연·재·순·서

1. 라우터
2. VPN(이번 호)
3. 인터넷전화
4. 무선랜 구축
5. 다계층 스위치
6. 10기가비트 이더넷

최소 비용으로 최대 효과 VPN ‘주목’

IPSec·SSL 기반 VPN으로 구분 …
원격지에서 안전한 접근 솔루션으로 부각

임보혁
삼성SDS SECL IS팀 과장
airbag11@freechal.com

기업에서 IT투자를 고려할 때 가장 관심있는 이슈중 하나가 원가절감과 보안이다. 이러한 관점에서 최소의 비용으로 최대의 효과를 거둘 수 있는 솔루션으로 VPN이 주목을 받고 있다. VPN은 IPSec과 SSL 기반의 VPN으로 크게 나눌 수 있으며 이번호에는 VPN의 활용 및 구축사례에 대해서 알아본다. <편집자>

※ ‘슈마의 네트워크&보안 따라잡기’ 저자인 필자는 네트워크 엔지니어로 전문지 등에 다양한 네트워크 및 보안 컬럼을 기고하고 있다.

일반 기업에서 IT투자를 고려할 때 가장 관심이 있는 이슈가 원가절감과 보안이다. 기업에서는 생산성과 업무 효율성을 향상시키기 위해 ERP나 CRM을 구축하거나 개선작업을 하고 있다. 또한 이런 시스템을 국내외 영업점 및 협력사까지 네트워크 연결을 통해 실시간으로 구매발주, 생산정보, 일정관리 등의 정보를 공유하고 있다.
그러나 대부분의 협력회사나 국내외지점에서는 ADSL 회선을 이용한 인터넷을 사용하고 있으며 또한 별도의 보안시스템을 위한 투자가 어렵고 IT 관리자 없이 전산관리를 하는 경우가 대다수로 전산수준이 낮은 형편이다. 이런 경우 장비 투자비용도 절감하면서 각 회사나 지점마다 네트워크 구성이 다르더라도 통신이 가능하며, 구매발주 등의 금액과 계약서 등의 중요정보를 안전하게 전송할 수 있어야 한다. 특히 최소의 비용으로 최대의 효과를 거둘 수 있는 솔루션이 필요하다.
이러한 관점에서 볼 때 가상사설망(VPN)이 원격지에서의 안전한 접근 솔루션으로 부각되고 있는 것이다. VPN은 현재 IPSec(Internet Protocol Security) 기반과 SSL(Secure Sockets Layer) 기반의 VPN으로 크게 구분된다.

IPSec VPN 구성 및 활용사례
인터넷과 같은 공용망을 보안이 강화된 사설망처럼 사용하기 위해서 VPN이 이용되며 핵심기술로는 터널링(Tunneling), 암호화, 인증(Authentication)이 필요하다. 터널링 기술은 각 지점간의 네트워크를 구축할 때 ADSL이나 케이블 등과 같은 공중망으로 가상적 터널을 형성해, 전용선(사설망)과 같은 높은 안정성과 보안성을 구현하는 기술이다. 또한 암호화 기술은 VPN 장비에서 통신을 할 때는 모든 데이터를 암호화하는 방식이고, 인증 기술은 VPN에서 접속자의 신원을 확인하기 위해 필요한 기술이다.
IPSec VPN은 네트워크 계층(OSI 참조모델의 3계층)상에서 운영되는 보안 프로토콜을 VPN 하드웨어 장비가 제공해 상대방에서는 VPN 하드웨어를 설치하거나 VPN 클라이언트 소프트웨어로 접속을 하는 방식이다. VPN 클라이언트 소프트웨어 방식은 VPN 서비스 제공업체를 이용할 수 있고 자체적으로 구축할 수도 있다. 구축사례를 보면 대규모 유통체인처럼 국내외 지점이 많고, 이동 근무자들이 많은 경우에는 VPN 하드웨어와 클라이언트 소프트웨어 접속이 유리하다.
<그림1>의 구성은 VPN 하드웨어 및 소프트웨어를 구축한 사례다. 구성을 설명하면 방화벽의 인터페이스는 3개로 구성돼 있다. VPN 매니저가 있는 내부망과 웹서버/협력기관 지원서버가 있는 방화벽 DMZ 구간과 인터넷과 연결되는 외부망이다. 방화벽에는 VPN에서 사용하는 IP와 포트를 등록해 액세스가 가능하도록 하며 또한 내부망 사용자가 방화벽 DMZ 구간의 서버를 액세스 하도록 설정한다.
기타의 경우로 접속시는 차단을 시키는데 예를 들면 외부망에서 내부망 접속을 한다거나 VPN 사용자가 DMZ 구간의 서버를 경유한 후에 내부망을 들어오는 경우다. 또한 VPN 하드웨어(게이트웨이)는 방화벽 DMZ 구간에 위치하며, 임직원/지사 등에서 VPN 클라이언트 및 VPN 하드웨어 접속시에 터널링을 만들어 주는 역할을 한다.
외부 지점에서 여러 명이 동시 접속을 하므로 터널링 수나 섹션 수 등의 장비용량을 잘 산출해 설치해야 한다. 외부망에서 VPN 접속방법은 직원자택 등과 같이 사용자가 적을 경우나 네트워크 구성이 다른 협력회사인 경우는 VPN 클라이언트 사용이 유리하고, 지방지점과 같이 사용자 수가 많은 경우는 VPN 하드웨어를 설치하는 것이 유리하다.
<그림 2>는 별도의 VPN 장비에 대한 투자없이 VPN을 활용하는 방법으로 VPN 서비스 제공업체를 이용하는 경우다. 구성을 보면 가입자와 VPN 서비스 업체간에는 전용회선으로 연결하고 VPN 클라이언트 소프트웨어의 인증과 계정을 받아서 사용하면 된다. 장점으로는 투자비가 저렴해지고 장애 및 설치에 대해 서비스 업체에서 기술지원을 하므로 중소기업이나 협력사가 많은 경우에 유리하다.

