VPN 개요 및 기술 분석

시그엔 정보보안기술팀

VPN, 안전한 통신 환경의 대안

IT 시장의 전반적인 침체에도 불구하고 시장에서 호평을 받으며 활발히 도입되고 있는 솔루션을 꼽는다면 단연 VPN(Virtual Private Network, 가상사설망)이 그 선두에 있다. VPN 기술은 그 기본 개념이 소개된 이후로 뛰어난 비용절감 효과와 보안 신뢰성을 무기로 꾸준히 그 영역을 넓혀갔다. 특히, 국내 환경은 전세계적으로 가장 발달된 xDSL 인프라를 기반으로 브로드밴드(Broadband) VPN 솔루션이 활발하게 도입되고 있다. 이러한 시점에서 기업 환경 VPN 실전 구축 가이드라는 주제로 총 4회에 걸쳐 VPN의 기본 개념과 특징, 구현기술 등을 살펴보자. 또한 기업 환경에서 VPN을 구축할 때 필수적인 가이드라인과 VPN의 과거와 현재, 차세대 VPN 솔루션의 기술과 전망, 그리고 주요 분야에서의 적용 성공사례 등을 소개하고자 한다.

시그엔 정보보안기술팀(박광청 과장, 이규호 대리, 조은영 대리)

연재목차
1회(이번호) VPN 개요 및 기술 분석
2회(2004년 2월호) VPN 구성 사례
3회(2004년 3월호) VPN 실전 구축 가이드
4회(2004년 4월호) VPN 미래와 향후 전망

VPN 개요

전 세계적으로 인터넷과 네트워크 환경이 급성장하면서 각 기업체나 조직의 비즈니스 영역도 전통적인 오프라인에서 온라인 환경으로 급속히 변화했다. 이는 곧 수많은 전산 자원의 도입과 이들 간의 물리적, 논리적 연결이 필요하게 되었다. 이러한 환경 변화에서 본사와 지사 간의 연결 시 필연적으로 발생하는 비용 문제와 보안 문제를 동시에 해결하고 신뢰성 있는 통신을 위한 대안으로 VPN이 각광받고 있는 것이다.

VPN은 인터넷과 같은 공중망(Public Network)을 이용해 사설 전용망의 효과를 얻는 기술로서, 이를 구현하기 위한 하드웨어 및 소프트웨어의 집합체라 정의할 수 있다.

VPN은 현재 IT 기술 중에서 가장 주목받고 있는 기술 중 하나인데, 실제 그 개념과 역사는 짧지 않다. 그러나 과거에는 각 제조사별로 독자적인 VPN 기술을 선보였기 때문에 표준화가 진행되지 않았고, 무엇보다 VPN 기술의 안정성과 성능이 충분히 검증되지 않아 그리 활발하게 도입되지 않았다.

반면 최근에는 VPN 기술이 IPSec(IP Security) 프로토콜로 표준화되고, 많은 도입 기업에서 VPN의 보안성과 신뢰성이 검증됨에 따라 원격지 네트워크를 안전하고 비용 효율적으로 연결할 수 있는 솔루션으로 인정받기 시작했다. VPN이 현재 시장에서 각광받으며 폭넓게 도입되고 있는 주요 이유는 다음과 같다.

■ 비용 절감 : VPN은 낮은 비용으로 고비용의 전용선을 대체함으로써 비용 절감 효과가 탁월하다.
■ 신뢰성 있는 보안 통신 지원 : VPN은 표준화된 기술로서 개방적인 인터넷 하부 구조와 암호화 및 인증 프로토콜을 이용하여 전송되는 모든 데이터에 대해 신뢰성 있는 통신을 보장한다.
■ 다양한 환경에 유연한 적용 가능 : 기업의 비즈니스 영역이 확장됨에 따라 비즈니스 파트너나 고객과의 상호 접속 요구도 지속적으로 증대하고 있는데, 기업 네트워크가 인트라넷(Intranet), 엑스트라넷(Extranet)으로 확장되더라도 VPN은 유연한 적용이 가능하다. 이와 함께 점차 증가하는 재택 근무자나 파견 근무자는 물론 무선 단말기를 이용하는 모바일(Mobile) 접속 요구도 수용할 수 있다.
■ 타 보안 장비와 상호 운영성이 뛰어남 : VPN은 침입차단시스템(Firewall)이나 침입탐지시스템(Intrusion Detection System : IDS) 등의 타 보안 장비와 상호 운영성이 뛰어나며, 이들 솔루션과 통합되어 더 높은 수준의 보안체제를 구축할 수 있다.

VPN 분류

가) 접속 방식에 따른 분류

VPN은 접속 방식과 그 범위에 따라 인트라넷 VPN, 엑스트라넷 VPN, 그리고 원격 접속 VPN으로 분류할 수 있는데, 오늘날 실제 업무 환경에서는 각 방식이 혼재하고 있는 경우가 많다.

