검수요청.png검수요청.png

VPN

위키원
이동: 둘러보기, 검색

VPN(브이피엔)은 "Virtual Private Network"의 약자로, 외부에서 접근할 수 없는 사설망에 내 PC나 네트워크를 연결시키는 방법이다. 가상사설망이라고 한다.

개요

정보기술이 발달하면서 재택근무가 확산되고 기업 외부와도 네트워크 구성이 필요하게 되는 등, 기업의 네트워크가 점차 확대되면서 이에 따르는 비용의 부담이 기업에게 큰 문제가 되고 있다. VPN이란 이런 문제들의 해결을 위해 나온 개념으로, 기업의 네트워크를 구성할 때 전용 임대 회선을 사용하는 것이 아니라 공중망을 사용하면서 전용망 환경에서 점대점으로 회선을 연결한 것과 같은 효과를 얻고자 하는 기술을 말한다. VPN은 VPN 구현방식과 서비스 제공방식에 따라 크게 구분이 가능하다. 주로 소프트웨어 제품들은 원격 접속(Remote Access) 시 원격 사용자의 호스트에 설치하고자 할 때 많이 이용되며, 최근에는 원격접속 관리를 위한 솔루션 제품들이 출시되고 있다. 반면, 하드웨어 제품들은 인트라넷이나 익스트라넷의 구성을 위해 많이 사용된다. 또한 VPN은 서비스 제공방식에 따라 원격접속 (Remote Access) VPN과 LAN-to-LAN VPN으로 구분이 가능하다. 원격 접속 VPN은 현장 근로자나 영업사원 등과 같은 이동 사용자에게 위치에 상관없이 기업 내 접속을 제공하는 서비스이며, LAN-to-LAN은 서로 떨어져 있는 2개의 사이트 간의 VPN 접속을 제공하는 서비스이다.[1]

등장 배경

VPN은 인터넷을 기반으로 한 기업 업무환경의 변화에 기인한다. 즉, 소규모 지역에서 문서만을 전달하던 업무처리 기반에서 하나의 건물 내의 네트워크를 이용한 업무로, 다시 본사와 다수의 지사 관계, 또한 지사는 국내 지사와 국외 지사로 확장되었다. 이들이 하나의 네트워크 구축을 위해 기존 전용선을 사용하는 방법에는 비용을 포함한 여러 가지 한계를 가지며, 전용선을 이용해서 네트워크가 구성되었다고 하더라도 네트워크 운영을 자체적으로 하는 것과 새로운 기술들을 도입하는 것 역시 기업의 입장에서는 상당한 부담이 될 수 있다. 또한 기존의 공중 네트워크는 보안과 관련해서는 서비스를 제공하지 않기 때문에 중요한 문서나 데이터를 전달하기에는 부족한 점이 있었다. 이러한 복합적인 이유가 가상 사설망이 등장한 계기가 되었다.[2]

특징

VPN은 응용프로그램의 하단 계층에서 동작하여 응용프로그램을 수정할 필요가 없다. 또한, 이미 구축되어 있는 사설망과의 연결, 모바일 환경, 외부와의 보안 통신이 가능하기 때문에 추가적인 구축 비용 부담이 적다. 터널링 기술과 암호화 및 인증 기술을 구현하여 사용자에게 투명한 통신 서비스를 제공한다. VPN은 인터넷망을 이용하여 구축이 가능하기 때문에 기존의 사설망을 구축하는 데 드는 비용이 절감한다는 점이 있다. 또한 다양한 구축 방법, 프로토콜을 제공하여 다양한 VPN을 구축할 수 있다. 그리고 위치와 상관없이 해당 ISP의 팝(POP)으로 접속하면 인터넷을 이용하여 VPN 접속이 가능하여 이동 사용자의 접속 부담이 감소된다. 하지만 명확한 표준이 없어서 ISP마다 다른 기술을 사용하여 서로 다른 ISP 간의 연동에 문제가 발생한다는 것과 성능 저하의 문제가 있다. VPN의 구성 유형으로는 L2L과 L2C를 들 수 있다. L2L은 본사, 지사 간의 연결 유형을 띄고 있으며 VPN 장비를 설치하여 네트워크를 연결한다. L2C는 재택근무, 이동 근무 등과 같은 소규모에 쓰이며 각 PC에서 VPN 클라이언트 프로그램을 이용하여 접속하는 단말의 형태를 한다.[3]

