프록시 서버 101: 정의, 유형 및 활용

프록시 서버란 무엇인가?

프록시 서버는 클라이언트와 외부 리소스 사이에서 중개자 역할을 하며, 네트워크 경계에서 트래픽을 가로채 보안 정책을 적용한 후 연결이 목적지에 도달하도록 합니다. 프록시는 요청을 검사, 필터링, 기록하여 환경 내에서 이동하는 모든 트래픽을 가시화하고, 위협이 엔드포인트에 도달하기 전에 차단할 수 있는 능력을 제공합니다.

조직은 프록시 서버를 배치하여 보안팀이 트래픽 패턴을 모니터링하고, 허용 가능한 사용 정책을 강제하며, 악성 목적지로의 연결을 차단할 수 있는 제어 지점을 마련합니다. NIST SP 800-233에 따르면, 프록시 서버는 네트워크 경계에서 일관된 정책 적용을 제공하며, 엔터프라이즈 보안 아키텍처의 핵심 구성요소로 기능합니다.

프록시는 두 가지 네트워크 계층에서 동작합니다. 4계층 프록시는 TCP/UDP 연결을 처리하여 IP 주소와 포트 번호 기반으로 트래픽 라우팅을 수행하며, 패킷 내용을 검사하지 않습니다. 7계층 프록시는 애플리케이션 페이로드를 검사하여 HTTP 헤더, URL, 콘텐츠 등 4계층에서 분석할 수 없는 부분까지 심층 패킷 검사를 수행합니다. 대부분의 엔터프라이즈 보안 환경에서는 애플리케이션 트래픽 내에 숨겨진 위협을 식별하기 위해 7계층 검사가 필요합니다.

Proxy Server - Featured Image | SentinelOne

프록시 서버와 VPN의 차이

프록시 서버와 VPN은 모두 중개 서버를 통해 트래픽을 라우팅하지만, 목적과 동작 계층이 다릅니다. 프록시는 애플리케이션 계층에서 동작하며, HTTP 또는 SOCKS와 같은 특정 프로토콜을 개별 애플리케이션 단위로 처리합니다. VPN은 네트워크 계층에서 모든 장치 트래픽을 암호화하여 시스템에서 나가는 모든 데이터에 대해 보안 터널을 생성합니다.

엔터프라이즈 보안 측면에서 프록시는 VPN이 제공하지 못하는 세분화된 콘텐츠 검사와 정책 집행을 제공합니다. VPN은 트래픽을 종단 간 암호화하여 프록시 기반의 콘텐츠 필터링 및 위협 탐지를 방해합니다. 조직은 일반적으로 웹 보안 및 콘텐츠 제어를 위해 프록시를, 내부 리소스에 대한 안전한 원격 접속을 위해 VPN을 배포합니다. 많은 기업이 두 기술을 결합하여, 원격 근무자의 연결에는 VPN을, 사내 네트워크 접속 후 웹 트래픽 검사는 프록시를 사용합니다.

프록시 서버의 유형

적절한 프록시 유형 선택은 보안 목표와 네트워크 아키텍처에 따라 달라집니다. 각 유형은 트래픽 검사, 프라이버시, 위협 방지 등 고유한 기능을 제공합니다.

포워드 프록시 - 포워드 프록시는 내부 클라이언트와 외부 서버 사이에 위치하여, 네트워크를 벗어나기 전 아웃바운드 요청을 가로챕니다. 사용자가 웹 콘텐츠를 요청하면, 포워드 프록시는 보안 정책에 따라 요청을 평가하고, 연결을 기록하며, 승인된 트래픽만 전달합니다. 포워드 프록시는 엔터프라이즈 콘텐츠 필터링, 데이터 유출 방지, 허용 가능한 사용 정책 집행에 가장 일반적으로 사용됩니다.
리버스 프록시 - 리버스 프록시는 인바운드 트래픽으로부터 서버를 보호하며, 웹 애플리케이션 앞단에 위치하여 요청 인증, 서버 풀 간 부하 분산, 악성 페이로드 차단을 수행합니다. 조직은 리버스 프록시를 DDoS 방어, SSL 종료, 웹 애플리케이션 방화벽 기능에 활용합니다.
투명 프록시 - 투명 프록시는 클라이언트 설정 없이 트래픽을 가로채며, 네트워크 계층에서 투명하게 동작합니다. 엔터프라이즈 네트워크는 클라이언트 측 설정이 부담이 되거나, IoT 시스템 등 직접 설정할 수 없는 장치의 트래픽을 검사할 때 투명 프록시를 배포합니다.
익명 및 고익명 프록시 - 익명 프록시는 식별 헤더를 제거하여 클라이언트 IP 주소를 목적지 서버로부터 숨깁니다. 고익명 프록시는 프록시 인프라 존재 자체를 감춥니다. 공격자는 이러한 프록시 유형을 악용해 자신의 출처를 은폐합니다.
SOCKS vs. HTTP 프록시 - HTTP 프록시는 웹 트래픽을 전담하여 HTTP/HTTPS 요청을 콘텐츠 인식 정책으로 검사 및 필터링합니다. SOCKS 프록시는 애플리케이션 프로토콜에 관계없이 모든 TCP 트래픽을 터널링합니다. 보안팀은 웹 필터링에는 HTTP 프록시를, 프로토콜에 구애받지 않는 연결이 필요한 애플리케이션에는 SOCKS 프록시를 배포합니다.
레지덴셜 vs. 데이터센터 프록시 - 데이터센터 프록시는 상업용 호스팅 인프라를 통해 트래픽을 라우팅합니다. 레지덴셜 프록시는 가정용 인터넷 연결에 할당된 IP 주소를 사용합니다. EUROPOL에 따르면, 범죄 서비스는 데이터센터 IP 대역을 탐지하는 안티-프로드 시스템을 우회하기 위해 레지덴셜 프록시 네트워크 접근 권한을 판매하는 사례가 증가하고 있습니다.

