브라우저만 있으면 ‘원격 보안 액세스 OK!’
IPSec과 터널링 VPN은 빈틈을 노리는 시선을 막아주기는 하지만 이러한 설정에는 몇 가지 고유의 문제점이 있다. 즉 VPN은 보통 NAT(Network Address Translation) 통과, 터널내 트래픽용 액세스 제어, 그리고 클라이언트 관리 문제로 씨름하고 있다.
고려해 볼만한 제품들
여기에 대한 한 가지 대안으로 이제 SSL VPN(Secure Sockets Layer VPN)을 고려해 봐야 한다. SSL VPN은 IPSec이나 PPTP VPN과 연관된 거의 모든 문제를 제거해준다. 하지만 SSL VPN이란 이름은 다소 문제가 있다. VPN은 보통 원격 클라이언트를 보호되는 네트워크에서 하나의 노드로 설정하며, SSL VPN은 원격 사용자를 위해 보호되는 자원들에까지 보안 액세스를 확장해주기 때문이다.
또 한 가지 장점은 사용자가 웹을 통해 네트워크로 접속한다는 것이다. 여기서는 브라우저가 클라이언트가 되며 사용자가 필요한 모든 것이 쉽게 사용 가능하다. 그리고 포트 443을 통한 SSL은 거의 어디에서나 허용되기 때문에 원격 사용자가 기업 자원으로 액세스할 수 없게 될 가능성은 거의 없다.
하지만 실생활에서의 다른 모든 것과 마찬가지로 들인 돈 만큼 얻게 되는 법이다. 우리 계산에 따르면 SSL VPN의 사용자당 평균 가격은 전통적인 VPN 설정에 지불하는 사용자당 40~75달러 이상이다. 그러나 주머니가 좀 더 두둑한 회사라면 이동성의 향상과 지원 및 유지보수비용의 절감 면에서 이런 제품들을 고려해볼 가치가 있다.
SSL VPN 테스트에는 어레이 네트웍스(Array Networks), 아스펠리(Aspelle), 아벤테일(Aventail), 시트릭스 시스템즈(Citrix Systems), F5 네트웍스, 네오테리스(넷스크린이 인수; Neoteris), 네틸리아 네트웍스(Netilla Networks), 노키아(Nokia), 노벨(Novell), 노텔 네트웍스(Nortel Networks), 포트와이즈(PortWise), 레인보우 테크놀로지스(Rainbow Technologies), 세이프웹(시만텍이 인수; SafeWeb) 및 웨일 커뮤니케이션즈(Whale Commun ications) 등 14개 업체들이 초청됐다.
노벨은 테스트가 너무 많은 제품들에 걸쳐 있다고 거절을 했는데, 예전에는 한 번도 문제가 된 적이 없었던 이유였다. 아스펠리는 참가에 응답을 하지 않았으며, 시트릭스는 여분의 하드웨어를 장만할 수가 없다고 말했다. F5는 이제 막 유롬(URoam)의 인수를 끝낸 시점으로 제품 발표를 앞두고 있다고 이해를 구했으며, 네틸리아도 또한 제품 개정판을 준비 중이라고 밝혔다. 그리고 레인보우는 테스트용으로 맞지가 않다는 이유를 들었다. 하지만, 이들을 제외하고도 막강한 경쟁력을 갖춘 제품들을 두고 우리는 테스트를 할 수가 있었다.
에디터즈 초이스는 네오테리스 액세스 시리즈 5000에게 돌아갔는데, 그 이유는 이 제품이 풍부한 구성 옵션과 좋은 인증 및 액세스 제어 기능, 그리고 괜찮은 애플리케이션 지원을 갖춘 완벽한 사양의 제품이었기 때문이다. 넷스크린 테크놀로지스에서 최근 네오테리스의 인수한 것을 주목하라. 넷스크린의 그늘 아래서 이 제품이 어떻게 성장하게 될지를 지켜보는 일도 흥미로울 것 같다.
SSL VPN 셋업
테스트하고자 했던 제품은 SSL을 통해 웹 및 비 웹 애플리케이션으로의 보안 액세스를 제공하는 것들이었다. 게다가 이런 제품들은 다양한 액세스 및 애플리케이션 니즈가 있는 500명의 동시 사용자를 지원해야 했으며, 최신 브라우저, 특히 넷스케이프 내비게이터와 인터넷 익스플로러를 지원해야 했다.
