. 기업 선정 이유

이번 과제에서 내가 선택한 기업은 네이버클라우드이다.

네이버클라우드는 국내 IT 기업인 네이버 계열의 클라우드 서비스 기업으로, Server, Storage, Network, Database 등 다양한 클라우드 인프라 서비스를 제공한다.

내가 이 기업을 선택한 이유는 가상화 기술과 직접적인 관련이 큰 기업이기 때문이다. 일반적인 서비스 기업도 내부적으로 서버와 컨테이너를 사용하지만, 네이버클라우드는 가상화된 서버 환경 자체를 고객에게 제공하는 기업이다.

따라서 수업에서 배운 Hypervisor, Virtual Machine, Host OS, Guest OS, Container 개념을 기업 사례와 연결하기에 적합하다고 생각했다.

2. 기업명과 사용하는 가상화 기술

네이버클라우드는 클라우드 서비스를 제공하기 위해 여러 형태의 가상화 기술을 사용한다. 대표적으로는 서버 가상화와 컨테이너 기반 가상화가 있다.

2-1. 서버 가상화

네이버클라우드에서는 사용자가 물리 서버를 직접 구매하지 않고도 클라우드 환경에서 서버를 생성하고 사용할 수 있다.

사용자는 필요한 만큼의 CPU, Memory, Storage 사양을 선택해 서버 인스턴스를 만들 수 있다. 이러한 방식은 하나의 물리 서버 자원을 여러 사용자 또는 여러 서비스가 나누어 사용하는 구조이므로, Hypervisor 기반 가상화와 관련이 있다.

즉, 네이버클라우드의 서버 서비스는 물리 서버를 논리적으로 나누어 여러 개의 가상 서버처럼 사용하는 방식이라고 볼 수 있다.

Physical Server
↓
Hypervisor
↓
Virtual Machine
↓
Guest OS
↓
Application

위 구조에서 Hypervisor는 물리 하드웨어의 자원을 여러 Virtual Machine에 나누어 제공하는 역할을 한다. 각 Virtual Machine은 독립된 Guest OS를 가지고 동작하므로 서로 분리된 서버처럼 사용할 수 있다.

2-2. 컨테이너 기반 가상화

네이버클라우드 같은 클라우드 환경에서는 가상 머신뿐만 아니라 Container 기반 가상화도 활용될 수 있다.

Container는 애플리케이션과 실행에 필요한 환경을 하나로 묶어 격리된 공간에서 실행하는 기술이다. 가상 머신처럼 Guest OS 전체를 포함하지 않고, Host OS의 커널을 공유한다.

Host OS
↓
Container Runtime
↓
Container
↓
Application

이 방식은 VM보다 가볍고 실행 속도가 빠르다는 장점이 있다. 컨테이너는 chroot, cgroup, namespace 같은 기능을 통해 격리된 실행 환경을 만든다.

chroot    → 파일 시스템 접근 범위 제한
cgroup    → CPU, Memory 등 자원 사용량 제한
namespace → 프로세스, 네트워크, 마운트 정보 등 격리

따라서 네이버클라우드가 사용하는 가상화 기술은 다음과 같이 정리할 수 있다.

- VM 기반 서버 가상화
- Hypervisor를 통한 물리 자원 분배
- Container 기반 애플리케이션 실행 환경

3. 해당 기업이 그 기술을 선택한 이유

네이버클라우드가 가상화 기술을 사용하는 이유는 크게 네 가지로 볼 수 있다.

3-1. 자원 효율성

가장 큰 이유는 자원 효율성이다.

클라우드 서비스는 여러 고객이 필요한 만큼 서버 자원을 사용하고 비용을 지불하는 방식이다. 만약 고객마다 물리 서버를 하나씩 따로 제공한다면 서버 구매 비용, 전력 비용, 냉각 비용, 운영 비용이 크게 증가한다.

하지만 가상화 기술을 사용하면 하나의 물리 서버 위에서 여러 개의 가상 서버를 운영할 수 있다.

물리 서버 1대
→ 가상 서버 여러 개 생성
→ 여러 사용자 또는 서비스가 나누어 사용

이 구조를 통해 하드웨어 자원을 더 효율적으로 사용할 수 있다.

3-2. 비용 절감

두 번째 이유는 비용 절감이다.

서버를 직접 구축하려면 물리 장비를 구매해야 하고, 서버실 공간, 전력, 냉각 장치, 유지보수 인력도 필요하다. 하지만 클라우드 사업자는 가상화 기술을 통해 물리 서버 자원을 여러 고객에게 나누어 제공할 수 있다.

사용자 입장에서도 필요한 만큼만 서버를 사용하고 비용을 지불할 수 있기 때문에 초기 비용 부담이 줄어든다.

기존 방식
→ 물리 서버 구매
→ 설치 및 운영
→ 사용량이 적어도 비용 발생

가상화 기반 클라우드 방식
→ 필요한 만큼 서버 생성
→ 사용한 만큼 비용 지불
→ 자원 낭비 감소

3-3. 격리성과 안정성

세 번째 이유는 격리성과 안정성이다.

Virtual Machine은 각각 독립된 Guest OS 환경을 가진다. 따라서 한 가상 서버에서 문제가 발생하더라도 다른 가상 서버에 영향을 줄 가능성이 낮다.

