"보안그룹 열었는데 접속이 안 돼요." "L7 LB에서 /api만 라우팅이 안 됩니다." "인증서 체인이 끊겨서 모바일에서만 SSL 에러가 나요." "DNS 바꿨는데 일부 사용자는 옛 서버로 가요." 네트워크·보안 장애는 계층(L3/L4/L7)과 용어를 모르면 어디부터 봐야 할지조차 막막합니다. 이 사전은 네트워크·보안 용어를 빠르게 해독해 장애의 계층과 방향을 잡게 합니다. 깊은 실습은 Networking 트랙으로 연결합니다.
- 1방화벽·NAT·CIDR·서브넷으로 네트워크 접근 제어를 읽을 수 있다
- 2L4/L7 로드밸런서·헬스체크·스티키세션을 구분할 수 있다
- 3TLS/인증서 체인·키스토어로 SSL 문제를 진단할 수 있다
- 4DNS·CDN·WAF로 트래픽 경로와 웹 보안을 이해할 수 있다
접근 제어 — 방화벽·NAT·주소
누가 어디로 통할 수 있는가
| 용어 | 한 줄 뜻 | 비고 | 중요도 |
|---|---|---|---|
| Inbound / Outbound | 들어오는 / 나가는 트래픽 | 방향별 규칙 → [[aws-security-group-debug]] | ★★ |
| Firewall Rule / ACL / Allowlist / Denylist | 방화벽 규칙 / 접근목록 / 허용·차단 | 화이트리스트 권장 → [[firewall-acl-policy]] | ★★ |
| NAT / SNAT / DNAT / PAT | 주소 변환(출발지/목적지/포트) | 폐쇄망 통신 → [[nat-port-forwarding]] | ★★ |
| CIDR / Subnet / VPC / VLAN | 주소 범위 / 서브넷 / 가상망 | /24=254호스트 → [[ip-addressing-cidr]] | ★★ |
| Route Table / Gateway | 경로표 / 출구 | 라우팅 → [[routing-gateway]] | ★★ |
| Proxy / Forward·Reverse Proxy | 대리 / 정·역방향 | 역프록시=앞단 | ★★ |
핵심: "보안그룹 열었는데 안 돼요"는 Inbound뿐 아니라 NACL·라우팅·OS 방화벽까지 계층별로 점검해야 합니다([[aws-security-group-debug]]). 사설대역(10/172.16-31/192.168)과 CIDR 계산은 [[ip-addressing-cidr]].
로드밸런서 · 연결
트래픽을 나누고 유지하는 용어
| 용어 | 한 줄 뜻 | 비고 | 중요도 |
|---|---|---|---|
| Load Balancer / L4 / L7 | 부하 분산 / 전송계층 / 응용계층 | L7=HTTP 인식 → [[load-balancing-haproxy]] | ★★ |
| Health Check | 인스턴스 생존 확인 | 죽은 인스턴스 제외 | ★★★ |
| Sticky Session / Session Affinity | 같은 사용자=같은 서버 | 무상태면 불필요 → [[twelve-factor-app]] | ★★ |
| Round Robin / Least Connection | 순환 / 최소연결 분산 알고리즘 | 분산 방식 | ★ |
| Keep-Alive / Connection Reset | 연결 재사용 / 연결 끊김 | 성능·장애 신호 | ★★ |
| TCP Handshake / TLS Handshake | TCP 3-way / TLS 협상 | 연결 수립 단계 → [[osi-tcp-ip-model]] | ★★ |
핵심: 헬스체크가 없으면 죽은 인스턴스로도 트래픽이 가 502가 납니다. 스티키 세션은 무상태 설계([[twelve-factor-app]])면 불필요해집니다.
TLS · 인증서
암호화와 신뢰의 사슬
| 용어 | 한 줄 뜻 | 비고 | 중요도 |
|---|---|---|---|
| SSL / TLS | 전송 암호화(TLS가 현행) | https → [[https-tls-basics]] | ★★★ |
| Certificate / Private·Public Key | 인증서 / 개인·공개키 | 키 유출 주의 | ★★ |
| CSR / CA / Root·Intermediate CA / Chain Certificate | 발급요청 / 인증기관 / 체인 | 체인 끊기면 검증 실패 | ★★ |
| Truststore / Keystore | 신뢰 인증서 / 내 키·인증서 저장소 | 자바 SSL → [[ssl-certificate-ops]] | ★★ |
| mTLS | 양방향 인증서 검증 | 서비스 간 보안 | ★ |
핵심 함정: "일부 환경에서만 SSL 에러"는 보통 Intermediate 인증서 미설치(체인 끊김)입니다. 브라우저는 일부 캐싱돼 통과하지만 모바일/타 클라이언트는 검증 실패합니다. 서버에 체인 인증서를 함께 설치하세요([[ssl-certificate-ops]]).
