기업 환경 VPN 실전 구축 가이드

VPN, 안전한 통신 환경의 대안

IT 시장의 전반적인 침체에도 불구하고 시장에서 호평을 받으며 활발히 도입되고 있는 솔루션을

꼽는다면 단연 VPN(Virtual Private Network, 가상사설망)이 그 선두에 있다. VPN 기술은 그 기본

개념이 소개된 이후로 뛰어난 비용절감 효과와 보안 신뢰성을 무기로 꾸준히 그 영역을 넓혀갔다. 특히, 국내 환경은 전세계적으로 가장 발달된 xDSL 인프라를 기반으로 브로드밴드(Broadband) VPN 솔루션이 활발하게 도입되고 있다. 이러한 시점에서 기업 환경 VPN 실전 구축 가이드라는 주제로 총 4회에 걸쳐 VPN 의 기본 개념과 특징, 구현기술 등을 살펴보자. 또한 기업 환경에서 VPN 을 구축할 때

필수적인 가이드라인과 VPN 의 과거와 현재, 차세대 VPN 솔루션의 기술과 전망, 그리고 주요

분야에서의 적용 성공사례 등을 소개하고자 한다.

시그엔 정보보안기술팀

박광청 과장(kcpark@sig-n.com)이규호 대리(pang295@sig-n.com)조은영 대리(eycho@sig-n.com)

 

연재목차

1 회(이번호) VPN 개요 및 기술 분석

2 회(2004 년 2 월호) VPN 구성 사례

3 회(2004 년 3 월호) VPN 실전 구축 가이드

4 회(2004 년 4 월호) VPN 미래와 향후 전망

VPN 개요

전 세계적으로 인터넷과 네트워크 환경이 급성장하면서 각 기업체나 조직의 비즈니스 영역도 전통적인 오프라인에서 온라인 환경으로 급속히

변화했다. 이는 곧 수많은 전산 자원의 도입과 이들 간의 물리적, 논리적 연결이 필요하게 되었다. 이러한 환경 변화에서 본사와 지사 간의 연결 시

필연적으로 발생하는 비용 문제와 보안 문제를 동시에 해결하고 신뢰성 있는 통신을 위한 대안으로 VPN 이 각광받고 있는 것이다

VPN 은 인터넷과 같은 공중망(Public Network)을 이용해 사설 전용망의 효과를 얻는 기술로서, 이를 구현하기 위한 하드웨어 및 소프트웨어의

집합체라 정의할 수 있다.VPN 은 현재 IT 기술 중에서 가장 주목받고 있는 기술 중 하나인데, 실제 그 개념과 역사는 짧지 않다. 그러나 과거에는 각 제조사별로 독자적인

VPN 기술을 선보였기 때문에 표준화가 진행되지 않았고, 무엇보다 VPN 기술의 안정성과 성능이 충분히 검증되지 않아 그리 활발하게 도입되지

않았다.반면 최근에는 VPN 기술이 IPSec(IP Security) 프로토콜로 표준화되고, 많은 도입 기업에서 VPN 의 보안성과 신뢰성이 검증됨에 따라 원격지

네트워크를 안전하고 비용 효율적으로 연결할 수 있는 솔루션으로 인정받기 시작했다. VPN 이 현재 시장에서 각광받으며 폭넓게 도입되고 있는

주요 이유는 다음과 같다.■ 비용 절감 : VPN 은 낮은 비용으로 고비용의 전용선을 대체함으로써 비용 절감 효과가 탁월하다.■ 신뢰성 있는 보안 통신 지원 : VPN 은 표준화된 기술로서 개방적인 인터넷 하부 구조와 암호화 및 인증 프로토콜을 이용하여 전송되는 모든

데이터에 대해 신뢰성 있는 통신을 보장한다. ■ 다양한 환경에 유연한 적용 가능 : 기업의 비즈니스 영역이 확장됨에 따라 비즈니스 파트너나 고객과의 상호 접속 요구도 지속적으로 증대하고

있는데, 기업 네트워크가 인트라넷(Intranet), 엑스트라넷(Extranet)으로 확장되더라도 VPN 은 유연한 적용이 가능하다. 이와 함께 점차

증가하는 재택 근무자나 파견 근무자는 물론 무선 단말기를 이용하는 모바일(Mobile) 접속 요구도 수용할 수 있다. ■ 타 보안 장비와 상호 운영성이 뛰어남 : VPN 은 침입차단시스템(Firewall)이나 침입탐지시스템(Intrusion Detection System : IDS) 보안 장비와 상호 운영성이 뛰어나며, 이들 솔루션과 통합되어 더 높은 수준의 보안체제를 구축할 수 있다.