클라우드 환경에서는 여러 고객의 서버가 같은 물리 장비 위에서 실행될 수 있다. 이때 각 고객의 환경이 제대로 분리되지 않으면 보안 문제나 장애 전파 문제가 생길 수 있다.

고객 A의 VM
고객 B의 VM
고객 C의 VM
→ 같은 물리 서버 위에 있어도 서로 분리되어야 함

따라서 Hypervisor 기반 가상화는 클라우드 서비스에서 중요한 역할을 한다.

컨테이너 역시 namespace, cgroup 등을 활용해 실행 환경을 격리한다. 다만 컨테이너는 Host OS Kernel을 공유하기 때문에 일반적으로 VM보다 격리 수준은 낮다고 볼 수 있다.

3-4. 빠른 배포와 유연성

네 번째 이유는 빠른 배포와 유연성이다.

VM은 운영체제 단위로 환경을 구성할 수 있기 때문에 다양한 서버 환경을 만들기 쉽다. 예를 들어 Linux 서버, Windows 서버, 테스트용 서버, 운영용 서버를 각각 분리해서 사용할 수 있다.

또한 Container는 애플리케이션과 실행 환경을 하나의 패키지처럼 묶을 수 있다.

Application
+ Library
+ Config
+ Runtime
= Container Image

이렇게 하면 개발 환경과 운영 환경의 차이를 줄일 수 있고, 같은 애플리케이션을 여러 서버에서 더 쉽게 실행할 수 있다.

즉, 네이버클라우드는 클라우드 서비스를 안정적으로 제공하기 위해 VM 기반 가상화와 컨테이너 기반 가상화의 장점을 함께 활용한다고 볼 수 있다.

4. 내가 같은 상황이라면 동일한 기술을 선택할 것인지

내가 네이버클라우드와 같은 상황이라면 동일하게 VM과 Container를 함께 사용하는 방식을 선택할 것이다.

그 이유는 두 기술의 장점이 서로 다르기 때문이다.

4-1. VM을 선택할 이유

Virtual Machine은 Guest OS를 포함한 독립적인 실행 환경을 제공한다. 그래서 격리성과 보안 측면에서 강점이 있다.

클라우드 서비스에서는 서로 다른 고객의 서버가 같은 물리 서버 위에서 실행될 수 있다. 이때 고객별 서버 환경이 제대로 분리되지 않으면 보안 문제가 발생할 수 있다.

따라서 클라우드 인프라에서는 VM 기반의 강한 격리성이 필요하다고 생각한다.

VM의 장점
- Guest OS를 포함한 독립 환경 제공
- 격리성이 강함
- 다양한 OS 실행 가능
- 고객별 서버 환경 분리에 적합

4-2. Container를 선택할 이유

반면 Container는 VM보다 가볍고 실행 속도가 빠르다. 애플리케이션 단위로 실행 환경을 묶을 수 있고, 같은 자원에서 더 많은 서비스를 실행할 수 있다.

Container의 장점
- Guest OS가 필요 없음
- 실행 속도가 빠름
- 자원 사용량이 적음
- 애플리케이션 배포에 유리함

즉, VM은 안정성과 보안에 강하고, Container는 속도와 효율성에 강하다.

4-3. 최종 판단

그래서 나는 둘 중 하나만 선택하기보다는 VM과 Container를 함께 사용하는 방식을 선택할 것이다.

컨테이너만 사용하는 것은 현실적으로 위험할 수 있다. 컨테이너는 Host OS Kernel을 공유하기 때문에 VM보다 격리 수준이 낮을 수 있다.

반대로 VM만 사용하면 격리성은 좋지만, 컨테이너보다 무겁고 배포 속도가 느릴 수 있다.

따라서 클라우드 인프라처럼 보안과 안정성이 중요한 환경에서는 다음과 같은 구조가 현실적이라고 생각한다.

Physical Server
↓
Hypervisor
↓
Virtual Machine
↓
Container
↓
Application

이 구조는 VM의 격리성과 컨테이너의 배포 효율성을 함께 활용할 수 있다.

결론적으로 내가 같은 상황이라면 VM 기반 가상화로 안정성과 격리성을 확보하고, Container로 배포 속도와 자원 효율성을 높이는 방식을 선택할 것이다.

마치며

이번 기업 사례 분석을 통해 Hypervisor, VM, Container 같은 가상화 개념이 단순히 이론으로만 쓰이는 것이 아니라 실제 클라우드 기업의 핵심 기술로 활용된다는 점을 알 수 있었습니다.

특히 네이버클라우드처럼 많은 사용자에게 서버 자원을 제공하는 기업에서는 자원 효율성, 격리성, 비용 절감, 빠른 배포가 중요하다는 것을 이해할 수 있었습니다.

수업에서 배운 내용을 실제 기업 사례와 연결해보니 가상화 기술이 왜 필요한지 더 현실적으로 느낄 수 있었고, 이후 클라우드나 서버 인프라를 공부할 때도 도움이 될 것 같습니다.

[서버 구축 소전] 2차시 과제

Sun, 07 Jun 2026 00:00:00 GMT

오늘은 RDP의 통신 방식에 대해 다뤄 보도록 하겠습니다.(과제 설명에 따라 서버 구축은 진행하지 않음)

RDP란?

