MAC
1. 개요
1. 개요
MAC 주소는 네트워크 인터페이스 카드(NIC)와 같은 네트워크 장비에 부여된 고유한 물리적 주소이다. OSI 모델의 데이터 링크 계층에서 통신의 출발지와 목적지를 식별하는 핵심 식별자 역할을 한다. 이 주소는 일반적으로 48비트(6바이트) 길이의 16진수로 표현되며, 하드웨어 제조 단계에서 영구적으로 할당되거나 소프트웨어적으로 변경될 수 있다.
MAC 주소는 이더넷, Wi-Fi를 포함한 대부분의 IEEE 802 표준 네트워크 기술의 기반이 된다. 네트워크 상에서 데이터 패킷이 올바른 목적지 장치에 전달되도록 보장하는 근본적인 메커니즘을 제공한다. IP 주소가 논리적이고 네트워크 토폴로지에 따라 변경될 수 있는 반면, MAC 주소는 일반적으로 하드웨어에 고정되어 있다는 점에서 차이가 있다.
이 주소 체계는 전 세계적으로 중복되지 않도록 관리되며, 앞의 24비트는 제조업체를 식별하는 OUI(Organizationally Unique Identifier)로, 뒤의 24비트는 해당 제조업체가 자체적으로 할당한 일련번호로 구성된다[1]. MAC 주소의 존재 덕분에 같은 네트워크 세그먼트 내의 장치들은 서로를 직접 찾아 통신할 수 있다.
2. 기술적 원리
2. 기술적 원리
MAC 주소는 네트워크 인터페이스 카드(NIC)에 고유하게 할당된 물리적 주소이다. 이 주소는 OSI 모델의 데이터 링크 계층에서 통신의 출발지와 목적지를 식별하는 데 사용된다. MAC 주소는 일반적으로 48비트 길이의 16진수 숫자로 표현되며, 하드웨어 제조 시점에 영구적으로 부여되거나 소프트웨어적으로 변경될 수 있다.
MAC 주소의 핵심 역할은 동일한 로컬 영역 네트워크(LAN) 내에서 장치 간의 프레임 전달을 가능하게 하는 것이다. 이더넷이나 Wi-Fi와 같은 네트워크에서 데이터는 프레임 단위로 전송되며, 각 프레임의 헤더에는 송신자의 MAC 주소(Source MAC)와 수신자의 MAC 주소(Destination MAC)가 포함된다. 네트워크 스위치나 브리지는 이 MAC 주소 정보를 기반으로 특정 포트로 프레임을 전달한다.
계층 | 주소 유형 | 역할 |
|---|---|---|
데이터 링크 계층 | MAC 주소 (물리 주소) | 동일 네트워크 내의 특정 장치 식별 |
네트워크 계층 | IP 주소 (논리 주소) | 다른 네트워크 간의 경로 지정 및 장치 식별 |
네트워크 계층의 IP 주소가 논리적 주소로서 광범위한 경로 지정을 담당한다면, MAC 주소는 물리적 주소로서 최종 목적지 하드웨어에 직접 데이터를 전달하는 '마지막 1마일'을 책임진다. ARP(Address Resolution Protocol)는 이 두 주소 체계를 연결하는 핵심 프로토콜로, 알려진 IP 주소에 대응하는 MAC 주소를 동일 네트워크 내에서 탐색하여 매핑 테이블을 생성한다.
2.1. MAC 주소의 구조
2.1. MAC 주소의 구조
MAC 주소는 48비트 길이의 고유 식별자로, 일반적으로 16진수 12자리로 표현됩니다. 이 12자리는 다시 6개의 옥텟(octet) 또는 바이트(byte)로 구분되며, 각 옥텟은 두 자리의 16진수로 구성됩니다. 표기 시에는 하이픈(-)이나 콜론(:)으로 구분하며, 예를 들어 '00-1A-2B-3C-4D-5E' 또는 '00:1A:2B:3C:4D:5E'와 같은 형태를 가집니다.
48비트 주소 공간은 두 개의 주요 부분으로 나뉩니다. 첫 24비트(처음 3바이트)는 OUI(Organizationally Unique Identifier)로, 네트워크 인터페이스 카드를 제조한 회사를 식별하는 코드입니다. 이 코드는 IEEE(전기 전자 기술자 협회)가 제조사에 할당합니다. 나머지 24비트(마지막 3바이트)는 제조사가 자체적으로 각 장치에 고유하게 부여하는 일련 번호입니다. 이 구조 덕분에 전 세계적으로 동일한 MAC 주소를 가진 장치는 존재하지 않습니다[2].
MAC 주소의 첫 번째 옥텟의 최하위 비트(LSB)는 주소의 유형을 나타내는 중요한 플래그 역할을 합니다. 이 비트가 '0'으로 설정되면 해당 주소는 특정 단일 장치를 지칭하는 유니캐스트 주소임을 의미합니다. 반면 '1'로 설정되면 하나 이상의 장치 그룹을 대상으로 하는 멀티캐스트 주소가 됩니다. 또한, 모든 비트가 '1'인 주소(FF:FF:FF:FF:FF:FF)는 네트워크 세그먼트 내의 모든 장치에 데이터를 전송하는 브로드캐스트 주소로 사용됩니다.
주소 부분 | 비트 길이 | 역할 | 예시 (16진수) |
|---|---|---|---|
OUI (제조사 코드) | 24비트 (상위 3바이트) | 장치 제조사 식별 |
|
일련 번호 (제조사 할당) | 24비트 (하위 3바이트) | 제조사 내 고유 장치 식별 |
|
전체 MAC 주소 | 48비트 (6바이트) | 네트워크 인터페이스의 고유 물리 주소 |
|
2.2. 네트워크 계층에서의 역할
2.2. 네트워크 계층에서의 역할
MAC 주소는 OSI 모델의 데이터 링크 계층, 구체적으로는 그 하위 계층인 매체 접근 제어(MAC) 하위 계층에서 동작하는 물리적 식별자이다. 이 계층은 동일한 네트워크 세그먼트(예: 하나의 이더넷 스위치에 연결된 장치들) 내에서 직접 통신을 담당한다. MAC 주소의 주요 역할은 같은 네트워크 내에서 프레임의 출발지와 목적지를 정확히 지정하여 데이터가 올바른 장치에 도달하도록 하는 것이다.