VPN 분류

가) 접속 방식에 따른 분류

VPN 은 접속 방식과 그 범위에 따라 인트라넷 VPN, 엑스트라넷 VPN, 그리고 원격 접속 VPN 으로 분류할 수 있는데, 오늘날 실제 업무 환경에서는

각 방식이 혼재하고 있는 경우가 많다.인트라넷 VPN : 인트라넷 VPN 은 본사와 지사 간 네트워크 연결에 VPN 을 적용한 것으로 원격지 접속(Site-to-Site) VPN 형태이다

일관된 VPN 보안 정책 적용이 가능하다는 장점이 있다.엑스트라넷 VPN : 엑스트라넷 VPN 은 본사와 사업 파트너 혹은 고객 간의 네트워크 연결에 VPN 을 적용한 것으로, 비즈니스 영역 확대나 기업 간

인수합병(M&A) 등으로 인해 최근 많이 도입되고있는 구성 방식이다. 엑스트라넷 VPN 은 서로 다른 조직 간의 신뢰를 기반으로 하므로 보안

정책이나 설정상 오류로 인한 위협 등에 주의가 필요하다. 특히, 이기종 장비들 간에 VPN 을 구성하는 경우가 많으므로, 실제 도입에 앞서 장비 간

호환성이나 정책 설정, 운영상 이슈 사항에 대한 검증 등 다소 복잡한 절차가 따른다. 원격 접속 VPN : 원격 접속 VPN 은 본사와 원격지의 허가 받은 사용자 간의 네트워크 연결에 VPN 을 적용한 것이다. 사용자들은

소프트웨어와 다이얼-업(Dial-up) 혹은 xDSL 접속을 이용해 안전하게 본사 네트워크에 접속한다.최근에는 이러한 원격 접속 VPN 의 번거로움을 대체할 수 있는 솔루션으로 SSL (Secure Socket Layer) 기술을 응용한 SSL VPN있는데, 이에 대해서는 차후 연재에서 상세히 살펴보기로 하겠다.

나) 적용 방식에 따른 분류

VPN 적용 방식에 따른 분류는 이미 도입된 장비에 추가로 VPN 기능을 구현하는 방식과 전용 장비를 이용하는 방식, 그리고 별도의 관리 서비스

(Managed Service)를 이용하는 방법 등이 있다.침입차단시스템 기반 VPN 적용 : 기존에 도입된 침입차단시스템에 소프트웨어나 하드웨어적인 방법으로 암호화 모듈을 추가하여

수 있다. 이 경우 별도의 장비 도입 없이 VPN 구성이 가능하므로, 관리 일원화와 비용 절감의 장점이 있다. 하지만 동일 기종 시스템에서만 구현이

가능하고, VPN 프로세스의 암호화/복호화 처리에 따른 부하로 인해 침입차단시스템 기능 자체가 영향을 받을 수 있으므로 트래픽 부하가 많은

곳에서는 권장하지 않는 방법이다. 대표적인 예가 체크포인트 방화벽에 암호화 모듈을 추가하여 VPN 을 구성하는 것으로 현재 출시되는 대부분의

침입차단시스템은 이러한 방식을 지원한다.라우터 기반 VPN 적용 : 라우터에 암호화 처리를 할 수 있는 소프트웨어나 하드웨어 모듈을 추가하여 VPN 을 구성할 수도 있다. 이 경우에도

