1. 개요
이번 게시글에서 정리할 내용은 다음과 같습니다!
- VPN의 개념
- Site-to-Site VPN vs Remote Access VPN(클라이언트 기반 VPN) 의 차이점
- Fortinet 장비 기준으로 eve-ng에서 예시 구성하는 방법
2. VPN 이란?
VPN(Virtual Private Network) 은 공용 네트워크(인터넷)를 통해 사설 네트워크 간 안전하게(암호화) 연결하기 위한 기술입니다.
- "인터넷을 통하지만, 마치 전용선(사설망)을 쓰는 것 처럼 안전하게 통신한다": 이것이 VPN의 핵심 개념이에요!
암호화를 통해 도청/변조를 막고, 터널링(tunneling) 기법으로 특정 IP 대역들을 서로 연결합니다.
3. VPN 종류: Site-to-Site vs Remote Access
VPN은 크게
(1) Site-to-Site VPN
(2) Remote Access VPN(클라이언트 기반)
으로 나뉘어요!
3.1. Site-to-Site VPN
정의
- 사무실 A와 사무실 B처럼, 네트워크 대역(서브넷)과 네트워크 대역 간을 통째로 연결하기 위한 VPN
구현
- 사무실 A의 라우터(OR
방화벽/VPN 게이트웨이)와 사무실 B의 라우터(OR방화벽/VPN 게이트웨이) 간에 IPSec 등의 암호화 터널을 맺습니다.
사용 시나리오
- 1. 회사 본사 <-> 지사 간 내부망 연결
- 2. 온프레미스(사내 데이터센터) <-> 클라우드 (AWS, Azure, GCP)간 연결
특징
- 게이트웨이 대 게이트웨이 형태라서, VPN을 사용하는 사용자 입장에서는별도의 VPN 접속 프로그램을 실행하지 않아도 됩니다.
- 양쪽 네트워크가 서로 라우팅을 통해 자동으로 연결돼요. (Ex. 10.0.x.x <-> 10.10.x.x)
3.1.1. 사용 사례
그렇다면 Site-to-Site VPN은 언제 사용될까요?
- 사내에서 클라우드(또는 다른 지사) 내부 서버에 "그냥 내부 IP로" 접근해야 할 때
- 사용자들이 따로 VPN 클라이언트를 설치하지 않고도 양쪽 망이 통신 되도록 하고 싶을 때
- IP 주소가 많고, 트래픽이 많은 기업 간 네트워크 연결 이 필요할 때
3.2. Remote Access VPN
정의
- 원격지(집, 카페 등) 개인 사용자가 회사 내부망에 접속하기 위해, PC나 모바일 디바이스에 VPN 클라이언트 를 실행해 접속하는 방식
구현
OpenVPN,WireGuard,L2TP/IPSec,SSL VPN(FortiClient 등)등등
사용 시나리오
- 1. 집이나 외부에서 회사 내부 시스템에 접근(업무용, 재택)할 때
- 2. 개인 홈 서버에 WireGuard/OpenVPN 설치해놓고, 외부에서 연결하여 집 내부망 리소스(Ex. NAS)에 접근할 때
특징
- 각 클라이언트(PC, 노트북, 모바일)가 VPN 서버로 접속해야 함.
- VPN 서버는 회사(또는 집) 내부망에 위치(또는
DMZ영역) - 사용자에 대한 인증(ID/PW, OTP 등)이 필요함.
3.2.1. 사용 사례
그렇다면 Remote Access VPN은 언제 사용될까요?
