"IP 관리의 시작과 끝"··· DHCP의 정의·작동원리

초고속 인터넷 환경에서는 디바이스의 빠르고 쉬운 네트워크 연결이 무엇보다 중요하다. 이를 위해 필요한 것이 DHCP다. 지난 수십 년간 여러 방면에서 이미 활용됐지만, 최근에는 디바이스의 네트워크 접속 능력과 정확한 환경설정을 보장하는 필수 기술로 주목받고 있다. DHCP는 IP 주소 수동 할당 시 발생하는 오류를 줄일 뿐만 아니라, 디바이스의 개별 IP 주소 유지 시간을 제한해 네트워크 전체적으로 IP 주소를 최대한 활용할 수 있게 한다.



DHCP의 정의
DHCP는 동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol)의 약자다. IP 네트워크에 사용되는 네트워크 프로토콜이다. IP 네트워크란 DHCP 서버가 IP 주소와 기타 정보를 다른 엔드 포인트와 효율적으로 연결하기 위해, 네트워크의 각 호스트에 자동 할당하는 시스템을 의미한다.

IP 주소 외에도, DHCP는 서브넷 마스크, 기본 게이트웨이 주소, 도메인 네임 서버(DNS) 주소 및 관련 설정 매개변수 값을 할당한다. RFC(Request for comments) 2131와 2132는 DHCP를 부트스트랩 프로토콜(BOOTP protocol, 초기 적재 통신 규약)에 기반한 국제 인터넷 표준화 기구(Internet Engineering Task Force, IETF) 표준으로 간주한다.

DHCP를 통한 IP 주소 관리 간소화
DHCP가 필요한 이유는 무엇보다 네트워크의 IP 주소 관리를 간소화하기 위해서다. 호스트 2개가 같은 IP 주소를 보유할 수 없으므로, IP 주소 수동 설정 시 오류가 발생할 가능성이 높다. 소규모 네트워크라도 수동으로 IP 주소를 할당하면 문제가 발생할 수 있다. 특히, 비정기적으로 IP 주소가 필요한 모바일 디바이스라면 더욱 그렇다. 또한, 일반 사용자 중 문제가 발생했을 때 컴퓨터의 IP 주소 정보를 찾아 바꿀 수 있는 사람도 많지 않다. 따라서 이 과정을 DHCP로 자동화하면 사용자와 네트워크 관리자 모두 업무가 편리해진다.

DHCP 구성요소
DHCP를 이용한 작업 시, DHCP의 모든 구성요소를 파악하는 게 중요하다. DHCP 구성요소의 목록과 역할은 다음과 같다.

- DHCP 서버: IP 주소 및 관련 설정 정보를 보유한 DCHP 서버를 작동하는 네트워크 디바이스. 일반적으로 DHCP 서버는 서버 또는 라우터를 의미하지만, 호스트로 작동할 수 있다면 별도의 제한이 없다. SD-WAN 어플라이언스가 대표적이다.
- DHCP 클라이언트: DHCP 서버에서 설정 정보를 전송 받는 엔드포인트. 컴퓨터, 모바일 디바이스, IoT 엔드포인트 및 네트워크 연결 장비 등이 있다. DHCP 클라이언트 대부분은 DHCP 정보를 자동 수신할 수 있도록 지원한다.
- IP 주소 풀: DHCP 클라이언트에서 이용할 수 있는 IP 주소의 범위. 일반적으로, 모든 IP 주소는 순차적으로 배포한다.
- 서브넷: IP 네트워크를 서브넷으로 알려진 세그먼트로 나눌 수 있다. 서브넷으로 네트워크를 관리할 수 있다.
- 대여(Lease): DHCP 클라이언트가 IP 주소 정보를 보유할 수 있는 시간. IP 주소 대여가 만료되면 클라이언트가 갱신해야 한다.
- DHCP 릴레이: 네트워크에서 브로드캐스트 된 클라이언트 메시지를 수신 받은 뒤, 설정된 서버로 전달하는 라우터 또는 호스트. 그 후에 서버는 클라이언트에 반응 값을 전송하는 릴레이 에이전트로 되돌려 보낸다. 이 때문에 각 서브넷에 서버를 보유하지 않고도 DHCP 서버를 중앙 집중할 수 있다.

DHCP 서버의 장점
관리 간소화 외에도, DHCP 서버는 여러 가지 장점이 있다.