RDP(Remote Desktop Protocol)은 원격 데스크탑 프로토콜입니다.

RDP는 원격 컴퓨터의 화면 정보는 내 컴퓨터로 보내고, 내 컴퓨터의 키보드, 마우스 등의 입력 정보는 원격 컴퓨터로 보내는 프로토콜입니다.

RDP 통신

RDP는 기본적으로 클라이언트-서버 구조로 동작합니다.
여기서 클라이언트는 접속하는 쪽 컴퓨터고, 서버는 접속을 받는 쪽 컴퓨터입니다.

:::div{class="white-code"}

[내 컴퓨터 / RDP 클라이언트]
        │
        │ 키보드 입력, 마우스 입력 전송
        ▼
[원격 컴퓨터 / RDP 서버]

[원격 컴퓨터 / RDP 서버]
        │
        │ 화면 정보, 소리, 파일, 클립보드 정보 전송
        ▼
[내 컴퓨터 / RDP 클라이언트]

RDP의 기본 포트

RDP는 기본적으로 TCP 3389번 포트를 사용합니다.
다만, 보안상 이유로 실제 서버에서는 3389번 포트를 그대로 외부에 열어두지 않는 경우가 많다고 합니다.

RDP 통신 방식

RDP는 단순히 화면 전체를 계속 동영상처럼 전송하는 방식이 아닙니다.
실제로는 더 효율적으로 동작합니다.

내 컴퓨터에서 발생한 키보드 입력이나 마우스 클릭 같은 조작 정보가 원격 컴퓨터로 전달되고, 원격 컴퓨터는 그 결과로 바뀐 화면을 다시 내 컴퓨터에 보여줍니다.

즉, 사용자의 입력은 클라이언트에서 서버로 가고, 처리 결과인 화면 변화는 서버에서 클라이언트로 돌아오는 구조입니다. 또한 필요에 따라 클립보드, 파일 전송, 소리, 프린터, 로컬 드라이브 공유 같은 데이터도 함께 주고받을 수 있습니다.

RDP 접속 과정

RDP 접속은 단순히 원격 화면을 바로 보여주는 방식이 아닙니다.
먼저 클라이언트와 서버가 연결을 만들고, 보안 설정과 사용자 인증을 거친 뒤 원격 세션이 생성됩니다.
그 이후부터 사용자의 입력 정보와 서버의 화면 변화 정보가 계속 오가면서 원격 제어가 이루어집니다.

1단계: 클라이언트가 서버에 접속 요청

사용자 컴퓨터의 원격 데스크탑 프로그램이 원격 서버에 3389번 포트로 접속을 시도합니다.

클라이언트 -> 서버
"RDP 접속 요청"

이 단계에서는 클라이언트가 서버에게 원격 데스크톱 연결을 시작하겠다고 요청하는 것입니다.
서버에서 RDP 접속이 허용되어 있고, 방화벽에서 3389번 포트가 막혀 있지 않다면 다음 단계로 넘어갑니다.

2단계: 보안 연결 설정

서버가 접속 요청을 받아들이면, 클라이언트와 서버는 먼저 보안 연결을 설정합니다.

RDP가 주고 받는 데이터가 암호화되지 않은 상태로 전송되면 중간에서 정보가 노출될 수 있기 때문에, 실제 원격 제어가 시작되기 전에 암호화 통신을 위한 설정을 진행합니다.

클라이언트 <-> 서버
"암호화 방식과 보안 설정 협상"

요즘 RDP는 보통 TLS 같은 암호화 방식을 사용해 데이터를 보호합니다.
이 과정을 통해 이후에 오가는 입력 정보나 화면 정보가 쉽게 노출되지 않도록 합니다.

3단계: 사용자 인증

보안 연결이 준비되면 서버는 접속하려는 사용자가 정상 사용자인지 확인합니다.

사용자는 보통 사용자 이름, 비밀번호, 도메인 정보 등을 입력합니다.

클라이언트 -> 서버
"사용자 이름 / 비밀번호 / 도메인 정보 전송"

서버는 입력된 계정 정보가 올바른지 확인하고, 해당 계정이 원격 데스크톱 접속 권한을 가지고 있는지도 검사합니다.
계정 정보가 틀렸거나 원격 접속 권한이 없다면 접속은 거부됩니다.

또한 NLA(Network Level Authentication)가 활성화되어 있으면, 원격 데스크톱 세션을 완전히 만들기 전에 먼저 사용자 인증을 진행합니다.
즉, 인증되지 않은 사용자가 불필요하게 원격 세션을 생성하지 못하게 막는 역할을 합니다.

4단계: 원격 세션 생성

인증이 성공하면 서버는 해당 사용자를 위한 원격 데스크톱 세션을 만듭니다.
세션은 원격 컴퓨터 안에서 사용자가 작업할 수 있는 독립적인 작업 공간이라고 볼 수 있습니다.

사용자는 이 세션 안에서 바탕화면을 보고, 프로그램을 실행하거나 파일을 열 수 있습니다.
이때 서버는 사용자의 접속 환경도 함께 설정합니다.

예를 들어 아래 같은 정보가 세션 설정에 포함될 수 있습니다.