적절한 프록시 유형 선택은 효과적인 네트워크 보안 통제의 기반을 마련합니다.

프록시 서버의 동작 원리

프록시의 동작 원리를 이해하면 배포를 효과적으로 구성하고 문제를 해결할 수 있습니다. 요청-응답 사이클은 프록시 유형에 관계없이 일관된 패턴을 따릅니다.

요청 가로채기 및 평가: 클라이언트가 연결을 시작하면, 프록시는 요청이 외부 서버에 도달하기 전에 이를 가로챕니다. 프록시는 구성된 정책에 따라 URL 카테고리, 목적지 평판, 사용자 권한, 콘텐츠 유형을 확인합니다. 이 평가는 밀리초 단위로 이루어지며, 보안 규칙에 따라 요청을 승인, 차단 또는 수정합니다.
트래픽 전달 및 응답 처리: 승인된 요청의 경우, 프록시는 클라이언트를 대신해 목적지 서버와 별도의 연결을 설정합니다. 목적지 서버는 클라이언트의 원래 주소가 아닌 프록시의 IP 주소만 인식합니다. 목적지에서 응답이 오면, 프록시는 먼저 콘텐츠를 수신하여 위협 또는 정책 위반 여부를 검사한 후, 승인된 응답만 원래 클라이언트로 전달합니다.
TLS 검사 프로세스: 암호화된 HTTPS 트래픽의 경우, TLS 검사를 수행하는 프록시는 중간자(MITM) 아키텍처를 사용합니다. 프록시는 클라이언트의 TLS 세션을 종료하고, 트래픽을 복호화하여 검사한 뒤, 목적지 서버와 새로운 TLS 세션을 설정합니다. 이를 위해 클라이언트 장치에 신뢰할 수 있는 인증서를 배포하여 프록시 인증서에 대한 보안 경고가 발생하지 않도록 해야 합니다. TLS 검사가 없으면, 프록시는 목적지 호스트명 등 메타데이터만 볼 수 있고 실제 콘텐츠는 볼 수 없습니다.
캐싱 및 성능 최적화: 프록시는 자주 요청되는 콘텐츠를 로컬에 캐싱하여, 반복 요청 시 원본 서버에서 가져오지 않고 바로 제공합니다. 이를 통해 대역폭 사용량을 줄이고, 응답 속도를 개선하며, 목적지 인프라의 부하를 감소시킵니다. 캐시 정책은 저장할 콘텐츠, 보관 기간, 소스에서 갱신 시점을 정의합니다.

프록시 서버의 일반적인 사용 사례

조직은 보안 집행, 성능 최적화, 규제 준수 등 다양한 시나리오에서 프록시 서버를 배포합니다.

엔터프라이즈 웹 보안 및 콘텐츠 필터링: 가장 일반적인 엔터프라이즈 배포 방식은 포워드 프록시를 통한 직원 웹 접근 필터링입니다. 보안팀은 악성 사이트를 차단하고, 부적절한 콘텐츠 카테고리 접근을 제한하며, 허용 가능한 사용 정책을 집행합니다. 콘텐츠 필터링은 신용카드 번호, 사회보장번호, 기밀 데이터 등 민감한 패턴이 포함된 아웃바운드 트래픽을 검사하여 데이터 유출을 방지합니다.
애플리케이션 전달 및 부하 분산: 리버스 프록시는 인바운드 트래픽을 여러 백엔드 서버에 분산시켜 단일 서버에 과부하가 발생하지 않도록 합니다. 이 아키텍처는 애플리케이션 가용성을 높이고, 무중단 배포를 가능하게 하며, 개별 서버 장애 시 장애 조치 기능을 제공합니다. 주요 웹사이트와 API는 수백만 동시 요청 처리를 위해 리버스 프록시 인프라에 의존합니다.
프라이버시 및 익명성: 개인 및 조직은 목적지 서버로부터 자신의 IP 주소를 숨기기 위해 프록시를 사용합니다. 언론인, 연구자, 프라이버시 중시 사용자는 프록시 체인을 통해 트래픽을 라우팅하여 추적을 방지합니다. 기업은 경쟁 정보 수집, 지역 제한 콘텐츠 접근, 다양한 지리적 위치에서 애플리케이션 동작 테스트를 위해 프록시를 활용합니다.
보안 연구 및 위협 인텔리전스: 보안팀은 악성코드 분석, 의심스러운 도메인 조사, 침투 테스트 수행 시 격리된 프록시 인프라를 통해 트래픽을 라우팅합니다. 이를 통해 프로덕션 네트워크 노출을 방지하면서 잠재적으로 악성 리소스와 상호작용할 수 있습니다. 위협 인텔리전스 플랫폼은 프록시 로그를 집계하여 새로운 공격 패턴과 명령제어 인프라를 식별합니다.
규제 준수 및 감사 로깅: 엄격한 데이터 처리 요건이 있는 산업에서는 모든 네트워크 통신의 포괄적 감사 추적을 위해 프록시를 사용합니다. 금융, 의료, 정부 기관은 SOX, HIPAA, FedRAMP 등 규제 준수를 입증하기 위해 프록시 트래픽을 기록합니다. 이러한 로그는 사고 조사 및 규제 감사 시 포렌식 증거로 활용됩니다.

프록시 서버의 주요 이점

조직은 프록시를 네트워크 아키텍처 내 적절히 배치할 경우, 측정 가능한 보안, 성능, 규제 준수 가치를 얻을 수 있습니다.

