OSI 7계층 구조 정리 (개념 + 동작 흐름 + 보안 관점)

목차

1. Open System 개념
2. OSI 7 참조모델 개요
3. OSI 7 계층 구조
4. 계층 분류 관점
5. 직무 및 보안 고나점
6. 계층별 상세 기능
7. 개념 정리

 

1. Open System 개념

OS(Open System, 개방형 시스템)은 서로 다른 시스템 간 원격 접속이 가능하도록 하는 구조를 의미한다.

 

예를 들어, A 시스템에 a.txt 파일이 존재할 때 해당 파일을 읽는 방법은 두 가지로 나뉜다.

하나는 로컬 접근(local access)이며, 다른 하나는 원격 접근(remote access)이다.

 

이때 원격 접근이 가능하도록 구성된 시스템을 개방형 시스템(Open System)이라고 하며, 반대로 이러한 기능이 없는 시스템은 폐쇄형 시스템(Closed System)이라고 한다.

 

또한 중요한 점은 A만 Open System이어서는 안 되며, 통신을 수행하기 위해서는 A와 B 모두 Open System이어야 한다는 것이다.

 

2. OSI  7 참조모델 개요

OSI(Open Systems Interconnection)는 개방형 시스템 간 통신을 위해 필요한 기능을 계층적으로 나눈 모델이다.

즉, 데이터 송수신 과정에서 필요한 통신 기능을 7개의 계층으로 분리하여 정의한 것이 OSI 7계층 모델이다.

 

여기서 ‘7’이라는 숫자는 통신을 수행하는 데 필요한 기능이 7가지로 구분된다는 의미를 가진다.

 

* 참고 : ISO(국제 표준 기구)가 만듦

 

3. OSI 7계층 구조

OSI 7계층은 다음과 같이 구성된다.

 

• Application : 7계층
• Presentation  : 6계층
• Session  : 5계층
• Transport  4계층
• Network  : 3계층
• Data Link  : 2계층
• Physical  : 1계층

숫자가 높은 계층을 상위 계층, 숫자가 낮은 계층을 하위 계층이라고 한다.

 

4. 계층 분류 관점

OSI 계층은 기능에 따라 다음과 같이 구분할 수 있다.

- 상위 계층: 소프트웨어 기능을 담당하는 계층 (  Application, Presentation, Session 계층 )

- 중계 게층 : 소프트웨어와 하드웨어를 연결 ( Transport 계층 )

- 하위 계층 : 하드웨어 기능을 담당하는 계층 (  Network, Data Link, Physical 계층 )

 

Physical 계층은 특히 전기전자적인 요소와 밀접하게 관련된다. . 

또한 경우에 따라 상위 4계층과 하위 4계층으로 구분하기도 한다.

- 상위 4계층 :   Application, Presentation, Session,  Transport 계층 

- 하위 4계층 :  Transport, Network, Data Link, Physical 계층

 

5. 직무 및 보안 관점

개발자는 일반적으로 상위 계층에서 작업한다고 표현하며, Application과 Presentation 계층을 주로 다룬다.

그러나 실제 개발에서는 인증서와 관련된 요소를 이해해야 하므로 Session 계층까지 고려해야 한다.

장비 중심의 업무를 수행하는 인프라 담당자는 하위 계층에서 작업한다고 표현한다.

서버 담당자는 5계층, 4계층, 3계층을 다루며, 미들웨어 역할을 수행한다.

따라서 인증과 네트워크에 대한 이해가 필요하다.

 

보안 관점에서는 다음과 같이 구분할 수 있다.

Application 보안은 상위 계층(7, 6, 5)에 해당하며, HTTP, FTP, Telnet 등 애플리케이션 프로토콜의 취약점을 이용한 공격을 다룬다. 이러한 공격에 대한 대응 방안을 프로그램 수준에서 설계하는 것을 Secure Coding이라고 한다.

