Profile picture

[네트워크] IPSec VPN 이해하기 #1: VPN의 탄생과 분류

JaehyoJJAng2024년 07월 01일

사설망 (Private Network)

인터넷이 발달함에 따라 IPv4에 대한 폭발적인 수요가 발생하였고,

늘어나는 사용자들에 대비해 줄어가는 IPv4 주소를 감당하기 위해 사설망(Private Network) 가 탄생하였다.

IPv4의 대역 중 일부를 Private IP(사설 IP)로 지정하여 가정, 기업, 기관 등 근거리 통신망에서 사용하도록 한 것이다.


사설망의 장점은 IP 주소의 절약만 있는 것이 아니다.

사설 IP를 이용해 별도의 네트워크를 구성함으로써 외부 인터넷과 내부의 네트워크를 분리하고 외부 인터넷의 접근으로부터 내부 네트워크를 보호할 수 있게된다.

그렇기에 필요한 경우에만 NAT를 이용해 외부와 통신을 하고 내부에서만 사용되는 데스크톱, 서버, DB 등은 사설 IP를 할당하여 사설망안에 구축하는 경우가 많다.

그러한 이유로 다양한 곳에서 사설망이 구축되기 시작하면서 멀리 떨어져 있는 다른 사설망과 공인 IP가 아닌 사설 IP를 통한 연결의 필요성이 크게 증가하였고, 드디어 전용 회선(Leased Line) 가 등장하게 된다.


기업의 경우, 회사 네트워크를 구축하면서 멀리 떨어져 있는 지사 네트워크를 연결하기 위해 전용 회선을 사용한다.

즉, 본사 사설망과 지사 사설망을 연결하는 것이다.

공인 인터넷이 아닌 인터넷 서비스 공급자(ISP)의 망 일부를 독점하여 사용하기 때문에 회사간 내부 트래픽이 아니면 접근할 수 없어 데이터의 안정성이 보장되며 공인 IP가 아닌 사설 IP 로 본사와 지사를 연결할 수 있다.

이는 전용 회선의 가장 큰 장점이다.



하지만 전용 회선에도 큰 단점이 존재한다.

망 일부를 독점하여 사용하는 만큼 그 값이 매우매우 비싸다.

게다가 사용 대역폭만큼 비용을 치루기 때문에 더 많은 데이터를 전송하기 위해 더 큰 대역폭을 사용하면 그만큼 치러야 하는 비용이 커진다.

이는 기업 입장에서 매우 부담스러울 것이다.

사람들은 비싼 전용 회선을 사용하지 않고도 사설망과 사설망을 연결할 방법을 찾기 시작한다.


먼저 사설망과 사설망을 연결하려면 아래와 같은 2가지 문제가 해결되어야 했다.

  • 비싼 전용 회선이 아닌 공인 인터넷(공인망)을 사용해 사설망과 사설망을 연결할 수 있어야 함.
  • 인터넷 프로토콜의 취약점인 데이터 암호화 문제를 해결, 공인 인터넷망을 지나가도 데이터의 안전이 보장되어야 함.

이 2가지 문제를 해결한 것이 바로 VPN(Virtual Private Network, 가상사설망) 이다.


VPN

VPN은 위에서 언급한 두 가지 문제, 공인망을 통한 사설망 연결과, 데이터 암호화를 모두 해결하기 위해 탄생한 기술 혹은 장비를 의미한다.

현업에서도 VPN 기능을 가능케 하는 장비를 별도 이름 없이 그냥 VPN 장비라고도 부른다.

요즘에는 방화벽 기능을 겸비한 VPN 장비가 많이 사용되어 UTM(Unified Threat Management, 통합 보안 장비)라고도 부른다고 한다.


VPN은 공인 인터넷을 사이에 둔 사설망과 사설망이 공인 IP로의 NAT와 같은 제약 없이 사설 IP를 이용해 통신(routing)할 수 있도록 지원하며 데이터의 암호화도 제공한다.