VPN 접속 절차
그럼 VPN 서비스업체에서 VPN 클라이언트 소프트웨어 방식으로 사용시의 접속 절차를 살펴보자. 사용자 회사와 VPN 서비스 제공업체간 VPN 사용계약을 체결하고 전용회선으로 연결한 후 VPN 사용자가 회사내의 접속할 서버에 대한 IP 주소와 포트번호를 전달하면 서비스 제공업체의 VPN 장비에 등록한다.
출장이나 자택에서 사용시는 VPN 사용계정을 신청한 후 노트북에 VPN 소프트웨어를 설치하고 인증서를 다운 받는다. 출장지에 가서는 노트북에 랜 케이블을 연결 후 인터넷에 접속한다. VPN 소프트웨어를 실행한 후 <그림 3>과 같이 접속 아이디, 비밀번호와 인증서를 확인한 후 본사 VPN과 접속한다. 접속된 후에는 VPN 업체에 등록된 회사 서버에 접속해 급여정보, 구매정보, 메일 등을 볼 수 있다. 출장시 VPN 소프트웨어를 사용하는 절차는 <그림 4>를 참조하면 된다.

다음으로는 랜 투 랜(LAN to LAN) 방식을 알아보자. 랜 투 랜은 본사와 지방사업장간에 VPN 장비를 설치하는 경우로 지방사업장에 수십명이 인터넷도 사용해야 하고 본사 서버와 접속이 필요하다면 VPN 장비를 설치하는 것이 여러 면에서 좋다.
VPN 소프트웨어 프로그램을 중간에 실행할 필요가 없이 본사와 같은 환경으로 사내 시스템을 접속할 수 있어 편리하다.
또한 해외인 경우는 VoIP를 설치해 본사와 인터넷전화를 사용할 수 있어 통신비도 절감할 수 있다.

<그림 5>는 VPN 소프트웨어와 하드웨어를 설치해 활용하는 사례의 구성도다. 해외지점인 경우는 본사와 업무상 전화 사용량이 많으므로 해외 통화비용을 절감하기 위해 VPN 장비와 VoIP 통합장비를 설치하기도 한다. 한 업체에서 VPN 하드웨어 적용사례를 보면 국내지점 15개소 설치시 전용회선 사용시에는 1년 회선비와 장비가격을 합치면 4.17억원이 소요되나 VPN 장비와 ADSL 회선을 이용해 구축시에는 0.5억원 정도로 8배의 차이가 나며 년간 3.6억원이 절감됐다.
그 후 해외지점에서 한국 본사와 국제전화에 대한 비용이 수백만원까지 발생하는 것을 절감하기 위해 VPN 장비와 VoIP 장비를 설치해 년간 5억원 정도의 통신비를 절감한 사례도 있다. 요새는 대형 유통회사, 무역회사, 대기업 등에서는 VPN을 많이 설치하고 있다.
또한 VPN 장비는 민감하고 중요한 전산시스템의 회선 백업용으로도 사용된다. 금융회사인 경우는 각 지점간의 금융서비스가 장애 없이 진행돼야 한다. 그러기 위해서는 서버, 네트워크 장비, 통신회선 등을 모두 이중화로 구현한다.