화면 해상도
색상 품질
키보드 설정
오디오 사용 여부
클립보드 공유 여부
프린터 공유 여부
로컬 드라이브 연결 여부

즉, RDP는 단순히 화면 하나만 연결하는 것이 아니라, 사용자가 원격 컴퓨터를 어떤 환경에서 사용할지에 대한 설정까지 맞춥니다.

5단계: 가상 채널 설정

원격 세션이 생성되면 RDP는 여러 종류의 데이터를 처리하기 위해 가상 채널을 설정합니다.

가상 채널은 쉽게 말해 하나의 RDP 연결 안에서 기능별 데이터를 나누어 주고받는 통로입니다.
화면 정보, 키보드 입력, 마우스 입력, 클립보드, 오디오, 프린터, 드라이브 공유 데이터는 서로 성격이 다르기 때문에 기능별로 나누어 처리하는 것입니다.

RDP 연결
├─ 화면 출력 채널
├─ 키보드 / 마우스 입력 채널
├─ 클립보드 채널
├─ 오디오 채널
├─ 프린터 공유 채널
└─ 드라이브 공유 채널

이 구조 덕분에 RDP는 단순히 화면만 보여주는 것이 아니라, 복사·붙여넣기, 파일 전송, 소리 출력, 프린터 공유 같은 기능도 함께 제공할 수 있습니다.

6단계: 입력 정보 전송

이 단계부터 본격적인 원격 제어가 이루어집니다.

사용자가 마우스를 움직이거나 키보드를 입력하면, 클라이언트는 그 조작 정보를 서버로 전송합니다.
이때 클라이언트가 보내는 것은 화면이 아니라 사용자의 입력 정보입니다.

클라이언트 -> 서버
"마우스 좌표, 클릭 정보, 키보드 입력 정보 전송"

예를 들어 사용자가 원격 화면에서 메모장을 클릭하면, 클라이언트는 마우스 좌표와 클릭 정보를 서버로 보냅니다.
사용자가 키보드로 글자를 입력하면 어떤 키가 눌렸는지에 대한 정보가 서버로 전달됩니다.

서버는 이 입력을 실제 원격 컴퓨터에서 발생한 입력처럼 처리합니다.

7단계: 화면 변화 정보 전송

서버는 클라이언트로부터 받은 입력을 처리한 뒤, 그 결과로 바뀐 화면 정보를 다시 클라이언트에게 전송합니다.

서버 -> 클라이언트
"변경된 화면 정보 전송"

여기서 중요한 점은 RDP가 화면 전체를 계속 영상처럼 보내는 방식이 아니라는 것입니다.
화면 전체를 매번 보내면 네트워크 사용량이 커지고 속도도 느려집니다.

그래서 RDP는 가능한 한 변경된 화면 부분 중심으로 정보를 보냅니다.
예를 들어 메모장에 글자 하나를 입력했다면 전체 화면을 다시 보내는 것이 아니라, 글자가 추가된 부분이나 창의 변화 정보를 중심으로 전송합니다.

이런 방식 덕분에 네트워크 사용량을 줄이고 원격 조작의 반응 속도를 높일 수 있습니다.

8단계: 입력과 화면 정보의 반복 교환

RDP 세션이 유지되는 동안 입력 정보와 화면 변화 정보는 계속 반복해서 오갑니다.

사용자 입력 발생
-> 클라이언트가 입력 정보를 서버로 전송
-> 서버가 입력 처리
-> 서버가 바뀐 화면 정보를 클라이언트로 전송
-> 클라이언트가 화면 갱신

이 과정이 매우 짧은 시간 안에 계속 반복되기 때문에 사용자는 원격 컴퓨터를 직접 사용하는 것처럼 느끼게 됩니다.

[서버 구축 소전] 1차시 과제

Thu, 04 Jun 2026 00:00:00 GMT

오늘은 서버 소수전공 1차시의 과제인 bandit level0 ~ level7 까지 풀이를 진행할 것입니다.

1. Level0

문제

:::div{class="white-code"}

이 레벨의 목표는 SSH를 사용하여 게임에 로그인하는 것입니다.
연결해야 할 호스트는 bandit.labs.overthewire.org이며, 포트는 2220입니다.
사용자 이름은 bandit0이고 비밀번호도 bandit0입니다.
로그인 후 레벨 1 페이지로 이동하여 레벨 1을 클리어하는 방법을 확인하세요.

풀이

2. Level0 -> Level1

문제

:::div{class="white-code"}

다음 레벨의 비밀번호는 홈 디렉터리에 있는 readme라는 파일에 저장되어 있습니다.
이 비밀번호를 사용하여 SSH로 bandit1에 로그인하세요.
레벨 비밀번호를 찾을 때마다 SSH(2220번 포트)를 통해 해당 레벨에 로그인하여 게임을 계속 진행하십시오.

풀이

가장 먼저, ls를 쳐보니 readme 파일이 있어 cat으로 내용을 확인했습니다.
안에서 다음 레벨로 가는 비밀번호를 획득했습니다.

3. Level1 -> Level2

문제

:::div{class="white-code"}

다음 레벨의 비밀번호는 홈 디렉터리에 있는 '-'라는 파일에 저장되어 있습니다.

풀이

ls를 쳐보니, - 라는 파일이 있었습니다.
찾아보니 -(dashed filename) 은 옵션 사용와 혼동이 생길 수 있다고 하여
./를 앞에 붙여 경로로 파일을 지정했습니다.

cat으로 파일 내용을 출력해 level1의 비밀번호를 획득했습니다.