네트워크 계층(예: IP 주소를 사용하는 계층)과의 관계에서 MAC 주소는 캡슐화 과정에서 중요한 역할을 한다. 네트워크 계층에서 생성된 IP 패킷은 데이터 링크 계층으로 전달되어 이더넷 프레임으로 캡슐화된다. 이때, 프레임의 헤더에는 목적지와 출발지의 MAC 주소가 포함된다. 최종 목적지가 같은 네트워크에 있으면, 송신 장치는 ARP(Address Resolution Protocol)를 사용하여 목적지 IP 주소에 해당하는 MAC 주소를 알아내고, 해당 MAC 주소를 목적지로 설정하여 프레임을 전송한다.
계층 | 주소 유형 | 역할 | 범위 |
|---|---|---|---|
네트워크 계층 (Layer 3) | 최종 목적지까지의 논리적 경로 지정 | 전 세계적 (인터넷 범위) | |
데이터 링크 계층 (Layer 2) | 동일 네트워크 내의 직접적인 장치 간 전달 | 로컬 네트워크 세그먼트 |
다른 네트워크로 데이터를 보내야 할 경우, 송신 장치는 패킷의 목적지 IP 주소를 확인하고, 이를 로컬 네트워크의 출구인 기본 게이트웨이(라우터)의 IP 주소로 설정한다. 그리고 ARP를 통해 게이트웨이의 MAC 주소를 조회하여, 프레임의 목적지 MAC 주소로 사용한다. 라우터는 프레임을 수신한 후 네트워크 계층 헤더를 확인하고, 최종 목적지를 향해 다음 홉(hop)으로 패킷을 전달하는 과정을 반복한다. 따라서 MAC 주소는 한 홉(하나의 네트워크 구간)을 이동할 때마다 변경되지만, IP 주소는 종단 간 통신에서 일정하게 유지된다[3].
3. MAC 주소의 종류
3. MAC 주소의 종류
MAC 주소는 네트워크 상에서 장치를 고유하게 식별하는 물리적 주소이다. 이 주소는 통신 방식과 할당 주체에 따라 여러 종류로 구분된다.
주요 통신 방식에 따라 유니캐스트, 멀티캐스트, 브로드캐스트 주소로 나뉜다. 유니캐스트 주소는 특정 단일 네트워크 인터페이스 카드를 지칭하며, 프레임의 목적지 주소 필드에 이 주소가 들어가면 해당 장치만 프레임을 처리한다. 멀티캐스트 주소는 특정 그룹에 속한 여러 장치를 대상으로 하며, 주소의 첫 번째 옥텟의 최하위 비트(LSB)가 1로 설정된다[4]. 브로드캐스트 주소는 동일 네트워크 세그먼트 내의 모든 장치에 프레임을 전송할 때 사용되며, 주소 값이 FF-FF-FF-FF-FF-FF로 고정되어 있다.
할당 방식에 따라서는 UAA와 LAA로 구분된다. UAA(Universally Administered Address)는 제조 시 IEEE가 할당한 OUI를 기반으로 부여되는 고유한 주소로, 일반적으로 하드웨어에 영구적으로 프로그래밍된다. 반면 LAA(Locally Administered Address)는 네트워크 관리자나 사용자가 소프트웨어적으로 장치의 MAC 주소를 임의로 변경하여 설정한 주소이다. LAA는 UAA를 덮어쓰며, 주소의 두 번째 옥텟의 두 번째 최하위 비트가 1로 설정되어 구분된다.
주소 종류 | 구분 기준 | 특징 | 예시 또는 식별 방법 |
|---|---|---|---|
유니캐스트 | 통신 대상 | 단일 대상 장치와 통신 | 일반적인 장치의 MAC 주소 (예: 00-1A-2B-3C-4D-5E) |
멀티캐스트 | 통신 대상 | 그룹에 속한 여러 장치와 통신 | 주소 첫 바이트의 LSB가 1 (예: 01-00-5E-00-00-01) |
브로드캐스트 | 통신 대상 | 동일 네트워크의 모든 장치와 통신 | 고정 주소 FF-FF-FF-FF-FF-FF |
UAA | 할당 방식 | 제조사에서 IEEE로부터 OUI를 할당받아 부여 | 하드웨어에 고정 프로그래밍됨 |
LAA | 할당 방식 | 사용자가 네트워크 관리 목적으로 소프트웨어적으로 설정 | 주소 두 번째 바이트의 두 번째 LSB가 1 (예: x2-xx-xx-xx-xx-xx) |
3.1. 유니캐스트, 멀티캐스트, 브로드캐스트
3.1. 유니캐스트, 멀티캐스트, 브로드캐스트
MAC 주소는 네트워크 상에서 데이터 프레임이 전송되는 방식을 결정하는 첫 번째 옥텟의 최하위 비트(LSB)에 따라 유니캐스트, 멀티캐스트, 브로드캐스트로 구분된다. 이 구분은 데이터가 네트워크 상의 단일 장치, 특정 그룹의 장치, 또는 네트워크 내 모든 장치 중 어디로 전달되어야 하는지를 나타낸다.
주소 유형 | 첫 번째 옥텟의 LSB (이진수) | 전송 대상 | 예시 목적 |
|---|---|---|---|
유니캐스트 | 0 | 네트워크 상의 단일 특정 장치 | 일반적인 1:1 통신 |
멀티캐스트 | 1 | 등록된 특정 그룹의 장치들 | 스트리밍, 네트워크 프로토콜 메시지 |
브로드캐스트 | FF:FF:FF:FF:FF:FF (모든 비트가 1) | 동일 네트워크 세그먼트 내 모든 장치 | ARP 요청, 네트워크 발견 |
유니캐스트 주소는 네트워크 인터페이스 카드에 고유하게 할당된 주소로, 프레임의 목적지 주소 필드가 유니캐스트 주소일 경우 해당 주소를 가진 정확히 하나의 장치만 그 프레임을 처리한다. 이는 대부분의 일반적인 데이터 통신에서 사용되는 방식이다.
멀티캐스트 주소는 특정 그룹에 속한 여러 장치가 공유하는 주소이다. 목적지 주소가 멀티캐스트 주소인 프레임은 해당 그룹에 가입(구독)한 모든 장치에 의해 수신된다. 이는 효율적인 대역폭 사용을 위해 동일한 데이터를 여러 수신자에게 동시에 전송해야 할 때 활용된다[5]. 브로드캐스트 주소는 미리 정의된 특수 주소(FF:FF:FF:FF:FF:FF)로, 동일한 로컬 영역 네트워크 세그먼트 내에 있는 모든 장치가 프레임을 수신하고 처리해야 함을 의미한다. 주로 네트워크 장치의 주소를 찾거나 네트워크 전체에 공지를 할 때 사용되지만, 과도한 브로드캐스트 트래픽은 네트워크 성능 저하의 원인이 될 수 있다.
