장비
TAP
TAP(Test Access Point) 는 네트워크 회선 중간에 끼워 넣어, 흐르는 트래픽을 그대로 복사해서 모니터링 장비로 흘려보내는 물리 장비다. 회선을 직접 끊지 않고 그 위를 지나가는 패킷의 사본을 떠주기 때문에, IDS/IPS나 패킷 분석기, 트래픽 기록 장비 등 트래픽을 들여다봐야 하는 장비를 붙이는 표준적인 방법이다.
왜 필요한가
스위치나 라우터를 통과하는 트래픽을 외부 장비로 검사하려면, 그 트래픽의 복사본을 어딘가로 빼내야 한다. 방법은 크게 두 가지다.
- SPAN(Port Mirroring): 스위치가 특정 포트의 트래픽을 복사해 미러 포트로 내보내는 기능
- TAP: 회선 위에 물리적으로 끼워 넣어 트래픽을 복사하는 별도 장비
SPAN은 추가 장비 없이 스위치 설정만으로 되지만, 스위치 CPU/백플레인 자원을 쓰고 혼잡 시 미러 패킷을 우선 버린다. 반면 TAP은 회선의 물리 신호를 그대로 복제하므로 트래픽이 많아도 누락 없이 온전한 복사본을 보장한다.
SPAN vs TAP
| 구분 | SPAN (Port Mirroring) | TAP |
|---|---|---|
| 형태 | 스위치 내장 기능 | 별도 물리 장비 |
| 추가 비용 | 없음 | 장비 구매 필요 |
| 누락 가능성 | 혼잡 시 미러 패킷 drop | 거의 없음 (full copy) |
| 스위치 부하 | CPU/백플레인 소모 | 없음 |
| 에러 패킷 | 정상화되어 일부 누락 | 물리 계층 에러까지 그대로 전달 |
| 적합한 곳 | 임시 분석, 저부하 구간 | 상시 모니터링, 고대역폭 구간 |
정밀한 분석이나 보안 감사처럼 단 한 패킷도 놓치면 안 되는 상황에서는 TAP을 선호한다.
동작 방식
가장 기본적인 형태는 inline(직렬) 연결이다. A와 B 두 장비 사이의 회선을 끊고 그 사이에 TAP을 넣으면, TAP은 A↔B 트래픽을 그대로 통과시키면서 동시에 모니터 포트로 복사본을 내보낸다.
[장비 A] ───┐ ┌─── [장비 B]
▼ ▲
┌───────────────┐
│ TAP │ ← 회선 중간에 직렬 삽입
└───────────────┘
│
▼
[모니터링 장비] ← IDS, 패킷 분석기 등
이때 TAP은 트래픽 경로 위에 직접 놓이지만, 패킷을 막거나 바꾸지 않고 그대로 통과시키기만(passive) 한다. 그래서 IDS처럼 out-of-band 검사에 쓰인다.
종류
| 종류 | 특징 |
|---|---|
| Passive TAP | 광 신호를 광학적으로 분기. 전원 없이 동작해 장애에 강함. 주로 광케이블용 |
| Active TAP | 전원으로 신호를 재생/복제. 구리(UTP) 회선이나 신호 보정이 필요할 때 |
| Aggregation TAP | 여러 회선의 트래픽을 모아 하나의 모니터 포트로 합쳐서 전달 |
| Regeneration TAP | 한 회선의 트래픽을 여러 모니터 장비로 동시 복제 |
수동 TAP은 전원이 나가도 본선 트래픽은 계속 흐른다는 점이 큰 장점이다. 능동 TAP은 전원 의존성이 있어, 보통 fail-open(장애 시 트래픽을 그냥 통과) 설계를 함께 둔다.
한계
- 대역폭 집계: 양방향 회선을 한 모니터 포트로 합치면, 합산 트래픽이 모니터 포트 속도를 넘겨 누락될 수 있다 (10G 양방향 → 10G 모니터 포트는 부족)
- 다운타임 필요: inline TAP을 끼우려면 회선을 끊어야 하므로, 운영 중인 구간은 점검 시간을 잡아 작업해야 한다