원격 사용자들이 액세스할 필요가 있는 상당수의 애플리케이션들은 웹 지원이 되지 않기 때문에 원격 데스크톱에서의 클라이언트 지원은 위험할 수 있으며 네트워킹 문제가 종종 돌출될 것이다. 웹 지원이 아닌 애플리케이션들 가운데는 SMTP, POP3 및 MAPI 등과 같은 일반적인 메일 프로토콜을 사용하는 것들과, 텔넷 및 VNC와 같은 원격 쉘 프로그램들이 있는데, 이들도 또한 암호화가 돼 있지 않다. 전형적인 VPN에서는 이런 애플리케이션들로의 외부 액세스를 거부하거나, 혹은 일종의 암호화 기술을 이용해서 비신용 네트워크를 통한 트래픽 전달을 보호할 수 있다.
비 웹 애플리케이션에서는 클라이언트 프로그램이 있어야 하거나, 혹은 의도했던 목적지에서 SSL VPN 게이트웨이로 네트워크 트래픽의 방향을 조정해주는 액티브X나 자바 애플릿을 원격 사용자의 컴퓨터에서 다운로드 혹은 실행해야 한다. 클라이언트 애플리케이션은 원격 사용자의 컴퓨터 로컬 호스트 어드레스의 접속을 받아들이는 로컬 프록시 서버로 SSL VPN 게이트웨이를 통해 SSL VPN에서 목적지 서버로 트래픽을 프록싱한다. 액티브X나 자바 애플릿 지원이 요구되며, 이들을 실행하는 브라우저에서의 허가도 또한 필요하다. 자바 지원을 위해서는 보통 JRE의 최소 버전이 필요하다. 회사 소유의 컴퓨터들에서는 문제가 되지 않겠지만 공중 키오스크에서의 액세스는 잘해야 드문드문한 수준일 것이다.
다음 장애는 원격 사용자 애플리케이션이 로컬 호스트 프록시와 대화하게 만드는 일이다. 사용자가 애플리케이션에서 목적지 서버를 재구성해야 하는 일은 피하고 싶을 것이다. 애플리케이션이 프록시 리스너와 얘기할 수 있게 설정하는 가장 일반적인 방안은 DNS를 이용해 호스트 이름을 로컬 호스트 프록시 주소로 풀어주는 것이다. 이렇게 하는 데는 두 가지 방법이 있다. SSL VPN 클라이언트 애플리케이션이 로컬 호스트 파일을 역동적으로 변경할 수 있게 함으로써 호스트 이름이 로컬 호스트 어드레스로 풀리는 방법이 있다. 이것은 잘 작동하겠지만 그 파일을 만들기 위해서는 사용자가 관리자 권한을 갖고 있어야 한다.
또 한 가지, 프록시 리스너나 컴퓨터가 고장났을 때 로컬 호스트 파일이 복구되지 않을 것이며 이로 인해 호스트 이름 해독 문제가 야기될 수 있다는 것이다. 우리가 컴퓨터 전원을 껐다가 다시 켰을 때 호스트 파일을 원래의 상태로 복구시켜준 것은 세이프웹과 웨일의 제품뿐이었다.
두 번째 방법은 호스트 파일 변경에는 더 적당한 것으로, 기존의 DNS 서버를 이용해 호스트 이름을 로컬 호스트 어드레스로 해독하는 방법이다. 이를 위해서는 외부 DNS 서버에서 외부 호스트용 기록들을 보관하고 내부 DNS 서버에서 내부 호스트용 기록들을 보관하는 분할 DNS 구성이 필요하다.
인증과 액세스 제어
제품들이 기존에 인증용으로 있던 액티브 디렉토리 및 RSA ACE/서버를 지원하리라는 기대는 많이 어긋나지 않았다. AD에 대한 인증은 마이크로소프트의 NTLM(NT LanMan)이나 LDAP를 통해 이뤄졌으며, 시큐어ID 토큰을 이용한 ACE/서버에 대한 인증은 네이티브 ACE 클라이언트나 래디우스(RADUS)를 통해 이뤄졌다. 놀랍게도 웨일 커뮤니케이션즈의 이갭 리모트 액세스(e-Gap Remote Access)만이 NTLM을 이용해 우리 도메인에 인증을 할 때 사용자 그룹 멤버십을 풀링할 수 있었다. 다른 모든 제품은 AD에 대해 LDAP를 사용했다.