별도의 장비 구매 없이 VPN 구성이 가능한 장점이 있으나, VPN 프로세스로 인해 라우팅 기능 자체가 성능 저하될 수 있다는 점이 단점이다

대표적으로 시스코 라우터의 IOS 기반에서 소프트웨어적으로 VPN 을 구현하거나, 별도의 하드웨어 암호화 모듈(VPN Encryption Card)추가하여 VPN 을 구현하는 것이다. 현재 출시되는 대부분의 시스코 라우터는 이러한 기능을 지원한다.VPN 전용 장비 : 현재 가장 일반화된 방법으로 높은 VPN 성능과 안정성을 보장할 수 있다. 특히, 다중 터널링(Multi-Tunneling)(Clustering)을 이용한 고가용성(High Availability : HA) 구성 및 회선 이중화와 같은 다양한 고급 기법 구현이 가능하다. 대표적인 예로

노키아의 IP 시리즈, 노텔의 익스트라넷 스위치, 시스코의 콘센트레이터 시리즈 등이 있으며, 국내 제품으로는 퓨쳐시스템의 시큐웨이슈트

어울림정보기술의 시큐어웍스 시리즈, 그리고 시그엔의 아이섹 게이트웨이 시리즈 등이 있다.매니지드 VPN 서비스 : 이 방식은 최근에 많이 도입되고 있는 방식으로, 주로 회선망을 보유하고 있는 ISP 에서 기존 회선망이나 별도 장비를

활용하여 VPN 서비스를 제공하는 것이다. KT 의 엔텀 VPN 과 데이콤의 MVP 서비스가 여기에 속한다. 네트워크 차원에서 VPN 서비스를

제공하므로 고객 입장에서는 별도의 장비 도입 비용이나 유지보수 및 관리 비용이 절약된다는 것이 장점이다. 하지만 서비스 이용 금액이 다소

높은 편이며, 고객 고유의 요구 사항을 원활하게 반영하지 못한다는 단점도 있다.지금까지 몇 가지 VPN 적용 방식을 살펴보았는데, 과거에는 VPN 장비 자체가 고가였기 때문에 전용 장비 방식보다 침입차단시스템이나 라우터

기반 방식이 많이 고려되었다. 그러나 성능이나 안정성의 문제로 인해 널리 도입되지 않았다. 하지만 현재는 기술의 발전으로 인한 지속적

가격하락으로 대부분 VPN 전용 장비를 이용하여 구성하는 것이 일반적인 추세이다.

VPN 보안 기술

VPN 의 기본 개념은 터널링(Tunneling)으로, 시작 지점에서 목표 지점까지 가상 터널을 생성하고, 생성된 터널을 안전하게 관리하는 암호화

프로토콜 및 키 관리 프로토콜이 VPN 의 핵심 기술이라고 할 수 있다.

터널링 기술

VPN 에서 터널링은 외부로부터 어떠한 영향도 받지 않고 안전하게 정보를 전송할 수 있는 가상의 연결로서, 사전에 약속된 특별한 프로토콜로

세션을 구성, 타 사용자나 외부로부터 안전하게 보호받는 기술이다.터널링은 캡슐화(Capsulation), 전송(Transmission), 그리고 디캡슐화(Decapsulation) 과정을 포함하며, 기본 개념은 그림 6

VPN 프로토콜

VPN 프로토콜의 주요 역할은 패킷 캡슐화, 터널 생성 및 관리, 그리고 암호화 키 관리 등이 있는데, 이러한 대표적인 기술로 PPTP, L2F, L2TP, VTP, IPSec, SSL 등과 같은 다양한 프로토콜이 있다. VPN 터널링 프로토콜은 터널이 형성되고 운용되는 계층(Layer)에 따라 그림

구분되는데, 오늘날 대부분의 VPN 터널링 기술은 2 계층과 3 계층, 그리고 4 계층에서 구현된다.과거에는 대부분의 VPN 제조사들이 시장 지배력을 강화하기 위해 고유의 독자적인 터널링 기술을 사용함으로써 동일 벤더 제품 간에만 호환성을

갖는 폐쇄적 성격을 갖고 있었다. 하지만 현재는 IPSec 이나 SSL 등과 같은 표준화된 터널링 기술을 수용하여 이기종 장비 간 VPN 가능하다.