3.2. UAA(Universally Administered Address)와 LAA(Locally Administered Address)
3.2. UAA(Universally Administered Address)와 LAA(Locally Administered Address)
MAC 주소는 크게 제조 시 할당되는 UAA(Universally Administered Address)와 사용자가 임의로 설정할 수 있는 LAA(Locally Administered Address)로 구분된다. 이 구분은 MAC 주소의 첫 번째 옥텟(8비트) 중 두 번째로 낮은 비트, 즉 U/L(Universal/Local) 비트에 의해 결정된다[6]. 이 비트가 0으로 설정되면 UAA, 1로 설정되면 LAA임을 나타낸다.
UAA는 일명 '물리 주소' 또는 '하드웨어 주소'로 불리며, 네트워크 인터페이스 컨트롤러(NIC)를 제조하는 단계에서 IEEE가 제조사에 할당한 OUI(Organizationally Unique Identifier)를 기반으로 고유하게 부여된다. 이 주소는 일반적으로 장치의 ROM에 영구적으로 기록되며, 전 세계적으로 중복되지 않도록 관리된다. 따라서 UAA는 네트워크에서 장치를 식별하는 가장 기본적이고 신뢰할 수 있는 수단으로 사용된다.
반면 LAA는 소프트웨어적으로 설정 가능한 '로컬 주소' 또는 '관리 주소'이다. 네트워크 관리자가 특정 목적을 위해 기존의 UAA를 덮어쓰도록 설정할 수 있다. LAA는 주로 네트워크 테스트, 특정 소프트웨어 라이선스 바인딩, 또는 보안상의 이유로 실제 하드웨어 주소를 숨기고자 할 때 사용된다. 그러나 LAA는 로컬 네트워크 내에서만 유효하며, 전역적 고유성을 보장하지 않는다.
구분 | UAA (Universally Administered Address) | LAA (Locally Administered Address) |
|---|---|---|
별칭 | 물리 주소, 하드웨어 주소, Burned-In Address (BIA) | 로컬 주소, 관리 주소, 소프트웨어 주소 |
설정 주체 | 네트워크 장치 제조사 | 네트워크 관리자 또는 사용자 |
고유성 | 전 세계적으로 고유함 (이론상) | 로컬 네트워크 내에서만 관리됨 |
변경 가능성 | 일반적으로 변경 불가 (하드웨어에 고정) | 운영체제 설정을 통해 소프트웨어적으로 변경 가능 |
주요 용도 | 장치의 기본적이고 영구적인 식별 | 테스트, 라이선스 관리, 보안(주소 숨기기) 등 |
대부분의 네트워크 장치는 기본적으로 UAA를 사용한다. LAA를 사용하려면 명시적으로 네트워크 인터페이스의 속성을 변경해야 한다. 일부 운영체제에서는 ifconfig나 ip link 같은 명령어를 통해 MAC 주소를 임시 또는 영구적으로 LAA로 변경할 수 있다.
4. MAC 주소 할당 및 관리
4. MAC 주소 할당 및 관리
MAC 주소의 할당과 관리는 IEEE 산하의 RA(Registration Authority)가 전 세계적으로 중앙 집중식으로 수행합니다. 이 체계의 핵심은 OUI(Organizationally Unique Identifier)입니다. OUI는 24비트(3옥텟)로 구성된 식별자로, 네트워크 장비 제조사나 조직에 고유하게 할당됩니다. 제조사는 할당받은 OUI를 기반으로 나머지 24비트를 자체적으로 관리하여 각 네트워크 인터페이스에 고유한 48비트 MAC 주소를 부여합니다.
할당 절차는 제조사가 IEEE RA에 신청하고 수수료를 지불하여 OUI를 획득하는 과정으로 시작됩니다. OUI를 보유한 제조사는 이를 이용해 제품 라인이나 장비 유형에 따라 내부적으로 주소 블록을 구분하고, 생산되는 각 네트워크 인터페이스 컨트롤러에 순차적 또는 특정 알고리즘에 따라 고유한 주소를 프로그래밍합니다. 이렇게 하드웨어에 고정적으로 부여된 주소를 UAA(Universally Administered Address)라고 합니다.
구분 | 설명 | 관리 주체 |
|---|---|---|
UAA | 제조 시 공장에서 하드웨어(ROM)에 기록되는 고유 주소. 일반적으로 사용되는 기본 주소이다. | IEEE RA 및 제조사 |
LAA | 네트워크 관리자나 사용자가 소프트웨어적으로 덮어쓸 수 있는 주소. UAA를 대체하여 사용한다. | 로컬 시스템 관리자 |
이와 대조적으로, 사용자나 관리자가 운영 체제 설정을 통해 소프트웨어적으로 설정할 수 있는 주소는 LAA(Locally Administered Address)라고 합니다. LAA는 네트워크 정책이나 특정 테스트 목적으로 UAA를 임시로 대체하는 데 사용됩니다. IEEE RA는 할당된 OUI 목록을 공개적으로 관리하며, 이를 통해 MAC 주소의 첫 3옥텟을 조회하면 해당 장비의 제조사를 확인할 수 있습니다[7].
4.1. IEEE와 OUI(Organizationally Unique Identifier)
4.1. IEEE와 OUI(Organizationally Unique Identifier)
MAC 주소의 할당과 관리는 IEEE가 전 세계적으로 중앙 조정하는 체계를 통해 이루어진다. IEEE는 네트워크 장비 제조사들에게 고유한 식별 코드를 부여하며, 이 코드가 바로 OUI(Organizationally Unique Identifier)이다.
OUI는 24비트(3옥텟) 길이의 16진수 숫자로 구성된다. 이는 MAC 주소의 앞 6자리(예: 00-1A-2B)에 해당한다. 제조사는 IEEE로부터 OUI를 할당받은 후, 남은 24비트(또는 확장 OUI의 경우 다른 길이)를 자체적으로 관리하여 각 네트워크 인터페이스에 고유한 주소를 부여한다[8]. 이 체계는 전 세계적으로 중복되지 않는 MAC 주소를 보장하는 데 핵심적인 역할을 한다.
