연재순서
1. SSL VPN 엔터프라이즈 원격 접속(이번호)
2. SSL VPN 엔드포인트 보안

이제까지 기업들은 직원들의 내부 네트워크 자원에 대한 원격 접속을 위해 IPSec VPN을 사용해 왔다. 하지만 IPSec VPN은 비용이 비싸고, 설치가 번거로우며, 잦은 장애로 사용자 및 관리자들을 골치 아프게 만들기 일쑤였다. 원래 IPSec VPN은 ‘사이트-투-사이트(site-to-site)’ 통신 암호화를 위해 디자인된 방법으로, 오늘날 급변하는 기업 환경에서 늘어나는 원격 접속 요구들을 만족스럽게 해결하기에는 한계를 드러내고 있다.
IPSec VPN을 사용하는 조직들은 IP 분배, NAT, 제한적인 원격 장비 지원 및 클라이언트 소프트웨어 설치와 관리 등의 문제들로 씨름하고 있다. IPSec VPN을 사용하려면 원격 보안 접속을 위해 특정 소프트웨어를 수동으로 설치하고 설정해야 하는 문제가 있기 때문이다. 이는 공공 시스템이나 모바일 장치로부터 내부의 중요한 자원에 접속해야만 하는 사용자들이 내부 자원으로 원활하게 접속할 수 없게 만드는 원인으로 작용돼 기업에 심각한 어려움을 안겨주고 있으며, 출장 직원의 경우 각각의 출장마다 원격 접속에 적합한 장비를 제공하고 관리해야 하는 일도 발생시켜 관리 비용 역시 증가하게 만들고 있다.
더불어 원격 접속을 제공하는 관리자는 사용자마다 적합한 원격 접속 정책을 제공하기 위해 자세하고 세부적인 보안 옵션을 설정하기를 원하는데, IPSec VPN은 보안 감사 기능이 제한적이며 관리자가 트러블슈팅하기 어렵다는 단점이 존재한다. 이러한 이유로 VPN을 구축 운영하는데 있어 관리자들은 광범위한 원격 접속 지원과 네트워크 보안 및 제한적인 접속 정책 등의 보안 사이의 고민에 처해 있다.

SSL VPN 기업 적용 방법과 특징
한 조사한 자료에 따르면, 오늘날 재택근무 비율은 2005년에 비해 80% 이상 증가한 54%에 달하고 있다. 재택근무 비율이 빠르게 증가하고 있는 것. 이러한 추세에 따라 기업들은 전 세계 어디서든 다양한 디바이스들을 사용해서 기업 내부 자원들을 안전하게 접속하는 솔루션을 찾고 있으며, SSL VPN은 기업의 직원들이 언제든지, 어디에서든, 어떤 장비로든, 쉽게 내부 네트워크 및 애플리케이션 원격 접속을 수행할 수 있도록 함으로써 비즈니스 환경변화에 대응케 하고 있다. 이때 높은 보안성은 물론 기본이며, 관리자들이 원하는 세부적인 권한 설정 및 정책 적용도 가능, 관리자의 고민을 절감케 한다.
SSL VPN은 일반적인 웹 브라우저 기술을 사용해 기업 내 애플리케이션과 데이터에 대한 안전하고 신뢰성 있는 원격접속을 제공한다. 하나하나 클라이언트 소프트웨어를 설치하고 설정하는데 많은 시간을 할애하지 않아도 되며, 또한 서버 단의 애플리케이션을 변경할 필요 없이 손쉽게 구축이 가능한 장점이 있다. 또한 SSL VPN은 완벽한 크로스-플랫폼 환경을 지원, 거의 모든 종류의 IP 애플리케이션과 마이크로소프트의 윈도를 비롯해 애플 맥킨토시, 포켓PC, 리눅스에 이르기는 다양한 클라이언트OS의 원격 접속을 지원한다.
작년부터 본격적으로 적용되기 시작한 SSL VPN은 성능과 보안을 강화하고 사용자 편의성을 고려한 기능을 추가해 계속 업그레이드되고 있으며, SSL VPN을 도입하는 기업들은 점차 증가하고 있다.