■ 2 계층 터널링

OSI 참조 모델에서 데이터링크 계층인 2 계층 터널링 기법은 가장 보편적인 형태로 대부분 IPSec 이전의 VPN 기술로 IP 나 IPX 패킷을

캡슐화한 후, 다시 터널링 프로토콜로 캡슐화하는 형태를 사용한다. 2 계층 터널링 기법은 비용면에서 효율적이며, 다중 프로토콜 전송

네트워크 접속 기능을 제공한다. 그러나 자체적으로 신뢰성 있는 보안 수준을 제공하지 못하므로, 다른 계층의 프로토콜과 복합적으로 사용되는

특성이 있다. 대표적인 예로 PPTP, L2TP, 그리고 L2F 와 같은 프로토콜이 있다.① PPTP : PPTP(Point-to-Point Tunneling Protocol)는 마이크로소프트, 쓰리콤, 어센드 등으로 구성된 PPTP 포럼에서 제안한 프로토콜

다이얼업 접속에 사용되는 PPP 프로토콜을 그 모델로 하고 있으며, PPP 프레임을 IP 데이터그램으로 캡슐화하여 인터넷을 통해 전송하는 방식을

사용한다. PPTP 는 터널 관리에 TCP 연결을 사용하며, 터널 데이터에 GRE(Generic Routing Encapsulation) 캡슐화 PPP 프레임을 사용하므로

TCP/IP 외에 NetBEUI 와 같은 프로토콜도 지원한다. 또한 사설 LAN 네트워크에서도 사용이 가능하다. PPTP 는 주로 원격접속 VPN방식으로 기존의 RAS(Remote Access Service) 접속에 비해 효율적이다. 마이크로소프트 윈도 NT4 나 주요 서버 제품군에 탑재되었으나

최근에는 IPSec VPN 으로 인해 많이 사용되지 않는 추세이다. PPTP 는 프로토콜 번호 47 번과 TCP 1723 포트를 사용한다.

② L2F : L2F(Layer 2 Forwarding)는 시스코에서 독자적으로 제안한 기술로 IP 나 ATM, 프레임릴레이 네트워크를 사용한다. 액세스 서버가 접속

트래픽을 PPP 로 프레임화하고 WAN 접속을 통해 L2F 서버나 라우터로 전송하는 방식으로 동작한다. L2F 는 PPTP 나 L2TP 와는 달리 사용자가

별도의 소프트웨어를 필요로 하지 않으나, 데이터 암호화 기능이 미약하고, 상호 호환성이 떨어진다는 단점이 있다.③ L2TP : L2TP(Layer 2 Tunneling Protocol)는 PPTP 와 L2F 의 장점만을 결합한 기술로 PPP 를 기반으로 하고 있으며, IETF 에서 산업표준

(RFC 2661)으로 정의한 프로토콜이다. L2TP 는 주로 IP, IPX, NetBEUI 트래픽을 암호화하고 IP 헤더로 캡슐화하여 인터넷이나

프레임릴레이나 ATM 네트워크를 통해 전송한다. IP 를 데이터그램 전송에 사용할 경우 인터넷에서 터널링 프로토콜로도 사용할 수 있다

RAS 와 라우터를 비롯한 대부분의 NAS(Network Access Server) 장비는 기본적으로 L2TP 기능을 지원하며 프레임릴레이 네트워크에서도

사용이 가능하다.

■ 3 계층 터널링

네트워크 계층인 3 계층 터널링 기법은 데이터링크 계층이나 애플리케이션 계층과는 독립적으로 동작하며 안전하고 신뢰성 있는 방법을 제공한다

대표적인 프로토콜로 VTP(Virtual Tunneling Protocol)와 IPSec(IP Security)이 있다. 특히, IPSec 은 보안에 취약한 IP 프로토콜에서 안정성

있는 서비스를 제공하기 위해 IETF 워킹그룹에서 표준(RFC2401-2412)으로 제정한 보안 프로토콜로 현재 VPN 의 핵심 프로토콜이라 할 수 있다

IPSec 에 대한 자세한 내용은 뒷부분에서 살펴보도록 하겠다.