구분 | 길이 | 설명 | MAC 주소 내 위치 예시 |
|---|---|---|---|
OUI | 24비트 (3옥텟) | IEEE가 제조사에 할당하는 고유 코드. | 앞 6자리 (00:1A:2B) |
제조사 할당 번호 | 24비트 (3옥텟) | 제조사가 자체적으로 장비에 부여하는 고유 번호. | 뒤 6자리 (XX:XX:XX) |
IEEE는 공식 OUI 목록을 유지 관리하며, 이를 공개하여 특정 MAC 주소의 제조사를 식별할 수 있도록 한다. 이 목록은 네트워크 관리, 보안 감사, 장비 식별에 널리 활용된다. OUI 할당은 유료 서비스이며, 제조사는 필요한 OUI 풀의 크기에 따라 신청한다. 네트워크 장비의 급증으로 인해 단일 제조사가 여러 개의 OUI를 보유하는 경우도 흔하다.
4.2. 제조사별 할당 절차
4.2. 제조사별 할당 절차
IEEE 산하의 RA(Registration Authority)는 전 세계적으로 OUI를 관리하고 할당하는 유일한 기관이다. 제조사는 IEEE RA에 등록 신청을 하고, 할당받은 OUI를 기반으로 각 네트워크 장치에 고유한 MAC 주소를 부여한다.
할당 절차는 일반적으로 다음과 같은 단계로 진행된다. 먼저, 네트워크 인터페이스 카드(NIC)나 장치를 생산하는 제조사는 IEEE RA 공식 웹사이트를 통해 OUI 할당을 신청한다. 이때 신청자는 기업 정보와 필요한 주소 공간의 크기를 제출해야 한다. 신청이 승인되면 제조사는 고유한 3바이트(24비트) OUI를 할당받는다. 이후 제조사는 할당받은 OUI를 프리픽스로 사용하여, 남은 3바이트(24비트)를 자체적으로 관리하며 각 장치에 고유한 시리얼 번호를 부여하여 완전한 48비트 MAC 주소를 생성한다.
단계 | 담당 기관/주체 | 주요 활동 |
|---|---|---|
1. 등록 신청 | 제조사 | IEEE RA에 OUI 할당을 신청하고 수수료를 납부한다. |
2. OUI 할당 | IEEE RA | 신청을 검토하고 고유한 24비트 OUI를 제조사에 할당한다. |
3. 주소 생성 | 제조사 | 할당받은 OUI를 기반으로 나머지 24비트를 조합하여 각 장치의 고유 MAC 주소를 생성한다. |
4. 장치 프로그래밍 | 제조사 |
이 절차를 통해 제조사는 자신이 생산하는 모든 네트워크 장치에 전 세계적으로 중복되지 않는 UAA를 부여할 수 있다. 대규모 제조사의 경우 여러 개의 OUI 블록을 할당받을 수 있으며, 할당 비용과 정책은 IEEE RA에 의해 정해진다. 이 체계는 하드웨어 주소의 전역적 유일성을 보장하는 데 핵심적인 역할을 한다.
5. 네트워크 보안과 MAC
5. 네트워크 보안과 MAC
네트워크 장치의 고유 식별자인 MAC 주소는 네트워크 접근 제어의 기본 수단으로 활용된다. 가장 일반적인 보안 기법은 MAC 주소 필터링이다. 이 방식은 무선 액세스 포인트나 네트워크 스위치가 사전에 등록된 허용 목록에 있는 MAC 주소를 가진 장치만 네트워크에 접속하도록 허용하거나, 반대로 차단 목록에 있는 장치는 거부하는 것이다. 이는 네트워크에 접근할 수 있는 하드웨어를 물리적으로 제한하는 효과가 있지만, 심각한 보안 취약점을 내포한다.
주요 취약점은 MAC 주소 스푸핑 공격이다. 공격자는 네트워크 상에서 허용된 장치의 MAC 주소를 쉽게 탐지할 수 있으며, 대부분의 네트워크 인터페이스 카드(NIC)의 소프트웨어 설정을 변경하여 자신의 하드웨어 주소를 그 허용된 주소로 위장할 수 있다. 이는 MAC 주소 필터링이 단독으로는 강력한 인증 또는 보안 메커니즘이 될 수 없음을 의미한다. MAC 주소는 패킷의 데이터 링크 계층 출발지 정보로 사용되지만, 암호화되지 않고 평문으로 전송되므로 스니핑 도구로 쉽게 획득될 수 있다[9].
이러한 한계를 보완하기 위한 대응 방안이 다층적으로 적용된다. 가장 효과적인 방법은 MAC 주소 필터링을 유일한 보안 수단으로 의존하기보다, WPA2 또는 WPA3 같은 강력한 암호화 프로토콜과 결합하여 사용하는 것이다. 또한, 네트워크 접근 제어(NAC) 시스템은 장치의 MAC 주소뿐만 아니라 사용자 인증, 장치 상태 점검(예: 최신 안티바이러스 설치 여부) 등을 종합적으로 평가하여 네트워크 접근을 통제한다. 일부 고급 네트워크 장비는 동일한 MAC 주소가 여러 포트에서 감지되거나, 짧은 시간 내에 물리적으로 불가능한 위치 이동을 보일 때 경고를 발생시키는 이상 행위 탐지 기능을 제공하기도 한다.
5.1. MAC 주소 필터링
5.1. MAC 주소 필터링
MAC 주소 필터링은 네트워크 접근 제어의 한 방법으로, 허용된 MAC 주소를 가진 장치만 네트워크에 연결하도록 허용하거나, 특정 MAC 주소를 가진 장치의 접속을 명시적으로 차단하는 기술이다. 이 방식은 일반적으로 무선 AP(Access Point)나 유선 네트워크 스위치에서 구현되며, 네트워크 관리자가 사전에 등록한 MAC 주소 목록(화이트리스트)을 기준으로 접근을 통제한다.
동작 원리는 비교적 단순하다. 네트워크 장비가 연결 요청을 받으면, 해당 장치의 MAC 주소를 추출하여 관리자가 설정한 목록과 비교한다. 목록에 등록되어 있으면 연결을 허용하고, 그렇지 않으면 연결을 거부한다. 반대로 블랙리스트 방식으로 특정 MAC 주소의 접속만 차단하는 설정도 가능하다. 이 기술은 주로 소규모 가정이나 사무실 네트워크에서 불법적인 접근을 차단하기 위한 1차적인 보안 수단으로 활용된다.