인트라넷 VPN : 인트라넷 VPN은 본사와 지사 간 네트워크 연결에 VPN을 적용한 것으로 원격지 접속(Site-to-Site) VPN 형태이다. 전사적으로 일관된 VPN 보안 정책 적용이 가능하다는 장점이 있다.

엑스트라넷 VPN : 엑스트라넷 VPN은 본사와 사업 파트너 혹은 고객 간의 네트워크 연결에 VPN을 적용한 것으로, 비즈니스 영역 확대나 기업 간 인수합병(M&A) 등으로 인해 최근 많이 도입되고있는 구성 방식이다. 엑스트라넷 VPN은 서로 다른 조직 간의 신뢰를 기반으로 하므로 보안 정책이나 설정상 오류로 인한 위협 등에 주의가 필요하다. 특히, 이기종 장비들 간에 VPN을 구성하는 경우가 많으므로, 실제 도입에 앞서 장비 간 호환성이나 정책 설정, 운영상 이슈 사항에 대한 검증 등 다소 복잡한 절차가 따른다.

원격 접속 VPN : 원격 접속 VPN은 본사와 원격지의 허가 받은 사용자 간의 네트워크 연결에 VPN을 적용한 것이다. 사용자들은 VPN 클라이언트 소프트웨어와 다이얼-업(Dial-up) 혹은 xDSL 접속을 이용해 안전하게 본사 네트워크에 접속한다.

최근에는 이러한 원격 접속 VPN의 번거로움을 대체할 수 있는 솔루션으로 SSL (Secure Socket Layer) 기술을 응용한 SSL VPN이 주목받고 있는데, 이에 대해서는 차후 연재에서 상세히 살펴보기로 하겠다.

나) 적용 방식에 따른 분류

VPN 적용 방식에 따른 분류는 이미 도입된 장비에 추가로 VPN 기능을 구현하는 방식과 전용 장비를 이용하는 방식, 그리고 별도의 관리 서비스(Managed Service)를 이용하는 방법 등이 있다.

침입차단시스템 기반 VPN 적용 : 기존에 도입된 침입차단시스템에 소프트웨어나 하드웨어적인 방법으로 암호화 모듈을 추가하여 VPN을 구현할 수 있다. 이 경우 별도의 장비 도입 없이 VPN 구성이 가능하므로, 관리 일원화와 비용 절감의 장점이 있다. 하지만 동일 기종 시스템에서만 구현이 가능하고, VPN 프로세스의 암호화/복호화 처리에 따른 부하로 인해 침입차단시스템 기능 자체가 영향을 받을 수 있으므로 트래픽 부하가 많은 곳에서는 권장하지 않는 방법이다. 대표적인 예가 체크포인트 방화벽에 암호화 모듈을 추가하여 VPN을 구성하는 것으로 현재 출시되는 대부분의 침입차단시스템은 이러한 방식을 지원한다.

라우터 기반 VPN 적용 : 라우터에 암호화 처리를 할 수 있는 소프트웨어나 하드웨어 모듈을 추가하여 VPN을 구성할 수도 있다. 이 경우에도 별도의 장비 구매 없이 VPN 구성이 가능한 장점이 있으나, VPN 프로세스로 인해 라우팅 기능 자체가 성능 저하될 수 있다는 점이 단점이다. 대표적으로 시스코 라우터의 IOS 기반에서 소프트웨어적으로 VPN을 구현하거나, 별도의 하드웨어 암호화 모듈(VPN Encryption Card)을 추가하여 VPN을 구현하는 것이다. 현재 출시되는 대부분의 시스코 라우터는 이러한 기능을 지원한다.

VPN 전용 장비 : 현재 가장 일반화된 방법으로 높은 VPN 성능과 안정성을 보장할 수 있다. 특히, 다중 터널링(Multi-Tunneling)이나 클러스터링(Clustering)을 이용한 고가용성(High Availability : HA) 구성 및 회선 이중화와 같은 다양한 고급 기법 구현이 가능하다. 대표적인 예로 노키아의 IP 시리즈, 노텔의 익스트라넷 스위치, 시스코의 콘센트레이터 시리즈 등이 있으며, 국내 제품으로는 퓨쳐시스템의 시큐웨이슈트, 어울림정보기술의 시큐어웍스 시리즈, 그리고 시그엔의 아이섹 게이트웨이 시리즈 등이 있다.

매니지드 VPN 서비스 : 이 방식은 최근에 많이 도입되고 있는 방식으로, 주로 회선망을 보유하고 있는 ISP에서 기존 회선망이나 별도 장비를 활용하여 VPN 서비스를 제공하는 것이다. KT의 엔텀 VPN과 데이콤의 MVP 서비스가 여기에 속한다. 네트워크 차원에서 VPN 서비스를 제공하므로 고객 입장에서는 별도의 장비 도입 비용이나 유지보수 및 관리 비용이 절약된다는 것이 장점이다. 하지만 서비스 이용 금액이 다소 높은 편이며, 고객 고유의 요구 사항을 원활하게 반영하지 못한다는 단점도 있다.