DNS · CDN · 웹 보안
이름 해석과 가장자리 보호
| 용어 | 한 줄 뜻 | 비고 | 중요도 |
|---|---|---|---|
| DNS / A·CNAME·MX·TXT Record / TTL | 이름→IP / 레코드종류 / 캐시수명 | 전환 전 TTL↓ → [[dns-fundamentals]] | ★★ |
| DNS Propagation | DNS 변경 전파(TTL 의존) | 즉시 안 바뀜 | ★★ |
| CDN / Cache / Cache Purge | 콘텐츠 전송망 / 캐시 / 캐시삭제 | 정적 가속 → [[waf-waap-cdn]] | ★★ |
| WAF / WAAP / DDoS Protection / Bot Management | 웹방화벽 / 보호 / 디도스·봇 차단 | L7 공격 차단 | ★★ |
| X-Forwarded-For / X-Real-IP | 원 클라이언트 IP 전달 헤더 | 프록시 뒤 실제 IP | ★★ |
| Referer / Origin / User-Agent | 출처·요청자 헤더 | 보안·분석 | ★ |
핵심: DNS 전환은 TTL 때문에 즉시 안 바뀝니다 — 전환 며칠 전 TTL을 낮춰두는 게 정석([[dns-fundamentals]]). 프록시/LB 뒤에선 실제 클라이언트 IP가 X-Forwarded-For에 들어옵니다(로그·차단 시 주의).
네트워크 장애 계층 가르기 — 직접 확인
"접속이 안 돼요"를 DNS→TCP→TLS→HTTP 계층 순으로 좁힙니다.
# curl -v는 DNS 해석 → TCP 연결 → TLS 핸드셰이크 → HTTP 응답을 순서대로 보여줌
curl -v https://api.example.com/ 2>&1 | head -30
# 인증서 체인만 확인
openssl s_client -connect api.example.com:443 -showcerts < /dev/null 2>/dev/null | grep -E "s:|i:"
* Could not resolve host → DNS 문제(레코드·전파)([[dns-fundamentals]])
* Connection timed out → 방화벽/보안그룹/라우팅(L3/L4)([[aws-security-group-debug]])
* SSL certificate problem → 인증서 체인 끊김(Intermediate 미설치)
< HTTP/1.1 502 Bad Gateway → LB는 됐는데 뒷단 WAS 죽음([[glossary-observability]])
curl -v https://api.example.com/ 2>&1 | head -30- curl -v 출력에서 어디서 멈추는지가 계층을 가른다: "resolve host"=DNS, "timed out"=방화벽/라우팅(L3/4), "SSL"=인증서, "HTTP 5xx"=뒷단 앱
- "resolve host" 실패면 DNS — 레코드 존재·TTL·전파 확인([[dns-fundamentals]]). 일부 사용자만 옛 서버면 전파 진행 중
- "connection timed out"은 보통 방화벽/보안그룹 Inbound 또는 라우팅 — 포트가 열렸는지, NACL/OS방화벽까지([[aws-security-group-debug]])
- "SSL certificate problem"이 일부 클라이언트(모바일)만이면 Intermediate 인증서 미설치(체인 끊김) → 체인 인증서 설치([[ssl-certificate-ops]])
상황: 데스크톱 브라우저에선 멀쩡한데 모바일 앱·일부 클라이언트에서만 SSL 인증서 에러가 납니다.
원인: Intermediate(중간) 인증서 미설치로 체인이 끊긴 것입니다. 일부 브라우저는 중간 인증서를 캐시/보완해 통과시키지만, 그렇지 않은 클라이언트는 'Root까지의 신뢰 사슬'을 못 만들어 검증에 실패합니다.
진단:
openssl s_client -connect api.example.com:443 -showcerts < /dev/null 2>/dev/null | grep -E "s:|i:"
# 서버 인증서(s:)와 발급자(i:)만 보이고 Intermediate→Root 체인이 없으면 끊김
해결: 서버에 풀체인 인증서(서버 + Intermediate) 를 설치합니다(Nginx ssl_certificate에 fullchain.pem). Let's Encrypt는 fullchain.pem을 제공합니다. 설치 후 SSL Labs 등으로 체인 완성도를 검증합니다. 깊은 인증서 운영은 [[ssl-certificate-ops]]. "일부 클라이언트만 SSL 실패"는 체인 문제를 1순위로 의심하세요.
인프라/SRE에게 네트워크·보안 용어는 장애 트리아지의 좌표계입니다 — curl -v 한 번으로 DNS/TCP/TLS/HTTP 중 어느 계층인지 가르고([[osi-tcp-ip-model]]), 그에 맞는 도구(dig·openssl·ss)로 깊이 들어갑니다. 깊은 실습은 Networking 트랙에 있습니다. PM은 이 용어로 "접속이 안 돼요"라는 모호한 보고를 "DNS 전파 중 / 인증서 체인 / 보안그룹"으로 좁혀, 정확한 담당과 대응으로 연결합니다. 특히 도메인 전환·인증서 갱신은 일정에 TTL·체인 검증을 미리 넣어야 사고를 막습니다.
다음 용어사전에서는 컨테이너·쿠버네티스·클라우드 네이티브 용어를 정리합니다.