VPN의 장점은 먼저 인터넷을 통해서 원격 네트워크에 안전하게 연결하는 데에 사용할 수 있다. 대부분의 회사는 VPN을 구축하여 보안을 유지하면서 직원들이 회사 네트워크상의 파일, 애플리케이션, 프린터, 기타 다른 리소스에 접근할 수 있도록 하고 있다. 그러나 또한 스스로 VPN을 설정하여 이동 중에 안전한 홈 네트워크에 안전하게 접근하도록 할 수 있다. VPN은 특히 안전하게 다수의 네트워크에 함께 연결하는 데에 유용하다. 이런 이유로, 대다수의 크고 작은 회사들은 서버를 공유하고 전 세계에 걸친 다수의 지사나 매장 간 다른 네트워크의 소스를 공유하기 위해 VPN에 의존하고 있다. 회사 체인이 없다고 해도, 디수의 홈 네트워크나 개인적인 사용을 위한 다른 네트워크를 연결하는 데에 같은 방법을 사용할 수 있다. 그리고 VPN은 인터넷트래픽을 암호화하기 때문에, 패스워드를 탈취하기 위하여 와이파이를 통한 브라우징 활동을 염탐하려는 노력을 지지할 수 있다. 마지막으로 VPN을 사용하는 가장 좋은 점은 특정 웹사이트의 지역적 제한을 피할 수 있다는 것이다. 특정 지역 안에서만 볼 수 있는 사이트를 그 외 지역에서 접근 할 수 있다. 인터넷 트래픽이 VPN을 통해 전송되기 때문에, 그 지역에서 접근하는 것으로 간주되기 때문이다.[4]

종류

방식

구현 방식에 따른 VPN 종류
구분 방식 장점 단점
전용 시스템 방식
  • VPN 전용 시스템을 구현해 보안이 필요한 곳이 독립적인 제품을 설치하는 방식
  • 전용 기기를 사용하므로 대역폭에 맞는 시스템 설치가 가능하고 손쉽게 확장할 수 있음
  • VPN 서비스의 장비구입을 위한 고가의 비용부담
라우터 방식
  • 라우터에 가상사설망 기능을 부가하여 제공
  • VPN이 지원되는 라우터를 보유하고 있는 ISP의 경우 추가 비용 부담없이 서비스 제공가능
  • 라우터의 기능에 의존해야 하고, 비밀 정보 누출의 위험성
파이어월 방식
  • 기존의 파이어월 VPN 기능을 부가하여 제공
  • 보안 통합솔루션에 부가기능으로 추가되어, 비용 부담이 적다는 장점
  • 트래픽이 집중되는 파이어월에 VPN 기능까지 추가되어 병목현상 가중

프로토콜

PPTP

마이크로소프트가 설립한 컨소시엄에 의해 개발된 포인트 투 포인트 터널링은 설립 이래로 전화 접속 네트워크에 가상 사설 통신망을 구축하는 VPN용 표준 프로토콜이다. 윈도우에서 지원하는 첫 번째 VPN 프로토콜인 PPTP는 가장 많이 사용되는 MS_CHAP v2 등의 다양한 인증 방법을 이용하여 보안을 제공한다. 모든 VPN 기능 장치 및 플랫폼은 표준으로 PPTP를 사용할 수 있으며 설치가 상대적으로 쉽기 때문에 VPN 공급자와 비즈니스 모두에게 여전히 중요한 선택 사항이다. 또한, 그 구현은 낮은 계산 오버헤드를 요구하며, 가장 빠른 VPN 프로토콜 중 하나이다. 모든 VPN 이용 가능 장치 및 플랫폼은 표준으로 이용 가능한 PPTP를 보유하며, 설치가 상대적으로 쉽기 때문에 VPN 제공 업체와 비즈니스 모두에게 중효한 선택이다. 또한, 구현을 위해 낮은 오버헤드가 요구되므로, 현재 이용할 수 있는 가장 빠른 VPN 프로토콜 중 하나이다. 그러나, 현재 128비트 암호화가 일반적으로 사용됨에도 불구하고, 캡슐화되지 않은 MS_CHAP v2 인증이 큰 문제가 될 가능성과 함께 꽤 많은 보안 취약점을 가진다. 이 때문에, PPTP가 2일 내에 파괴될 수 있다. 마이크로소프트가 급하게 결점을 보완했지만, 기술 전문가들은 VPN 사용자께 대신 SSTP 또는 L2TP를 대신 사용한다.[5]