■ 그 외 상위 계층

앞서 살펴보았던 VPN 기술들은 2 계층 혹은 3 계층에서 동작하는데, 몇몇 기술들은 그 상위 계층에서 동작하거나 애플리케이션과 결합되어 암호화

통신을 지원하기도 한다. 대표적인 예로 웹 환경에서 데이터 암호화를 구현하는 SSL(Secure Socket Layer) 프로토콜과 세션 계층에서 동작하는

SOCKv5, 그리고 애플리케이션 계층에서 동작하는 PEM(Privacy Enhanced Mail) 등이 있다.

IPSecIPSec 은 IETF 워킹그룹에 의해 제안되고 표준화(RFC2401-2412)된 보안 프로토콜로 스푸핑이나 스니핑 공격에 취약한 IP 프로토콜의 보안상

문제점을 해결하고 네트워크 계층에서의 보안성을 보장하기 위한 목적으로 개발됐다. IPSec 은 네트워크 계층에서 암호화를 수행하기 때문에

원격지 VPN 구성뿐 아니라 원격 접속 VPN까지 완벽히 지원하며, 타 VPN 프로토콜과는 달리 애플리케이션과 독립적으로 구현이 가능한 장점을

갖고 있다.IPSec 은 암호화 부분을 처리하기 위한 ESP 헤더와 인증 부분을 처리하기 위한 AH 헤더, 그리고 암호화 키를 관리하기 위한 키 관리 부분으로

구성되어 있다. IPSec 은 TCP/IP 스택보다 낮은 계층으로, 이 계층은 각 컴퓨터의 보안 정책과 송·수신자가 협상한 보안 결합에 의해 제어된다

또한 보안 정책은 필터와 보안 규칙들로 정의된다. ① ESP : ESP(Encapsulation Security Payload)는 IP 페이로드(Payload) 데이터의 도청을 방지하고 데이터 기밀성을 보장하기 위해

종단간에 협상된 키와 암호화 알고리즘으로 데이터 암호화와 인증 및 무결성 서비스를 제공하는 역할을 한다.② AH : AH(Authentication Header)는 IP 헤더와 전송 헤더 사이에 위치하는 인증 헤더로서, 인증과 무결성을 검증하는 역할을 한다

포함된 인증 데이터와 일련번호를 기반으로 송신자 확인과 메시지가 전송 중 변조·훼손되지 않았음을 검증하고 재실행 공격을 방지하는데

사용된다.

③ IKE : IKE(Internet Key Exchange)는 IETF 워킹그룹에서 ISAKMP (Internet Security Association & Key Management Protocol)기반으로 Oakley 키 알고리즘을 결합하여 SA 의 협상과 키 교환 메커니즘을 제공하기 위해 제안한 표준 프로토콜(RFC2409)이다

VPN 장비와 벤더에서는 IKE 를 기본 키 교환 프로토콜로 채택하고 있다. 터널링을 구현하려는 두 시스템은 IKE 에 의해 인증 및 데이터 보안

방법을 협상하고, 상호 인증을 수행한 데이터 암호화에 사용할 공유키(Session Key)를 생성하게 된다. ④ DOI : 터널링을 구현하려는 두 시스템은 IKE 에 의해 정의된 암호화 프로토콜이나 인증 프로토콜과 같은 다양한 값들을 교환하는데

DOI(Domain of Interpre tation)는 IKE 가 프로토콜로부터 정의된 값을 어떻게 해석할 것인지에 대한 내용을 담고 있다.