그러나 MAC 주소 필터링에는 몇 가지 심각한 한계가 존재한다. 가장 큰 문제는 MAC 주소 스푸핑에 취약하다는 점이다. MAC 주소는 하드웨어에 고정된 것이 아니라 네트워크 인터페이스의 소프트웨어 설정을 통해 쉽게 변경될 수 있다. 따라서 공격자는 네트워크 트래픽을 감청하여 허용된 MAC 주소를 확인한 후, 자신의 장치 MAC 주소를 그 주소로 위조하면 필터링을 우회할 수 있다. 또한, 대규모 네트워크에서 모든 장치의 MAC 주소를 등록하고 관리하는 것은 매우 번거로운 작업이 된다.
따라서 MAC 주소 필터링은 단독으로 강력한 보안 조치로 간주되지 않는다. 이는 보안의 다층적 방어 체계에서 다른 기술들과 함께 사용되어야 한다. 예를 들어, WPA2나 WPA3와 같은 강력한 무선 암호화 프로토콜과 결합하거나, 802.1X와 같은 포괄적인 인증 프로토콜을 도입하는 것이 권장된다. MAC 주소 필터링은 관리 부담 대비 제공하는 실제 보안 수준이 높지 않아, 최근에는 보조적인 수단이나 매우 제한된 환경에서의 간편한 접근 제어용으로만 사용되는 경향이 있다.
5.2. MAC 주소 스푸핑과 대응 방안
5.2. MAC 주소 스푸핑과 대응 방안
MAC 주소 스푸핑은 공격자가 네트워크 상에서 합법적인 장치의 MAC 주소를 위조하여 자신의 장치를 가장하는 행위이다. 이 공격은 주로 MAC 주소 필터링을 우회하거나, ARP 캐시 포이즈닝을 통해 트래픽을 탈취하는 데 사용된다. 공격자는 소프트웨어 도구를 이용해 네트워크 인터페이스 카드의 MAC 주소를 임의로 변경할 수 있으며, 이로 인해 스위치는 공격자의 장치를 허가된 장치로 오인하여 트래픽을 전달할 수 있다.
MAC 주소 스푸핑에 대한 주요 대응 방안은 다음과 같다.
대응 방안 | 설명 | 구현 수준 |
|---|---|---|
포트 보안(Port Security) | 네트워크 스위치의 특정 포트에 허용된 MAC 주소를 등록하고, 이를 위반하는 트래픽을 차단한다. | 네트워크 장비(스위치) |
동적 ARP 검사(DAI) | 스위치가 ARP 요청 및 응답 패킷의 유효성을 검사하여 위조된 ARP 패킷을 차단한다. | 네트워크 장비(스위치) |
802.1X 인증 | 네트워크 접근 전에 사용자 또는 장치 인증을 요구하여, 인증되지 않은 장치의 연결을 근본적으로 차단한다. | 네트워크 인프라 |
정적 ARP 테이블 관리 | 중요한 장치(예: 기본 게이트웨이)에 대한 ARP 항목을 수동으로 설정하여 동적 갱신을 방지한다. | 개별 호스트 |
이러한 기술적 대응과 함께 정책적 관리도 중요하다. 네트워크 관리자는 정기적으로 장치 인벤토리를 점검하고, 예상치 못한 MAC 주소의 출현을 모니터링해야 한다. 또한, MAC 주소 필터링만을 보안 수단으로 의존하는 것은 한계가 있으므로, 더 강력한 인증 방식과 결합하는 것이 권장된다. 최근에는 IPv6 환경에서 NDP 보안 확장과 같은 추가적인 보안 메커니즘이 제안되고 있다.
6. MAC과 관련된 프로토콜
6. MAC과 관련된 프로토콜
MAC 주소는 OSI 모델의 데이터 링크 계층에서 통신을 가능하게 하는 핵심 식별자이다. 이 주소를 활용하거나 변환하는 데 필수적인 프로토콜로는 ARP와 이더넷 프레임 형식이 대표적이다.
ARP는 IP 주소를 기반으로 해당 장치의 MAC 주소를 찾아내는 프로토콜이다. 네트워크 상에서 한 호스트가 특정 IP 주소를 가진 장치와 통신하려면, 최종적으로는 해당 장치의 MAC 주소가 필요하다. 이때 ARP 요청 메시지를 네트워크에 브로드캐스트하여 "이 IP 주소의 MAC 주소가 무엇인가?"라고 질의한다. 해당 IP를 가진 장치는 ARP 응답을 통해 자신의 MAC 주소를 유니캐스트로 회신한다. 이렇게 얻은 IP-MAC 주소 쌍은 ARP 캐시에 일정 시간 동안 저장되어 반복적인 조회를 줄인다[10].
MAC 주소는 이더넷 프레임의 헤더에 포함되어 전송된다. 표준적인 이더넷 프레임(이더넷 II 형식)은 다음과 같은 구조를 가진다.
필드 | 크기(바이트) | 설명 |
|---|---|---|
목적지 MAC 주소 | 6 | 프레임을 수신할 장치의 MAC 주소 |
출발지 MAC 주소 | 6 | 프레임을 송신한 장치의 MAC 주소 |
타입 | 2 | 상위 계층 프로토콜 식별자 (예: 0x0800은 IPv4) |
데이터(페이로드) | 46-1500 | 전송할 실제 데이터 |
FCS(Frame Check Sequence) | 4 | 오류 검출을 위한 CRC 값 |
프레임이 네트워크 스위치에 도착하면, 스위치는 출발지 MAC 주소를 학습하여 해당 포트와 매핑하고, 목적지 MAC 주소를 확인하여 해당 주소가 학습된 포트로만 프레임을 전달한다. 이를 통해 불필요한 트래픽을 줄이고 네트워크 효율성을 높인다.
6.1. ARP(Address Resolution Protocol)
6.1. ARP(Address Resolution Protocol)
ARP는 네트워크 계층의 IP 주소를 데이터 링크 계층의 MAC 주소로 변환하는 프로토콜이다. 이 프로토콜은 주로 이더넷과 같은 LAN 환경에서 통신을 가능하게 하는 핵심 메커니즘으로 작동한다. 네트워크 상의 호스트나 라우터가 특정 IP 주소를 가진 장치에 데이터를 전송하려면, 최종적으로는 해당 장치의 물리적 주소인 MAC 주소를 알아야 한다. ARP는 이 변환 과정을 담당한다.