L2TP, L2TP, IPsec

다른 VPN 프로토콜과 달리, 계층 2 터널 프로토콜(Layer 2 Tunnel Protocol)은 통과하는 트래픽에 개인 정보 또는 암호화를 제공하지 않는다. 이 때문에, 이는 일반적으로 전송 전에 데이터를 암호화하여 사용자의 개인 정보 보호와 보안을 제공하는 IPsec으로 알려진 일련의 프로토콜과 함께 구현된다. 모든 현대 VPN 호환 장치 및 운영 체제는 L2TP, IPsec를 내장하고 있다. 설정은 PPTP만큼 쉽고 빠르지만, 프로토콜이 UDP 포트 500을 사용하므로 NAT 방화벽에 의해 차단되기 쉽다는 문제가 있다. 따라서, 방화벽과 함께 사용하는 경우 포트 포워딩이 필요할 수 있다. IPsec 암호화와 관련된 주요 취약점은 없으며 제대로 구현되면 안전할 수 있다. 그럼에도 불구하고, 에드워드 스노든(Edward Snowden)의 폭로는 이 프로토콜이 국가안보국(NSA)의 위협을 받고 있음을 강하게 암시한다. 일렉트로닉 프론티어 재단(Electric Frontier Foundation)의 창립 멤버이자 보안 전문가인 존 길모어(John Gilmore)는 국가안보국이 의도적으로 해당 프로토콜을 약화 시킨 것 같다고 주장한다. 또한, LT29, IPsec 프로토콜은 데이터를 두 번 캡슐화하기 때문에 SSL(Secure Sockets Layer)기반 솔루션과 달리 효율적이지 않으므로, 다른 VPN 프로토콜보다 살짝 느리다.[5]

OpenVPN

상대적으로 새로운 오픈 소스 기술인 OpenVPN은 SSLv3, TLSv1 프로토콜과 OpenSSL 라이브러리를 다른 기술과 함께 사용하여 사용자께 안정적이고 강력한 VPN 솔루션을 제공한다. 이 프로토콜은 UDP 포트에서 구성하기 쉽고 가장 잘 실행되지만 다른 포트에서도 구성되고 실행되므로, 구글 및 기타 유사 서비스가 이 프로토콜을 차단하는 것은 극도로 어렵다. 이 프로토콜의 또 다른 장점은, 심지어 블로우피시(Blowfish) 또는 에이이에스(AES)가 VPN 제공 업체에 의해 거의 독점적으로 사용된다 하더라도 3DES, 에이이에스, 카멜리아, 블로우피시, CAST-128 등과 같은 다양한 암호화 알고리즘을 지원한다는 것이다. OpenVPN에는 128비트 블로우피시 암호화가 내장되어 있다. 이 프로토콜은 일반적으로 안전한 것으로 간주되지만, 몇 가지 취약점이 있는 것으로 알려져 있다. 암호화 측면에서, 에이이에스는 최신 기술이며 ‘훌륭한 표준’으로 간주된다. 이는 단순히 알려진 취약점이 없으며 미국 정부와 기관이 ‘보안’ 데이터를 보호하기 위해 채택했기 때문이다. 이 프로토콜은 블로우피시의 64비트 블록 크기와 비교할 때 128비트라는 블록 크기 덕분에 비교적으로 블로우피시보다 더 큰 파일을 잘 처리할 수 있다. 그럼에도 불구하고, 둘 다 NIST 인증 암호이며 몇 가지 문제점을 가지고 있다. 먼저, OpenVPN 프로토콜이 얼마나 빨리 수행되는지는 사용되는 암호화 수준에 따라 다르지만 보통 IPsec보다 빠르다. OpenVPN은 현재 대부분의 VPN 서비스에 대한 기본 VPN 연결이지만, 모든 플랫폼에서 지원되는 것은 아닙니다. 그러나, 안드로이드 및 iOS를 모두 포함하는 대부분의 제 3자 소프트웨어에서 지원된다. 설정 측면에서, 이 프로토콜은 L2TP, IPsec 및 PPTP와 비교할 때 약간 까다로우며, 특히 일반 OpenVPN 소프트웨어가 사용되는 경우 특히 까다롭다. 클라이언트를 다운로드 및 설치해야 할 뿐만 아니라 추가 구성 파일도 설치해야 한다. 여러 VPN 제공 업체는 맞춤화 VPN 클라이언트의 공급 때문에 이 구성 문제를 직면한다. 그러나, 모든 요소와 에드워드 스노든(Edward Snowden)이 제공한 정보를 고려할 때 OpenVPN은 NSA에 의해 손상되거나 약화되지 않는다. 또한 임시 키 교환을 사용하기 때문에 NSA 공격에 면역이 된 것으로 간주된다. 아무도 NSA의 모든 기능을 알지는 못하지만, 수학과 증거는 모두 강력한 암호와 결합된 OpenVPN이 안전하다고 간주될 수 있는 유일한 VPN 프로토콜임을 강력하게 나타낸다.[5]