이를 실현하기 위해 VPN은 공인 인터넷에서 IP Packet을 캡슐화함과 동시에 데이터의 암호화/인증방식을 협상하게 된다.

이 협상 과정을 거친 후에는 캡슐화된 패킷이 오고 가기 때문에 공인 인터넷상이라도 외부인이 이 패킷을 쉽게 탈취할 수 없게 되는 것이다.


이 기술을 Tunneling(터널링) 이라 하며, '보통 VPN 터널이 뚤렸다' 라고도 표현한다고 한다.

또한 여기에 사용된 프로토콜을 Tunneling Protocol 이라고 부른다.

패킷이 암호화되어 인터넷 상에서 이동하는 특징 덕분에 외부에서 보기엔 공인 인터넷 상에 가상의 터널이 생성되어 데이터를 주고받는 것처럼 보여 붙여진 이름이라고 한다.
image
출처: [http://gotocloud.co.kr])(http://gotocloud.co.kr)


또한 공인 인터넷을 통로로 사용하기 때문에 VPN을 사용하면 전용 회선보다는 더 폭넓은 대역을 저렴한 비용으로 사용할 수 있다.

전용 회선은 인터넷 서비스 공급자(ISP)와 계약을 맺고 별도의 장비를 이용해 설치해야 하는 등 복잡한 과정을 거쳐야 하지만,

VPN은 가정용 인터넷 모뎀으로도 VPN을 연결해 설치할 수 있기 때문에 편리하다는 장점도 존재한다.

그러나 아무리 패킷이 암호화된다 하더라도 결국 외부 인터넷에 데이터가 노출되기 때문에 전용 회선보다는 보안에 취약하다.


전용 회선은 말 그대로 사용자의 '전용' 회선이기에 외부에서 접근 자체가 불가능하다.

또 대역폭을 보장하는 전용 회선과 달리 공인 인터넷을 사용하는 VPN은 인터넷 망에 문제가 생길 시 터널이 끊어지거나 패킷이 제대로 전달되지 않는 문제가 발생할 수 있다.


VPN의 분류와 구현, 차이

VPN은 접속 방식, 터널링 프로토콜, 통신 계층, 운용 주체 등 기준에 따라 아주 다양한 종류로 나뉜다.

접속 방식 으로 분류하면 Site to Site(LAN To LAN)과 Client to Site 방식의 VPN으로 나눌 수 있고,

터널링 프로토콜 로 분류하면 PPTP/L2TP, IPSec, SSL 기반의 VPN으로 분류할 수 있으며,

통신 계층 으로 분류하면 L2 / L3 / L4 기반의 VPN으로도 나눌 수 있다.

또 운용 주체에 따라서 Core / CPE 기반의 VPN으로도 나눌 수 있다.


어떤 관점에서 보느냐에 따라 VPN이 차이를 가지는 것일 뿐, 분류 방법에 따라 완전히 다른 VPN이 되는 것은 아니다.

오히려 위 분류에서 한 개씩을 따서 좋바하면 특정한 기능을 수행하는 VPN의 정의가 될 수 있다.


예를 들어, 코로나 시국에 집에서 회사의 업무를 볼 수 있도록 도와주는 VPN인 SSL VPN의 경우,

접속 방식으로는 Client to Site 에 해당하며,

터널링 프로토콜로 분류하면 SSL 기반의 VPN,

통신 계층으로 분류하면 L4 / L7 기반의 VPN으로 나눌 수 있다.


이번 글과 이후 이어질 글에서는 VPN의 구현 방식과 분류를 접속 방식 을 기준으로 설명할 예정이다.

접속 방식으로 기준을 나눈 이유는 접속 방식을 통해 이해하는 것이 비교적 쉽고 실무에서 부르는 이름 또한 쉽게 연관 지을 수 있기 때문이다.

접속 방식을 기준으로 설명한 VPN은 IPSec VPNSSL VPN 이다.