ARP의 동작 과정은 요청(ARP Request)과 응답(ARP Reply)으로 구성된다. 특정 IP 주소에 대한 MAC 주소를 알지 못하는 호스트는 네트워크 전체에 브로드캐스트 방식으로 ARP 요청 패킷을 전송한다. 이 패킷은 "이 IP 주소를 가진 장치는 자신의 MAC 주소를 알려달라"는 내용을 담고 있다. 네트워크상의 모든 장치는 이 요청을 수신하지만, 지정된 IP 주소를 가진 장치만이 ARP 응답 패킷을 유니캐스트로 발신자에게 회신한다. 응답 패킷에는 자신의 MAC 주소가 포함되어 있다. 요청을 보낸 호스트는 이 응답을 받아 IP 주소와 MAC 주소의 매핑 정보를 자신의 ARP 캐시에 일정 시간 동안 저장한다. 이를 통해 이후 통신에서는 매번 ARP 요청을 보내지 않고도 캐시된 정보를 사용할 수 있다.
패킷 유형 | 전송 방식 | 내용 | 목적지 |
|---|---|---|---|
ARP Request | 브로드캐스트 | "IP 주소 A의 MAC 주소는?" | 네트워크의 모든 호스트 |
ARP Reply | 유니캐스트 | "IP 주소 A의 MAC 주소는 B이다." | 요청을 보낸 호스트 |
ARP는 효율적인 통신을 가능하게 하지만, ARP 스푸핑과 같은 보안 위협에 취약하다. 이는 공격자가 위조된 ARP 응답을 전송하여 정상적인 IP-MAC 주소 매핑을 교란시키는 공격 방식이다[11]. 이러한 위험을 완화하기 위해 정적 ARP 항목 설정, ARP 감시 도구 사용, 동적 ARP 검증과 같은 보안 대책이 활용된다.
6.2. 이더넷 프레임 형식
6.2. 이더넷 프레임 형식
이더넷 프레임은 데이터 링크 계층에서 전송되는 기본 데이터 단위이다. 프레임은 네트워크를 통해 실제로 전송되는 비트의 구조화된 형태로, 헤더, 페이로드(데이터), 트레일러로 구성된다. 이 구조는 발신지와 목적지 MAC 주소를 명시하고, 데이터의 무결성을 검증하며, 네트워크 상에서의 정확한 전달을 보장한다.
이더넷 프레임의 일반적인 형식은 다음과 같은 필드들로 이루어져 있다. 구체적인 크기는 이더넷 표준에 따라 약간의 차이가 있을 수 있다.
필드 | 크기 (바이트) | 설명 |
|---|---|---|
프리앰블 | 7 | 수신 장치의 클록 동기화를 위한 비트 패턴이다. |
SFD(Start Frame Delimiter) | 1 | 프레임의 시작을 알리는 특정 비트 시퀀스(10101011)이다. |
목적지 MAC 주소 | 6 | 프레임을 수신할 네트워크 인터페이스의 물리적 주소이다. |
발신지 MAC 주소 | 6 | 프레임을 송신한 네트워크 인터페이스의 물리적 주소이다. |
EtherType / 길이 | 2 | |
데이터 (페이로드) | 46-1500 | 전송할 실제 데이터이다. 최소 길이 제한은 CSMA/CD 동작을 보장하기 위함이다. |
FCS(Frame Check Sequence) | 4 | CRC(Cyclic Redundancy Check) 값을 사용하여 프레임 전송 중 발생한 오류를 검출한다. |
데이터 필드의 크기는 일반적으로 46에서 1500 바이트 사이이며, 이 범위를 MTU(Maximum Transmission Unit)라고 부른다. 데이터가 46바이트 미만일 경우, 패딩(padding) 비트가 추가되어 최소 길이를 맞춘다. FCS 필드는 수신 측에서 프레임의 무결성을 확인하기 위해 사용된다. 수신 측은 동일한 알고리즘으로 CRC를 계산한 후 FCS 값과 비교하여 오류 유무를 판단한다[12].
7. 가상화 환경에서의 MAC
7. 가상화 환경에서의 MAC
가상화 기술이 보편화되면서 MAC 주소의 할당과 관리 방식에도 변화가 생겼다. 물리적 네트워크 인터페이스 카드 하나에 하나의 MAC 주소가 고정되던 전통적인 환경과 달리, 가상화 환경에서는 단일 물리 서버 호스트 내에 수십, 수백 개의 가상 머신이 존재할 수 있다. 각 가상 머신은 자신의 가상 NIC를 가지며, 이에 할당된 고유한 MAC 주소를 필요로 한다. 이로 인해 MAC 주소 풀의 관리와 충돌 방지가 중요한 과제로 대두되었다.
가상화 플랫폼(VMware vSphere, Microsoft Hyper-V, KVM 등)은 일반적으로 가상 머신 생성 시 자동으로 MAC 주소를 할당하는 기능을 제공한다. 이때 할당되는 주소는 보통 동적 MAC 주소 할당 방식을 따른다. 가상화 소프트웨어는 미리 정의된 풀(pool)에서 사용되지 않은 주소를 선택하여 가상 머신에 부여한다. 이 풀은 보통 가상화 벤더가 할당받은 고유한 OUI 범위 내에서 구성되어, 다른 물리 네트워크 장비의 주소와 충돌할 가능성을 최소화한다. 예를 들어, VMware의 기본 OUI는 00:50:56이며, 이 범위 내에서 00:50:56:XX:XX:XX 형식으로 주소를 생성한다.
가상화 플랫폼 | 기본 MAC 주소 OUI 범위 예시 | 할당 방식 |
|---|---|---|
VMware vSphere |
| 가상 머신 생성 시 풀에서 자동 할당 |
Microsoft Hyper-V |
| 동일하게 풀 기반 자동 할당 |
KVM (libvirt) |
| 가상 네트워크 정의 시 풀 설정 가능 |
관리자는 필요에 따라 가상 머신에 특정 MAC 주소를 수동으로 지정할 수도 있다. 이는 특정 소프트웨어 라이선싱이 MAC 주소에 종속되거나, 네트워크 정책(DHCP 예약, 방화벽 규칙)에서 특정 주소를 요구하는 경우에 사용된다. 그러나 수동 할당 시 네트워크 내에서 주소 중복이 발생하지 않도록 각별한 주의가 필요하다. 또한, 가상 머신의 스냅샷 생성 또는 템플릿 복제 시 원본과 동일한 MAC 주소가 복제될 수 있어 네트워크 충돌이 일어날 수 있으므로, 대부분의 가상화 시스템은 이러한 경우를 감지하고 새 MAC 주소를 생성하는 옵션을 제공한다.