다양한 VPN 적용 기법

지금까지 살펴본 다양한 터널링 기법을 응용한 IP 기반 VPN 기술들은 주로 인터넷 같은 공용 네트워크 인프라를 기반으로 터널링을 구현하고자

하는 종단간에 VPN 장비를 설치하여 구성하는 것이 일반적이다.IP VPN 기술들은 비교적 저렴한 비용으로 높은 보안성을 얻을 수 있으며, 도입이나 변경이 용이하다는 장점이 있다. 하지만, 기본적으로 트래픽

관리 기능이 미약해 일정 성능을 보장하거나 QoS (Quality of Service)를 구현하기가 쉽지 않으며, 인터넷을 인프라로 구성하므로 시간 지연에

민감한 음성 데이터나 VoD 같은 동영상 데이터 서비스에는 적당하지 않다는 단점이 있다. 따라서, 이러한 정보들의 신뢰성 있는 전송을 위해서는 IP VPN 방식보다 신뢰성 있는 새로운 기법들이 필요하며, 이러한 새로운 기술들을

적용하면 기존의 인터넷 기반 VPN 기술의 단점을 극복할 수 있다. 현재, 이러한 새로운 기술로는 주로 ISP 나 대규모 회선망을 보유하고 있는

사업자들이 제공하는 ATM 기반 VPN 과 최근에 주목받고 있는 MPLS VPN 이 있다.

ATM 기반 VPN

ATM(Asynchronous Transfer Mode : 비동기 전송방식)은 LAN 백본이 FDDI 를 거쳐 고속 이더넷으로 이전하는 과정에서 새롭게 등장한

기술로서 데이터를 고정 길이(53byte)의 셀(Cell) 단위로 구분하여 전송하는 전용 접속(Dedicated) 방식 스위칭 기술이다.셀은 ATM 상에서 만들어지는 53 바이트(48byte Data+5byte Header)의 작은 크기로 기존의 이더넷(1500byte)이나 FDDI(4500byte)전송에 유리하며, 각 데이터를 정해진 대역폭을 통해 전송하므로 네트워크 레벨에서 QoS 를 보장할 수 있는 장점이 있다.ATM 기반 VPN 기술은 이러한 ATM 인프라와 가상 회선(Virtual Circuit : VC) 기능을 사용하여 VPN 을 구성하는 기법을 말하며

완전 메시(Full-mesh) 형태로 종단간 가상 채널 및 가상 경로를 설정한다.ATM 기반 VPN 기술은 ATM 의 망관리기능 및 보안성을 유지하면서 ATM 셀뿐 아니라, IP 패킷 및 Non-IP 패킷을 모두 전송할 수 있으므로 음성 및

데이터망의 통합 관점에서도 강력한 기능을 제공할 수 있다. 또한, ATM 환경에서 기본적으로 제공하는 QoS 기능을 이용하여 멀티미디어

서비스와 같은 실시간 데이터를 수용할 수 있으므로 ISP 입장에서는 다른 방식에 비해 특화된 서비스를 제공할 수 있다는 장점이다

장비 자체가 고가이며, 각 기업체 단말기와의 접속을 위한 PVC(Perma nent Virtual Circuit) 서비스 비용이 상대적으로 비싸다는 단점이 있다

MPLS VPN MPLS(Multi Protocol Label Switch ing)는 IETF 와 ATM 포럼을 중심으로 개발된 2 계층 스위칭 기법과 3 계층 라우팅 기술을 접목한 새로운

스위칭 기법으로 고정된 길이(4byte)의 레이블(Label)을 이용하여 고속 라우팅을 구현한다. 네트워크 송수신 패킷에 레이블을 부여하고 스위칭

장비에서 이 레이블을 읽어 패킷의 전송 경로를 결정함으로써, 패킷 지연 시간을 대폭 감소할 수 있다. 이외에 자체적으로 트래픽 관리 기법이나

VPN, 그리고 QoS 기능 지원이 뛰어나다는 것이 특징이다.MPLS VPN 은 MPLS 기술을 IP VPN 에 적용한 기술로서 라우터와 네트워크를 기반으로 VPN 서비스 제공이 가능하다. MPLS 가 제공하는 트래픽

관리 기술을 기반으로 기존 IP VPN 의 취약점인 서비스 품질과 안정성 문제를 극복할 수 있어 ISP 에게는 새로운 부가 서비스로 주목받고 있다

현재 MPLS 기술은 IETF 가 주도하고 있으며, 이더넷을 중심으로 ATM 네트워크를 수용하는 방향으로 발전하고 있는데, 인터넷의 문제점인 대역폭