지금까지 몇 가지 VPN 적용 방식을 살펴보았는데, 과거에는 VPN 장비 자체가 고가였기 때문에 전용 장비 방식보다 침입차단시스템이나 라우터 기반 방식이 많이 고려되었다. 그러나 성능이나 안정성의 문제로 인해 널리 도입되지 않았다. 하지만 현재는 기술의 발전으로 인한 지속적 가격하락으로 대부분 VPN 전용 장비를 이용하여 구성하는 것이 일반적인 추세이다.

VPN 보안 기술

VPN의 기본 개념은 터널링(Tunneling)으로, 시작 지점에서 목표 지점까지 가상 터널을 생성하고, 생성된 터널을 안전하게 관리하는 암호화/인증 프로토콜 및 키 관리 프로토콜이 VPN의 핵심 기술이라고 할 수 있다.

터널링 기술

VPN에서 터널링은 외부로부터 어떠한 영향도 받지 않고 안전하게 정보를 전송할 수 있는 가상의 연결로서, 사전에 약속된 특별한 프로토콜로 세션을 구성, 타 사용자나 외부로부터 안전하게 보호받는 기술이다.

터널링은 캡슐화(Capsulation), 전송(Transmission), 그리고 디캡슐화(Decapsulation) 과정을 포함하며, 기본 개념은 그림 6과 같다.

VPN 프로토콜

VPN 프로토콜의 주요 역할은 패킷 캡슐화, 터널 생성 및 관리, 그리고 암호화 키 관리 등이 있는데, 이러한 대표적인 기술로 PPTP, L2F, L2TP, VTP, IPSec, SSL 등과 같은 다양한 프로토콜이 있다. VPN 터널링 프로토콜은 터널이 형성되고 운용되는 계층(Layer)에 따라 그림 7과 같이 구분되는데, 오늘날 대부분의 VPN 터널링 기술은 2계층과 3계층, 그리고 4계층에서 구현된다.

과거에는 대부분의 VPN 제조사들이 시장 지배력을 강화하기 위해 고유의 독자적인 터널링 기술을 사용함으로써 동일 벤더 제품 간에만 호환성을 갖는 폐쇄적 성격을 갖고 있었다. 하지만 현재는 IPSec이나 SSL 등과 같은 표준화된 터널링 기술을 수용하여 이기종 장비 간 VPN 구성도 가능하다.

2계층 터널링

OSI 참조 모델에서 데이터링크 계층인 2계층 터널링 기법은 가장 보편적인 형태로 대부분 IPSec 이전의 VPN 기술로 IP나 IPX 패킷을 PPP에 캡슐화한 후, 다시 터널링 프로토콜로 캡슐화하는 형태를 사용한다. 2계층 터널링 기법은 비용면에서 효율적이며, 다중 프로토콜 전송, 원격 네트워크 접속 기능을 제공한다. 그러나 자체적으로 신뢰성 있는 보안 수준을 제공하지 못하므로, 다른 계층의 프로토콜과 복합적으로 사용되는 특성이 있다. 대표적인 예로 PPTP, L2TP, 그리고 L2F와 같은 프로토콜이 있다.

① PPTP : PPTP(Point-to-Point Tunneling Protocol)는 마이크로소프트, 쓰리콤, 어센드 등으로 구성된 PPTP 포럼에서 제안한 프로토콜. 기존 다이얼업 접속에 사용되는 PPP 프로토콜을 그 모델로 하고 있으며, PPP 프레임을 IP 데이터그램으로 캡슐화하여 인터넷을 통해 전송하는 방식을 사용한다. PPTP는 터널 관리에 TCP 연결을 사용하며, 터널 데이터에 GRE(Generic Routing Encapsulation) 캡슐화 PPP 프레임을 사용하므로, TCP/IP 외에 NetBEUI와 같은 프로토콜도 지원한다. 또한 사설 LAN 네트워크에서도 사용이 가능하다. PPTP는 주로 원격접속 VPN에 적합한 방식으로 기존의 RAS(Remote Access Service) 접속에 비해 효율적이다. 마이크로소프트 윈도 NT4나 주요 서버 제품군에 탑재되었으나, 최근에는 IPSec VPN으로 인해 많이 사용되지 않는 추세이다. PPTP는 프로토콜 번호 47번과 TCP 1723 포트를 사용한다.