<그림 6>과 같이 본사와 지점간의 주 라인은 전용회선으로 구성을 하고, 백업회선으로는 VPN 장비와 ADSL 회선을 이용해 구성하면 통신비가 절감되기 때문에 많이 활용하고 있다. 라우터에는 전용회선이 연결돼 사용되다 전용회선에 장애가 발생하면 VPN 장비에서 신호를 받아 ADSL 회선으로 우회해 데이터를 전송하게 된다.

SSL VPN 구성 및 활용사례
SSL VPN에 대해 알아보자. 기존 VPN은 IPSec 기반이 대세를 이루고 있으나 몇 가지 불편한 사항이 있다. 출장시 현지 컴퓨터에 VPN 클라이언트 소프트웨어를 설치해야 하고, VPN 클라이언트 소프트웨어가 C/S 환경으로 돼 있어서 버전이 업그레이드되면 다시 설치를 해야하는 불편함이 있다. 이러한 불편한 점을 해소할 수 있는 것이 바로 SSL VPN으로 <그림 7>과 같이 익스플로러 브라우저로 간단히 접속해 사용할 수 있다.
SSL은 넷스케이프에 의해 제안됐으며, 현재는 실질적인 웹 보안 솔루션 표준으로 자리를 잡고 있어 익스플로러나 네비게이터 같은 웹브라우저에 기본으로 탑재돼 있다. SSL은 OSI 4, 5 레이어에 위치하는 보안 프로토콜으로 상호 인증, 전자서명 사용, 암호화 등을 이용해 클라이언트와 서버간의 안전한 통신을 제공을 제공하며 RSA 시큐리티의 RC4 알고리즘을 이용한 128비트 암호화를 제공한다.
그러나 OSI 상위계층에 위치해 있어 지원하는 프로토콜이 한정적이고, 사설 IP주소에 대한 지원의 어려움이 있다는 단점이 있다.

<그림 8>은 SSL VPN의 단계별 접속순서를 보면 클라이언트가 서버까지 접속하기까지 여러 단계의 응답확인방식(Handshake)을 사용해 인증(authentication)과 권한부여(authorization) 단계를 거쳐 통신을 하는 것을 알 수 있다.
VPN 장비의 투자비를 비교해 본다면 <그림 9>와 같이 IPSec VPN은 사용자가 증가하게 되면 하드웨어 및 소프트웨어를 신규 구입해야 하므로 추가 투자비가 상승하지만 SSL VPN은 초기 투자비용 이외의 비용이 발생하지 않아 사용자 수가 많은 경우에는 상대적으로 저렴하고, 유지보수할 장비도 상대적으로 적어 유지보수 및 관리가 용이하다.

SSL VPN 도입시 확인 사항
SSL VPN이 신규 도입되면서 확인해야 할 사항은 첫째로는 기존 애플리케이션을 수정하지 않고 서비스 할 수 있어야 한다는 것이다. 실제로 기업내부용(인트라넷, SAP ERP)으로 개발된 애플리케이션은 표준규약을 따르지 않고 개발되는 경우가 있어 SSL VPN 도입시 프로그램 수정작업이 발생할 수도 있다.
둘째로 AAA(Authentication, Authorization, Accounting) 기능을 갖고 있어야 SSL VPN 접속시 사용자 인증 기능을 제공할 수 있다. 접속자가 SSL VPN 접속시에 서버에 대한 접근권한이 있는지, 승인된 사용자 계정인지를 확인해야 한다. 정상적으로 인증과 권한 체크가 끝난 뒤에는 접속되는 서버에 대한 로깅을 기록해 사후 추적이 가능하도록 해야 한다. 또한 외부 인증 서버를 통해 별도의 인증 기능을 제공해야 한다.
셋째는 외부의 수많은 사용자가 인터넷상으로 SSL VPN 서버에 접속하면서 웜바이러스, 해킹에 대해 내부망을 보호할 수 있도록 보안이 강화돼야 한다. 즉 DoS 공격대비, 신 플로드 공격방어, URL 필터링 등과 같은 유해차단 기능을 확보하고 있어야 한다. 마지막으로는 성능, 보안성, 안정성이 확보돼야 한다. SSL은 보안세션 형성시 많은 시간이 소요되는 단점이 있어 초당 SSL 세션수 지원, 동시 세션 지원수, HA 지원여부 등을 확인해야 한다. 위의 표는 IPSec VPN과 SSL VPN에 대한 비교다.