SSTP

마이크로소프트에 의해 윈도우 비스타 서비스 패키지 1(Windows Vista Service Package 1)에 소개된 시큐어 소켓 터널링(Secure Socket Tunneling)을 이제 씰(SEIL), 리눅스(Linux) 및 라운터운영체제(RouterOS)에서 사용할 수 있으나 여전히 주로 윈도우 전용 플랫폼이다. 이 프로토콜은 SSL v3를 사용하기 때문에, NAT 방화벽 문제를 방지하는 기능 등 OpenVPN과 유사한 혜택을 제공한다. SSTP는 VPN 프로토콜을 안정적이고 쉽게 사용할 수 있는데, 특히 윈도우에 통합되어있기 때문에 더욱 그렇다. 그러나, 이 프로토콜은 마이크로소프트의 독점 소유이다. 이 기술 대기업은 국가안보국과 협력한 역사를 가지고 있지만, 윈도우 운영 체제에 내장된 백도어에 대한 추측도 있기 때문에 다른 표준들만큼 신뢰를 주지는 못한다.[5]

IKEv2

IPsec 기반 터널링 프로토콜인 인터넷 키 변환 버전 2(Internet Key Exchange Version 2)는 시스코(Cisco)와 마이크로소프트에 의해 개발되었으며, 윈도우 플랫폼 7 이상의 버전으로 만들어졌다. 이 프로토콜은 리눅스 및 다양한 플랫폼과 호환이 가능하며, 블랙베리(Blackberry) 장치도 지원한다. 마이크로소프트의 VPN 연결은 인터넷 연결이 일시적으로 끊어졌을 때 자동으로 VPN 연결을 재설정하는 데 뛰어나다. 표준이 제공하는 모빌리티(Mobility) 및 멀티호밍(Multi-homing) 프로토콜이 네트워크 변경을 극도로 유연하게 만들기 때문에, 모바일 사용자께서는 IKEv2를 최대한 활용하실 수 있다. 또한, 블랙베리 장치를 지원하는 소수 VPN 프로토콜 중 하나로, 블랙베리 사용자께 훌륭한 선택이 될 것이다. IKEv2는 IPsec에 비해 비교적 적은 수의 플랫폼에서만 이용할 수 있지만, 안정성, 보안 및 성능 측면에서 동일하다.[5]