OpenVPN/WireGuard를 홈 서버 내부에 설치해두고, 외부에서 라우팅(집 내부 대역 접근)- 이것이 전형적인 클라이언트 기반(Remote Access) VPN
- 외부에서 특정 단말(PC나 핸드폰)만 VPN을 켜면, 집 내부 IP 대역(
192.168.x.x등)에 들어갈 수 있음
4. Site-to-Site / Remote Access 간 비교
| 항목 | Site-to-Site VPN | Remote Access VPN |
|---|---|---|
| 연결 대상 | 네트워크 대역 <-> 네트워크 대역 | 단말(클라이언트) <-> 네트워크 |
| 보통 사용하는 프로토콜 | IPSec (주로 IKEv2, ESP, AH), GRE + IPSec 등 | OpenVPN(SSL), WireGuard, L2TP/IPSec 등 |
| 접근 방식 | 사용자 입장에서는 자체적으로 라우팅되어 별도 클라이언트 X | 각 단말에서 VPN 클라이언트 실행 필요 |
| 활용 사례 | 회사 본사-지사 간, 온프레-클라우드 간 등 | 집/외부에서 회사나 개인 홈 서버 접근 |
| 관리/운영 난이도 | 양쪽 방화벽/라우터 설정, 암호화 파라미터 맞춤 | VPN 서버 1대(또는 클러스터) + 사용자 인증 |
Site-to-Site는 라우터/방화벽 레벨에서 VPN 터널을 맺기 때문에, 양쪽 서브넷이 곧장 연결됩니다.Remote Access는 개인 사용자가 VPN 클라이언트를 실행해서 “한쪽 네트워크”로 들어오는 구조입니다.
5. VPN 프로토콜/방식 간단하게 정리하기
5.1 IPSec
- IP 계층(L3) 수준에서 암호화/인증을 제공
- Site-to-Site VPN에서 표준으로 많이 사용됨 (Fortinet, Cisco, Palo Alto 등 대부분 방화벽)
- Phase1(IKE 협상)과 Phase2(IPSec SA 교환) 개념이 있음
- Remote Access VPN으로도 쓰일 수 있으나, 설정 복잡도가 SSL 방식보다는 살짝 높은 편
5.2 SSL VPN(OpenVPN, WireGuard 등)
- SSL/TLS 레이어를 활용해 비교적 설정이 간단
- Remote Access VPN으로 많이 쓰임
- OpenVPN은 TCP/UDP 1194 포트(기본값) 등, WireGuard는 UDP 51820 등
- Site-to-Site도 가능하지만, 엔터프라이즈 장비에서 주로 IPSec을 표준으로 지원하기 때문에 기본적인 게이트웨이-게이트웨이 구성은 IPSec이 더 흔함
5.3 기타 (L2TP/IPSec, PPTP, GRE+IPSec 등)
- 구형 프로토콜도 있지만, 요즘엔 IPSec(IKEv2)나 SSL/OpenVPN, WireGuard가 주류
6. 그럼 언제 어떤 방식의 VPN을 사용해야할까?
Site-to-Site VPN을 사용하는 올바른 상황은 언제일까요?
Site-to-Site VPN은 주로 지리적으로 분리된 네트워크 간 안전한 데이터 전송이 필요한 경우에 사용되는데요.
다음과 같은 조건이나 상황에서 특히 유용합니다!
- 여러 지점 간 내부 네트워크 연결 필요
- 기업이 본사와 지사, 혹은 데이터센터 간 내부 네트워크(LAN)를 연결해야 할 때.
- 공용 인터넷을 통해 전송되더라도 데이터를 암호화해서 보안성을 유지하고 싶을 때.
- 비용 효율적인 전용선 대체
- MPLS나 전용 회선 같은 고비용 솔루션 대신, 인터넷 기반으로 저렴하게 보안 연결을 구축하고자 할 때.
- 원격 사무실 간 리소스 공유
- 본사 서버에 있는 데이터베이스나 파일 서버를 지사에서 접근해야 하는 경우.
- 내부 애플리케이션이나 ERP 시스템을 여러 위치에서 사용해야 할 때.
- 보안이 중요한 데이터 전송
- 금융, 의료, 법률 등 민감한 데이터를 다루는 조직에서 네트워크 간 통신을 보호해야 할 때.
- 클라우드와 온프레미스 연결
- 온프레미스 네트워크와 AWS, Azure 같은 클라우드 환경을 안전하게 연결하고자 할 때.
관련 예시
- 1. 기업 본사와 지사 연결
- 상황: 서울에 본사가 있고 부산에 지사가 있는 회사. 본사의 ERP 시스템을 부산 지사 직원들도 사용해야 함.
