[네트워크] VPN이란 ? 정의/ 터널링/터널링 프로토콜(IPSecVPN, MPLSVPN, SSL 등)

VPN(Virtual Private Network)는 의미 그대로 가상 사설망을 의미한다. VPN 이라는 말은 많이 들어봤는데... 가상 사설망이 정확히 뭔지? 왜 쓰는지? 관련 터널링 프로토콜에는 무엇이 있는지? 등을 이론적으로 간단히 알아본다.

 

VPN (출처: Pixabay 무료 이미지)

 

 

VPN(Virtual Private Network) 이란 ?

VPN은 인터넷과 같은 공중망을 마치 전용회선처럼 사용해 보안성을 향상하면서도 사설망을 이용하지 않았기 때문에 비용문제까지 해결한 네트워크라고 보면 된다.

 

예를 들어, 본사가 서울이고 지사가 부산임을 가정할 때, 전용선을 구축하려 한다면 거리에 비례해 막대한 비용이 발생하게 되고 이것은 현실적으로 불가능하다. 이 때, VPN을 사용하면 비용을 절감하는 것은 물론이고 지사의 직원이 본사의 서버와 중요 데이터를 송수신할 경우 공중망 사용시 정보 유출 위험이 있으므로 이것을 방지하기 위해서도 VPN을 사용하게 되는 것이다.

 

vpn (출처: Pixabay 무료 이미지)

 

 

공중망을 통해 데이터가 송수신되더라도 정보 유출이 없도록 라우터 체계를 비공개하고, 데이터를 암호화하고, 사용자 인증 기능을 추가하는 등 다양한 방법으로 보안 기능을 제공한다.

 

- 사설망(Private Network): 특정 조직 내에서만 사용되는 네트워크로 인증된 사용자만이 사용 가능하며 보안성이 우수하지만 설치비용이나 관리비용이 든다는 단점이 존재

- 공중망(Public Network): 인터넷처럼 모두에게 공개된 네트워크로 보안성이 취약함

 

위 그림에 네모난 통로같은 것이 있는데 이것은 VPN을 구성하는 기술 요소 중 하나인 '터널링'이라고 한다. 터널링에 대해서는 아래에서 설명한다.

 

 

VPN 구성 기술 - 터널링

VPN은 터널링부터 시작한다고 보면 된다. 

 

터널링이란 연결해야 할 두 지점간에 마치 터널이 뚫린 것처럼 통로를 생성하는 것을 말한다.  그리고 이 터널은 터널링을 지원하는 프로토콜을 사용하여 구현되고 있으며 사설망과 같은 보안 기능을 제공하게 된다.

 

 

 

경유지를 통하지 않고 두 지점을 바로 연결시켰기 때문에 tracert 명령어를 사용해보면 라우팅 경우지 정보가 아래와 같은 방식으로 출력되지 않게 된다. 아래는 실제 패킷 트레이서를 활용해 터널링하기 전과 후의 변화를 확인해본 것인데 위 IP 구성과 비교해보면 경유지 정보가 출력되지 않은 것을 확인할 수 있다. 보통 터널링되는 데이터를 페이로드(Payload)라고 지칭하며 터널링 구간에서 페이로드는 캡슐화가 된다.

 

 

아래 포스팅은 실제 패킷 트레이서를 활용해 터널링을 구축하여 터널링 전과 후의 변화를 확인해본 것으로 참고해보면 좋을 것 같다.

 

---

관련포스팅

[네트워크] 패킷 트레이서로 직접 확인해보는 VPN 터널링 구축

[네트워크] 패킷 트레이서로 직접 확인해보는 VPN 터널링 구축

 

 

VPN 구성 기술 - 터널링 프로토콜

터널링에 대해 간단히 알아보았으니 이제 이 터널링을 지원하는 프로토콜에 대해 자세히 알아보자.