기술

VPN

VLAN

VLAN은 맥 헤더 앞에 VLAN ID를 사용하여 스위치나 라우터에서 물리적인 연결을 기반으로 일괄적으로 전송하는 것이 아니라 같은 물리적 포트를 이용하더라도 논리적으로 다른 네트워크 관리를 받으며, 프레임을 전달할 수 있는 기술이다. VLAN은 이더넷(Ethernet) 환경에서 이용하고, 비용이 싸고 이기종간 장비 호환성이 뛰어난 반면, VLAN ID가 12비트로 4,096개의 VLAN만 지원한다는 단점과 장애에 대한 수렴 시간이 길어 트래픽 손실이 많은 문제점이 있다.[6]

MPLS L3VPN

MPLS 기반의 L3VPN 기술은 보안이나 확장성 면에서 성공한 기술로 볼 수 있다. VPN은 물리적으로 독립된 네트워크를 이용하는 사설망을 이용할 경우 발생하게 되는 비용 측면의 문제점을 해결하기 위해 등장한 기술인데, 공중망을 가상적인 사설망으로 이용할 수 있도록 하였다. 보안 문제와 서비스 품질 문제를 안고 있었지만, MPLS 기술이 합쳐지면서 어느 정도 문제를 해결할 수 있게 되었다. MPLS L3VPN 기술은 VPN 라벨을 이용하여 가상 네트워크망을 나누고, 피이(PE) 라우터에서 VRF(VPN Routing and Forwarding) 테이블을 관리하여, 하나의 라우터에서 여러 개의 포워딩 테이블을 두는 기술이다. 따라서 CE에서 패킷이 들어오면, 목적지(destination) 주소뿐만 아니라 VPN 라벨을 이용하여 VRF 테이블을 룩업(look up)해서 통신망(MPLS) 레이블을 붙여 포워딩 한다. 이 기술은 실제로 본사와 지사를 연결하는 망에서 사용하고 있으며, 논리적인 망 분리에 이용된다. 망의 분리를 라우터의 측면에서는 포워딩 테이블의 분리로 볼 수 있으나, 서로 간 간섭이 발생할 수 있으므로 진정한 의미의 가상 네트워크를 위한 망 분리로 볼 수 없다.[6]

상위 계층 VPN

VPN에서 가장 많이 사용하는 프로토콜은 IPSec인데, 인증 헤더(AH)와 송신자와의 인증과 데이터 암호화를 함께 지원하는 이에스피(ESP), 키교환을 위한 아이케이이(IKE) 등을 이용해 서비스를 제공한다. 계층 3(Layer 3) 기술이지만 IPSec 클라이언트 프로그램을 설치해서 이용해야 하는 다소 복잡한 구조를 가지고 있지만, 애플리케이션 수정 없이 VPN을 제공할 수 있다는 장점 때문에 많이 이용되고 있다. SSL, VPN 기술은 Layer 5 기술이라고 하는데, 암호화된 웹 브라우징을 제공하기 위해 만든 프로토콜로 기존 커널 수정 없이 웹 브라우저만 있으면 사용이 가능하므로 이용이 용이하다는 장점이 있다. 하지만 웹서비스를 통하는 서비스에만 가능하다는 제약사항이 있다.[6]

네트워크 가상화

호스트 가상화

호스트 가상화는 브이엠웨어(VMWare), 젠(Xen), 오픈브이제트(OpenVZ), 리눅스브이에스서버(Linux VServer) 등과 같은 가상화 소프트웨어를 이용하여 네트워크의 호스트를 만들어 준다. 호스트 가상화는 전가상화와 반가상화, 운영체제 기반 가상화가 있는데, 브이엠웨어로 대표되는 전가상화는 하드웨어까지 에뮬레이션해야 하므로 성능 저하가 가장 큰 단점이고, 반가상화는 젠과 같이 가상머신과 게스트 운영체제 사이에서 동작해서 커널과 드라이버 수정을 요구한다. 운영체제 기반 가상화는 컨테이너 기반 가상화라고도 하는데, 오픈브이제트와 리눅스브이에스서버가 여기에 속하며, 하드웨어를 효율적으로 이용한다는 장점이 있지만, 슬리버 운영체제가 시스템 운영체제에 영향을 미칠 수 있는 단점이 있다.[6]