중앙 집중식 보안 정책 집행: 프록시는 네트워크 경계에서 보안 정책 집행을 위한 제어 지점으로 기능하며, 중앙 집중식 접근 제어 및 콘텐츠 필터링 규칙을 구현합니다. CIS Control 12에 따르면, 엔터프라이즈 프록시 서버는 실시간 콘텐츠 필터링과 URL 분류, 정책 기반 차단을 통해 네트워크 경계에서 새롭게 발견된 위협에 신속히 대응할 수 있습니다.
위협 헌팅을 위한 트래픽 가시성: 프록시 로그는 손상된 자격 증명 및 횡적 이동을 보여주는 사용자 행동 패턴을 드러냅니다. DNS 패턴, 요청 순서, 악성 인프라 연결 등이 이에 해당합니다. 효과적인 보안 운영은 프록시 데이터를 SIEM 상관 엔진, IDS/IPS 경보, 엔드포인트 보안 경보, 위협 인텔리전스 피드와 통합합니다.
규제 준수 지원: NIST SP 800-53 Rev 5는 프록시 기반 DLP 기능이 시스템 및 통신 보호(SC) 통제를 지원함을 명시합니다. 프록시 로그는 누가 언제 어떤 데이터에 접근했는지에 대한 감사 추적을 제공하며, DLP는 아웃바운드 트래픽의 민감한 패턴을 검사하여 무단 데이터 전송을 방지합니다.

이러한 이점으로 프록시는 가치 있는 보안 통제 수단이지만, 현대 위협 환경에서는 반드시 해결해야 할 근본적인 한계가 존재합니다.

프록시 서버의 과제와 한계

프록시 기반 보안은 현대 엔터프라이즈 환경에서 가시성의 공백을 초래하는 구조적 제약에 직면합니다.

암호화 트래픽 가시성 부족 문제: SANS 2024 SOC 설문조사에 따르면, TLS 검사 배포는 감소하는 반면 암호화 트래픽이 네트워크의 대다수를 차지하고 있습니다. TLS 검사가 없으면, 실제 페이로드 콘텐츠(악성코드 다운로드, 데이터 유출, 명령제어 통신 등)를 볼 수 없습니다.
클라우드 및 하이브리드 아키텍처의 공백: 클라우드 API 직접 연결, SaaS 애플리케이션, 컨테이너 간 통신은 HTTP 프록시 가시성을 우회하므로, CASB 및 CSPM 보완이 필요합니다.
고도화된 우회 기법: USENIX Security 연구에 따르면, 공격자는 새로운 프로토콜을 생성하는 프로그래머블 프로토콜 시스템을 활용해 프록시 탐지를 우회합니다. 고급 지속 위협 그룹은 Azure 프록시 기반 C2 인프라를 통해 백도어 변종을 배포하여 기존 프록시 탐지를 우회합니다.
운영 리소스 제약: SANS 2019 SOC 설문조사에 따르면, 조사 대상 SOC의 58%가 숙련된 인력 부족을 보안 운영의 최대 장애 요인으로 꼽았습니다. 많은 조직이 프록시 경보를 적절히 구성, 모니터링, 대응할 인력이 부족합니다.

이러한 한계를 이해하면 공격자가 프록시 인프라를 어떻게 악용하는지 예측할 수 있습니다.

공격자가 프록시 서버를 악용하는 방법

위협 행위자는 익명성, 우회, 악성 행위 증폭을 위해 프록시 인프라를 악용합니다. 이러한 공격 패턴을 이해하면 프록시 기반 위협을 탐지 및 방지할 수 있습니다.

명령제어 은폐: 고급 지속 위협 그룹은 정상적인 웹 브라우징으로 위장하기 위해 합법적인 프록시 서비스를 통해 명령제어 트래픽을 라우팅합니다. 클라우드 호스팅 리버스 프록시 또는 CDN 인프라를 통해 C2 트래픽을 터널링함으로써, 공격자는 보안 도구가 정상 트래픽으로 인식하는 패턴에 섞여 들어갑니다. USENIX Security 연구에 따르면, 고도화된 위협 행위자는 Azure 프록시 및 Cloudflare 프록시 기반 C2 인프라를 통해 백도어 변종을 배포합니다.
자격 증명 대입 및 계정 탈취: 공격자는 회전하는 레지덴셜 프록시 네트워크를 사용해 자격 증명 대입 공격을 수천 개의 IP 주소에 분산시킵니다. 합법적인 레지덴셜 IP를 순환 사용함으로써, 데이터센터 인프라에서 발생하는 공격을 차단하는 속도 제한 및 IP 기반 차단을 우회합니다. EUROPOL에 따르면, 레지덴셜 프록시 네트워크는 상업적 범죄 서비스로 판매되는 안티-탐지 솔루션으로 분류됩니다.
웹 스크래핑 및 경쟁 정보 수집: 악의적 행위자는 프록시 네트워크를 이용해 경쟁사 웹사이트에서 가격 정보, 고객 정보, 지적 재산 등 독점 데이터를 스크래핑합니다. 회전 프록시는 자동화 접근을 차단하는 봇 탐지 시스템을 우회합니다. 조직은 종종 경쟁사 또는 위협 행위자가 민감한 비즈니스 데이터를 수집한 후에야 피해를 인지합니다.
광고 사기 및 클릭 조작: 사기범은 프록시 네트워크를 통해 가짜 광고 클릭을 유도하여 부정 광고 수익을 창출합니다. 프록시 인프라의 분산 특성으로 인해, 사기 트래픽과 정상 사용자 활동을 구분하기 어렵습니다. 광고 네트워크는 프록시 기반 클릭 사기 스킴으로 인해 매년 수십억 달러의 손실을 입고 있습니다.
악성코드 유포 및 피싱 인프라: 공격자는 피싱 페이지와 악성코드 페이로드를 리버스 프록시 서비스 뒤에 호스팅하여 SSL 인증서를 제공하고 원본 서버 위치를 숨깁니다. 피해자는 악성 인프라와 상호작용하면서도 정상적인 HTTPS 연결로 인식합니다. 보안팀이 프록시 엔드포인트를 식별 및 차단하면, 공격자는 신속히 새로운 인프라로 전환합니다.