4. Level2 -> Level3

문제

:::div{class="white-code"}

다음 레벨의 비밀번호는 홈 디렉터리에 있는 --spaces in this filaneme-- 이라는 파일에 저장되어 있습니다.

풀이

ls를 하면 --spaces in this filename-- 이라는 파일이 있습니다.
"-" 와 공백문자 때문에 정상적인 파일 지정이 되지 않을 것 같아 파일명을 문자열로 지정했습니다.
cat으로 파일 내용을 출력해 다음 레벨로 가는 비밀번호를 획득했습니다.

5. Level3 -> Level4

문제

:::div{class="white-code"}

다음 레벨의 비밀번호는 inhere 디렉터리의 숨겨진 파일에 저장되어 있습니다.

풀이

inhere 디렉토리로 이동한 뒤, ls -al을 치니 ...Hiding-From-You 라는 숨김 파일이 있었습니다.
이전 문제와 똑같이 파일명을 문자열 처리하여 cat으로 파일 내용을 출력해 비밀번호를 획득했습니다.

6. Level4 -> Level5

문제

:::div{class="white-code"}

다음 레벨의 비밀번호는 inhere 디렉터리에 있는 유일하게 사람이 읽을 수 있는 파일에 저장되어 있습니다.

풀이

inhere 디렉토리에서 ls를 치니 -file00 ~ -file09 라는 파일들이 있었습니다.
문제에 명시된 사람이 읽을 수 있는 파일은 아스키 형식의 파일을 말하는 것이라고 생각해 file과 *****를 이용해 파일들의 데이터 타입을 먼저 확인했습니다.

이후 데이터 타입이 ASCII text인 -file07의 파일 내용을 출력해 비밀번호를 획득했습니다.

7. Level5 -> Level6

문제

:::div{class="white-code"}

다음 레벨의 비밀번호는 inhere 디렉토리 어딘가에 있는 파일에 저장되어 있으며 다음과 같은 특징을 가지고 있습니다.

사람이 읽을 수 있는 형식
Size: 1033Byte
실행 불가

풀이

inhere 디렉토리에서 ls를 쳐보니 maybehere00 ~ 19 라는 디렉토리가 있었습니다.
문제 조건에 있는 크기가 1033바이트인 파일을 찾기 위해 find를 사용했습니다.

조건에 맞는 파일은 maybehere07/file2 였습니다.
이 파일의 내용을 출력해 다음 레벨로 가는 비밀번호를 획득했습니다.

8. Level6 -> Level7

문제

:::div{class="white-code"}

다음 레벨의 비밀번호는 서버 어딘가에 저장되어 있으며 다음과 같은 특징을 가지고 있습니다.

User: bandit7
Group: bandit6
Size: 33Byte

풀이

이번 문제는 ls를 쳐봐도 아무 것도 나오지 않습니다.(-al도 마찬가지)
문제에 있는 user가 bandit7이고 group이 bandit6이고 size가 33Byte인 파일을 찾기 위해 find를 사용했습니다.

이때, 명령어 실행 과정에서 권한이 없는 파일 때문에 permision denied가 도배되는 상황이 발생하여 찾아본 결과, 2>/dev/null을 뒤에 붙이면 해결된다는 것을 알 수 있었습니다.

이후 최종적으로 알아낸 목표 파일 경로로 파일 내용을 출력하여 다음 레벨로 가는 비밀번호를 획득했습니다.

마치며

거의 2년만에 bandit을 풀어보면서 다시 리눅스 명령어에 대해 알아볼 수 있어 재미있었습니다!
이후에도 가끔씩 bandit을 풀어보면 좋을 것 같습니다.

[네트워크 초심찾기] ACL과 NAT

Wed, 20 May 2026 00:00:00 GMT

작년 네트워킹 캠프 이후 제대로 된 네트워크 공부를 하지 않다보니 안그래도 잘 못하는 네트워크 실력이 입문자로 돌아간 느낌이 들어 네트워크 공부에 열정을 가지고 공부하던 초심을 되찾기 위해 네트워크 초심찾기를 1~2주에 한 번씩 작성하려고 한다.

첫 시간은 ACL과 NAT 이다.

ACL이란?

ACL은 Access Control List의 약자로, 네트워크 장비에서 트래픽을 허용하거나 차단하기 위해 사용하는 규칙 목록이다. 인바운드 규칙과 아웃바운드 규칙을 나눠서 설정한다.

인바운드

인바운드(Inbound) 는 외부에서 내부로 들어오는 데이터를 의미한다.
예시를 들자면, 아래의 G0/1을 기준으로, G0/1로 들어오는 것이 인바운드이다.

[외부망] ---> G0/1 <--- [라우터 내부]

아웃바운드

아웃바운드(Outbound) 는 내부에서 외부로 들어오는 데이터를 의미한다.
예시를 들자면, 아래의 G0/1을 기준으로, G0/1에서 외부로 나가는 것이 아웃바운드이다.

[외부망] <--- G0/1 ---> [라우터 내부]

ACL 기본 규칙

ACL에서는 기본적으로 항상 지켜지는 규칙이 존재한다.