링크 가상화

링크 가상화는 네트워크 인터페이스 가상화로 볼 수 있는데, 기존에 하나의 물리적 인터페이스에 하나의 링크로만 보게 하는 것은 자원의 낭비뿐만 아니라 네트워크를 유연하게 만드는 방해 요소가 된다. 따라서 VLAN 기술과같이 하나의 인터페이스를 여러 개의 링크로 보이도록 하는 기술 이외에, 물리적인 인터페이스에 가상적 맥 주소를 매핑할 수 있도록 하여 여러 개의 가상 네트워크에 복수 적으로 이용 가능 하도록 하는 것이다. 특히 가상 인터페이스 스위치가 시스템의 내부 외부에 존재하면서 동적으로 가상 네트워크를 구축했다가 해제할 수 있는 관리 기술이 포함된다. 여태까지 나온 링크 가상화 기술은 서버 가상화나 호스트 가상화의 엔아이시(NIC) 카드에 해당하는 라이스 엔아이시(RiceNIC)와 시스코유시에스(Cisco UCS) M81KR VIC가 있고 소프트웨어적인 네트워크 인터페이스 가상화를 지원하는 기술로 젠 과 브이엠웨어, 리눅스브이에스서버, 크로스보우기술(EGRE)이있다.[6]

라우터 가상화

라우터 가상화는 물리적 라우터의 자원을 분리하여 다수의 가상 라우터를 구성하는 기술이다. 즉, 주니퍼(Juniper)의 논리적인 라우터(logical router)와 같이 블레이드(blade)를 서비스별로 나누어 이용한다거나, 시스코의 고립된 하드웨어 가상 라우터(hardware isolated virtual router)나 고립된 소프트웨어 가상 라우터(software isolated virtual router)가 있다. 물리적으로 하나의 라우터를 쉘프(shelf)나 슬롯(slot)별로 서로 다른 가상 네트워크(virtual network)를 만들어서 구동하거나 VPN 기술의 VRF 테이블 운용을 통한 가상화도 가능하다. 하지만 VPN 기술을 이용할 경우 실패 및 애러에 대해서 고립화가 불가능하다는 단점이 있다. 라우터 가상화는 물리적 라우터를 논리적으로 이용하기 위해 라우팅 프로토콜을 가상 네트워크별로 구동할 수도 있고, 해당 라우팅 정보가 라우터에 설정되고, 프로그램능력과 고립, 안정성, 확장성(scalability)을 갖도록 구현되는 것이 중요하다. 주니퍼에서 논리적인 라우터를 만들기 위해 라우팅과 시스템 제어 및 네트워크 관리를 하는 컨트롤 카드 부분을 JCS1200으로 빼고 매트릭스 구조로 각 물리적 자원을 비즈니스 유닛 단위로 나누며 각각 포워딩 라인 카드에 특정 서비스를 하도록 배분하였다.[6]

스위치 가상화

라우터 가상화의 데이터 플랜 가상화와 유사한데, 오픈플로우 스위치(OpenFlow switch)와 같이 데이터 플랜(data plane)과 컨트롤 플랜(control plane), 서비스 플랜(service plane)을 구별하여 동적으로 가상 네트워크 구축 및 해제가 가능하도록 지원해주면서 p프로그램가능한 기능을 가지고 있다. 오픈플로우 스위치에서 데이터 플랜과 컨트롤 플랜을 나누어 데이터 플랜에서는 컨트롤러에 의해 만들어진 플로우 테이블을 보고 데이터를 전달하고 들어온 프레임과 플로우 테이블을 비교하여 해당 정보가 없을 경우 안정 채널을 통해 컨트롤러로 복사 또는 전달을 통해 프레임에 대한 플로우 테이블을 만들어 전송하는 방법을 이용한다. 스위치 가상화를 이용하게 되면, 클라우드 컴퓨팅이나 미래 인터넷에서 이야기하는 동적인 네트워크 혹은 서비스 제공자의 요구에 따라 자동으로 스위치의 동작을 변경할 수 있다.[6]