이러한 위협을 인지하면 자체 프록시 배포를 어떻게 구성하고 보호할지 결정할 수 있습니다.

프록시 서버 배포 보안 강화 방법

프록시 인프라 보안을 위해서는 검증된 프레임워크 준수, 심층 방어 통제 구현, 지속적인 모니터링이 필요합니다.

다계층 경계 방어 구현: CIS 핵심 통제 12는 방화벽, 프록시, DMZ 경계 네트워크, 네트워크 기반 IPS/IDS에 의존하는 다계층 경계 방어를 요구합니다. 인증된 프록시 서버를 통해 아웃바운드 트래픽을 강제하고, 상세 로깅 및 콘텐츠 필터링을 통합합니다.
FIPS 검증 암호화 배포: DoD STIG는 정부 규정 준수를 위해 NIST FIPS 검증 암호화 사용을 요구합니다. 강력한 암호화 스위트를 구성하고, 취약한 알고리즘을 제거하며, 최소 TLS 1.2, 권장 TLS 1.3을 적용합니다.
SIEM 통합을 통한 완전한 로깅 구축: CIS 요구사항에 따라 각 TCP 세션의 전체 연결 메타데이터(타임스탬프, 출발지/목적지 IP 및 포트, 사용자명, URL 및 도메인, HTTP 응답 코드, 전송 바이트, 콘텐츠 필터링 결정 등)를 기록합니다. 이러한 로그를 실시간으로 SIEM에 연동하여 지속적인 모니터링 및 위협 상관 분석을 수행합니다.
TLS 검사 범위 및 예외 문서화: NIST CSF 2.0 거버넌스 요구사항(GV.OC-03: 법적/규제 요구사항, GV.RM-02: TLS 검사에 대한 위험 수용도)에 따라 TLS 검사 결정을 정렬합니다. 검사 대상 트래픽 범주를 문서화하고, 사용자 알림 절차를 구현합니다.
모든 프록시 접근에 인증 강제: CIS Control 12는 원격 연결에 대해 다중 인증이 적용된 인증된 프록시 접근을 요구합니다. Active Directory, Azure AD, Okta 등 엔터프라이즈 아이덴티티 제공자와 통합하여 중앙 집중식 관리를 구현합니다.

이러한 보안 관행을 따르면 프록시 배포가 강화되지만, 근본적인 프록시 한계를 해결하려면 네트워크 검사 실패 시에도 가시성을 유지하는 엔드포인트 수준의 기능이 필요합니다.

AI 기반 사이버 보안

실시간 감지, 머신 속도 대응, 전체 디지털 환경에 대한 종합적인 가시성을 통해 보안 태세를 강화하세요.

데모 신청하기

핵심 요약

프록시 서버는 조직 경계에서 중앙 집중식 정책 집행, 트래픽 가시성, 규제 준수 지원을 제공합니다. 4계층 및 7계층에서 동작하는 프록시는 트래픽을 가로채고 검사하여 위협을 차단하고, 콘텐츠를 필터링하며, NIST 사이버보안 프레임워크 요구사항에 부합하는 감사 로그를 생성합니다. 그러나 현대 환경에서는 암호화 트래픽 가시성 부족, 클라우드 네이티브 아키텍처 우회, 고도화된 우회 기법 등 프록시의 한계가 드러납니다.

효과적인 전략은 프록시를 심층 방어 아키텍처의 한 구성요소로 배치하는 것입니다. 모범 사례에는 CIS Control 12 기반 다계층 경계 방어, FIPS 검증 암호화, SIEM 통합 로깅, MFA가 적용된 인증 프록시 접근이 포함됩니다. 네트워크 계층 검사가 실패할 때도 가시성을 유지할 수 있도록 엔드포인트 탐지 기능으로 프록시 통제를 보완해야 합니다.

자주 묻는 질문

프록시 서버는 클라이언트 디바이스와 목적지 서버 사이에서 중개 역할을 하며, 네트워크 트래픽을 가로채고 처리한 후 요청을 전달합니다. 조직에서는 웹 콘텐츠 필터링, 보안 정책 적용, 성능 향상을 위한 리소스 캐싱, 클라이언트 IP 주소 마스킹, 감사 로그 생성을 위해 프록시를 사용합니다.

엔터프라이즈 환경에서는 주로 보안 및 규정 준수에 중점을 두며, 개인 사용자는 프라이버시 보호 또는 지역 제한 콘텐츠 접근을 위해 프록시를 활용합니다.

프록시 서버는 NIST 사이버보안 프레임워크에서 정의한 세 가지 보안 기능을 제공합니다. 트래픽 모니터링 및 이상 탐지를 통한 탐지(Detect) 기능, 접근 제어 및 콘텐츠 필터링을 통한 보호(Protect) 기능, 트래픽 차단 및 위협 대응을 통한 대응(Respond) 기능입니다.

프록시 로그는 사용자 식별, 목적지 분석, 공격 체인을 드러내는 트래픽 패턴 등 위협 헌팅 데이터를 제공합니다. 효과적인 보안 운영은 프록시 데이터를 엔드포인트 탐지 기능, 위협 인텔리전스 플랫폼, SIEM 연관 엔진과 통합합니다.

예, 프록시 서버는 목적지 서버로부터 사용자의 원래 IP 주소를 숨깁니다. 프록시를 통해 연결하면 목적지에서는 사용자의 IP 주소가 아닌 프록시의 IP 주소만 확인할 수 있습니다. 그러나 익명성 수준은 프록시 유형에 따라 다릅니다.