7.1. 가상 머신과 MAC 주소
7.1. 가상 머신과 MAC 주소
가상 머신은 물리적 네트워크 인터페이스 카드가 없지만, 호스트 시스템의 가상화 소프트웨어(예: 하이퍼바이저)에 의해 생성된 가상 네트워크 어댑터를 통해 네트워크에 연결된다. 각 가상 네트워크 어댑터에는 물리적 어댑터와 마찬가지로 고유한 MAC 주소가 할당된다. 이 주소는 가상 머신이 가상 스위치를 통해 다른 가상 머신이나 외부 물리 네트워크와 통신할 때 이더넷 프레임의 출발지 및 목적지 주소로 사용된다.
가상 머신의 MAC 주소 할당 방식은 크게 정적 할당과 동적 할당으로 나뉜다. 정적 할당은 가상 머신 생성 시 관리자가 특정 주소를 직접 지정하거나, 가상화 플랫폼이 특정 주소 풀에서 자동으로 하나를 선택하여 고정적으로 부여하는 방식이다. 동적 할당은 가상 머신이 부팅될 때마다 가상화 플랫폼이나 내부의 DHCP 서버로부터 임시 주소를 할당받는 방식을 의미한다. 일반적으로 가상화 환경에서는 중복을 방지하고 관리를 용이하게 하기 위해 가상화 소프트웨어가 관리하는 주소 풀을 사용하여 정적 할당을 수행한다.
할당 방식 | 설명 | 장점 | 단점 |
|---|---|---|---|
정적 할당 | VM 생성 시 주소가 고정적으로 부여됨 | 주소가 변하지 않아 관리 및 트러블슈팅이 쉬움, MAC 주소 필터링 적용 용이 | 주소 풀 관리 필요, 중복 할당 가능성 있음 |
동적 할당 | VM 부팅 시마다 주소를 임시로 할당받음 | 주소 관리 부담 감소, 자원 활용도 향상 | 주소가 변할 수 있어 네트워크 기반 라이선싱이나 보안 정책에 문제 발생 가능 |
가상화 환경에서 MAC 주소의 중복은 심각한 네트워크 문제를 일으킬 수 있다. 따라서 주요 가상화 플랫폼들은 자체적인 OUI 범위를 사용하거나, 사용자가 정의한 주소 풀을 관리하여 중복을 방지한다. 예를 들어, VMware는 '00:50:56'으로 시작하는 OUI를 가상 머신용으로 예약해 두고 있다[13]. 또한, 중첩된 가상화나 컨테이너 환경에서는 추가적인 가상 네트워크 계층이 생성되어 더 많은 가상 MAC 주소가 필요해지며, 이에 따른 관리 복잡성이 증가한다.
7.2. 동적 MAC 주소 할당
7.2. 동적 MAC 주소 할당
가상화 환경이나 특정 네트워크 구성에서 네트워크 인터페이스에 MAC 주소를 고정적으로 할당하지 않고 필요에 따라 자동으로 할당하는 방식을 의미한다. 이 방식은 특히 대규모 데이터 센터나 클라우드 환경에서 효율적인 자원 관리와 네트워크 구성을 가능하게 한다.
동적 할당은 주로 하이퍼바이저나 네트워크 관리 소프트웨어에 의해 제어된다. 예를 들어, 가상 머신이 생성될 때마다 관리 시스템은 사전에 정의된 풀(pool)에서 사용되지 않는 MAC 주소를 하나 선택하여 해당 VM의 가상 NIC(Network Interface Card)에 할당한다. 이 과정은 중복을 방지하고 관리자의 수동 개입을 최소화한다. 할당 정책은 순차적 할당, 무작위 할당, 또는 특정 범위 내에서의 할당 등으로 구성될 수 있다.
동적 MAC 주소 할당의 주요 이점과 고려사항은 다음과 같다.
이점 | 고려사항 |
|---|---|
관리 효율성 증대 | 중복 주소 충돌 방지를 위한 강력한 관리 메커니즘이 필요함 |
자동화 및 확장성 용이 | 네트워크 트러블슈팅 시 특정 VM의 주소 추적이 복잡해질 수 있음 |
자원(주소 공간)의 효율적 활용 | 보안 정책(예: MAC 주소 필터링)이 동적으로 변경되는 환경과 호환되어야 함 |
이 방식은 SDN(Software-Defined Networking) 환경과도 긴밀하게 연동된다. 네트워크 컨트롤러는 가상 머신의 생성, 이동, 삭제 라이프사이클에 맞춰 MAC 주소를 동적으로 할당하고 회수하여, 물리적 네트워크 토폴로지의 제약을 넘어선 유연한 네트워킹을 제공한다.
8. MAC 주소의 한계와 대안
8. MAC 주소의 한계와 대안
MAC 주소는 네트워크 인터페이스의 고유한 물리적 식별자로 널리 사용되지만, 몇 가지 근본적인 한계를 지닌다. 첫째, MAC 주소는 설계상 변경되지 않는 고정된 값으로 간주되어 프라이버시 문제를 야기한다. 사용자의 네트워크 장치가 이동하더라도 MAC 주소는 변하지 않으므로, 지리적 이동 경로를 추적하는 데 악용될 수 있다. 둘째, 48비트 주소 공간(약 281조 개)이 고갈될 가능성이 제기되고 있다. 비용을 지불하고 OUI를 등록하는 제조사는 많지만, 장치 생산량이 기하급수적으로 증가함에 따라 주소 풀이 충분히 오래 지속될지에 대한 논쟁이 있다.