SSL VPN, 점진적인 시장 형성 전망
지금까지 IPSec VPN과 SSL VPN 장비를 이용해 네트워크를 효율적으로 구성하는 방법을 살펴봤다. SSL VPN은 여러 장점이 있으나 현재 IPSec VPN가 보편화 된지 몇 년이 안돼 장비 교체시기가 아직 이른감이 있어 신규투자의 어려움이 있다. 따라서 IPSec VPN 장비의 활성화로 점진적인 시장 형성이 예상된다.
아직 VPN을 도입하지 않았다면 이번 기회에 기술검토를 꼭 하길 바란다. 기타 네트워크와 관련된 질문은 NRC동호회(www.freechal.com/router)에 문의하길 바라며 다음호에서는 VoIP 활용 및 구축에 대해 알아보기로 한다.

관리자를 위한 팁 ① - VPN의 궁금증을 풀어보자

1. VPN을 사용하면 데이터 암호화 작업으로 속도가 많이 저하되지 않나요?
VPN 하드웨어 장비에 암호화 가속칩이 있어 암/복호 연산을 수행토록 한다. 그러나 전용회선과 비교시에는 암호화 작업, 터널링의 캡슐화 등의 여러 작업수행으로 상대적으로 늦다

2. xDSL 회선이 잘 끊어지고 속도도 일정하지 않아서 불안정하지 않나요?
VPN 하드웨어 장비를 보면 xDSL 회선 장애, 트래픽 분산을 위해 여러 개의 ADSL을 연결할 수 있도록 구성돼 있으므로 중요한 사이트인 경우는 회선을 이중화하는 것이 바람직하다.

3. VPN 게이트웨이에 장애가 발생하면 외부 모든 VPN 접속이 안되지 않나요?
업무상 중요한 경우 VPN 게이트웨이 두 대를 병렬로 연결해 장비를 이중화, VPN 한 대가 장애가 발생하거나 한쪽장비에 부하가 많이 걸리는 것을 예방할 수 있다. 또한 VPN 서비스 제공업체를 이용하는 것도 좋은 방법이다

4. VPN 장비는 ADSL 고정 IP를 사용해야 한다던데 회선비용이 많이 들지 않나요?
최근 제품은 유동 IP로도 VPN 게이트웨이간 통신이 가능하므로, 고정 IP서비스 등이 필요없다. 단, NMS에서 VPN 장비에 대한 장애관리를 하는 경우는 고정 IP가 필요하기도 하다.

관리자를 위한 팁 ② - 기업의 VPN 구축 가이드

실제 기업에서 네트워크 구축에 대한 가이드를 알아보도록 하자. 모 기업에서는 VPN 하드웨어 장비를 설치해 국내외의 VPN 하드웨어와 연결을 하고 있다. 또 VPN 서비스 업체와 소규모 지점, 협력사에 대해서는 VPN 클라이언트를 설치해 사내망에 대한 정보를 제공하고 있다. VPN 하드웨어 구입시 무료로 클라이언트 소프트웨어가 지원이 되지만 VPN 장비 이외에 인증서버 등의 투자비가 추가도 소요되고 해외에서 장애 발생시에 24시간 안내 및 접수할 별도의 관리 인력이 필요해 VPN 서비스업체를 이용하기로 한 것이다.

관리자를 위한 팁 ③ - VPN 구성후 문제점에 대한 대책 및 조치방안

구성을 살펴보면 본사에서는 VPN 장비 2대를 설치해 이중화를 했고, 국내외 지점에서 VPN 하드웨어 및 클라이언트 소프트웨어를 사용중이다. 중요한 지점 이외에는 터널링 분할(split tunneling)을 이용해 인터넷 사용시는 ISP로 트래픽이 전달되고, 사내 서버에 접속시에만 터널링을 구성토록 했다. 또한 보안을 위해 VPN 장비에 방화벽을 설치해 로그 모니터링을 하고 있다. 그런데 지점에서 접속시의 사용속도가 자주 늦어지는 문제가 발생해 진단을 했고, 개선안을 작성한 실사례다.