Network 보안은 하위 계층(3, 2, 1)에 해당하며, TCP, UDP, IP 등의 프로토콜 취약점을 이용한 공격을 다룬다. 대응은 장비 설정 및 방화벽 정책 수립을 통해 이루어진다.

시스템 보안은 운영체제 내부의 커널을 공격하여 권한을 탈취하는 방식의 공격을 포함하며, 계정 관리 및 패스워드 정책 등을 통해 대응한다.

보안 관제는 Application, Server, Network 전 영역을 모두 이해해야 수행할 수 있다.

 

6. 계층별 상세 기능

6.1 Application Layer

Application 계층은 사용자 인터페이스(UI)를 제공하는 계층이다.

예를 들어 웹 서비스를 이용할 때 사용하는 Chrome과 같은 프로그램이 이에 해당한다.

즉, 사용자가 서비스를 이용하기 위해 사용하는 프로그램은 모두 7계층에 속하며, 이 계층에서 데이터가 생성된다.

대표적인 프로토콜로는 HTTP, FTP, Telnet, SMTP 등이 있으며, 이들은 모두 7계층 프로토콜이다.

 

6.2 Presentation Layer

Presentation 계층은 데이터의 표현 방식을 변환하는 역할을 한다.

 

이 계층의 주요 기능은 다음과 같다.

첫째, 부호화(Encoding)이다. 부호화는 데이터를 이진 형태로 변환하는 과정이며, ASCII, Unicode, BCD 등이 이에 해당한다.

둘째, 압축(Compression)이다. Application 계층에서 생성된 데이터의 크기가 클 경우 전송 효율을 높이기 위해 데이터를 압축한다. PNG, ZIP, BMP, MP4 등이 이에 해당한다.

셋째, 암호화(Encryption)이다. 데이터의 기밀성을 보장하기 위해 암호화를 수행하며, RSA, DES 등의 방식이 사용된다.

 

이 계층의 기능은 인코딩, 압축, 암호화로 정리할 수 있으며, 압축과 암호화는 상황에 따라 생략될 수 있다.

 

6.3 Session Layer

Session 계층은 양단 간 서비스의 연결 설정(개시), 유지, 해지를 담당한다.

 

이 계층의 핵심 개념은 지속적 인증이다.

 

예를 들어, 보험사에 전화를 걸어 주민등록번호를 입력하는 과정은 1차 인증이며, 상담 중 추가로 계좌번호나 비밀번호를 입력하는 과정은 2차, 3차 인증에 해당한다. 이러한 과정은 통화가 끝날 때까지 계속되며, 이를 지속적 인증이라고 한다.

 

이러한 인증 과정은 최초 요청자가 동일한 사용자임을 확인하기 위해 수행된다.

 

HTTP는 기본적으로 stateless 구조이지만, Session 계층에서 쿠키나 세션 ID와 같은 인증값을 활용하여 상태를 유지한다.

서버는 클라이언트에게 인증값을 전달하고, 클라이언트는 이를 지속적으로 제시함으로써 자신의 신원을 증명한다.

 

만약 Session 계층이 없다면 사용자는 페이지를 이동할 때마다 아이디와 비밀번호를 반복적으로 입력해야 한다.

정리하면 Session 계층은 다음 기능을 수행한다.

• 서비스 개시: 인증을 통해 연결 시작
• 서비스 유지: 지속적 인증 수행
• 서비스 해지: 인증값 만료

 

6.4 Transport Layer

Transport 계층은 실제 서비스를 제공하기 전에 해당 서비스가 정상적으로 제공 가능한 상태인지 확인하는 역할을 한다.

이를 이해하기 위해 은행 대출 사례를 들 수 있다. 먼저 전화로 대출 가능 여부를 확인하고, 이후 실제로 은행에 방문하여 심사를 거쳐 서비스를 받는다.

이 과정에서 Transport 계층은 서비스 제공 여부를 사전에 확인하는 단계에 해당한다.