위에서 부터 아래로 한줄씩 규칙을 검사함
여러 규칙 중, 첫 번째로 조건에 맞는 규칙을 적용함. 이후의 규칙들은 적용되지 않음
가장 마지막 조건은 항상 deny any(설정 이외 패킷은 전부 거부)
ACL 정책에 여러 조건을 설정할 경우, 가장 최근에 설정한 조건이 마지막 조건으로 삽입
Inbound와 Outbound를 필수적으로 명시해줘야 함

ACL의 종류

ACL은 Standard ACL과 Extended ACL로 나뉜다.
ACL에서는 ACL 번호 라는 것을 사용하는데, Standard와 Extended는 번호의 범위가 서로 다르다.

Standard ACL : 1 ~ 99, 1300 ~ 1999
Extended ACL : 100 ~ 199, 2000 ~ 2699

Standard ACL

Standard ACL은 패킷의 출발지 IP만을 확인하여 검사하는 ACL이다.
목적지 IP나 포트 번호 등은 확인하지 않아 세밀한 제어는 어렵지만 설정이 비교적 단순하다.

명령어

:::div{class="white-code"}

Router(config)# access-list [ACL 번호] [permit | deny] [송신측 IP 주소] [와일드카드마스크]
Router(config)# interface [적용할 인터페이스명]
Router(config)# ip access-list [ACL 번호] [in | out]

Extended ACL

Extended ACL은 출발지 IP, 목적지 IP, 프로토콜, 포트 번호까지 확인해서 트래픽을 제어하는 ACL이다.
Standard ACL 보다 더 세밀하게 규칙을 설정할 수 있다.

명령어

:::div{class="white-code"}

Router(config)# access-list [ACL 번호] [permit | deny] [프로토콜] [송신측 IP 주소] [송신측 와일드카드마스크] [목적지 IP 주소] [목적지 와일드카드마스크]
Router(config)# interface [적용할 인터페이스명]
Router(config)# ip access-list [ACL 번호] [in | out]

ACL 실습

실습은 패킷 트레이서에서 진행하며, 토폴로지는 아래 사진과 같다.

기본적인 ip 주소 할당은 건너뛰겠다.

Router0

:::div{class="white-code"}

Router(config)#access-list 10 permit host 192.168.1.10
Router(config)#access-list 10 deny host 192.168.1.11
Router(config)#int g0/0
Router(config-if)#ip access-group 10 in

Router1

:::div{class="white-code"}

Router(config)#access-list 100 permit host 192.168.2.10 host 192.168.1.10
Router(config)#access-list 100 deny host 192.168.2.10 host 192.168.1.11
Router(config)#int g0/0
Router(config-if)ip access-group 100 in

해설

토폴로지를 보면 192.168.1.10과 192.168.2.10 끼리 서로 통신이 가능하고,
192.168.1.11과 192.168.2.10 끼리 서로 통신이 불가능 하게 acl을 설정해야 한다.

Router0

router 0에서는 Standard ACL을 이용해 192.168.1.* 에서 192.168.2.10 으로의 트래픽을 설정해 줬다.

이 때, 명령어에 있는 host가 정확히 무엇인지를 몰라서 찾아본 결과,
host는 특정 IP 주소 하나만 정확하게 지정하기 위한 Cisco IOS의 문법 키워드(keyword) 였다.

예를 들어 아래 명령어는

:::div{class="white-code"}

Router(config)#access-list 10 permit host 192.168.1.10

실제로는 아래 명령어와 동일한 의미를 가진다.

:::div{class="white-code"}

Router(config)#access-list 10 permit 192.168.1.10 0.0.0.0

ACL에서 사용하는 와일드카드 마스크는 0이면 반드시 비교하고, 1이면 무시한다는 의미를 가진다.

즉, 0.0.0.0 은 모든 비트를 정확하게 비교한다는 뜻이므로, 오직 192.168.1.10 하나의 IP 주소만 허용하게 된다.

반대로 아래와 같은 경우에는

:::div{class="white-code"}

Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255

마지막 8비트를 무시하게 되므로 192.168.1.X 대역 전체를 의미하게 된다.

처음에는 host가 프로토콜 종류라고 생각했는데, 실제로는 프로토콜이 아니라 Cisco IOS CLI 내부에서 사용하는 문법용 키워드에 가까운 개념이었다.

Router1

router 1에서는 Extended ACL을 이용해 192.168.1.10과 192.168.1.11에서 192.168.2.10으로의 트래픽을 설정해 줬다. Extended ACL이기 때문에 Standard ACL과는 다르게 출발지 IP 주소 뿐 만 아니라 목적지 IP 주소도 적어줬다.

정답 체크

pc0(192.168.1.10) -> pc2(192.168.2.10) 성공

pc1(192.168.1.11) -> pc2(192.168.2.10) 실패

pc2(192.168.2.10) -> pc0(192.168.1.10) 성공
pc2(192.168.2.10) -> pc1(192.168.1.11) 실패

NAT란?

IPv4는 32비트로, 약 43억개의 주소를 사용할 수 있다.
주소는 한정되어 있지만 이를 필요로 하는 네트워크 장비들이 계속 증가함에 따라 이를 해결 하는 것이 중요해졌다.

이에 맞춰 등장하게 된 기술이 바로 NAT이다.
NAT는 Network Addess Translation의 약자로, 사설 IP를 공인 IP로 변경하는데 필요한 주소 변환 서비스 입니다.