보안

VPN의 기본 개념은 터널링(Tunneling)으로 시작 지점에서 목표 지점까지 가상 터널을 생성하고, 생성된 터널을 안전하게 관리하는 암호화, 인증 프로토콜 및 키 관리 프로토콜이 VPN의 핵심 기술이라고 할 수 있다. VPN 터널링 기술에는 계층 2 터널링(L2T: Layer 2 Tunneling)과 계층 3 터널링(Layer 3 Tunneling)이 있다.[7]

터널링

2계층 터널링

OSI 참조 모델에서 데이터링크 계층인 2계층 터널링 기법은 가장 보편적인 형태로 대부분 IPSec 이전의 VPN 기술로 IP나 IPX 패킷을 PPP에 캡슐화한 후, 다시 터널링 프로토콜로 캡슐화하는 형태를 사용한다. 2계층 터널링 기법은 비용면에서 효율적이며, 다중 프로토콜 전송, 원격 네트워크 접속 기능을 제공한다. 그러나 자체적으로 신뢰성 있는 보안 수준을 제공하지 못하므로, 다른 계층의 프로토콜과 복합적으로 사용되는 특성이 있다. 대표적인 예로 PPTP, L2TP, 그리고 L2F와 같은 프로토콜이 있다.[7]

3계층 터널링

3계층 터널링의 대표적인 프로토콜은 IPsec, VTP 등이 있다. 특히, IPSec은 보안에 취약한 IP 프로토콜에서 안정성 있는 서비스를 제공하기 위해 IETF 워킹그룹에서 표준(RFC2401 -2412)으로 제정한 보안 프로토콜로 현재 VPN의 핵심 프로토콜이라 할 수 있다. AH(Authentication Header), ESP(Encapsulating Security Payload)가 제공하는 보안 서비스는 AH는 무결성, 데이터 출처 인증을 제공하며 선택적으로 재연 공격에 대한 보호 서비스도 제공하고, ESP 프로토콜은 암호화를 통한 기밀성과 제한된 트래픽 흐름 기밀성을 제공한다. 또한, 기밀성, 데이터 출처 인증과 재연 공격에 대한 보호 서비스도 제공한다. 그리고 AH와 ESP는 함께 사용되었을 때 접근제어 서비스로 제공한다.[7]

인증

Peer Peer 방식

독립적인 2개의 호스트 간에 요청 및 응답을 통한 사용자 인증을 수행하는 방식으로, PAP과 CHAP이 있다. PAP(Password Authentication Protocol)은 투웨이 핸드쉐이킹(two-way handshaking) 방식으로 인증을 요청하는 호스트에서 사용자ID와 패스워드를 일반 텍스트 형태로 전달한다. 반면 CHAP(Challenge Handshake Authentication Protocol)은 쓰리웨이 핸드쉐이킹(three-way handshaking) 방식으로 인증서버는 호스트로 메시지를 보내면, 호스트는 보안을 위해 해쉬 함수를 사용하여 계산한 값을 보내고 그런 다음 인증서버는 값이 일치하면 인증하는 방식이다.[8]

Client Server 방식

보안 관리 기능에 대해 좀 더 편리하고 유연하게 제공하기 위한 방식으로 TACACS (Terminal Access Controller Access-Control System)와 RADIUS(Remote Access Dial-In User Service)가 있다. 관리운용(TACACS)은 인증에 필요한 사용자ID, 패스워드, PINs 및 암호키 정보를 인증서버에서 데이터베이스 형태로 관리하며, 클라이언트로부터의 인증 요청을 처리한다. 레이디우스(RADIUS)는 사용자 인증 이외에도 사용자 연결 관리를 위해 나스와 연동하여 인증 시스템을 구성한다. 나스(NAS)는 사용자가 네트워크로의 접속을 제공하는 서버 기능을 제공하면서 동시에 레이디우스에 대해 클라이언트 역할을 수행한다. 클라이언트서버 방식은 PAP과 CHAP 인증을 지원하고, 다른 인증 시스템에 대해 프록시(Proxy) 서버 역할도 지원함으로써, Peer Peer방식에 비해 좀 더 유연하고 신뢰성 있는 인증 기능을 제공한다.[8]