투명 프록시는 헤더에 원래 IP를 전달하고, 익명 프록시는 식별 정보를 제거하며, 고익명 프록시는 프록시 사용 사실 자체를 숨깁니다. 완전한 익명성을 위해서는 프록시 제공업체가 여전히 사용자의 트래픽을 볼 수 있고, 고급 추적 기법을 통해 IP 마스킹과 무관하게 브라우저 지문으로 사용자를 식별할 수 있다는 점을 고려해야 합니다.

방화벽은 네트워크 계층(Layer 3/4)에서 IP 주소, 포트, 프로토콜을 기반으로 상태 기반 필터링을 수행합니다. 프록시는 애플리케이션 계층(Layer 7)에서 콘텐츠, HTTP 헤더, URL, 프로토콜을 분석하며, 네트워크 계층의 기능을 넘어서는 심층 패킷 검사를 수행합니다.

방화벽은 연결에 대해 허용/차단의 이진 결정을 내리는 반면, 프록시는 승인된 연결 내 실제 콘텐츠를 검사, 수정, 기록할 수 있습니다.

시그니처 기반 탐지를 사용하는 프록시 서버는 알려진 시그니처가 없는 제로데이 위협을 식별할 수 없습니다. 행위 분석, 샌드박스 통합, 위협 인텔리전스 연계를 적용한 프록시는 비정상적인 트래픽 패턴과 같은 잠재적 미확인 위협을 나타내는 의심스러운 특성을 탐지할 수 있습니다.

그러나 암호화된 트래픽은 프록시의 가시성을 제한하므로, 네트워크 검사 우회를 시도하는 위협을 탐지하기 위해 엔드포인트 탐지가 필수적입니다.

보안 웹 게이트웨이는 기존 프록시 서버에서 발전하여 통합 위협 인텔리전스, 고급 악성코드 탐지, DLP 기능, 클라우드 기반 아키텍처를 추가로 제공합니다.

SWG는 URL 필터링, 안티멀웨어, 샌드박싱, DLP, CASB 기능을 클라우드 서비스로 통합하며, 기존 프록시는 주로 콘텐츠 필터링과 접근 제어에 중점을 둡니다.

레지덴셜 프록시 네트워크는 공격자에게 합법적인 레지덴셜 IP 주소를 제공하여 악성 트래픽을 우회할 수 있게 합니다. EUROPOL에 따르면, 이러한 네트워크는 크리덴셜 스터핑, 계정 탈취, 광고 사기, 지리적으로 타겟팅된 공격을 가능하게 하는 안티-디텍션 솔루션으로, 데이터센터 IP 범위를 탐지하는 안티-프로드 시스템을 우회할 수 있습니다.

마이그레이션 결정은 아키텍처 및 운영 요구 사항에 따라 달라집니다. 클라우드 기반 SSE 플랫폼은 분산된 인력에 대해 오버헤드를 줄이고 통합된 보안을 제공합니다. 엔터프라이즈 아키텍처는 단계적 전환을 적용하며, ZTNA가 신원 인식 액세스를 처리하고 레거시 프록시는 점차 줄어드는 애플리케이션 하위 집합을 담당합니다.

엄격한 데이터 상주 요건이나 에어갭 네트워크가 있는 조직은 온프레미스 인프라를 유지해야 할 수 있습니다.

프록시 서버란 무엇인가?

프록시 서버와 VPN의 차이

프록시 서버의 유형

포워드 프록시 - 포워드 프록시는 내부 클라이언트와 외부 서버 사이에 위치하여, 네트워크를 벗어나기 전 아웃바운드 요청을 가로챕니다. 사용자가 웹 콘텐츠를 요청하면, 포워드 프록시는 보안 정책에 따라 요청을 평가하고, 연결을 기록하며, 승인된 트래픽만 전달합니다. 포워드 프록시는 엔터프라이즈 콘텐츠 필터링, 데이터 유출 방지, 허용 가능한 사용 정책 집행에 가장 일반적으로 사용됩니다.
리버스 프록시 - 리버스 프록시는 인바운드 트래픽으로부터 서버를 보호하며, 웹 애플리케이션 앞단에 위치하여 요청 인증, 서버 풀 간 부하 분산, 악성 페이로드 차단을 수행합니다. 조직은 리버스 프록시를 DDoS 방어, SSL 종료, 웹 애플리케이션 방화벽 기능에 활용합니다.
투명 프록시 - 투명 프록시는 클라이언트 설정 없이 트래픽을 가로채며, 네트워크 계층에서 투명하게 동작합니다. 엔터프라이즈 네트워크는 클라이언트 측 설정이 부담이 되거나, IoT 시스템 등 직접 설정할 수 없는 장치의 트래픽을 검사할 때 투명 프록시를 배포합니다.
익명 및 고익명 프록시 - 익명 프록시는 식별 헤더를 제거하여 클라이언트 IP 주소를 목적지 서버로부터 숨깁니다. 고익명 프록시는 프록시 인프라 존재 자체를 감춥니다. 공격자는 이러한 프록시 유형을 악용해 자신의 출처를 은폐합니다.
SOCKS vs. HTTP 프록시 - HTTP 프록시는 웹 트래픽을 전담하여 HTTP/HTTPS 요청을 콘텐츠 인식 정책으로 검사 및 필터링합니다. SOCKS 프록시는 애플리케이션 프로토콜에 관계없이 모든 TCP 트래픽을 터널링합니다. 보안팀은 웹 필터링에는 HTTP 프록시를, 프로토콜에 구애받지 않는 연결이 필요한 애플리케이션에는 SOCKS 프록시를 배포합니다.
레지덴셜 vs. 데이터센터 프록시 - 데이터센터 프록시는 상업용 호스팅 인프라를 통해 트래픽을 라우팅합니다. 레지덴셜 프록시는 가정용 인터넷 연결에 할당된 IP 주소를 사용합니다. EUROPOL에 따르면, 범죄 서비스는 데이터센터 IP 대역을 탐지하는 안티-프로드 시스템을 우회하기 위해 레지덴셜 프록시 네트워크 접근 권한을 판매하는 사례가 증가하고 있습니다.