어레이 네트웍스의 어레이 SP가 그룹을 모으는 데 래디우스 인증만을 지원한다는 사실도 놀라웠는데, 이는 곧 우리가 래디우스 구성을 변경하고 클리어 텍스트 PAP(Password Authentication Protocol)를 사용해야 한다는 것을 의미하기 때문이다. 좋은 전략이라고 볼 수는 없는 것이 PAP 인증은 공격자가 래디우스 인증 프로세스의 냄새를 맡을 수 있을 때 억지 공격에 취약하다. 래디우스를 사용할 때 유일하게 확실한 한 가지 선택은 일회용 패스워드에 대한 사용을 제한하는 것이다.
일단 사용자가 보안 접속을 확보하면 사용자는 액세스 제한 정책에 의해 경계가 지워져야 한다. 모든 제품이 인증과 그룹 멤버십을 이용한 기본적인 기능을 제공했지만 액세스 제어에는 정밀성이 생명이며 정밀한 액세스 제어를 제공한 곳은 노키아 시큐어 액세스 시스템뿐이었다. 이 제품의 액세스 제어는 소스나 목적지 IP 어드레스, URL, 사용자 이름이나 그룹 멤버십, 시간, 그리고 세션에 관련된 다른 아이템들 등 사전에 지정할 수 있는 변수들을 기반으로 이뤄질 수 있다. 게다가 사용자 시스템에서의 파일과 프로세스를 검색하는 클라이언트 무결성 스캔을 통해 이 시스템은 로컬 구성을 기반으로 변수들을 설정한다.
예를 들어 사용자에게 바이러스 스캐너가 없으면, 사용자에게는 파일 서버로의 파일 업로드가 허용되지 않는다. 이것이 바로 내부 자원을 보호하면서 원격 사용자에게 시행하고 싶은 정밀 액세스 제어일 것이다. 하지만 액세스 제어와 복잡성은 서로 맞물려 있다. ACL(Access Control List)을 구축하기는 힘들며 액세스 거부를 잘못하게 되기가(혹은 더 나쁜 경우 이것을 허용하게 되기가) 쉽기 때문이다.
포털 페이지
테스트한 제품들이 제공한 포털 페이지에서는 사전 지정된 링크 이외에도 많은 것들을 제공했다. 네오테리스, 노키아 및 노텔의 제품에는 풍부한 구성 옵션들이 있어 포털을 맞춤화할 수 있게 배려했다. 아마도 한 사용자 그룹에는 일부 내부 링크로의 액세스만을 주면서 다른 그룹에는 내부 자원으로의 자체 링크를 만들 수 있게 허용하고도 싶을 것이다. 관리 콘솔에서 모든 포털 옵션들을 관리할 수 있어야 하며, 네오테리스, 노키아 및 노텔의 포털이 바로 이런 경우에 해당했다.
하지만 데이터는 로컬 컴퓨터에서 캐싱되기 때문에 사용자 세션이 종료되거나 브라우저 창이 닫히면 이것이 확실하지 않을 수도 있다. 내부 데이터가 공중 시스템이나 보호되지 않는 랩톱에서 캐싱되기를 원치는 않을 것이다. 그리고 모든 애플리케이션에서 ‘HTTP 노 캐시(no cache)’ 지시를 적절히 규정해 둔 것도 아니다. 최소한 SSL VPN 게이트웨이에서라도 노 캐시 옵션을 지원해야 한다. 애플리케이션 와이퍼(application wiper: 테스트한 제품들에서는 액티브X 제어)들은 원격 시스템에서 데이터와 쿠키를 제거할 수 있는 삭제 옵션을 제공한다. 그러나 이들은 특정 로케이션에서 캐싱된 콘텐츠를 삭제하도록 구성될 수 없을 경우에는 그 가치가 제한된다. 웨일 커뮤니케이션즈는 이러한 기능을 제공하고 있다.
이제 캐시 제어에 있어서 마지막 항목이 남았다. 웨일즈 제품을 포함한 일부 제품들은 애플리케이션 와이퍼가 설치될 수 없을 경우 원격 사용자로의 액세스를 거부하도록 구성될 수 있다. 브라우저가 플러그인을 지원하지 않거나, 혹은 사용자가 그 플러그인을 실행할 수 있는 권한을 갖지 않는 것이다.