전체 네트워크 접속
오늘날 기업에서 일하는 직원들은 회사 내부에서만 일하는 것이 아니라 외부에서도 기업 내부에서와 동일하게 내부 자원을 접속해서 업무를 처리해야 하는 상황이 늘어나고 있다. 영업사원이나 회사 경영진, 나아가 일반 직원의 경우에도 집이나 기타 외부에서 회사의 업무를 처리해야 하는 경우가 많이 생기고 있는데, SSL VPN은 윈도, 맥킨토시, 포켓PC, 리눅스 등 사용자 OS에 상관없이 네트워크 접속을 제공할 수 있다. 이러한 전체 네트워크 접속 방법은 IPSec VPN에 가장 근접한 기능으로 스플릿 터널링과 압축, 시간제한과 프로그램 자동 실행 등의 기본적인 기능들을 함께 지원한다.
관리자들을 위해서 SSL VPN은 특정 네트워크나 포트 접속을 제한해 사용자가 접속할 수 있는 자원을 보호하는 기능을 제공하며, 표준 HTTPS 프로토콜을 사용함으로 인해 기존 IPSec VPN이 지원하기 어려웠던 사설 네트워크와 모든 HTTP 프록시 환경에서 원활한 작동을 지원한다. 표준 HTTPS 기술을 사용하는 또 다른 이점으로는 성능향상이다. SSL VPN은 표준 HTTP GZIP 기술을 이용해 암호화 전 압축된 트래픽을 전송, 데이터의 양을 줄임으로써 성능을 향상시킬 수 있다.
스플릿 터널링을 이용한 네트워크 접속에서는 백도어 공격을 방어하기 위해 다이나믹 방화벽 기능을 제공한다. 이것은 해커가 기업 내부 망으로 클라이언트의 라우팅을 조작해 트래픽을 전송하는 것을 방지함과 동시에 백신 프로그램, 개인 방화벽, 키 로거 등 클라이언트 PC의 프로세스 유무와 OS 패치 레벨, 레지스트리 설정 등을 검사한 후 보안 규정에 맞는 클라이언트PC만 내부 네트워크에 접속하도록 함으로써 보안을 강화한다. 기준에 미달하는 PC는 보안 업데이트 서버로 이동시켜 보안 수준을 높이고 다시 접속할 수 있도록 한다.

공공 시스템으로부터 보안 접속
최근에 기업들은 직원들의 생산성을 향상시키고, 조직 내부와 파트너의 운영 효율성을 증가시키기 위해 웹 기반 애플리케이션, 인트라넷, 익스트라넷 포털 그리고, 웹 메일 시스템 등의 구축에 나서고 있다. 이러한 시스템을 최대한 활용하기 위해서는 직원들과 파트너가 언제 어디서나 해당 시스템에 접속할 수 있어야 한는데, SSL VPN은 이러한 웹 기반 애플리케이션에 대해 다양한 보안 접속 방법을 제공할 수 있다. 포털 접속 기능은 브라우저를 사용할 수 있는 대다수 클라이언트 OS에서 동작하며, 가장 최초의 SSL VPN 방법인 리버스 프락시 방식으로 동작한다.

● 웹 애플리케이션
SSL VPN은 MS 아웃룩 웹 액세스와 로터스 도미노와 같은 웹 서버 연결 시 기업 내부에서 접근하는 것과 거의 동일한 접속을 제공하며, 나아가 그룹 기반의 세부적인 제어까지 제공 가능하다. 예를 들어, 직원들은 모든 인트라넷 사이트에 접속이 가능하지만, 파트너사의 직원은 특정 페이지만 접속하게끔 통제할 수 있다.
웹 페이지를 접속할 때 SSL VPN은 내부의 URL을 외부 URL로 변경시켜 외부에서 내부 네트워크 구조를 알아내지 못하도록 하며, 웹 쿠키를 장비에서 관리함으로써 내부 정보 유출을 최소화한다. 사용자의 로그인 정보는 장비에서 기억하고 있다가 로그인이 필요한 다른 웹 호스트나 애플리케이션으로 자동으로 전달해 로그인을 반복하는 불편함을 덜어주는 것도 가능하며, 기존에 SSO(Single Sign-On)를 위해 ‘사이트마인더(SiteMinder)’와 같은 솔루션을 사용하고 있다면 이를 손쉽게 연동시켜 사용할 수도 있다.

● 파일 서버 접속 / 이메일 접속
SSL VPN을 통해 사용자들은 공유 디렉토리에 있는 파일을 탐색, 업로드, 다운로드, 복사, 이동, 삭제 등을 자유롭게 수행할 수 있다. 윈도NT, 윈도2000의 도메인은 물론, 노벨5.1/6.0과 NFS 서버의 파일 또한 접속할 수 있다. 이 모든 기능은 전부 웹상에서 이뤄지는데, 이메일의 경우는 웹 기반의 보안 POP/IMAP/SMTP 메일 접속이 가능하며, 일반 PC나 모바일 장치의 웹 브라우저를 사용해 메일을 송수신하고, 첨부파일 다운로드 및 업로드를 자유롭게 수행할 수 있다.