이러한 한계를 극복하기 위한 주요 대안 및 보완 기술이 발전하고 있다. IPv6 프로토콜은 MAC 주소의 일부를 인터페이스 식별자로 활용하는 SLAAC(Stateless Address Autoconfiguration) 방식을 정의한다. 이는 MAC 주소를 기반으로 IPv6 주소를 자동 생성하는 메커니즘이다. 그러나 이 방식 역시 프라이버시 침해 문제가 있어, 이후 임의의 값을 생성하는 'Privacy Extensions'(RFC 4941)이 표준화되었다. 프라이버시 보호를 위한 가장 일반적인 현대적 접근법은 MAC 주소 난독화 기술이다. 이 기술은 스마트폰, 노트북 등의 운영체제에서 무선 네트워크에 연결할 때마다 또는 주기적으로 임의의 MAC 주소를 사용하게 한다. 이를 통해 실제 하드웨어 주소를 숨기고, 사용자의 장치가 다양한 네트워크에서 동일한 장치로 추적되는 것을 방지한다.
한계 | 설명 | 대안/보완 기술 |
|---|---|---|
프라이버시 추적 | 고유하고 불변하는 식별자로서 사용자 이동 경로 추적 가능 | MAC 주소 난독화, IPv6 Privacy Extensions |
주소 공간 고갈 | 48비트 주소 공간의 제한과 OUI 할당 관리 부담 | 확장된 주소 체계 논의 (예: 64비트 EUI-64) |
보안 취약성 | MAC 주소 스푸핑을 통한 네트워크 권한 우회 | 802.1X와 같은 강력한 인증 프로토콜 도입 |
정적 할당의 비효율 | 장치 생산 시 고정 할당으로 인한 유연성 부족 | 소프트웨어 정의 네트워킹(SDN) 환경에서의 동적 할당 |
장기적으로는 네트워크 계층의 식별과 링크 계층의 식별을 완전히 분리하는 방향으로 진화할 가능성이 있다. 소프트웨어 정의 네트워킹이나 특수한 사물인터넷 프로토콜에서는 MAC 주소의 역할이 축소되거나 다른 식별 체계로 대체될 수 있다. 그러나 광범위하게 배포된 이더넷과 무선 IEEE 802.11 표준의 호환성 유지 필요성으로 인해, MAC 주소는 당분간 현존하는 한계를 보완 기술과 함께 사용되는 방식으로 지속될 전망이다.
8.1. IPv6와의 연관성
8.1. IPv6와의 연관성
IPv6는 확장된 주소 공간과 함께 MAC 주소와의 통합을 위한 새로운 메커니즘을 도입했다. 가장 주목할 만한 것은 SLAAC(Stateless Address Autoconfiguration)을 위한 EUI-64 형식이다. 이 방식은 48비트 MAC 주소의 중간에 고정된 값(0xFFFE)을 삽입하여 64비트 인터페이스 식별자를 생성한다. 이를 통해 호스트는 네트워크 접두사와 결합하여 글로벌 IPv6 주소를 자동으로 구성할 수 있다.
그러나 MAC 주소를 기반으로 한 주소 자동 생성은 사생활 보호 문제를 야기한다. MAC 주소는 하드웨어에 고정되어 있어, 생성된 IPv6 주소가 네트워크를 이동해도 변경되지 않을 수 있다. 이는 장치의 물리적 위치와 활동을 장기간 추적하는 데 악용될 가능성이 있다. 이 문제를 해결하기 위해 임시 주소(Temporary Addresses)나 안정적인 비밀 값(RFC 7217)을 사용한 암호화 해시 기반의 인터페이스 식별자 생성 방식이 표준화되었다.
다음 표는 MAC 주소와 IPv6 주소 생성의 주요 연관 방식을 비교한다.
방식 | 설명 | 주요 특징 |
|---|---|---|
EUI-64 | 장치 고유성 보장, 사생활 보호 취약 | |
Privacy Extensions (임시 주소) | 임의의 인터페이스 식별자를 생성하여 사용 | RFC 4941(RFC 7217)에 정의, 주기적 변경으로 추적 방지 |
안정적인 프라이버시 주소 | 네트워크 접두사와 비밀 키를 해시하여 생성 | RFC 7217에 정의, 네트워크별 고유 주소이면서 추적은 어렵게 함 |
결론적으로, IPv6는 초기에는 MAC 주소를 주소 구성의 핵심 요소로 활용했지만, 보안과 프라이버스 보호 요구사항에 따라 그 의존도는 점차 줄어드는 추세이다. 현대 IPv6 구현에서는 기본 EUI-64 방식보다는 프라이버시 확장 기능을 기본적으로 활성화하는 것이 권장된다.
8.2. MAC 주소 난독화 기술
8.2. MAC 주소 난독화 기술
MAC 주소 난독화 기술은 사용자의 프라이버시 보호를 위해 장치의 실제 MAC 주소를 지속적 또는 임시적으로 다른 값으로 대체하는 기법이다. 이 기술은 특히 공공 Wi-Fi 네트워크와 같이 추적이 쉬운 무선 환경에서 사용자의 이동 경로와 습관을 모니터링하는 것을 방지하는 데 목적이 있다.
주요 운영체제는 이 문제에 대응하기 위해 자체적인 난독화 기능을 도입했다. 예를 들어, iOS 8, 안드로이드 10, 윈도우 10, 그리고 일부 리눅스 배포판은 네트워크에 탐색(Probe) 요청을 보낼 때나 특정 네트워크에 연결할 때 무작위로 생성된 MAC 주소를 사용할 수 있다. 이 무작위 주소는 일반적으로 네트워크별로 다르게 생성되어, 단일 장치가 여러 다른 장치인 것처럼 보이게 만든다.
운영체제 | 도입 버전 | 주요 동작 방식 |
|---|---|---|
iOS | iOS 8 이상 | 각 Wi-Fi 네트워크마다 별도의 무작위 MAC 주소 사용 |
안드로이드 | 안드로이드 10 (API 29) 이상 | 네트워크 탐색 및 연결 시 무작위 MAC 주소 사용 (기본 설정) |
윈도우 | 윈도우 10 버전 1903 이상 | '무작이트 하드웨어 주소 사용' 옵션 제공 |
난독화 기술은 프라이버시를 강화하지만, MAC 주소 필터링을 기반으로 한 네트워크 접근 제어를 무력화시키는 부작용이 있다. 또한, 네트워크 관리 측면에서 장치 식별과 문제 해결을 어렵게 만들 수 있다. 이러한 한계를 극복하기 위해, 일부 엔터프라이즈 환경에서는 무작위 MAC 주소를 사용하는 클라이언트도 안전하게 인증할 수 있는 대체 식별자나 802.1X와 같은 더 강력한 인증 프로토콜을 도입하고 있다.
