가상사설망(VPN, Virtual Private Network)을 이미 도입한 기업이 도입을 고려했던 큰 이유는 비용 절감, 보안성 향상을 이야기할 수 있는데 그 중에서도 비용 절감을 더 큰 이유로 보는 기업이 많다.
연재 초기에 언급했듯이 지사간의 값비싼 전용선 연결을 저렴한 인터넷 망을 통해 대치하면서 전용선을 사용할 때와 같은 효과를 기대해 투자 비용을 확실히 눈에 보이는 수치로 회수할 수 있는 솔루션이 VPN이다. 이런 지사간의 연결만이 아니라 재택 근무 사용자, 외부 파견자 등의 유동 IP 사용자가 안전하게 자사의 네트워크에 접근할 수 있는 방법을 VPN이 제시해주기 때문에 효율적이다.
VPN의 개요
서두에 말한 바와 같이 사설망을 가상적으로 구현한 방법을 총칭하는 것을 VPN이라고 할 수 있는데, VPN을 구현하는 프로토콜은 PPTP, L2F, L2TP 등과 같은 2계층의 터널링 프로토콜이 있는가 하면, 강력한 암호화 및 다양한 활용 범위를 갖는 3계층 터널링 프로토콜 IPSec이 있다. 또한 SSL을 통한 VPN 구성에도 관심이 높아져 최근에는 SSL 기반의 VPN 장비도 많이 소개되는 중이다. 이 밖에 대역폭 문제, 서비스품질(QoS) 문제 해결 등을 통한 서비스 레벨 관리(SLA) 보장 등이 가능한 MPLS라는 스위칭 기법을 통해 VPN을 구현하기도 한다.
VPN은 그 연결 구성 형태에 따라 크게 원격 접속(Remote Access) 방식과 사이트 대 사이트(Site-to-Site) 방식으로 나누어 볼 수 있다. 사이트 대 사이트 방식을 다시 세분화해 인트라넷(Intranet) 방식과 엑스트라넷(Extranet) 방식으로 나누기도 한다. 인트라넷 방식이 지사간의 연결, 엑스트라넷 방식이 협력사간의 연결로 구분하는 것으로 엑스트라넷의 경우 자원의 접근 권한에 대한 세부적인 보안성이 좀 더 중시된다는 점이 특징이다. 그럼 연결 구성 형태에 따른 원격 접속 방식과 사이트 대 사이트 방식에 대해 간단히 알아보도록 하자.
원격 접속 방식은 사용자 개인이 특정 네트워크에 연결하고자 하는 경우다. 예를 들어 영국에 존재하는 협력 업체에 출장 나가 있는 사용자 혹은 재택근무자가 본사에 접속해 작업하고자 할 때와 같은 경우가 여기에 해당된다. 이 경우 VPN 종단점은 외부에 나가 있는 사용자의 시스템과 본사 VPN 게이트웨이 장비다.
사이트 대 사이트 방식은 대상 네트워크 전체간의 연결인 경우다. 한국에 본사를 가지고 있으며 미국 지사를 가지고 있는 A사의 경우를 예로 들 때, 본사 네트워크와 미국 지사 의 연결에서 구성된 VPN과 같은 경우가 여기에 해당된다. 이 경우 VPN 종단점은 본사 VPN 게이트웨이 장비와 미국 지사 VPN 게이트웨이 장비다.
그리고 이러한 각각의 방식을 구현할 수 있는 터널링 프로토콜은 다음과 같다.
방식 | 구현 가능한 터널링 프로토콜 | ||
원격 접속 방식 | PPTP, L2TP, IPSec, SSL 등 | ||
사이트 대 사이트 방식 | IPSec, MPLS 등 | ||
물론 VPN을 구현할 수 있는 터널링 프로토콜은 다양하며, VPN이라는 개념이 애초에 앞서 말한 것과 같이 사설망의 효과를 구현할 수 있는 방법들을 총칭할 수 있기 때문에 굳이 암호화 기법이 적용돼야 한다는 제약 사항이 있는 것은 아니다. 예를 들 때 MPLS VPN과 같은 경우는 기본적으로 암호화를 적용해 구현되는 것은 아니며 다만 프로토콜 자체적인 레이블링을 통해 앞서 말한 기밀성과 타인이 중간에 침입하는 것을 막을 수 있다.