● 모바일 장치 지원
SSL VPN은 PDA, 휴대폰 등의 모바일 장치의 이메일 및 기타 애플리케이션으로의 보안 접속을 지원한다. SSL VPN 장비 자체적으로 표시 화면을 모바일 장치에 알맞은 포맷으로 변환시켜주며, 첨부 파일의 전송 및 텍스트나 워드 문서의 미리 보기 또한 지원해 외부에서의 편리한 사용을 지원한다.
SSL VPN은 공공 시스템에서 원격 접속할 경우에 대비한 다양한 보안 접속방법을 제공한다. 예를 들어, 원격 접속 시도 시에 자동실행되는 가상 데스크톱 기능을 통해 허용된 작업 공간 이외에는 파일을 쓰거나 지울 수 없는 보안 작업 공간으로 사용자를 이동시킬 수 있다. 이때 허용된 작업 공간은 임시 공간일 뿐으로 사용자의 원격 접속 세션이 끝나면 모두 삭제된다.
보안 작업 공간을 사용하지 않는 경우에도 캐시 클린업 기능을 사용하면 사용자의 쿠키, 브라우저 히스토리, 자동 완성 정보, 브라우저 캐시, 임시 파일과 원격 접속 세션 중에 클라이언트 PC에 다운로드한 액티브X(ActiveX) 콘트롤까지 모두 삭제할 수 있다. 또한 ‘가상 키보드’ 기능은 비밀번호 필드에 적용돼 키 입력 대신에 가상의 키보드를 클릭해 비밀번호를 입력함으로써 키 로거로부터 사용자의 비밀번호를 안전하게 보호한다. 이에 더해 SSL VPN을 통한 애플리케이션을 접속하는 경우에는 모든 파일을 다운로드할 수 없도록 설정해 혹시라도 중요한 파일이 유출되지 않도록 할 수 있다.
애플리케이션 레벨의 보안기능을 추가로 설명하면, 간단한 웹 방화벽 기능을 들 수 있다. SSL VPN 포털 접속의 경우, 크로스 사이트 스크립팅, SQL 인젝션, 버퍼 오버플로우 등과 같은 애플리케이션 레벨의 공격을 탐지/방어하는 기능이 내장돼 있다. 해당 공격이 감지되는 경우 사용자의 접속은 즉시 차단되며, 관리자의 허가 없이는 더 이상 로그인할 수 없도록 제한된다. 바이러스의 위협은 내장된 백신 프로그램을 사용하거나 ICAP를 통한 외부 백신 프로그램과의 연동으로 업로드를 제어해 이메일 및 파일 서버를 보호한다.

특정 애플리케이션 보안 접속
외부 파트너사의 직원들이 회사 내부의 특정 애플리케이션 접속해야만 할 경우, 즉 내부 개발 서버나 B2B 사이트 등 협업 애플리케이션을 오픈해야 하는 경우에 SSL VPN은 네트워크 단위로 오픈하지 않고 해당 애플리케이션만 접속하도록 설정할 수 있다. 애플리케이션 접속 방법은 크게 ▲애플리케이션이 사용하는 IP와 포트를 조합해 구성하는 방법과 ▲IP와 포트를 지정하지 않고 애플리케이션을 사용하는 클라이언트 프로그램을 다이나믹하게 제어하는 방법 등 두 가지가 있으며, 물론 애플리케이션 접속을 사용하기 위해서는 적합한 인증과 적절한 권한을 먼저 부여받아야만 한다.
추가 기능으로는 SSL VPN은 미리 웹 용으로 정의된 애플리케이션 접속을 제공하며, 지원되는 애플리케이션은 터미널 서버와 VNC, 텔넷과 SSH 같은 레가시 호스트 접속들로 별도의 클라이언트 필요없이 자체 웹 기반 클라이언트를 통해 접속한다.

● 클라이언트/서버 애플리케이션
일반적인 클라이언트/서버 애플리케이션 접속 시 SSL VPN은 SSL 암호화를 사용, 높은 보안성을 제공할 뿐만 아니라 클라이언트에 추가적인 소프트웨어를 설치하거나 설정할 필요 없이 접속할 수 있는 편리성을 제공한다. 이때 애플리케이션에도 아무런 추가 설정이 필요없음은 물론이며, 압축 기능을 사용해 더욱 높은 성능을 발휘할 수도 있다. 이와 같은 방식으로 아웃룩 익스프레스 클러스터와 FTP서비스, 네트워크 드라이브 맵핑 등을 사용할 수 있다.