- 정확한 IP 설정: IP 주소 설정 매개변수 값은 정확해야 하지만, '192.168.159.3' 같은 형식이어서 입력시 실수가 발생할 가능성이 높다. 이런 오타는 해결하기 힘든 고질적 문제인데, DHCP 서버를 사용하면 문제를 최소화할 수 있다.
- IP 주소 충돌 감소: 연결된 디바이스라면 IP 주소를 보유해야 한다. 하지만, 각 IP 주소는 한 번만 사용할 수 있으므로 중복 시 충돌이 발생해 중복된 디바이스 일방 또는 양방의 연결이 해제될 수 있다. IP 주소를 수동으로 할당하거나 특히 모바일 디바이스처럼 주기적으로 연결해야 하는 다수의 엔드 포인트가 있을 때 이런 문제가 발생할 가능성이 높다. DHCP를 사용하면 각 IP 주소가 자동으로 한 번만 사용된다.
- IP 주소 관리 자동화: DHCP를 사용하지 않으면 네트워크 관리자가 수동으로 IT 주소를 할당, 철회해야 한다. 디바이스가 언제 네트워크에 접속되고 끊기는지 정확하게 파악하기는 사실상 불가능하므로, 어떤 디바이스가 특정 주소를 보유하고 있는지 일일이 추적하는 것도 불가능하다. 반면 DHCP를 이용하면 네트워크 전문가가 단일 위치에서 모든 기기를 관리할 수 있도록 자동화 및 중앙집중화해 준다.
- 효율적인 변경 관리: DHCP를 사용하면 IP 주소, 범위, 엔드 포인트의 변경이 매우 쉽다. 예를 들어 DHCP를 통해 IP 주소 지정 시스템을 변경한다고 하자. 새로운 IP 주소 정보로 DHCP 서버를 설정한 뒤 해당 정보를 새로운 엔드 포인트에 전파하면 끝이다. 이와 유사하게, 네트워크 디바이스를 업그레이드 또는 교체할 때도 네트워크 설정을 별도로 할 필요가 없다.


DHCP가 내포한 보안 위험
DHCP 프로토콜은 인증 과정이 없으므로, 어떤 클라이언트도 빠르게 네트워크에 접속할 수 있다. 그러나 바로 이 점 때문에 다양한 보안 문제를 수반한다. 예를 들어 비인증 서버를 통한 클라이언트 유해 정보 배포, 비인증 클라이언트에 IP 주소 전달, 비인증 또는 유해 클라이언트로 인한 IP 주소 고갈 등이다.

이밖에도 클라이언트가 DHCP 서버의 진본성을 입증할 수 있는 수단을 보유하고 있지 않으므로, 부정확한 네트워크 정보를 제공하기 위해 인위적 수단을 써야 한다. 이로 인해, 서비스 거부 공격(DoS) 또는 중간자 공격이 발생할 수 있다. 즉, 가짜 서버가 악의적인 용도로 사용될 수 있는 자료를 중간에서 가로챌 가능성이 있다.

또한, DHCP 서버가 클라이언트 증명 시스템을 자체 보유하고 있지 않기 때문에, 요청한 디바이스에게 IP 주소 정보를 배포할 수밖에 없다. 그에 따라, 악의적 이용자가 크리덴셜(credential)을 지속해서 변환하기 위해 클라이언트를 설정할 수 있을 뿐만 아니라, 영역 내에서 이용할 수 있는 모든 IP 주소를 순식간에 고갈시킬 수 있다. 이는 기업의 정상적인 업무용 엔드 포인트가 네트워크에 접속하는 것을 방해할 것이다.

이에 따라 보안 위험을 낮추는 방법도 속속 등장하고 있다. 예를 들어 릴레이 에이전트 정보 옵션(Relay Agent Information Option)은 엔지니어가 DHCP 메시지가 네트워크에 도착했을 때 태그화를 지원한다. 태그는 네트워크 접속을 관리하는 용도로 사용할 수 있다. DHCP 메시지를 입증할 수 있는 수단도 있다. 단, 복잡한 키 관리 때문에 채택이 어려워진다는 단점이 있다. 그 외에도 DHCP의 보안을 강화하기 위해 802.1x 인증 방식(망 접근제어, Network Access Control, NAC)을 사용할 수 있다. 주요 네트워크 업체가 NAC 지원을 통해 배치 과정을 크게 간소화하고 있다. ciokr@idg.co.kr