② L2F : L2F(Layer 2 Forwarding)는 시스코에서 독자적으로 제안한 기술로 IP나 ATM, 프레임릴레이 네트워크를 사용한다. 액세스 서버가 접속 트래픽을 PPP로 프레임화하고 WAN 접속을 통해 L2F 서버나 라우터로 전송하는 방식으로 동작한다. L2F는 PPTP나 L2TP와는 달리 사용자가 별도의 소프트웨어를 필요로 하지 않으나, 데이터 암호화 기능이 미약하고, 상호 호환성이 떨어진다는 단점이 있다.

③ L2TP : L2TP(Layer 2 Tunneling Protocol)는 PPTP와 L2F의 장점만을 결합한 기술로 PPP를 기반으로 하고 있으며, IETF에서 산업표준(RFC 2661)으로 정의한 프로토콜이다. L2TP는 주로 IP, IPX, NetBEUI 트래픽을 암호화하고 IP 헤더로 캡슐화하여 인터넷이나 X.25, 프레임릴레이나 ATM 네트워크를 통해 전송한다. IP를 데이터그램 전송에 사용할 경우 인터넷에서 터널링 프로토콜로도 사용할 수 있다. 현재 RAS와 라우터를 비롯한 대부분의 NAS(Network Access Server) 장비는 기본적으로 L2TP 기능을 지원하며 프레임릴레이 네트워크에서도 사용이 가능하다.

3계층 터널링

네트워크 계층인 3계층 터널링 기법은 데이터링크 계층이나 애플리케이션 계층과는 독립적으로 동작하며 안전하고 신뢰성 있는 방법을 제공한다. 대표적인 프로토콜로 VTP(Virtual Tunneling Protocol)와 IPSec(IP Security)이 있다. 특히, IPSec은 보안에 취약한 IP 프로토콜에서 안정성 있는 서비스를 제공하기 위해 IETF 워킹그룹에서 표준(RFC2401-2412)으로 제정한 보안 프로토콜로 현재 VPN의 핵심 프로토콜이라 할 수 있다. IPSec에 대한 자세한 내용은 뒷부분에서 살펴보도록 하겠다.

그 외 상위 계층

앞서 살펴보았던 VPN 기술들은 2계층 혹은 3계층에서 동작하는데, 몇몇 기술들은 그 상위 계층에서 동작하거나 애플리케이션과 결합되어 암호화 통신을 지원하기도 한다. 대표적인 예로 웹 환경에서 데이터 암호화를 구현하는 SSL(Secure Socket Layer) 프로토콜과 세션 계층에서 동작하는 SOCKv5, 그리고 애플리케이션 계층에서 동작하는 PEM(Privacy Enhanced Mail) 등이 있다.

IPSec

IPSec은 IETF 워킹그룹에 의해 제안되고 표준화(RFC2401-2412)된 보안 프로토콜로 스푸핑이나 스니핑 공격에 취약한 IP 프로토콜의 보안상 문제점을 해결하고 네트워크 계층에서의 보안성을 보장하기 위한 목적으로 개발됐다. IPSec은 네트워크 계층에서 암호화를 수행하기 때문에 원격지 VPN 구성뿐 아니라 원격 접속 VPN까지 완벽히 지원하며, 타 VPN 프로토콜과는 달리 애플리케이션과 독립적으로 구현이 가능한 장점을 갖고 있다.

IPSec은 암호화 부분을 처리하기 위한 ESP 헤더와 인증 부분을 처리하기 위한 AH 헤더, 그리고 암호화 키를 관리하기 위한 키 관리 부분으로 구성되어 있다. IPSec은 TCP/IP 스택보다 낮은 계층으로, 이 계층은 각 컴퓨터의 보안 정책과 송·수신자가 협상한 보안 결합에 의해 제어된다. 또한 보안 정책은 필터와 보안 규칙들로 정의된다.

① ESP : ESP(Encapsulation Security Payload)는 IP 페이로드(Payload) 데이터의 도청을 방지하고 데이터 기밀성을 보장하기 위해 VPN 터널 종단간에 협상된 키와 암호화 알고리즘으로 데이터 암호화와 인증 및 무결성 서비스를 제공하는 역할을 한다.

② AH : AH(Authentication Header)는 IP 헤더와 전송 헤더 사이에 위치하는 인증 헤더로서, 인증과 무결성을 검증하는 역할을 한다. 내부에 포함된 인증 데이터와 일련번호를 기반으로 송신자 확인과 메시지가 전송 중 변조·훼손되지 않았음을 검증하고 재실행 공격을 방지하는데 사용된다.

③ IKE : IKE(Internet Key Exchange)는 IETF 워킹그룹에서 ISAKMP (Internet Security Association & Key Management Protocol)를 기반으로 Oakley 키 알고리즘을 결합하여 SA의 협상과 키 교환 메커니즘을 제공하기 위해 제안한 표준 프로토콜(RFC2409)이다. 현재 대부분의 VPN 장비와 벤더에서는 IKE를 기본 키 교환 프로토콜로 채택하고 있다. 터널링을 구현하려는 두 시스템은 IKE에 의해 인증 및 데이터 보안 방법을 협상하고, 상호 인증을 수행한 데이터 암호화에 사용할 공유키(Session Key)를 생성하게 된다.