사설 IP

사설 IP는 인터넷과 직접 연결되지 않는 내부 네트워크에서 사용하는 IP 주소이다.
내부 네트워크에서만 유효하며, 다른 네트워크에서는 중복 사용이 불가능하다.

공인 IP

공인 IP는 인터넷과 직접 연결할 수 있는 IP 주소로, 인터넷을 통해 접근할 수 있는 모든 장치에 할당된다.
인터넷 서비스 제공 업체인 ISP나 공인 IP 주소를 관리하는 기관에 의해 할당되며, 중복해서 사용이 불가능하다.

NAT가 필요한 이유

NAT는 단순히 사설 IP를 공인 IP로 바꾸는 기술 이상의 의미가 있다. 실제로는 아래와 같은 이유 때문에 사용된다.

1. IPv4 주소 부족 문제 해결

IPv4 주소는 약 43억 개밖에 존재하지 않는다. 하지만 인터넷 장비 수는 이미 이를 훨씬 초과했기 때문에, 모든 장비에 공인 IP를 직접 할당하는 것은 현실적으로 어렵다.

그래서 대부분의 환경에서는 내부 네트워크에서는 사설 IP를 사용하고, 외부 인터넷과 통신할 때만 공인 IP로 변환해서 사용한다.

2. 내부 네트워크 구조 은닉

외부에서는 NAT 장비의 공인 IP만 보이기 때문에 내부 IP 구조가 직접 노출되지 않는다.

예를 들어 내부 PC가 아래와 같은 주소를 사용하더라도

192.168.1.10
192.168.1.11
192.168.1.12

외부에서는 NAT 장비의 공인 IP 하나만 보게 된다.

203.0.113.10

즉, 내부 네트워크 구조를 어느 정도 숨길 수 있다는 장점이 있다.

NAT 동작 과정

예를 들어 내부 PC인 192.168.1.10 이 인터넷 서버인 8.8.8.8 로 패킷을 전송한다고 가정하자.

처음 패킷은 아래와 같다.

출발지 IP : 192.168.1.10
목적지 IP : 8.8.8.8

하지만 사설 IP는 인터넷에서 직접 사용할 수 없기 때문에, 라우터는 NAT Table을 참고하여 출발지 IP를 공인 IP로 변경한다.

출발지 IP : 203.0.113.10
목적지 IP : 8.8.8.8

이후 응답 패킷이 다시 돌아오면, NAT 장비는 NAT Table을 참고하여 다시 내부 사설 IP로 변환해준다.

203.0.113.10 → 192.168.1.10

즉, NAT는 단순 치환이 아니라 양방향 주소 변환 작업이라고 볼 수 있다.

NAT Table

NAT 장비는 주소 변환 내용을 NAT Table 에 저장한다.

예를 들어 아래와 같은 통신이 발생했다고 가정하자.

192.168.1.10 → 203.0.113.10
192.168.1.11 → 203.0.113.11

그러면 NAT Table에는 대략 아래와 같은 정보가 저장된다.

Inside Local	    Inside Global
192.168.1.10	    203.0.113.10
192.168.1.11	    203.0.113.11

여기서 중요한 개념이 있다.

Inside Local : 내부에서 사용하는 실제 사설 IP
Inside Global : 외부에 공개되는 공인 IP

Cisco에서는 NAT 관련 용어를 아래처럼 구분한다.

Inside Local	        내부 사설 IP
Inside Global	       변환된 공인 IP
Outside Local	       외부 장비 주소
Outside Global	      실제 외부 공인 주소

확인 명령어

:::div{class="white-code"}

router# show ip nat translations

예시 출력: :::div{class="white-code"}

Pro  Inside global      Inside local       Outside local      Outside global
tcp  203.0.113.10:1025  192.168.1.10:1025  8.8.8.8:80         8.8.8.8:80

현재 어떤 사설 IP가 어떤 공인 IP로 변환되었는지 확인할 수 있다.

통계 정보는 아래 명령어로 확인 가능하다. :::div{class="white-code"}

router# show ip nat statistics

NAT의 종류

NAT의 종류로는 Static NAT, Dynamic NAT, PAT가 있다.

Static NAT

Static NAT는, 사설 ip와 공인 ip를 미리 1:1로 매핑 해놓는 방식의 NAT이다.

명령어

:::div{class="white-code"}

router(config)# (ACL 설정)
router(config)# ip nat inside source static [사설 ip 주소] [변환할 공인 ip 주소]
router(config)# interface [사설 네트워크 인터페이스]
router(config-if)# ip nat inside
router(config-if)# interface [공인 네트워크 인터페이스]
router(config-if)# ip nat outside

Dynamic NAT

Dynamic NAT는 출발지나 목적지의 ip가 사전에 정해져 있지 않고, NAT가 필요할 때마다 ip pool에서 선택한 ip로 매핑하는 방식의 NAT이다.

명령어

:::div{class="white-code"}

router(config)# (ACL 설정)
router(config)# ip nat pool [풀 이름] [변환할 공인 IP 주소] netmask [서브넷마스크]
router(config)# ip nat inside source list [ACL 번호] pool [풀 이름]
router(config)# interface [사설 네트워크 인터페이스]
router(config-if)# ip nat inside
router(config-if)# interface [공인 네트워크 인터페이스]
router(config-if)# ip nat outside

NAT Pool?