VPN 도입 이전 고려 사항
· VPN 연결 방식 선택
우선 디자인 단계에서 가장 먼저 자사에 원격 접속 방식의 연결이 필요한 것인지, 사이트 대 사이트 방식의 연결이 필요한 것인지 조사가 필요한데, 그 이유는 앞서 언급했듯이 어떤 방식의 연결이 필요한지에 따라 구성 가능한 프로토콜이 다르기 때문이다.
· 원격 접속 방식에 대한 고려 사항
원격 접속 방식의 경우는 외부에 나가 있는 근무자나 파견자가 자사에 접속해 여러 가지 작업을 수행할 수 있도록 돕는 방법이다. 이 때 근무자가 사용하는 시스템에는 VPN 클라이언트 프로그램을 설치해 사용하게 되며, 자사에 접속할 때 이러한 클라이언트 프로그램에 포함된 NIC 드라이버가 패킷에 대한 캡슐화를 통해 터널링을 수행하게 된다. 따라서 자사의 사용자들이 사용하는 운영 체제가 어떤 것이 있는지 조사가 필요하다. VPN 클라이언트 프로그램이 해당 운영 체제를 지원해야만 하기 때문이다.
최근에는 VPN 클라이언트 프로그램 없이도 원격 접속 접근을 구현해 줄 수 있도록 SSL 방식의 VPN에 대한 관심이 높아지고 있다. 하지만 SSL 방식의 VPN 역시 100% 클라이언트에 설치될 프로그램이나 운영 체제로부터 자유로운 것은 아니며, 사용자의 웹 브라우저에 따라 지원 여부가 다를 수 있으니 주의해야 한다. 또한 SSL 방식의 VPN의 경우 IP 계층에서 터널링을 수행하는 IPSec보다 상위 계층에서 터널링을 수행하기 때문에 지원하지 않는 상위 프로토콜이 있을 수 있어 이것도 고려해야 한다.
또한 얼마나 많은 사용자가 원격 접속을 필요로 하는지에 대한 수요 조사가 필요하다. 많은 수의 사용자가 접근돼야 한다면 TACACS+나 래디우스(RADIUS) 프로토콜을 사용하는 인증 서버와의 연동도 고려해 볼 만 하다.
· 사이트 대 사이트 방식에 대한 고려 사항
이 경우 얼마나 많은 지사, 협력사와의 연결이 필요한지가 우선적인 고려 대상이 된다. 또한 만약 이미 다른 지사에서 VPN 장비가 있다면 그 장비와의 호환성 문제도 검토 대상이 된다. 특히 사이트 대 사이트 방식의 연결의 경우, 이미 전용선 등을 통해 지사간의 사설망 연결이 구성돼 있는 경우가 많기 때문에 전용선 비용 검토와 VPN 장비 도입 및 관리 비용을 적절히 비교 검토해 최적의 TCO 절감을 기대해야 한다. 또한 사이트 대 사이트 연결만이 필요한 경우라면 MPLS VPN도 고려할 만 하다.
· VPN 모듈 형태에 대한 고려 사항
VPN 모듈은 일반적으로 라우터 장비의 추가적인 모듈 형태, 방화벽 장비의 추가적인 모듈 형태, VPN만을 위한 전용 장비 총 세 가지 형태로 존재한다. VPN을 고려한 성능과 기능, 확장성을 통해 세 가지 중 어느 것을 사용할 것인지 결정이 필요하며, 단지 한 두개의 지사와 간단히 연결되는 경우라면 라우터 장비의 추가적인 모듈 형태나 방화벽 장비의 추가적인 모듈 형태로도 충분하다. 하지만 여러 개의 지사와 연결이 필요한 경우 혹은 여러 명의 사용자가 VPN을 이용해야 한다면 VPN 전용 장비의 도입을 고려해야 한다.