IPsec VPN은 주로 Site to Site 방식 으로 사용되어 기업의 본사 네트워크와 지사 네트워크를 연결하는 용도로 주로 사용된다.

이름에서도 알 수 있듯이 IPSec을 터널링 프로토콜로 사용하여 터널 생성과 패킷 암호화 방식을 협상한다.

이 모든 것은 Layer 3인 Network Layer에서 실시된다.

즉, 위에서 언급한 인터넷 프로토콜의 약점, 패킷의 보안 취약성을 해결하는데 중점을 둔다.
image


SSL VPN은 주로 Client to Site 방식으로 사용되어 사용자가 어느 장소에서든 VPN을 통해 기업의 사설 네트워크로 접속 가능하도록 지원하는 용도로 사용되며 주로 웹 브라우저를 통한 접속방식이 많이 사용된다.

이름에서도 알 수 있듯이 SSL(Secure Socket Layer) 를 이용한 터널링을 실시하고 패킷 암호화 방식을 협상한다.

SSL을 터널링 프로토콜로 사용하는 만큼 Layer 4인 Transport Layer 이상에서 실시된다.

이 또한 인터넷 프로토콜의 약점, 패킷의 보안 취약성을 해결하는데 중점을 둔다.
image


VPN 접속 방식 분류

IPSec VPN

  • 사이트 간 연결을 위해 주로 사용되며, 두 네트워크를 직접 연결하기 때문에 양쪽에 VPN 장비가 필요함
  • 원격 액세스 형태로도 사용 가능하지만, 이 경우 클라이언트 측에 IPSec을 지원하는 소프트웨어가 필요함.

사이트 간 VPN (Site-to-Site VPN)

특징

  • 구성 방식: 두 개의 VPN 게이트웨이(예: 라우터, 방화벽)가 서로 IPSec 터널을 구축하여 두 네트워크를 안전하게 연결함.
  • 필요한 장비 수: 양쪽 사이트에 각각 하나씩, 총 두 대의 VPN 장비가 필요
    • 양방향 터널링: IPSec은 네트워크 계층에서 동작하며, 두 지점 모두에서 터널을 설정하여 패킷을 암호화하고 복호화해야 함.
    • 상호 인증: 양쪽 장비가 서로를 인증하고 신뢰할 수 있어야 하므로, 두 대의 VPN 장비가 필요.

원격 액세스 VPN (Remote Access VPN)

특징

  • 구성 방식: 원격 사용자가 IPSec 클라이언트 소프트웨어를 사용하여 중앙의 VPN 게이트웨이에 접속함.
  • 필요한 장비 수
    • VPN 게이트웨이: 중앙 사이트에 한 대의 VPN 장비.
    • 클라이언트 소프트웨어: 원격 사용자의 PC나 장치에 IPSec을 지원하는 소프트웨어가 설치되어야 함.
  • 이유
    • 클라이언트 지원 필요: IPSec 프로토콜을 사용하려면 클라이언트 장치에서 IPSec을 지원해야 하며, 이를 위해 추가 소프트웨어 설치가 필요.

SSL VPN

원격 액세스 VPN (Remote Access VPN)

  • 구성 방식: 원격 사용자가 웹 브라우저나 경량의 SSL VPN 클라이언트를 통해 중앙의 VPN 게이트웨이에 접속함.
  • 필요한 장비 수
    • VPN 게이트웨이: 중앙 사이트에 한 대의 VPN 장비만 필요.
  • 이유
    • 클라이언트 접근성: SSL/TLS 프로토콜은 웹 브라우저에서 기본적으로 지원되므로, 원격 사용자는 추가 소프트웨어 설치 없이도 VPN에 접속할 수 있음.
    • 방화벽 및 NAT 친화적: SSL VPN은 일반적으로 사용하는 HTTPS 포트(443)를 사용하므로, 네트워크 환경에 구애받지 않고 접속이 가능.

출처

Loading script...