 

터널링을 지원하는 프로토콜에는 2계층 터널링 프로토콜인 PPTP(Point-to-point Tunneling Protocol), L2TP(Layer 2 Tunneling Protocol), L2F(Layer 2 Forwarding Protocol), 3계층(네트워크) 터널링 프로토콜인 IPSec(IP Security Protocol), MPLS, GRE(Generic Routing Encapsulation) 그리고 추가적으로 7계층(어플리케이션, 정확히는 4~7계층 사이) 프로토콜인 SSL VPN이 있다. 즉, 프로토콜이 적용되는 계층에 따라 2계층, 3계층, 4계층 프로토콜로 나뉘는 것이다.

 

 

 

■ PPTP (2계층)

- MS 사에서 개발한 프로토콜로 페이로드를 암호화하고 IP헤더로 캡슐화하여 전송한다.

- VPN에 비밀번호를 사용해 로그인하게 되는데 보안성이 미약해 요즘엔 거의사용하지 않는 프로토콜이다.

- 하나의 터널에 하나의 연결만을 허용한다.

 

■ L2F (2계층)

- 시스코 사에서 개발한 프로토콜로 TCP가 아닌 UDP를 사용한다는 특징이 있다.

- PPTP와는 다르게 하나의 터널에 여러 연결을 허용한다.

 

■ L2TP (2계층)

- PPTP와 L2F를 결합한 방법으로 PPTP와 캡슐화 방식은 동일하지만 추가적으로 IPSec의 ESP를 도입해 보안 기능을 제공한다.

 

■ IPSec (3계층)

- IPSec은 네트워크 계층의 보안을 위해 IETF에 의해 제안되었으며 VPN 구현에 널리 쓰이고 있다.

- AH(Authentication Header)와 ESP(Encapsulation Security)를 통해 데이터의 인증, 무결성, 기밀성을 제공하며, 전송모드와 터널모드 2가지가 존재한다.

- IPSec을 사용하면 IP 헤더와 페이로드로 이루어져 있는 IP 패킷이 터널 안으로 들어가면서 AH가 추가된 후 캡슐화가 이루어지고 ESP 헤더가 삽입되면서 IP 패킷이 암호화되게 된다.

 

두가지 전송 모드의 차이는, 본문 상단에 링크시켜 놓은 'IPSecVPN의 정의 두가지 모드(전송모드, 터널모드)'를 참조하기 바란다.

 

---

관련포스팅

[네트워크] IPSecVPN의 정의와 두가지 모드(전송모드, 터널모드)

[네트워크] IPSecVPN의 정의와 두가지 모드(전송모드, 터널모드)

 

 

■ MPLS (3계층)

- MPLS는 시스코 사에서 정한 표준 중 하나로 이 MPLS 통신 네트워크를 이용해 VPN을 제공하는 것이 MPS VPN이다.

- 여타 VPN 구조에 비해 도입 및 운영이 간단하고 비용이 저렴하다고 한다.

 

■ SSL (4~7계층)

- 넷스케이프 사에서 만든 프로토콜로 웹서버와 웹브라우저 간의 안전한 통신을 목적으로 한다.

- IPSec과 기능은 거의 동일하나 암호화 방식이나 하드웨어가 불필요한 점 등 차이가 있다.

 

 

VPN 보안 기능

그럼 터널링 프로토콜을 사용한 VPN은 어떤 보안 기능을 제공하고 있을까. VPN은 데이터 기밀성, 데이터 무결성, 데이터 인증, 접근통제 기능을 제공한다.

 

VPN의 기밀성 (출처: Pixabay)

 

■ 데이터 기밀성

- 송수신되는 데이터의 기밀을 지키기 위해 암호화하여 전송한다.

 

■ 데이터 무결성

- 송수신되는 데이터의 내용이 중간에 변경되지 않았음을 보장하기 위해 암호화 및 전자서명을 사용한다.

 

■ 데이터 인증

- 수신한 데이터가 알맞는 송신자에 의해 전송됐음을 보장한다.

 

■ 접근통제

- 인증된 사용자에게만 접근을 허용한다.