· 관리 인력에 대한 고려 사항
VPN 장비는 네트워크 보안 장비이므로 이것을 지속적으로 관리할 인력에 대한 검토가 필요하다. 자사에 그러한 관리 가능한 인력이 있는지 확인해야 하고 자체 인력으로 해결을 할 것인지, 아니면 아웃소싱을 통해서 해결할 것인지에 대해서도 도입 이전에 고려해야 한다.
초기 장비 도입 및 관리 인력의 투입, 교육 비용 등이 부담스럽다면 매니지드 VPN 서비스를 통해, 즉 전문적으로 VPN 서비스를 제공하는 업체를 통해 초기 투자 비용 및 선정 과정의 어려움을 해결하는 것도 염두해 둘 필요가 있다.
VPN 도입 시 고려 사항
이제 도입 이전 단계에서 어느 정도의 디자인을 마쳤다면 실제 도입을 위해 여러 가지 사항을 고려해야 할텐데, 대표적인 고려 사항은 <표 1>에 정리한 것과 같다. 물론 이 밖에도 자사의 환경에 따라 고려해야 할 사항이 있을 수 있다.
VPN 구축 시 고려 사항
· 구성상의 배치 문제
앞서의 검토 단계에서 VPN 전용 장비로 구성하기로 했고, 이미 방화벽도 도입하고 있다면 여러 가지 방법의 구성 배치가 가능하다. 대표적인 방법은 <표 2>와 같다. 자사의 환경에 맞는 적절한 방안으로 구성할 필요가 있다.
· 접근 제어 보안 정책
VPN 역시 관문 장비로서 방화벽 수준의 필터링은 아니더라도 기본적인 패킷 필터링은 수행할 수 있다. 따라서 기본적으로 어떠한 트래픽을 명시적으로 허용할지, 거부할지를 정해야 한다.
또한 사용자별로 접근 가능한 시스템 자원을 제한할 수 있으며 지사별, 협력사별로도 제한할 수도 있다. 이런 점을 크게 고려하지 않고 사용하는 기업의 경우 VPN을 통해 들어오는 트래픽에 대해서는 별도의 접근 제어 없이 허용하는 경우도 보게 된다. 한층 더 뛰어난 보안성을 고려한다면 VPN 사용자에 대해서도 패킷 필터링 적용을 통해 사용 가능한 자원을 적절히 제한할 필요성이 있다.
· 원격 접속 사용자를 위한 보안 정책
원격 접속 사용자가 자사의 보안상 위협이 될 수가 있다. 왜냐하면 그러한 사용자가 사용하는 시스템은 보통 자사의 보안 정책을 적용 받지 않는 범위 밖에 있기 때문에 쉽게 해킹이나 웜, 바이러스 등에 노출될 수 있다. 그러한 침해된 사용자가 자사 내부 시스템에 대한 터널링을 성립할 경우 이 사용자의 시스템은 자사 내부에 침투하기 위한 우회 경로로서 악용될 수 있다. 따라서 원격 접속 사용자를 위한 적절한 보안 정책 수립이 반드시 필요하다.
이러한 보안 위협이 이슈화된 것은 오래됐기 때문에 많은 VPN 클라이언트가 자체적인 서버 방화벽 기능을 내장하고 있다. 관리자는 원격 접속 사용자가 사용하는 VPN 클라이언트에 이러한 자체 방화벽 기능을 필수적으로 적용해야만 하도록 설정할 수 있다.
또한 원격 접속 사용자 접속 시에도 일회용 패스워드(One Time Password) 시스템과 같은 것과 연동해 보안성을 극대화할 수도 있으나 그만큼의 투자가 필요하므로 적절한 비용 대비 보안성을 고려해야 한다. 
