01 · 제가 하는 일
실제 업무
- 올바른 트래픽만 통신하고 나머지는 차단되도록 VLAN과 세그멘테이션을 설계합니다. 음성, 관리, 게스트 분리까지 포함합니다
- 스위치와 라우터의 ACL을 작성하고 점검한 뒤, 실제로 허용하려는 접근에 맞춰 검증합니다
- Cisco Firepower 정책을 구축하고 운영합니다. 규칙 세트, NAT, 검사, 그리고 SOC가 읽을 수 있는 로깅까지 다룹니다
- 사이트 간 VPN 터널을 구축하고 문제를 해결합니다. 페이즈 불일치, MTU, 터널을 통한 라우팅까지 포함합니다
- 세그멘테이션 검토를 수행해 평면 네트워크, 지나치게 광범위한 규칙, 존재해서는 안 되는 경로를 찾아냅니다
- 스위치와 방화벽 구성을 기본값에만 의존하지 않고 DoD STIG와 NIST 800-53 기준에 맞춰 하드닝합니다
- 다음 담당자가 추측하지 않도록 토폴로지, 규칙 의도, 변경 이력을 문서화합니다
02 · 얻으시는 것
최종적으로 남는 결과물
- 감사관에게 설명할 수 있는 명확한 영역과 규칙을 갖춘, 세그먼트로 나뉜 네트워크
- 의도와 일치하며, 사용되지 않는 규칙과 중복 규칙을 정리한 방화벽 및 ACL 정책
- 작동하고 문서화된 사이트 간 VPN 터널, 그리고 추후 문제 해결에 쓸 수 있는 기록
- DoD STIG와 NIST 800-53 기준으로 점검한 구성, 그리고 문서로 정리된 발견 사항과 조치 내용
- 팀이 네트워크를 두려워하는 대신 직접 장악할 수 있도록 하는 토폴로지와 변경 기록
03 · 도구와 지식
이 분야에서 다루는 것들
04 · 제 접근 방식
계획하고, 범위를 정하고, 끝까지 책임집니다
모든 일은 30분간의 범위 산정 통화와 당일 작성하는 적합성 평가서로 시작합니다. 견적을 내기 전에 우리 둘 다 무엇을 다루는지 분명히 알기 위해서입니다. 운영 환경에서 무엇이든 변경하기 전에, 저는 정확한 명령어와 검증 게이트, 롤백을 담아 순서대로 정리한 변경 계획을 작성하고, 그 롤백을 누가 책임질지 확정합니다. 네트워크 변경은 조용히 문제를 일으키기 때문에, 정해진 작업 시간 안에 전환을 진행하고, 그 게이트들에 맞춰 검증하며, 이전 구성을 작업 내내 대기 상태로 유지합니다. 게이트가 통과되지 않으면, 무작정 밀어붙이며 잘되기를 바라기보다 롤백합니다.
05 · 질문
좋은 질문에 대한 솔직한 답변
운영 중인 네트워크를 중단시키지 않고 작업할 수 있나요?
네, 가능합니다. 바로 그것이 변경 계획과 롤백의 목적입니다. 정해진 작업 시간에 작업을 잡고, 각 단계를 게이트에 맞춰 검증하며, 이전 구성을 준비해 둡니다. 그래서 문제가 생겨도 길이를 알 수 없는 장애가 아니라 신속한 복구로 끝납니다.
Firepower도 다루시나요, 아니면 IOS 스위칭만 하시나요?
둘 다 합니다. Catalyst와 IOS 스위칭 및 라우팅을 Firepower 방화벽 정책, NAT, VPN, 로깅과 함께 다룹니다. 그래서 스위치, ACL, 방화벽 계층이 서로 충돌하지 않고 일관되게 동작하도록 설계됩니다.
다시 구축하는 대신 이미 갖춘 환경을 검토만 해주실 수 있나요?
네, 가능합니다. 세그멘테이션과 구성 검토는 흔한 출발점입니다. 토폴로지, VLAN, ACL, 방화벽 규칙을 고객의 의도와 DoD STIG, NIST 800-53 기준에 비추어 점검한 뒤, 무엇을 왜 고쳐야 하는지 정리한 목록을 전달합니다.
06 · 관련 경험