 

이 계층은 End-to-End 간 가상회선(virtual circuit)의 설정, 유지, 해지를 수행한다.

 

TCP의 3-way handshake는 이러한 연결 상태 확인 과정의 대표적인 예이다.

가상회선이 설정되었다는 것은 세션이 정상적으로 구성되었음을 의미하며, 이는 서버가 활성화되어 있고 서비스 제공이 가능한 상태임을 의미한다.

반대로 가상회선이 해지되었다는 것은 서버가 다운되었거나 서비스가 비활성화된 상태를 의미한다.

 

즉, Transport 계층은 데이터 전송이 가능한 상태인지 확인하는 계층이다.

 

 

6.5 Network Layer

Network 계층은 데이터가 목적지까지 이동할 최적 경로를 결정하는 역할을 한다.

이 과정은 Routing이라고 하며, 이를 수행하는 장비를 Router라고 한다.

Router와 Router 사이의 이동 단위를 Hop이라고 하며, 최종적으로 선택된 경로를 Route라고 한다.

 

6.6 Data Link Layer

 

Data Link 계층은 다음과 같은 기능을 수행한다.

첫째, 데이터 전달(forwarding)이다. 이는 switching과 동일한 개념으로 사용되기도 한다.

둘째, 오류 제어(error control)이다. 이는 데이터의 무결성을 검증하는 기능이다.

셋째, 매체 접근 제어(media access control)이다. 이는 공유 매체를 사용하는 환경에서 충돌을 방지하기 위한 기술이다.

 

LAN 환경에서는 여러 장비가 스위치나 허브와 같은 공유 장비를 통해 통신을 수행한다.

이때 장비 공유로 인해 데이터돌이 발생할 수 있으며, 충돌이 발생하면 재전송이 필요하고, 이는 전체적인 지연을 증가시킨다. 따라서 이러한 충돌을 방지하기 위한 기술이 매체 접근 제어이다.

 

대표적인 방식으로는 Aloha, CSMA, CSMA/CD(유선), CSMA/CA(무선)가 있다.

 

또한 LAN 카드는 MAC Address를 가지며, 매체 접근 제어 기능을 수행하기 때문에 2계층 장비로 분류된다.

오류 제어의 경우, 오류 검출 코드를 생성하여 수신 측에서 데이터의 수신 여부를 결정하도록 한다.

 

참고로 ISO는 Data Link를 하나의 계층으로 정의하지만, IEEE는 이를 LLC(Logical Link Control)와 MAC(Media Access Control)으로 나누어 정의한다.

 

6.7 Physical Layer

Physical 계층은 전기적, 기계적, 기능적, 절차적인 수단을 제공하여 실제 데이터 전송이 가능하도록 한다.

 

7. 개념 정리

Application 계층은 UI를 제공하며, 이를 통해 데이터가 생성된다.

Presentation 계층은 인코딩, 압축, 암호화를 수행한다.

Session 계층은 서비스의 개시, 유지, 해지를 담당하며, 지속적 인증을 수행한다.

Transport 계층은 양단 간 통신 가능 상태를 확인한다.

Network 계층은 최적 경로(routing)를 설정한다.

Data Link 계층은 데이터 전달, 오류 제어, 매체 접근 제어를 수행한다.

Physical 계층은 실제 물리적 전송을 담당한다.

 

또한 계층 구조에서 상위 계층 장비는 하위 계층 기능을 모두 포함한다.

예를 들어, 3계층 장비는 1계층과 2계층 기능을 포함한다.

 

--

LAN 카드는 MAC Address를 가지고 있기도 하지만, 매체접근제어 기술을 가지고 있기 떼문에 2계층 장비이다.

오류 검출 코드는 LAN 카드가 만들어서 보내준다. LAN 카드에 오류를 검출하는 기능이 있다.

 

---

 👉 캡슐화(Encapsulation)와 PDU 완전 이해: TCP/IP 데이터 전송 구조