서버 NIC Promiscuous 모드 설정 및 보안 주의사항

서버 NIC Promiscuous 모드 설정 및 보안 주의사항

Promiscuous 모드는 네트워크 인터페이스 카드(NIC)가 자신에게 향하지 않은 패킷까지 모두 수신하도록 허용하는 동작 모드입니다. 주로 패킷 분석기(Packet Analyzer)나 IDS/IPS, DLP, DB 접근제어 같은 보안 솔루션에서 사용됩니다.

1️⃣ Promiscuous 모드란?

기본적으로 NIC는 자신에게 도착한 MAC 주소 패킷만 처리하지만, Promiscuous 모드에서는 네트워크 상의 모든 패킷을 수신합니다.

• 패킷 캡처 도구(Wireshark, tcpdump 등)가 사용하는 모드
• 보안 장비(IDS/IPS, 접근제어 시스템)의 ‘미러링 포트’ 감시 시 필수
• 네트워크 문제 분석, 트래픽 로깅, 포렌식 분석 등에도 활용

2️⃣ 보안 솔루션과 스니핑 모드

보안 제품 중 일부는 Sniffing Mode를 통해 서버 또는 DB 트래픽을 감시합니다. 이때 내부 NIC가 Promiscuous 상태로 설정되어야 외부 트래픽을 수집할 수 있습니다.

# 예: tcpdump 동작 확인
tcpdump -i eth0

# Promiscuous 모드 활성화 여부 확인
ip link show eth0
# 또는
ethtool eth0 | grep "Promiscuous"

• 네트워크 접근제어, DB감사 솔루션(ChakraMax, FDS, WAF 등)은 스니핑 인터페이스를 통해 DB 포트 트래픽을 감시함
• 이 과정에서 NIC가 Promiscuous 모드로 동작해야 함
• 보안 로그 수집 서버나 미러링 포트 구성 시에도 동일

3️⃣ Promiscuous 모드 설정 방법

# 1. 현재 NIC 모드 확인
ip link show eth0

# 2. Promiscuous 모드 ON
ip link set eth0 promisc on

# 3. Promiscuous 모드 OFF
ip link set eth0 promisc off

# 4. 상태 확인
ip -details link show eth0 | grep PROMISC

또는 ifconfig eth0 promisc 명령으로도 설정 가능하지만, 최신 리눅스 배포판에서는 ip 명령 사용이 권장됩니다.

4️⃣ Promiscuous 모드 사용 시 주의사항

• 보안 리스크: 비인가 사용자가 해당 인터페이스를 통해 네트워크 패킷을 도청할 수 있음
• 불필요한 트래픽 수신으로 CPU 사용률 증가
• 패킷 손실: 트래픽 양이 많을 경우 실제 서비스 트래픽 손실 가능성
• 로그 기록: 보안팀에서는 Promiscuous 모드 사용 로그를 정기 점검해야 함

5️⃣ 운영 시 권장 조치

• Promiscuous 모드는 반드시 보안 제품용 NIC에만 설정
• 운영 트래픽과 분리된 전용 모니터링 포트 구성 권장
• 시스템 부팅 시 자동 활성화 여부를 점검 (rc.local 또는 systemd unit 확인)
• 정기 점검 시 ip link show로 불필요한 PROMISC 상태 인터페이스 제거

요약: Promiscuous 모드는 보안·관제·분석에는 필수지만, 잘못 설정되면 시스템 취약점으로 악용될 수 있습니다. 반드시 접근제어와 모니터링을 병행해야 합니다.