● 터미널 서버 접속
SSL VPN을 사용하여 웹 기반의 MS 터미널 서비스, 시트릭스 메타프레임 애플리케이션, 윈도XP 원격 데스크톱, VNC서버 등을 사용할 수 있다. 웹 기반에서 동작하므로 클라이언트 PC에 컴포넌트가 설치돼 있지 않은 경우에도 사용이 가능하다.

● 호스트 접속
호스트 접속 또한 웹 기반의 레가시 VT100, VT320, 텔넷, IBM 3270/5250 애플리케이션 등을 지원한다. 웹 브라우저 상에서 자바나 액티브X 형태로 다운로드돼 구동된다.

3A, SSL VPN 중요 구성 요소
SSL VPN도입의 가장 중요한 선택 요소 중 하나가 3A, 즉 인증(Authentication), 권한(Authorization), 감사(Auditing)의 효율적 구현 여부다. 3A는 SSL VPN의 가장 중요한 요소 중 하나로 이의 구현에 따라, SSL VPN의 보안성은 큰 차이를 보일 수 있다.
인증과 관련해서는 가장 기본적으로는 장비 내부의 인터널 데이터베이스를 활용하는 방법이 있고, 기존의 디렉터리 서버가 있는 경우에는 래디우스(RADIUS)나 액티브디렉토리(Active Directory), LDAP을 이용해 인증을 수행할 수 있다. 또 보안 강화를 위해 하드웨어 토큰이나 클라이언트 인증서를 이용한 이중 인증(Two-Factor)을 추가할 수도 있으며, 최근에는 사용자 스스로 인증 방법을 선택할 수 있는 화면 제공이나 자신의 상태에 따라 로그인 방법 등을 선택할 수 있는 방법도 제공된다.
권한의 경우는 보다 복잡한 프로세스를 가진다. 기본적으로 사용자는 자신 또는 자신이 속한 그룹의 권한을 부여받고 해당 권한에 따라 접속이 가능한 자원이 정해지는데, 최근에는 여기에 더해 사용자의 접속 상태에 따라 권한이 부여되는 다이나믹 권한 맵핑 방법이 추가됐다. 다이나믹 권한 설정이란 사용자의 로그인 과정에서 수집된 여러 가지 환경 변수들을 조합해 사용자의 권한을 부여하는 것을 말한다.
예를 들어, 키오스크와 같이 공공의 시스템에서 접속하는 사용자의 경우 사용자의 PC가 보안에 취약하다고 판단되면, 그룹의 권한이 전체 네트워크 접속이라 하더라도 해당 세션에서는 특정 웹 서버와 메일만 사용하도록 제어할 수 있도록 제한하는 것이다. 추가로 로그인 과정 중 회사 보안 정책에 미달하는 클라이언트의 경우에는 자동으로 업데이트 서버로 이동시켜 헬프 데스크의 도움없이 스스로 PC의 보안 수준을 업데이트하게 만들 수도 있다.
감사는 보통 사용자 세션과 접속 정보에 대한 로그로 이뤄진다. 요약 리포트는 일 단위, 주 단위, 월 단위로 제공되며, 접속한 OS의 종류 및 사용한 기능, 웹 사이트 접속, 접속 시간 등의 정보들을 통합해 보여준다.
최근 한 사이트에서는 SSL VPN에서 제공하는 API와 SDK를 사용해 시스템과 시스템, 애플리케이션과 애플리케이션의 보안 접속을 연동시켰다. 애플리케이션은 사용자의 도움 없이 자동으로 내부의 서버와 보안 접속을 시작할 수도 중지할 수도 있었으며, 이를 통해 필요한 시점에 안전한 접속이 가능하게 됨으로 비용과 시간을 절약할 수 있게 됐다. 이것은 SSL VPN이 IPSec VPN보다 유연하게 고객 환경에 적용될 수 있음을 보여준다.
예전에 EP(Enterprise Portal) 솔루션이 처음 시장에 나왔을 때 기업의 활동은 사람(People), 공간(Place), 제품(Thing)으로 이뤄진다는 소개를 들은 적이 있다. 간단히 말하자면 EP는 한 장소에 직원들의 업무를 집중시켜 업무의 효율성을 증대시키는 솔루션이라 할 수 있으며, 여기서의 포인트는 물리적인 공간에서 논리적인 공간으로 이동하는 장소의 개념이다.
웹 기반의 시대에서는 여기에 한 가지가 더 추가가 된다. 바로 접속(Access)이다. 언제 어디서나 어떤 장비로든 접속이 가능한 디지털 신경망의 구축이 바로 그것이며, 이의 대답은 바로 SSL VPN이 될 것이다. 즉, SSL VPN 솔루션은 안전한 네트워크 접속을 지원하는 IT업계 최고의 유비쿼터스 솔루션인 것이다.

데이터넷