적절한 프록시 유형 선택은 효과적인 네트워크 보안 통제의 기반을 마련합니다.

프록시 서버의 동작 원리

요청 가로채기 및 평가: 클라이언트가 연결을 시작하면, 프록시는 요청이 외부 서버에 도달하기 전에 이를 가로챕니다. 프록시는 구성된 정책에 따라 URL 카테고리, 목적지 평판, 사용자 권한, 콘텐츠 유형을 확인합니다. 이 평가는 밀리초 단위로 이루어지며, 보안 규칙에 따라 요청을 승인, 차단 또는 수정합니다.
트래픽 전달 및 응답 처리: 승인된 요청의 경우, 프록시는 클라이언트를 대신해 목적지 서버와 별도의 연결을 설정합니다. 목적지 서버는 클라이언트의 원래 주소가 아닌 프록시의 IP 주소만 인식합니다. 목적지에서 응답이 오면, 프록시는 먼저 콘텐츠를 수신하여 위협 또는 정책 위반 여부를 검사한 후, 승인된 응답만 원래 클라이언트로 전달합니다.
TLS 검사 프로세스: 암호화된 HTTPS 트래픽의 경우, TLS 검사를 수행하는 프록시는 중간자(MITM) 아키텍처를 사용합니다. 프록시는 클라이언트의 TLS 세션을 종료하고, 트래픽을 복호화하여 검사한 뒤, 목적지 서버와 새로운 TLS 세션을 설정합니다. 이를 위해 클라이언트 장치에 신뢰할 수 있는 인증서를 배포하여 프록시 인증서에 대한 보안 경고가 발생하지 않도록 해야 합니다. TLS 검사가 없으면, 프록시는 목적지 호스트명 등 메타데이터만 볼 수 있고 실제 콘텐츠는 볼 수 없습니다.
캐싱 및 성능 최적화: 프록시는 자주 요청되는 콘텐츠를 로컬에 캐싱하여, 반복 요청 시 원본 서버에서 가져오지 않고 바로 제공합니다. 이를 통해 대역폭 사용량을 줄이고, 응답 속도를 개선하며, 목적지 인프라의 부하를 감소시킵니다. 캐시 정책은 저장할 콘텐츠, 보관 기간, 소스에서 갱신 시점을 정의합니다.

프록시 서버의 일반적인 사용 사례

조직은 보안 집행, 성능 최적화, 규제 준수 등 다양한 시나리오에서 프록시 서버를 배포합니다.

엔터프라이즈 웹 보안 및 콘텐츠 필터링: 가장 일반적인 엔터프라이즈 배포 방식은 포워드 프록시를 통한 직원 웹 접근 필터링입니다. 보안팀은 악성 사이트를 차단하고, 부적절한 콘텐츠 카테고리 접근을 제한하며, 허용 가능한 사용 정책을 집행합니다. 콘텐츠 필터링은 신용카드 번호, 사회보장번호, 기밀 데이터 등 민감한 패턴이 포함된 아웃바운드 트래픽을 검사하여 데이터 유출을 방지합니다.
애플리케이션 전달 및 부하 분산: 리버스 프록시는 인바운드 트래픽을 여러 백엔드 서버에 분산시켜 단일 서버에 과부하가 발생하지 않도록 합니다. 이 아키텍처는 애플리케이션 가용성을 높이고, 무중단 배포를 가능하게 하며, 개별 서버 장애 시 장애 조치 기능을 제공합니다. 주요 웹사이트와 API는 수백만 동시 요청 처리를 위해 리버스 프록시 인프라에 의존합니다.
프라이버시 및 익명성: 개인 및 조직은 목적지 서버로부터 자신의 IP 주소를 숨기기 위해 프록시를 사용합니다. 언론인, 연구자, 프라이버시 중시 사용자는 프록시 체인을 통해 트래픽을 라우팅하여 추적을 방지합니다. 기업은 경쟁 정보 수집, 지역 제한 콘텐츠 접근, 다양한 지리적 위치에서 애플리케이션 동작 테스트를 위해 프록시를 활용합니다.
보안 연구 및 위협 인텔리전스: 보안팀은 악성코드 분석, 의심스러운 도메인 조사, 침투 테스트 수행 시 격리된 프록시 인프라를 통해 트래픽을 라우팅합니다. 이를 통해 프로덕션 네트워크 노출을 방지하면서 잠재적으로 악성 리소스와 상호작용할 수 있습니다. 위협 인텔리전스 플랫폼은 프록시 로그를 집계하여 새로운 공격 패턴과 명령제어 인프라를 식별합니다.
규제 준수 및 감사 로깅: 엄격한 데이터 처리 요건이 있는 산업에서는 모든 네트워크 통신의 포괄적 감사 추적을 위해 프록시를 사용합니다. 금융, 의료, 정부 기관은 SOX, HIPAA, FedRAMP 등 규제 준수를 입증하기 위해 프록시 트래픽을 기록합니다. 이러한 로그는 사고 조사 및 규제 감사 시 포렌식 증거로 활용됩니다.

프록시 서버의 주요 이점

조직은 프록시를 네트워크 아키텍처 내 적절히 배치할 경우, 측정 가능한 보안, 성능, 규제 준수 가치를 얻을 수 있습니다.

