[인프라보안 프로젝트1] 티켓팅 사이트의 인프라 보안 구축

01. 프로젝트 소개

 

 많은 보안 학습 환경은 개별 솔루션 설치에 집중되어 있어, 

공격 발생 이후 실제로 어떤 경로로 탐지되고, 어떻게 분석과 알림으로 이어지는지에 대한 운영 관점의 이해를 얻기 어려웠습니다.

 

 본 프로젝트는 이러한 문제의식에서 출발하여, 클라우드 관리형 서비스에 의존하지 않고, 
VMware ESXi 기반 온프레미스 가상 환경에서 방화벽, IDS, SIEM을 유기적으로 연동함으로써 

실제 기업 SOC에서 요구되는 보안 운영 흐름을 재현하는 것을 목표로 보안 인프라를 직접 설계·구현 하였습니다.

 

 프로젝트는 총 5명의 조원이 참여하여 2025년 12월 9일 부터 12월 31일 까지 약 4주간 진행되었습니다.

 

 

02. 프로젝트 목표 및 범위

2-1. 프로젝트 목표

 

 프로젝트의 주요 목표는 단순히 보안 솔루션을 설치하는 것이 아니라, 

공격 발생 시 실제 기업 SOC에서 이루어지는 탐지·분석·알림·대응의 운영 흐름을 직접 설계하고 검증하는 것입니다.

이를 위하여, 다음과 같은 세부 목표를 설정하였습니다.

• VMware ESXi 기반 온프레미스 가상 환경에서 네트워크 구간을 분리하고, 다계층 보안 인프라를 직접 구성함으로써,
  보안 아키텍처 설계 경험 확보.
• 방화벽, IDS, 서버 로그를 연동하여 공격 트래픽과 보안 이벤트가 실제로 어떻게 탐지되고 분석 시스템으로 전달되는지를
  구조적으로 이해.
• IDS 및 서버 로그를 SIEM(Splunk)으로 중앙화 하고, 이를 기반으로 보안 이벤트 발생 시 
  실시간 알림이 자동으로 전달되며, AI와 연동하여 대응을 어떻게 할것인가 사고를 가진 SIEM을
  이용하여 SOC 운영 환경을 구현.
• 실제 공격 테스트를 통해 보안 정책과 탐지 규칙의 유효성을 검증하고, 운영 관점에서의 한계와 개선점을 도출

 

 

2-2 프로젝트 범위

 퍼블릭 클라우드(AWS, Azure, GCP 등) 및 관리형 보안 서비스를 사용하지 않고,

온프레미스 기반 가상 인프라 환경으로 범위를 한정하여 진행하였습니다.

 

 이는 클라우드 환경의 자동화·관리 편의성 보다는, 각 보안 구성 요서의 역할과 로그 흐름을 명확히 이해하고, 보안 운영 구조 자체이 집중하기 위함입니다.

 

프로젝트 범위는 다음과 같습니다.

 

• VMware ESXi 기반 온프레미스 가상화 환경 구축
• 네트워크 구간 분리 및 보안 영역(DMZ, INTERNAL, MGMT 등) 설계
• 방화벽(pfSense, OPNsense) 이중 구조를 통한 경계 보안 구성
• IDS(Security Onion) 기반 네트워크 트래픽 탐지 환경 구축
• IPS(Snort)를 활용한 공격 탐지 및 차단 정책 적용
• SIEM(Splunk)을 활용한 보안 로그 수집 및 이벤트 분석
• NMS(Zabbix)를 활용한 서버 및 시스템 리소스 모니터링
• Discord Bot을 활용한 보안 이벤트 실시간 알림 자동화
• AI(GPT) 연동을 통한 보안 이벤트 즉각 분석 및 요약 
• WAF(Nginx + ModSecurity)를 활용한 애플리케이션 계층(L7)보안 강화 

 

 

03. 전체 아키텍처 설계

3-1. 아키텍처 설계 개요

 프로젝트의 전체 아키텍처는 경계 보안 → 네트워크 접근 통제 → 서비스 보호 → 탐지 및 분석 → 알림으로 이어지는 다계층 보안 구조를 기반으로 설계하였습니다.