④ DOI : 터널링을 구현하려는 두 시스템은 IKE에 의해 정의된 암호화 프로토콜이나 인증 프로토콜과 같은 다양한 값들을 교환하는데, DOI(Domain of Interpre tation)는 IKE가 프로토콜로부터 정의된 값을 어떻게 해석할 것인지에 대한 내용을 담고 있다.

다양한 VPN 적용 기법

지금까지 살펴본 다양한 터널링 기법을 응용한 IP 기반 VPN 기술들은 주로 인터넷 같은 공용 네트워크 인프라를 기반으로 터널링을 구현하고자 하는 종단간에 VPN 장비를 설치하여 구성하는 것이 일반적이다.

IP VPN 기술들은 비교적 저렴한 비용으로 높은 보안성을 얻을 수 있으며, 도입이나 변경이 용이하다는 장점이 있다. 하지만, 기본적으로 트래픽 관리 기능이 미약해 일정 성능을 보장하거나 QoS (Quality of Service)를 구현하기가 쉽지 않으며, 인터넷을 인프라로 구성하므로 시간 지연에 민감한 음성 데이터나 VoD 같은 동영상 데이터 서비스에는 적당하지 않다는 단점이 있다.

따라서, 이러한 정보들의 신뢰성 있는 전송을 위해서는 IP VPN 방식보다 신뢰성 있는 새로운 기법들이 필요하며, 이러한 새로운 기술들을 적용하면 기존의 인터넷 기반 VPN 기술의 단점을 극복할 수 있다. 현재, 이러한 새로운 기술로는 주로 ISP나 대규모 회선망을 보유하고 있는 사업자들이 제공하는 ATM 기반 VPN과 최근에 주목받고 있는 MPLS VPN이 있다.

ATM 기반 VPN

ATM(Asynchronous Transfer Mode : 비동기 전송방식)은 LAN 백본이 FDDI를 거쳐 고속 이더넷으로 이전하는 과정에서 새롭게 등장한 기술로서 데이터를 고정 길이(53byte)의 셀(Cell) 단위로 구분하여 전송하는 전용 접속(Dedicated) 방식 스위칭 기술이다.

셀은 ATM상에서 만들어지는 53바이트(48byte Data+5byte Header)의 작은 크기로 기존의 이더넷(1500byte)이나 FDDI(4500byte)에 비해 전송에 유리하며, 각 데이터를 정해진 대역폭을 통해 전송하므로 네트워크 레벨에서 QoS를 보장할 수 있는 장점이 있다.

ATM 기반 VPN 기술은 이러한 ATM 인프라와 가상 회선(Virtual Circuit : VC) 기능을 사용하여 VPN을 구성하는 기법을 말하며, 전용 회선처럼 완전 메시(Full-mesh) 형태로 종단간 가상 채널 및 가상 경로를 설정한다.

ATM 기반 VPN 기술은 ATM의 망관리기능 및 보안성을 유지하면서 ATM 셀뿐 아니라, IP 패킷 및 Non-IP 패킷을 모두 전송할 수 있으므로 음성 및 데이터망의 통합 관점에서도 강력한 기능을 제공할 수 있다. 또한, ATM 환경에서 기본적으로 제공하는 QoS 기능을 이용하여 멀티미디어 서비스와 같은 실시간 데이터를 수용할 수 있으므로 ISP 입장에서는 다른 방식에 비해 특화된 서비스를 제공할 수 있다는 장점이다. 그러나, ATM 장비 자체가 고가이며, 각 기업체 단말기와의 접속을 위한 PVC(Perma nent Virtual Circuit) 서비스 비용이 상대적으로 비싸다는 단점이 있다.

MPLS VPN

MPLS(Multi Protocol Label Switch ing)는 IETF와 ATM 포럼을 중심으로 개발된 2계층 스위칭 기법과 3계층 라우팅 기술을 접목한 새로운 스위칭 기법으로 고정된 길이(4byte)의 레이블(Label)을 이용하여 고속 라우팅을 구현한다. 네트워크 송수신 패킷에 레이블을 부여하고 스위칭 장비에서 이 레이블을 읽어 패킷의 전송 경로를 결정함으로써, 패킷 지연 시간을 대폭 감소할 수 있다. 이외에 자체적으로 트래픽 관리 기법이나 VPN, 그리고 QoS 기능 지원이 뛰어나다는 것이 특징이다.