중앙 집중식 보안 정책 집행: 프록시는 네트워크 경계에서 보안 정책 집행을 위한 제어 지점으로 기능하며, 중앙 집중식 접근 제어 및 콘텐츠 필터링 규칙을 구현합니다. CIS Control 12에 따르면, 엔터프라이즈 프록시 서버는 실시간 콘텐츠 필터링과 URL 분류, 정책 기반 차단을 통해 네트워크 경계에서 새롭게 발견된 위협에 신속히 대응할 수 있습니다.
위협 헌팅을 위한 트래픽 가시성: 프록시 로그는 손상된 자격 증명 및 횡적 이동을 보여주는 사용자 행동 패턴을 드러냅니다. DNS 패턴, 요청 순서, 악성 인프라 연결 등이 이에 해당합니다. 효과적인 보안 운영은 프록시 데이터를 SIEM 상관 엔진, IDS/IPS 경보, 엔드포인트 보안 경보, 위협 인텔리전스 피드와 통합합니다.
규제 준수 지원: NIST SP 800-53 Rev 5는 프록시 기반 DLP 기능이 시스템 및 통신 보호(SC) 통제를 지원함을 명시합니다. 프록시 로그는 누가 언제 어떤 데이터에 접근했는지에 대한 감사 추적을 제공하며, DLP는 아웃바운드 트래픽의 민감한 패턴을 검사하여 무단 데이터 전송을 방지합니다.

이러한 이점으로 프록시는 가치 있는 보안 통제 수단이지만, 현대 위협 환경에서는 반드시 해결해야 할 근본적인 한계가 존재합니다.

프록시 서버의 과제와 한계

프록시 기반 보안은 현대 엔터프라이즈 환경에서 가시성의 공백을 초래하는 구조적 제약에 직면합니다.

암호화 트래픽 가시성 부족 문제: SANS 2024 SOC 설문조사에 따르면, TLS 검사 배포는 감소하는 반면 암호화 트래픽이 네트워크의 대다수를 차지하고 있습니다. TLS 검사가 없으면, 실제 페이로드 콘텐츠(악성코드 다운로드, 데이터 유출, 명령제어 통신 등)를 볼 수 없습니다.
클라우드 및 하이브리드 아키텍처의 공백: 클라우드 API 직접 연결, SaaS 애플리케이션, 컨테이너 간 통신은 HTTP 프록시 가시성을 우회하므로, CASB 및 CSPM 보완이 필요합니다.
고도화된 우회 기법: USENIX Security 연구에 따르면, 공격자는 새로운 프로토콜을 생성하는 프로그래머블 프로토콜 시스템을 활용해 프록시 탐지를 우회합니다. 고급 지속 위협 그룹은 Azure 프록시 기반 C2 인프라를 통해 백도어 변종을 배포하여 기존 프록시 탐지를 우회합니다.
운영 리소스 제약: SANS 2019 SOC 설문조사에 따르면, 조사 대상 SOC의 58%가 숙련된 인력 부족을 보안 운영의 최대 장애 요인으로 꼽았습니다. 많은 조직이 프록시 경보를 적절히 구성, 모니터링, 대응할 인력이 부족합니다.

이러한 한계를 이해하면 공격자가 프록시 인프라를 어떻게 악용하는지 예측할 수 있습니다.

공격자가 프록시 서버를 악용하는 방법

명령제어 은폐: 고급 지속 위협 그룹은 정상적인 웹 브라우징으로 위장하기 위해 합법적인 프록시 서비스를 통해 명령제어 트래픽을 라우팅합니다. 클라우드 호스팅 리버스 프록시 또는 CDN 인프라를 통해 C2 트래픽을 터널링함으로써, 공격자는 보안 도구가 정상 트래픽으로 인식하는 패턴에 섞여 들어갑니다. USENIX Security 연구에 따르면, 고도화된 위협 행위자는 Azure 프록시 및 Cloudflare 프록시 기반 C2 인프라를 통해 백도어 변종을 배포합니다.
자격 증명 대입 및 계정 탈취: 공격자는 회전하는 레지덴셜 프록시 네트워크를 사용해 자격 증명 대입 공격을 수천 개의 IP 주소에 분산시킵니다. 합법적인 레지덴셜 IP를 순환 사용함으로써, 데이터센터 인프라에서 발생하는 공격을 차단하는 속도 제한 및 IP 기반 차단을 우회합니다. EUROPOL에 따르면, 레지덴셜 프록시 네트워크는 상업적 범죄 서비스로 판매되는 안티-탐지 솔루션으로 분류됩니다.
웹 스크래핑 및 경쟁 정보 수집: 악의적 행위자는 프록시 네트워크를 이용해 경쟁사 웹사이트에서 가격 정보, 고객 정보, 지적 재산 등 독점 데이터를 스크래핑합니다. 회전 프록시는 자동화 접근을 차단하는 봇 탐지 시스템을 우회합니다. 조직은 종종 경쟁사 또는 위협 행위자가 민감한 비즈니스 데이터를 수집한 후에야 피해를 인지합니다.
광고 사기 및 클릭 조작: 사기범은 프록시 네트워크를 통해 가짜 광고 클릭을 유도하여 부정 광고 수익을 창출합니다. 프록시 인프라의 분산 특성으로 인해, 사기 트래픽과 정상 사용자 활동을 구분하기 어렵습니다. 광고 네트워크는 프록시 기반 클릭 사기 스킴으로 인해 매년 수십억 달러의 손실을 입고 있습니다.
악성코드 유포 및 피싱 인프라: 공격자는 피싱 페이지와 악성코드 페이로드를 리버스 프록시 서비스 뒤에 호스팅하여 SSL 인증서를 제공하고 원본 서버 위치를 숨깁니다. 피해자는 악성 인프라와 상호작용하면서도 정상적인 HTTPS 연결로 인식합니다. 보안팀이 프록시 엔드포인트를 식별 및 차단하면, 공격자는 신속히 새로운 인프라로 전환합니다.

이러한 위협을 인지하면 자체 프록시 배포를 어떻게 구성하고 보호할지 결정할 수 있습니다.

프록시 서버 배포 보안 강화 방법

프록시 인프라 보안을 위해서는 검증된 프레임워크 준수, 심층 방어 통제 구현, 지속적인 모니터링이 필요합니다.

