카테고리 없음

포워드 프록시(Forward Proxy)와 리버스 프록시(Reverse Proxy)의 개념과 실무 활용 - 2

지기(ZIGI) 2026. 2. 20. 12:51

today key : 포워드, 리버스, 프록시, forward, reverse, proxy, 보안, 정책, policy, 통제, 개념, pac

 2. 포워드 프록시

 포워드 프록시는 내부 사용자의 웹 트래픽이 인터넷으로 나갈 때, 사용자를 대신해 요청을 처리하는 프록시입니다. 배치 위치는 보통 사내 인터넷 출구이며, 조직 입장에서는 “인터넷으로 나가는 트래픽을 한 곳으로 모아 통제하고 기록하는 지점”이라고 이해하면 됩니다.

포워드 프록시를 두는 목적은 크게 다음 두 가지입니다.

○ 보안/컴플라이언스: 사용자가 접속하는 대상(도메인/서비스)과 주고받는 데이터가 정책에 맞는지 통제

○ 운영/가시성: 조직의 웹/SaaS 사용 현황을 한 지점에서 관찰하고 로그로 남김

2.1 포워드 프록시는 어떻게 작동하는가?

 포워드 프록시는 요청/응답이 오가는 경로 한가운데에서 트래픽을 받아 정책을 적용한 뒤, 통과한 것만 외부로 전달하는 방식으로 동작합니다. 흐름은 다음과 같습니다.

① 클라이언트가 프록시를 경유하도록 구성

 클라이언트가 프록시를 경유하도록 구성하는 방식은 크게 명시적(Explicit) 방식과 투명(Transparent) 방식으로 나눌 수 있습니다. 최근에는 클라우드 보안 서비스와 결합한 에이전트 기반 구성도 일반적으로 사용됩니다.

○ 명시적(Explicit) 방식

  • 사용자가 사용하는 단말의 브라우저 또는 운영체제 설정에 프록시 서버(IP/포트)를 지정해, 웹 요청이 프록시로 먼저 전달되도록 구성합니다.
  • 실무에서는 사용자가 직접 설정하도록 두기보다는, 다음과 같이 자동 배포로 운영하는 경우가 많습니다.
    • PAC(Proxy Auto-Configuration) 파일로 자동 구성(업무/서비스별 예외, 직접 연결 여부 등을 포함)
    • GPO/MDM 등 정책 배포로 브라우저/OS 설정을 통일
    • 단말 에이전트가 트래픽을 클라우드 검사 지점으로 포워딩(사용자 식별, 정책 적용을 보조)

○ 트랜스페어런트(Transparent) 방식

  • 단말에는 프록시 설정을 하지 않고, 네트워크(게이트웨이/방화벽 등)에서 트래픽을 중간에서 프록시로 우회시키는 방식입니다.
  • 단말 설정이 필요 없다는 장점이 있지만, HTTPS 환경에서는 제약이 많아 운영 난도가 올라갈 수 있습니다.
참고
투명(Transparent) 프록시는 구현 자체는 가능하지만, HTTPS 트래픽 가시성과 정책 적용 범위에 제한이 생기기 쉽습니다. 또한 사용자 식별, 예외 처리(특정 앱/인증서 핀닝 등)까지 고려하면 운영이 복잡해지는 경우가 많습니다. 그래서 업무 단말에는 명시적(PAC/정책 배포/에이전트) 구성을 기본으로 두고, 투명 방식은 제한된 용도(게스트망, 임시 우회 등)로 쓰는 경우가 많습니다.

 

② 프록시는 요청을 “받고”, 정책을 먼저 적용한다

클라이언트 요청이 프록시에 도착하면, 프록시는 곧바로 외부로 전달하지 않고 조직 정책(보안/사용 제한/컴플라이언스)에 따라 먼저 검사합니다. 이 지점에서 다음과 같은 판단이 이뤄집니다.

  • 접속 대상 도메인/카테고리 차단(업무 부적합 사이트 차단)
  • 악성 URL/피싱 도메인 차단
  • 사용자/그룹별 허용 정책(부서별 SaaS 허용 범위)
  • 다운로드/업로드 제어(파일 유형, 크기, 위험도)
  • (가능한 경우) DLP/악성코드 탐지 등 콘텐츠 검사

 

③ 요청이 승인되면, 프록시가 사용자를 “대신하여” 외부 서버로 전달한다

정책을 통과한 요청만 프록시가 외부 서버로 전달합니다. 외부 서버 입장에서는 “사용자 PC”가 아니라 프록시가 접속한 것처럼 보이는 경우가 많습니다. 즉, 포워드 프록시는 단순 경유지가 아니라 요청을 대리 수행하는 지점입니다

 

④ 응답도 프록시가 먼저 받고, 필요하면 다시 검사한 뒤 사용자에게 전달한다

외부 서버의 응답은 사용자에게 바로 가지 않고 프록시로 먼저 돌아옵니다. 프록시는 응답을 사용자에게 보내기 전에 다음과 같은 처리를 수행할 수 있습니다.

  • 악성 콘텐츠/부적절 콘텐츠 검사 및 차단
  • 다운로드 파일 검사(샌드박스 연계 등)
  • 정책 위반 여부 확인 후 차단/경고 처리
  • 캐시/압축 등 최적화(구성에 따라)
  • 감사 로그 기록

 

정리하면, 포워드 프록시는 요청/응답이 오가는 경로에서 “정책 적용 → 허용된 트래픽만 전달 → 기록”을 수행하는 구조입니다.

저작자표시 비영리 변경금지 (새창열림)