MPLS VPN은 MPLS 기술을 IP VPN에 적용한 기술로서 라우터와 네트워크를 기반으로 VPN 서비스 제공이 가능하다. MPLS가 제공하는 트래픽 관리 기술을 기반으로 기존 IP VPN의 취약점인 서비스 품질과 안정성 문제를 극복할 수 있어 ISP에게는 새로운 부가 서비스로 주목받고 있다. 현재 MPLS 기술은 IETF가 주도하고 있으며, 이더넷을 중심으로 ATM 네트워크를 수용하는 방향으로 발전하고 있는데, 인터넷의 문제점인 대역폭 증가, 라우팅 증가, QoS 문제를 해결할 수 있는 현실적인 대안으로 인식되고 있다. 특히, MPLS 기반 VPN 서비스는 고정된 길이의 레이블을 이용하여 데이터를 전송하므로 ATM 셀과 IP 패킷 모두 수용 가능하며, 따라서 기존 ATM 기반 VPN에서의 IP와 ATM의 복잡한 주소 변환 체계가 필요 없다는 장점을 지니고 있다.

MPLS VPN은 기존의 IP VPN 방식이나 IP over ATM 방식에 비해 많은 장점을 가지고 있으므로, 향후에는 MPLS 네트워크가 점차 이들 기술을 흡수하거나 대체해 나갈 것이라는 전망이 우세하다.

브로드밴드 VPN

최근 국내외적으로 VPN의 비용 효율성과 안정성이 검증됨에 따라 활발한 도입이 이루어지고 있다. 특히 국내의 VPN 환경은 전 세계적으로 유래가 없을 정도로 발달한 xDSL 인프라를 기반으로 xDSL/케이블 인프라를 이용한 브로드밴드 VPN이 주를 이루고 있다.

브로드밴드(Broadband) VPN은 접속 방식으로 기존의 전용선 대신 xDSL, 케이블, 위성 통신 등과 같은 다양한 초고속 인터넷 접속 기술을 이용하여 VPN을 구성하는 방식으로, 제한된 속도 내에서 회선의 안정성을 보장하는 전용선 VPN과 비교되는 개념이다.

xDSL이나 케이블 환경은 전용선과 비교했을 때 월등한 가격 대비 성능을 보여주지만 회선 자체의 안정성과 신뢰성은 전용선에 비해 불안하므로, 실제 기업 환경에 도입 시 전용선보다 회선 장애가 많이 발생하는 것이 사실이다. 따라서, 안정적인 브로드밴드 VPN 환경 구축을 위해서는 이러한 회선 불안정성을 극복할 수 있는 특화된 기술이 필요하다. 현재 국내 환경에서 주로 사용되고 있는 기술들과 안정적인 브로드밴드 VPN 환경을 구축하기 위한 절차 및 초고속 인터넷 회선 도입 시 유의 사항, 그리고 분야별 성공 사례 등은 다음 호에서 자세히 살펴보도록 하겠다.

VPN 확장성 및 향후 전망

앞서 살펴본 바와 같이 초기의 VPN은 주로 원격 접속 VPN 형태로, 몇몇 제조사에서 제공하는 장비나 운영체계에서 제공하는 제한된 기능으로 운영되었다. 이후 VPN 프로토콜이 점차 IPSec으로 표준화되면서 원격지 VPN 형식으로 급속히 확장되기 시작했다. 그러나 대다수가 기존 전용선의 고비용 구조를 해결하기 위해 VPN을 도입하고 있으며, 기존 애플리케이션을 연장하여 운영하는 수준에 머무르고 있다. 이는 IP VPN 기술이 별도의 장비를 사용하지 않는 한 QoS와 같은 안정된 성능을 제공하지 못하기 때문이다. 따라서 현재까지도 IP VPN 인프라에서 시간에 민감하거나 VoIP 데이터나 일정한 대역폭을 필수적으로 요구하는 애플리케이션을 적용하기에는 한계가 있다. 이러한 부분들은 차세대 VPN 기술이 해결해야 할 과제이다.

그러나, 향후 IPv6가 일반화되고 IP상에서 트래픽 제어 기술이 발전하게 되면 VoVPN(VoIP over VPN)이나 VPN 기반에서 멀티미디어 서비스 운영이 가능해질 것으로 보이며, 이미 몇몇 VPN 장비들이 부분적으로 이러한 기능들을 제공하고 있다.

IPSec은 현재 IPv4 체계에서는 옵션으로 제공되나 IPv6에서는 기본적으로 제공되고 있다. 기술의 발전으로 하드웨어 성능이 향상되면서 향후에는 스위치나 라우터 같은 네트워크 장비에서 기본적으로 수용할 가능성이 크다. 특히, IPSec VPN과는 별도로 MPLS VPN이나 VPN 운영, 관리 비용을 절감할 수 있는 매니지드 VPN 서비스, 그리고 원격 접속 환경에 적합한 SSL VPN 기술 등 다양한 VPN 기술들도 나름대로의 영역을 만들면서 독자적으로 발전할 것으로 예상된다. 또한, 무선 모바일 환경이 일반화됨에 따라 유선뿐만 아니라 무선 네트워크상에서의 데이터 보안을 위한 WVPN(Wireless VPN) 기술과 효율적인 키 분배와 관리를 위한 PKI와의 연동 기술도 꾸준히 관심의 대상이 되고 있다.