- 이유: 공용 인터넷으로 직접 접근하면 보안 위험이 크므로, Site-to-Site VPN을 통해 두 네트워크를 연결해서 ERP 데이터를 안전하게 공유.
- 2. 소매점 체인 네트워크
- 상황: 전국에 50개 매장을 운영하는 소매업체가 있고, 각 매장의 POS(Point of Sale) 시스템이 본사 서버와 실시간으로 데이터를 주고받아야 함.
- 이유: 매장마다 전용선을 설치하는 건 비용이 많이 들고, VPN은 인터넷만 있으면 되니까 경제적이고 보안도 유지 가능.
- 3. 원격 데이터센터 통합
- 상황: 회사가 주요 서버를 본사 데이터센터에 두고 있고, 재해 복구를 위해 지방에 백업 데이터센터를 운영 중. 두 데이터센터 간 데이터 동기화가 필요함.
- 이유: 데이터 동기화 과정에서 외부 노출을 막고, 암호화된 터널로 안전하게 전송하기 위해 Site-to-Site VPN 사용.
- 4. 파트너사와의 협업
- 상황: A 회사가 B 회사와 협력 중인데, A 회사 내부 시스템에 B 회사 직원이 제한적으로 접근해야 함.
- 이유: 외부 인터넷으로 직접 열기엔 위험하니, 두 회사 간 Site-to-Site VPN을 설정해서 안전한 접근 경로 제공.
- 5. 클라우드 확장
- 상황: 회사가 온프레미스 서버를 유지하면서 일부 워크로드를 AWS로 옮김. 온프레미스와 AWS VPC 간 통신 필요.
- 이유: 공용 인터넷 대신 VPN으로 두 환경을 연결하면 보안성과 안정성을 동시에 확보 가능.
주의할 점
Site-to-Site VPN은 위와 같은 상황에 적합하지만,
모바일 사용자나 개별 원격 근무자가 접속하려면 적합하지 않아요!
이런 경우엔 Remote Access VPN(예: SSL VPN)이 더 낫죠.
또, 대규모 트래픽이나 초저지연이 필요한 경우엔 전용선이나 SD-WAN 같은 대안을 고려해볼 수도 있구요!
6. VPN 실습 - Fortinet (UI, CLI)
다음 게시글을 참고해주세요!
[PNETLab] Site to Site, Remote Access VPN 구축해보기! (Feat. Fortinet)
7. 정리하기
Site-to-Site VPN
- 서로 다른 2개 이상의 **네트워크(서브넷)**를 연결 (회사 본사-지사, 온프레-클라우드 등)
- 사용자 개입 없이 서로 라우팅 연결된다. 주로 IPSec(IKEv2) 표준 사용
- Fortinet/Cisco/Palo Alto 등 엔터프라이즈 장비가 제공하는 VPN 게이트웨이 기능으로 설정
Remote Access VPN
- 외부 개인 사용자(PC/노트북/스마트폰)들이 VPN 서버로 접속
- 각 단말에 클라이언트가 설치/실행됨 (예: OpenVPN, WireGuard 클라이언트)
- 라우팅 설정 후, 내부망(집/회사)에 들어오도록 구성
- 보통 OpenVPN/SSL VPN/WireGuard/L2TP/IPSec 등이 많이 쓰임
실제 구축 시 주의점
- 양쪽 VPN 장비의 암호화 프로토콜(Phase1/Phase2) 호환 맞춰야 함 (예: AES256 vs AES128 혼용 금지)
- 방화벽 정책: 터널 인터페이스(VPN interface)에 대한 In/Out 권한 열어줘야 함
- 라우팅: 내가 연결하고 싶은 내부망 대역에 대해 Static Route or Dynamic Routing(BGP/OSPF 등) 설정
- NAT: 필요에 따라 VPN 구간 NAT 해제/적용을 신경써야 함
VPN 실습
- FortiGate 이미지를 가져와서 “본사/지사” 2대 배치 후 Site-to-Site 실습 → VPN 동작 확인
- Remote Access 실습도 가능 (FortiGate에서 SSL VPN 설정 후, EVE-NG 클라이언트 PC가 VPN Client로 접속)