증가, 라우팅 증가, QoS 문제를 해결할 수 있는 현실적인 대안으로 인식되고 있다. 특히, MPLS 기반 VPN 서비스는 고정된 길이의 레이블을

이용하여 데이터를 전송하므로 ATM 셀과 IP 패킷 모두 수용 가능하며, 따라서 기존 ATM 기반 VPN 에서의 IP 와 ATM 의 복잡한 주소 변환 체계가

필요 없다는 장점을 지니고 있다.MPLS VPN 은 기존의 IP VPN 방식이나 IP over ATM 방식에 비해 많은 장점을 가지고 있으므로, 향후에는 MPLS 네트워크가 점차 이들 기술을

흡수하거나 대체해 나갈 것이라는 전망이 우세하다.

브로드밴드 VPN

최근 국내외적으로 VPN 의 비용 효율성과 안정성이 검증됨에 따라 활발한 도입이 이루어지고 있다. 특히 국내의 VPN 환경은 전 세계적으로

유래가 없을 정도로 발달한 xDSL 인프라를 기반으로 xDSL/케이블 인프라를 이용한 브로드밴드 VPN 이 주를 이루고 있다.브로드밴드(Broadband) VPN 은 접속 방식으로 기존의 전용선 대신 xDSL, 케이블, 위성 통신 등과 같은 다양한 초고속 인터넷 접속 기술을

이용하여 VPN 을 구성하는 방식으로, 제한된 속도 내에서 회선의 안정성을 보장하는 전용선 VPN 과 비교되는 개념이다.xDSL 이나 케이블 환경은 전용선과 비교했을 때 월등한 가격 대비 성능을 보여주지만 회선 자체의 안정성과 신뢰성은 전용선에 비해 불안하므로

실제 기업 환경에 도입 시 전용선보다 회선 장애가 많이 발생하는 것이 사실이다. 따라서, 안정적인 브로드밴드 VPN 환경 구축을 위해서는 이러한

회선 불안정성을 극복할 수 있는 특화된 기술이 필요하다. 현재 국내 환경에서 주로 사용되고 있는 기술들과 안정적인 브로드밴드

구축하기 위한 절차 및 초고속 인터넷 회선 도입 시 유의 사항, 그리고 분야별 성공 사례 등은 다음 호에서 자세히 살펴보도록 하겠다

VPN 확장성 및 향후 전망

앞서 살펴본 바와 같이 초기의 VPN 은 주로 원격 접속 VPN 형태로, 몇몇 제조사에서 제공하는 장비나 운영체계에서 제공하는 제한된 기능으로

운영되었다. 이후 VPN 프로토콜이 점차 IPSec 으로 표준화되면서 원격지 VPN 형식으로 급속히 확장되기 시작했다. 그러나 대다수가 기존

전용선의 고비용 구조를 해결하기 위해 VPN 을 도입하고 있으며, 기존 애플리케이션을 연장하여 운영하는 수준에 머무르고 있다

기술이 별도의 장비를 사용하지 않는 한 QoS 와 같은 안정된 성능을 제공하지 못하기 때문이다. 따라서 현재까지도 IP VPN 인프라에서 시간에

민감하거나 VoIP 데이터나 일정한 대역폭을 필수적으로 요구하는 애플리케이션을 적용하기에는 한계가 있다. 이러한 부분들은 차세대

기술이 해결해야 할 과제이다. 그러나, 향후 IPv6 가 일반화되고 IP 상에서 트래픽 제어 기술이 발전하게 되면 VoVPN(VoIP over VPN)이나 VPN 기반에서 멀티미디어 서비스

운영이 가능해질 것으로 보이며, 이미 몇몇 VPN 장비들이 부분적으로 이러한 기능들을 제공하고 있다.