Dynamic NAT는 사용할 공인 IP들을 미리 묶어서 관리하는데, 이를 NAT Pool 이라고 한다.

예를 들어 아래와 같이 공인 IP 대역을 할당 받았다고 치자. :::div{class="white-code"}

203.0.113.10
203.0.113.11
203.0.113.12

이 공인 IP들을 하나의 pool로 등록해 두고, 내부 사용자가 인터넷에 접속할 때마다 사용 가능한 공인 IP를 임시로 할당한다.

PAT

PAT는 Port Address Translation의 약자로, 공인 ip 주소 1개에 사설 ip 주소 여러 개를 n:1로 매핑하는 NAT이다.

변환된 ip 주소로는 사내망 호스트들을 구분할 수 없기 때문에 포트 번호를 부여하여 구분한다.

명령어

:::div{class="white-code"}

router(config)# (ACL 설정)
router(config)# ip nat inside source list [ACL 번호] interface [외부 인터페이스 이름] overload
router(config)# interface [사설 네트워크 인터페이스]
router(config-if)# ip nat inside
router(config-if)# interface [공인 네트워크 인터페이스]
router(config-if)# ip nat outside

<!-- ---

실습 1

실습은 패킷 트레이서에서 진행하며, 토폴로지는 아래 사진과 같다.

기본적인 ip할당 및 Router1의 라우팅은 건너뛰겠다.

Router 0

:::div{class="white-code"}

Router(config)#access-list 10 permit 192.168.10.0 0.0.0.255
Router(config)#ip nat pool R0_POOL 100.100.100.10 100.100.100.20 netmask 255.255.255.0
Router(config)#ip nat inside source list 10 pool R0_POOL
Router(config)#interface g0/0/0
Router(config-if)#ip nat inside
Router(config-if)#interface s0/1/0
Router(config-if)#ip nat outside
Router(config-if)#interface loopback0
Router(config-if)#ip address 100.100.100.1 255.255.255.0

Router(config)#router rip
Router(config-router)#ver 2
Router(config-router)#no au
Router(config-router)#net 192.168.10.0
Router(config-router)#net 10.10.10.0
Router(config-router)#net 100.100.100.0

Router 2

:::div{class="white-code"}

Router(config)#access-list 11 permit 192.168.20.0 0.0.0.255
Router(config)#ip nat pool R2_POOL 200.200.200.10 200.200.200.20 netmask 255.255.255.0
Router(config)#ip nat inside source static 192.168.20.3 200.200.200.3
Router(config)#ip nat inside source list 11 pool R2_POOL
Router(config)#interface g0/0/0
Router(config-if)#ip nat inside
Router(config-if)#interface s0/1/1
Router(config-if)#ip nat outside
Router(config-if)#interface loopback0
Router(config-if)#ip address 200.200.200.1 255.255.255.0

Router(config)#router rip
Router(config-router)#ver 2
Router(config-router)#no au
Router(config-router)#net 192.168.20.0
Router(config-router)#net 20.20.20.0
Router(config-router)#net 200.200.200.0

해설

정답 체크

실습 2

Router 0

Router 1

Router 2

해설

정답 체크

-->

2023 천하제일 코딩대회 문제 풀이 - A, B번

Sun, 17 May 2026 00:00:00 GMT

이번 7월에 돌아오는 천하제일 코딩대회를 준비하기 위해 이전 대회의 문제를 풀어보았다.
다만, 백준이 없어진 탓에 채점을 할 수 없어 정확한 코드인지 확인하는데 애를 먹었다.

A. 10!

n으로 들어오는 수의 펙토리얼을 10!으로 나눈 값을 6으로 나누면 되는 간단한 문제였다.
값이 커질 수 있기 때문에 ans를 unsigned long long int로 선언하고 11 ~ n까지 순회하며 곱한 뒤 6을 곱해 출력하였다.

정답코드

#include <iostream>

using namespace std;

int main() {
    ios::sync_with_stdio(false);
    cin.tie(0);
    cout.tie(0);
    
    int n;
    cin >> n;

    unsigned long long int ans = 1;
    for (int i = 11; i <= n; i++) {
        ans *= i;
    }

    cout << ans * 6;
    return 0;
}

B. 고양이 카페

$w_i$는 가장 큰 값과 가장 작은 값끼리 짝을 짓는 것이 가장 좋다.
만약 가장 큰 값과 가장 작은 값이 $k$를 초과한다면 그 다음으로 큰 값과 가장 작은 값끼리 짝을 짓는다.

이 과정을 반복하여 행복해질 수 있는 사람의 최댓값을 구했다.

정답 코드

#include <iostream>
#include <algorithm>
#include <vector>

using namespace std;

int main() {
    ios::sync_with_stdio(false);
    cin.tie(0);
    cout.tie(0);

    int n;
    int k;
    cin >> n >> k;

    vector<int> arr;

    for (int i = 0; i < n; i++) {
        int a;
        cin >> a;
        arr.push_back(a);
    }
    sort(arr.begin(), arr.end());

    int st = 0, end = n - 1, cnt = 0;
    while (st < end) {
        if (arr[st] + arr[end] <= k) {
            st++;
            cnt++;
        }
        end--;
    }

    cout << cnt;
    return 0;
}