이번 호에서는 VPN의 개요와 주요 기술, 그리고 다양한 VPN 구성 기법들을 간략히 살펴보았다. 다음 호에서는 각 분야별 VPN 구성 사례와 주요 적용 성공 사례에 대해 소개하겠다.

제공 : DB포탈사이트 DBguide.net

*MPLS
 
MPLS는 Multiprotocol Label Switching으로 데이터 패킷에 IP 주소 대신 별도의 라벨을 붙여 스위칭하며 기존 IP 주소 대신 Lable로 라우팅을 하는 것입니다.
MPLS는 다양한 프로토콜을 수용하기 때문에 IP 망은 물론 ATM, 프레임 릴레이에도 적용할 수 있습니다.
일반망은 데이타 패킷이 Layer 3까지 올라간다음 라우팅을 하는반면 MPLS망에서는 Layer 2에서 라벨을 참조로 바로 고속으로 스위칭을 해버리는거죠.
장점이라면 트래픽분리기술로 주로 VPN에 적용되며 기존 IP가 지원하기 힘든 QoS를 지원하고 확장성이 뛰어나고
단점이라면 MPLS를 적용하기위해서는 모든백본망의 라우터을 고가의 최상위기종으로 업그레이드해야한다는거죠.
 
MPLS는 Layer3 Packet을 Layer2에서 처리하는 기술입니다.
ATM 이나 Frame-relay의 경우에 Virtual Circuit상에서 작동하므로 QOS나 접속망의 효율은 굉장히 좋으나 수십대의 라우터를 VC(Virtual Circuit..이하 VC)상에서 작동시키려면 개개의 VC를 유지하기 위한 오버헤드가 커지게 됩니다. 그래서 기존의 라우팅 테이블을 작성하는 프로토콜을 사용해서 라우팅 테이블을 작성하고 이것을 L2 상의 VC와 매핑해서 라벨을 생성합니다.
그래서 패킷이 발생하면 기존의 라우터기반의 백본에서는 라우터가 IP header를 보고 패킷을 포워딩했으나 MPLS기반의 네트워크에서는 IP를 보고 포워딩하지 않고 Layer2기반의 라벨을 보고 스위칭합니다.(이것의 차이는 아주 큽니다. IP를 읽으면 소프트웨어 기반의 처리를 하여야 하나 라벨을 읽는 경우는 하드웨어 기반의 처리를 합니다. 비교가 불가능할 정도의 고속스위칭이 가능합니다.) 이 기술의 시초는 입실론이라는 회사의 IP스위치라는 제품이었던 걸로 압니다. 그이후에 태그 스위칭또는 ARIS등이
나왔는데 표준화를 위해서 IETF에서 표준화를 시작해서 MPLS로 표준화되기에 이르렀습니다

 
네트워크 컨버전스의 의미
 
아시아 태평양지역에서도 역시 컨버전스는 주요 화두이다. 일본, 중국, 뉴질랜드, 베트남, 인도 등이 차세대 통합 네트워크를 구축하고 있거나 현재 준비중이다.
차 이나유니콤(China Unicom)은 중국 최대 규모의 ATM 네트워크를 MPLS/IP 기반의 차세대 멀티서비스 코어 네트워크로 전환하고 있으며 일본 NTT도코모는 전국적인 차세대 백본을 구축하고 있다. 또 텔레콤뉴질랜드(Telecom New Zealand)와 베트남의 VNPT, 인도의 통신사업자들 역시 음성, 데이터, 비디오를 처리하는 차세대 네트워크를 구축하는 등 네트워크 컨버전스는 이제 시대의 주된 흐름이 되고 있다.
그렇다면 네트워크에 있어서 컨버전스란 무엇인가? 음성통신 전문가들이 주장하는 통합이란 TDM 기반의 PSTN을 패킷 인프라로 발전시키는 것이다. 반면 데이터 네트워크 전문가들은 현재 네트워크 업계에서 가장 널리 사용되고 있는 데이터 네트워크를 발전시키고, 베스트-에포트 인터넷 액세스뿐만 아니라 전용선 품질의 전용 데이터 네트워킹, PSTN급 음성과 브로드캐스트 품질의 화상을 제공하는 방법이라고 정의하고 있다.
여기에서 중요한 것은 ATM, IP 또는 MPLS 중 어떤 프로토콜을 사용할 것인가 하는 점이다. 아직 명확히 판단하기에 이른 감은 없지 않지만 지난 2년 간의 모든 지표들을 통해 살펴보면 업계에 차세대 통합 네트워크를 위해 ‘MPLS’로의 통합을 선호하고 있는 것을 알 수 있다.
10년 전만 해도 사람들은 단일 셀 기반 네트워크를 통해 데이터, 음성 및 비디오를 모두 처리하도록 처음부터 설계된 기술인 ATM이 확실한 통합 기술이라고 생각했다. 게다가 ATM은 UNI, NNI, 풍부한 OAM 툴킷과 같은 표준 기반 인터페이스, 완벽하게 정의된 QoS 등의 이점도 포함하고 있었기 때문이다. 하지만 이런 기술적 이점을 가진 ATM이 아닌 IP가 ‘단순성’과 ‘확장성’을 무기로 폭넓게 사용되고 있는 상황이다. 특히 대부분의 가정과 기업에서 네트워크의 IP 접속이 보편화되면서 fttp나 웹 브라우징, e메일보다는 IP를 사용하는 것이 자연스러운 일이 되었다.
 