다계층 경계 방어 구현: CIS 핵심 통제 12는 방화벽, 프록시, DMZ 경계 네트워크, 네트워크 기반 IPS/IDS에 의존하는 다계층 경계 방어를 요구합니다. 인증된 프록시 서버를 통해 아웃바운드 트래픽을 강제하고, 상세 로깅 및 콘텐츠 필터링을 통합합니다.
FIPS 검증 암호화 배포: DoD STIG는 정부 규정 준수를 위해 NIST FIPS 검증 암호화 사용을 요구합니다. 강력한 암호화 스위트를 구성하고, 취약한 알고리즘을 제거하며, 최소 TLS 1.2, 권장 TLS 1.3을 적용합니다.
SIEM 통합을 통한 완전한 로깅 구축: CIS 요구사항에 따라 각 TCP 세션의 전체 연결 메타데이터(타임스탬프, 출발지/목적지 IP 및 포트, 사용자명, URL 및 도메인, HTTP 응답 코드, 전송 바이트, 콘텐츠 필터링 결정 등)를 기록합니다. 이러한 로그를 실시간으로 SIEM에 연동하여 지속적인 모니터링 및 위협 상관 분석을 수행합니다.
TLS 검사 범위 및 예외 문서화: NIST CSF 2.0 거버넌스 요구사항(GV.OC-03: 법적/규제 요구사항, GV.RM-02: TLS 검사에 대한 위험 수용도)에 따라 TLS 검사 결정을 정렬합니다. 검사 대상 트래픽 범주를 문서화하고, 사용자 알림 절차를 구현합니다.
모든 프록시 접근에 인증 강제: CIS Control 12는 원격 연결에 대해 다중 인증이 적용된 인증된 프록시 접근을 요구합니다. Active Directory, Azure AD, Okta 등 엔터프라이즈 아이덴티티 제공자와 통합하여 중앙 집중식 관리를 구현합니다.

AI 기반 사이버 보안

실시간 감지, 머신 속도 대응, 전체 디지털 환경에 대한 종합적인 가시성을 통해 보안 태세를 강화하세요.

데모 신청하기

핵심 요약

자주 묻는 질문

방화벽은 연결에 대해 허용/차단의 이진 결정을 내리는 반면, 프록시는 승인된 연결 내 실제 콘텐츠를 검사, 수정, 기록할 수 있습니다.

그러나 암호화된 트래픽은 프록시의 가시성을 제한하므로, 네트워크 검사 우회를 시도하는 위협을 탐지하기 위해 엔드포인트 탐지가 필수적입니다.

엄격한 데이터 상주 요건이나 에어갭 네트워크가 있는 조직은 온프레미스 인프라를 유지해야 할 수 있습니다.

프록시 서버 101: 정의, 유형 및 활용

프록시 서버란 무엇인가?

프록시 서버와 VPN의 차이

프록시 서버의 유형

프록시 서버의 동작 원리

프록시 서버의 일반적인 사용 사례

프록시 서버의 주요 이점

프록시 서버의 과제와 한계

공격자가 프록시 서버를 악용하는 방법

프록시 서버 배포 보안 강화 방법

AI 기반 사이버 보안

핵심 요약

자주 묻는 질문

프록시 서버란 무엇이며, 왜 사용하나요?

프록시 서버는 사이버 보안과 어떤 관련이 있나요?

프록시 서버로 IP 주소를 숨길 수 있나요?

프록시 기반 보안과 방화벽 보호의 차이점은 무엇인가요?

프록시 서버가 제로데이 악성코드 공격을 탐지할 수 있나요?

보안 웹 게이트웨이와 기존 프록시 서버의 차이점은 무엇인가요?

레지덴셜 프록시 네트워크가 사이버 범죄를 어떻게 가능하게 하나요?

조직은 온프레미스 프록시 인프라를 유지해야 하나요, 아니면 클라우드 기반 보안으로 전환해야 하나요?

더 알아보기 사이버 보안

Insecure Direct Object Reference (IDOR)이란 무엇인가?

IT와 OT 보안: 주요 차이점 및 모범 사례

에어갭 백업이란? 예시 및 모범 사례

OT 보안이란? 정의, 과제 및 모범 사례

최첨단 사이버 보안 플랫폼을 경험하세요

프록시 서버 101: 정의, 유형 및 활용

프록시 서버란 무엇인가?

프록시 서버와 VPN의 차이

프록시 서버의 유형

프록시 서버의 동작 원리

프록시 서버의 일반적인 사용 사례

프록시 서버의 주요 이점

프록시 서버의 과제와 한계

공격자가 프록시 서버를 악용하는 방법

프록시 서버 배포 보안 강화 방법

AI 기반 사이버 보안

핵심 요약

자주 묻는 질문

프록시 서버란 무엇이며, 왜 사용하나요?

프록시 서버는 사이버 보안과 어떤 관련이 있나요?

프록시 서버로 IP 주소를 숨길 수 있나요?

프록시 기반 보안과 방화벽 보호의 차이점은 무엇인가요?

프록시 서버가 제로데이 악성코드 공격을 탐지할 수 있나요?

보안 웹 게이트웨이와 기존 프록시 서버의 차이점은 무엇인가요?

레지덴셜 프록시 네트워크가 사이버 범죄를 어떻게 가능하게 하나요?

조직은 온프레미스 프록시 인프라를 유지해야 하나요, 아니면 클라우드 기반 보안으로 전환해야 하나요?

더 알아보기 사이버 보안

Insecure Direct Object Reference (IDOR)이란 무엇인가?

IT와 OT 보안: 주요 차이점 및 모범 사례

에어갭 백업이란? 예시 및 모범 사례

OT 보안이란? 정의, 과제 및 모범 사례

최첨단 사이버 보안 플랫폼을 경험하세요