 

퍼블릭 클라우드의 관리형 보안 서비스 없이, 각 보안 요소를 독립적으로 배치하고 상호 연동함으로써, 실제 기업 환경에서 사용되는 보안 계층화(Defense in Depth) 개념을 온프레미스 가상 환경에서 구현하였습니다.

 

3-2. 경계 보안 영역 (OPNsense + pfSense)

 외부 네트워크와 내부 인프라의 경계는 OPNsense와 pfSense를 이중으로 배치하여, 역할 기반 보안 분리를 수행하였습니다.

• OPNsense
  외부 트래픽 유입 구간에서 1차 필터링 및 DDOS 완충 역할 수행
• pfSense
  내부 네트워크 진입 전 정책 기반 트래픽 제어 및 각 보안 존(DMZ, INTERNAL, MGMT 등)으로의 라우팅 담당
• 이를 통해 단일 방화벽 장애 시에도 보안 정책 전체가 붕괴되지 않도록 설계 하였습니다.

3.3 IDS 탐지 구조 (Security Onion)

 공격 탐지는 Security Onion 기반 IDS를 통해 수행되었으며, pfSense 하단 스위치에서 SPAN 방식으로 트래픽을 미러링하여, 
IDS가 실제 서비스 트래픽에 영향을 주지 않도록 구성하였습니다.

• Inline 방식이 아닌 SPAN 방식을 채택함으로써, 성능 저하 및 오탐에 따른 서비스 중단 위험을 최소화 하였습니다.
• IDS는 DMZ, INTERNAL, MGMT등 각 네트워크 존의 트래픽을 동시에 수집·분석 합니다.

3.4 IPS 탐지 및 차단 구조 (Snort)

 IPS(Snort)는 pfSense 내부에 인라인 형태로 구성하여 실시간 차단을 수행하도록 설계하였습니다.
정확히 Snort IPS는 pfSense의 패키지/서비스 기능을 이용해 내부 라우팅 경로 상에 배치하였으며, 저희가 판단했을때, 가장 필요하다고 생각한 WAS에 적용해주었습니다.
 

 이를 통해 IDS는 오탐/성능 이슈로 인한 서비스 영향 없이 폭넓은 탐지를 수행하고, IPS는 실제 운영 구간에서 필요한 위협 트래픽을 즉시 차단하는 방식으로 탐지와 대응을 분리한 다계층 방어구조를 구현하였습니다.

 

3.5 WAF 구성 (Nginx + ModSecurity)

 DMZ 영역의 웹 서비스 보호를 위해 Nginx 기반 WAF(ModSecurity)를 배치하였습니다.

• 웹 서버 앞단에 Reverse Proxy 형태로 구성
• SQL Injection, XSS 등 웹 공격 패턴 탐지 및 차단
• 이를 통해 네트워크 단 보안뿐만 아니라 애플리케이션 계층(L7) 보안 까지 포함한 구조를 구현하였습니다. 

3.6 로그 수집 및 보안 운영 흐름

 각 보안 장비 및 서버에서 발생하는 로그는 Splunk를 중심으로 중앙화되어 분석됩니다.

• 방화벽, IDS 등 서버 로그 수집
• 이벤트 발생 시 Discord Bot을 통한 실시간 알림
• SOC 관점에서의 가시성 확보 및 즉각적인 상황 인지 가능
• AI를 통한 즉각 분석 (오탐/대응순서 등)을 받을 수있게 구현(Splunk의 지능화)
• 이를 통해 공격 발생 시 탐지 → 분석 → 알림 → 대응으로 이어지는 보안 운영 흐름을 실제와 유사하게 재현하였습니다.

 

 이와 같이 설계된 다계층 보안 구조는 단순한 이론에 그치지 않고, 온프레미스 가상 환경 위에서 구체적인 형태로 구현되었습니다.
그 첫 번째 실전 단계로, 서비스 망과 내부 망을 엄격히 분맇하고 보안 가용성을 극대화하기 위한 가상 인프라 구축 과정을 살펴보겠습니다. 이어서 진행될 ESXi 가상화 & 네트워크 분리 설계 섹션에서 기술적인 세부 내용을 확인하실 수 있습니다.