네트워크 통합의 열쇠로 부상
 
네트워크 컨버전스의 궁극적인 목표는 단일 공용 패킷 인프라를 통해 ‘전용선급’ 데이터, ‘PSTN급’ 음성, ‘케이블’ 수준의 화상을 전송하는 것이다. 하지만 이러한 목표는 달성한다는 것은 결코 쉬운 일이 아니다.
현 재 Net meeting, Skype, REAL, MS 미디어 플레이어 등의 애플리케이션에서 V2oIP(Voice and Video data over IP)를 제공하려는 시도들이 나타나고 있고, 네트워크 측면에서 보면 L2F, PPTP, GRE, IPsec, L2TP와 같은 공용 인프라스트럭처 상에 네트워킹 터널을 구축하려는 시도가 거듭되었다. 하지만 이러한 시도들이 진정한 통합의 문제를 해결하지는 못했다. 진정한 통합을 실현하기 위해서는 엔드 투 엔드 방식으로 네트워크 레이어를 구축함으로써 데이터, 화상, 음성이 서로 다른 우선 순위에 따라 네트워크 전반에 걸쳐 곳곳에 전달될 수 있도록 해야 한다.
이를 위해서 IP QoS 및 엔드 투 엔드 플로우 인식이 그 해답이 될 수 있다. 이러한 노력의 일환으로 지난 90년대에는 IP 레이어 상의 ‘Diffserv’와 ‘Intserv’가 탄생했지만, 이것들 역시 완벽한 보장을 제공하지 못했기에 전세계적으로 확장되지 못했고 진정한 네트워크 통합을 실현할 열쇠는 IP터널을 제공하는 MPLS로 모아지고 있는 것이다.
얼마 전부터 서비스 사업자들이 MPLS 네트워크를 구축하고 있지만, 그 대부분은 L3 2547 VPN 같은 단일 애플리케이션을 위해 분리된 방식으로 그 기능을 내장하는데 그치고 있다. MPLS의 강점과 경제성을 십분 활용하기 위해서 차세대 네트워크는 음성, 비디오, 공용 인터넷, 사설 데이터 네트워킹을 MPLS 네트워크로 통합해야 한다. 이는 앞서 서비스 사업자들이 주장했던 바로 그 목표이기도 하다.
 
기술 개발과 표준화 노력 활발
 
네트워크 발전을 이루기 위해서는 시간이 필요하다. 단계적인 발전 과정을 통해 기존 레거시 ATM 및 프레임 릴레이 인프라스트럭처에 대한 투자를 보존해야 하고, 모든 액세스 유형에 대해 새로운 IP/MPLS 서비스를 창출할 수 있어야 한다. 현재 IETF의 최신 작업 성과인 Diff-Serv 인식 TE(Traffic Engineering) 등과 같은 MPLS 트래픽 엔지니어링의 발전을 통해 MPLS/IP 네트워크는 ATM 사용자의 QoS 기대치에 근접하는 ‘엄격한’ QoS를 제공할 수 있다.
장비업체들의 역할은 이와 같은 컨버전스를 실제로 가능케 하는 것이다. 따라서 최신 기술의 개발은 물론, 산업 표준의 확립도 필수적이다. 이를 위해 몇몇 주요 벤더들이 IIC(Infranet Initiative Council)를 조직하여 MPLS 기반의 컨버전스 인프라스트럭처 네트워크 비전인 ‘인프라넷(Infranet)’을 구현하는데 힘을 모으고 있는 것은 매우 고무적인 현상이다. 이제 컨버전스는 더 이상 꿈이 아니다. 인프라넷을 통해 컨버전스 네트워크의 매력적인 혜택을 누릴 수 있는 날이 멀지 않았다.

+ Recent posts