네트워크 - L2,L3

DHCP Snooping이란? 스위치 보안 설정 방법 가이드

spnewchall 2025. 7. 31. 01:26

DHCP는 네트워크 장비에 자동으로 IP 주소를 할당하는 편리한 기능이지만, 동시에 보안상 큰 취약점을 발생시킬 수 있습니다. 악의적인 사용자가 DHCP 서버를 사칭하면 내부 네트워크 장비들이 잘못된 IP를 할당받고, 통신이 차단되거나 정보가 유출될 수 있습니다. 이러한 문제를 예방하기 위해 스위치에는 DHCP Snooping이라는 보안 기능이 탑재되어 있습니다. 이 글에서는 DHCP Snooping의 개념부터 실제 설정 방법까지, 실무에서 바로 활용할 수 있는 예시 중심으로 설명드리겠습니다.

DHCP Snnooping. 스위치 보안 설정 방법

 

DHCP Snooping이란?

DHCP Snooping은 스위치 단에서 DHCP 트래픽을 감시하고, 신뢰되지 않은 포트를 통해 DHCP Offer 또는 ACK 메시지가 유입되는 것을 차단하는 보안 기능입니다.

이 기능은 다음과 같은 보안 위협을 방지합니다.

  • 비인가 장비가 DHCP 서버로 작동하며 잘못된 IP를 배포하는 행위
  • 내부 공격자가 Gateway 주소를 바꿔 트래픽을 가로채는 MITM 공격
  • 불법 DHCP 서버에 의해 네트워크 전체가 마비되는 문제

DHCP Snooping은 포트를 ‘신뢰할 수 있는 포트’와 ‘신뢰할 수 없는 포트’로 구분하여 동작하며, 기본적으로 모든 포트는 신뢰되지 않은 포트로 간주합니다.

실무 적용 환경 예시

다음과 같은 사무실 환경을 가정합니다.

  • 내부 DHCP 서버는 L3 스위치 또는 메인 서버실에 위치
  • 직원 PC는 모두 Access 포트를 통해 연결됨
  • 직원들이 임의로 공유기 또는 스위치를 설치할 수 있는 상황

이 경우 DHCP Snooping을 활성화하고, DHCP 서버가 연결된 Uplink 포트만 신뢰할 수 있는 포트로 지정하면 보안을 강화할 수 있습니다.

DHCP Snooping 설정 방법 (Cisco 예시)

다음은 L2/L3 스위치에서 DHCP Snooping을 설정하는 기본 과정입니다.

Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10,20,30

Switch(config)# interface gig0/1
Switch(config-if)# ip dhcp snooping trust

Switch(config)# interface range fa0/1 - 24
Switch(config-if-range)# ip dhcp snooping limit rate 15

위 설정은 다음을 의미합니다.

  • DHCP Snooping 기능 전체 활성화
  • VLAN 10, 20, 30에 대해 DHCP 감시 기능 적용
  • DHCP 서버가 연결된 Uplink 포트 gig0/1만 신뢰 포트로 설정
  • Access 포트는 1초에 15개의 DHCP 요청만 허용하여 DoS 공격 방지

설정 상태 확인 명령어

DHCP Snooping이 정상적으로 작동하는지 확인하려면 다음 명령어를 사용합니다.

Switch# show ip dhcp snooping
Switch# show ip dhcp snooping binding
Switch# show ip dhcp snooping statistics

이 명령어를 통해 각 VLAN에 대해 Snooping이 활성화되었는지, 신뢰 포트가 어디인지, 어떤 장비가 어떤 IP를 할당받았는지를 확인할 수 있습니다.

DHCP Snooping과 ARP Inspection 연동

DHCP Snooping을 기반으로 Dynamic ARP Inspection(DAI) 기능과도 연동이 가능합니다. 이 기능은 MAC 주소 위조 공격을 막는 데 활용됩니다.

Switch# configure terminal
Switch(config)# ip arp inspection vlan 10,20,30

이 설정은 DHCP Snooping 테이블을 기준으로 ARP 요청과 응답이 정상적인 IP-MAC 매핑을 따르고 있는지를 확인하여, 위조된 ARP 패킷을 차단합니다.

설정 시 주의사항

  • 신뢰 포트를 반드시 명확히 지정해야 정상 작동합니다.
  • DHCP Snooping이 활성화되면 Static IP 사용 장비에서 문제가 발생할 수 있습니다.
  • 임대 기록은 재부팅 시 초기화될 수 있으므로, Snooping 바인딩 백업 설정이 필요할 수 있습니다.

실무에서는 DHCP Snooping을 활성화한 후 직원이 가져온 임의의 공유기가 DHCP 기능을 가지고 있더라도, IP를 배포하지 못하도록 방지할 수 있습니다.

 

 

DHCP는 편리한 기능이지만, 신뢰되지 않은 장비가 네트워크에 연결될 경우 매우 큰 보안 위협이 될 수 있습니다. DHCP Snooping은 이러한 위협을 최소화하기 위한 필수적인 스위치 보안 기능이며, VLAN 환경에서 특히 유용하게 활용됩니다.

업무 환경의 안정성과 보안을 확보하기 위해, 네트워크 설계와 운영 시 반드시 DHCP Snooping을 고려하시기 바랍니다.