사무실 LAN에 개인 공유기를 연결할 경우, 사내 네트워크 관리자는 스위치의 MAC 주소 테이블과 DHCP·ARP 로그를 통해 공유기 존재를 쉽게 감지할 수 있습니다. 반면 ISP는 사무실 게이트웨이 한 대로만 인식하기 때문에 내부에 연결된 공유기나 다수의 단말기를 구분하기 어렵습니다.
사내 네트워크 관리자의 탐지 방법
- MAC 주소 식별: 공유기는 고유한 제조사 코드(OUI)를 가진 MAC 주소를 사용하므로 스위치의 MAC 주소 테이블에서 OUI를 조회하면 공유기 접속 여부를 확인할 수 있습니다.
- DHCP 로그 감시: 사무실 네트워크가 DHCP 서버를 운영 중이라면, 공유기가 내부 단말기에 IP를 재분배할 때 DHCP Discover/Offer 패킷이 이중으로 발생합니다. 이 로그를 통해 다중 기기 연결 흔적을 포착할 수 있습니다.
- ARP 테이블 분석: 공유기 아래 여러 기기가 ARP 요청을 전송하면, 사내 ARP 테이블에 서로 다른 IP·MAC 쌍이 기록되고 비정상적인 ARP 트래픽 패턴이 드러날 수 있습니다.
- 무선 주파수 스캐닝: 사무실에 무선 AP 탐지 기능이 있다면, 개인 공유기의 SSID 브로드캐스트나 Probe Request를 탐지해 위치 추적이 가능합니다.
ISP(인터넷 서비스 제공자)의 탐지 한계
- 단일 외부 연결로 인식: ISP 쪽에서 보이는 접속점은 회사 내부망의 출구 장비 하나뿐이므로, 공유기 뒤에 몇 대의 단말기가 붙어 있는지는 구분되지 않습니다.
- 내부 장비 정보 비가시성: 공유기가 내부망 요청을 NAT 처리하면 ISP는 모든 트래픽을 하나의 공인 IP와 하나의 MAC만으로 식별하게 돼, 추가 장비 유무를 확인할 근거가 없습니다.
- ISP 제공 라우터와의 차이: ISP가 직접 제공한 장비라면 펌웨어 수준에서 내부 장비 정보를 수집할 수 있지만, 사무실 네트워크 내부에 개인 공유기를 추가 연결하는 경우 ISP 관점에서는 별도 제어 권한이 없습니다.
정리하자면 사무실 네트워크 관리자 입장에서는 MAC 주소, DHCP·ARP 로그, 무선 스캔 등을 통해 개인 공유기 사용 사실을 빠르게 파악할 수 있습니다. 반면 외부 ISP는 회사 내부망을 하나의 단일 연결 지점으로만 보기 때문에, 내부망에서 발생하는 장비 증설 여부를 탐지하기 어렵습니다.