동향

VPN 자체는 이미 1997년부터 국내 시장에 소개된 개념으로, 그동안 시장 성장과 고객 확보에 많은 어려움을 겪어왔다. 그러나 최근 기술적으로 IP Sec을 중심으로 어느 정도의 기술 표준에 대한 동의가 이루어지고 있고, 한국통신이나 PSINet등의 ISP 들이 서비스를 본격화할 움직임을 보이고 있어 VPN 시장이 주목을 받고 있다. 한국정보보호센터(KISA)의 자료에 따르면 국내 VPN 시장은 1999년 150억원 규모에서 2000년에는 406억원 규모로 성장한 것으로 추정되고 있으며, 2001년에는 133%의 성장을 하여 950억원 규모가 될 것으로 예상되고 있다. 2000년 VPN 시장은 공공부분을 중심으로 성장되어왔다. 행정자치부와 전국의 시, 군, 구청과 동사무소들은 VPN 구축에 적극적이며, 외교 통상부도 국내 지청을 연결하는 시범 프로젝트를 진행한바 있다. 공공시장에는 국내 VPN 제조 업체들이 적극적으로 진출해 있는 상황이다. 2000년 VPN 만으로 96억원의 매출을 올린 퓨쳐시스템이 공공분야에서 선두기업이며, 한아시스템, 엘지 정보통신, 삼성전자, 세넥스 테크놀로지 등의 후발주자들도 적극적으로 시장에 진출하고 있다. 반면 국내 ISP와 해외 장비업체들은 민간시장을 목표로 시장의 성장을 기다리고 있다. 특히 이들은 최근의 아웃소싱의 개념을 VPN에 도입해 별도의 하드웨어나 소프트웨어의 구입이 필요없는 Managed VPN 서비스를 선보이고 있다. 한국통신은 2000년 3월 enTUM 서비스를 실시하면서 VPN 서비스를 확대하였다. 이들은 특히 노츠호스팅과의 패키지 서비스를 통해 WAN을 통한 개별 어플리케이션 공급보다 비용절감 효과가 우수함을 강조하고 있다. 데이콤은 기존의 원격접속 서비스를 중심으로 Managed VPN 서비스를 제공하고 있으며, 미국, 캐나다, 유럽 등의 해외 원격접속 서비스도 Managed VPN을 통해 제공하고 있다. 유니텔은 유니텔 비즈니스 인터넷(Unitel Business Internet) VPN 이라는 이름으로 서비스를 실시하고 있다. 이들은 특히 향후 각종 무선 네트워크와 기존의 기업 통신망의 통합에 VPN 서비스를 제공할 계획이다.[1]

각주

  1. 1.0 1.1 가상사설망 (V P N )의 국내 시장 동향 백서 - https://www.kisdi.re.kr/kisdi/common/premium?file=1%7C6708
  2. 리눅스&네트워크 , 〈VPN이란?〉, 《티스토리》, 2018-07-21
  3. 김기훈 , 〈VPN 구축 및 정리〉, 《2017 김기훈》, 2017-06-15
  4. Cyberl , 〈VPN과 OpenVPN 사용법〉, 《티스토리》, 2016-12-04
  5. 5.0 5.1 5.2 5.3 5.4 VPN 프로토콜 비교: PPTP vs L2TP vs OpenVPN vs SSTP vs IKEv2〉, 《브이피엔 멘토》
  6. 6.0 6.1 6.2 6.3 6.4 6.5 6.6 네트워크 가상화 기술 동향 백서 - https://ettrends.etri.re.kr/ettrends/126/0905001588/25-6_083_091.pdf
  7. 7.0 7.1 7.2 가상사설망과 전용회선망의 비교 연구 백서 - http://www.kiiect.or.kr/admin/bbs/down.php?code=bal05&idx=5592&no=1
  8. 8.0 8.1 보안측면에서의 가상사설망과 전용회선망의 비교 연구 백서 - http://www.kiiect.or.kr/admin/bbs/down.php?code=bal05&idx=5592&no=1

참고자료

같이 보기


  검수요청.png검수요청.png 이 VPN 문서는 하드웨어에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.