IPSec 은 현재 IPv4 체계에서는 옵션으로 제공되나 IPv6 에서는 기본적으로 제공되고 있다. 기술의 발전으로 하드웨어 성능이 향상되면서

향후에는 스위치나 라우터 같은 네트워크 장비에서 기본적으로 수용할 가능성이 크다. 특히, IPSec VPN 과는 별도로 MPLS VPN관리 비용을 절감할 수 있는 매니지드 VPN 서비스, 그리고 원격 접속 환경에 적합한 SSL VPN 기술 등 다양한 VPN 기술들도 나름대로의 영역을

만들면서 독자적으로 발전할 것으로 예상된다. 또한, 무선 모바일 환경이 일반화됨에 따라 유선뿐만 아니라 무선 네트워크상에서의 데이터 보안을

위한 WVPN(Wireless VPN) 기술과 효율적인 키 분배와 관리를 위한 PKI 와의 연동 기술도 꾸준히 관심의 대상이 되고 있다.이번 호에서는 VPN 의 개요와 주요 기술, 그리고 다양한 VPN 구성 기법들을 간략히 살펴보았다. 다음 호에서는 각 분야별 VPN 구성 사례와 주요

적용 성공 사례에 대해 소개하겠다.

[Tech Report - VPN②]

기업 환경 VPN 구성 사례

VPN, 저비용·고효율로 기업 경쟁력 제고

IT 시장의 전반적인 침체에도 불구하고 시장에서 호평을 받으며 활발히 도입되고 있는 솔루션을 꼽는다면 단연 VPN(Virtual Private Network, 가상사설망)이 그 선두에 있다. VPN 기술은 그 기본 개념이 소개된 이후로 뛰어난 비용 절감 효과와 보안 신뢰성을 무기로 꾸준히 그 영역을 넓혀갔다. 특히, 국내 환경은 전 세계적으로 가장 발달된 xDSL 인프라를 기반으로 브로드밴드(Broadband) VPN 솔루션이 활발하게 도입되고 있다. 이러한 시점에서 기업 환경 VPN 실전 구축 가이드라는 주제로 총 4회에 걸쳐 VPN 의 기본 개념과 특징, 구현 기술 등을 살펴보자. 또한 기업 환경에서 VPN 을 구축할 때 필수적인 가이드라인과 VPN 의 과거와 현재, 차세대 VPN 솔루션의

기술과 전망, 그리고 주요 분야에서의 적용 성공 사례 등을 소개하고자 한다.

시그엔 정보보안기술팀

박광청 과장(kcpark@sig-n.com)이규호 대리(pang295@sig-n.com)조은영 대리(eycho@sig-n.com)

 

연재목차

1 회(2004 년 1 월호) VPN 개요 및 기술 분석

2 회(이번호) VPN 구성 사례

3 회(2004 년 3 월호) VPN 실전 구축 가이드

4 회(2004 년 4 월호) VPN 미래와 향후 전망

지난 호에서 VPN 의 개요와 주요 기술들에 대해 전반적으로 살펴보았다. 이번 호에서는 기업 환경에서 VPN 의 주요 도입 사유와 분야별

사례를 살펴보고, 실제 성공적으로 VPN 솔루션 구축을 완료한 두 곳의 사례를 통해 도입 전후 여러 측면에서의 효과에 대해 알아보고자 한다

VPN 배경 및 주요 도입 사유

지난해에 이어 올해도 VPN 시장은 완만한 상승 곡선을 이어갈 것으로 전망된다. 특히 브로드밴드 VPN 외에도 SSL VPN 이나 매니지드

(Managed) VPN 서비스도 시장에서 그 영역을 넓혀나갈 것으로 보인다.현재까지 VPN 을 도입하여 사용하고 있거나 가까운 시일 내에 도입을 고려하고 있는 기업이나 조직이 VPN 을 도입하려는 주된 이유는 단연 뛰어난

비용 절감 효과 때문이라 할 수 있다. 사실 비용 절감 부분이 VPN 의 가장 큰 매력이기는 하지만, 단순 비용 절감 외에도 VPN 은 다양한 장점을

제공한다. 이미 지난 연재에서 VPN 의 장점과 특징에 대해 다룬 바 있는데, 기업 입장에서 VPN 도입으로 인해 얻을 수 있는 장점들을 다시 한번 정리하면

다음과 같다.

① 비용 절감 및 대역폭 확장

VPN 은 전용망에 비해 상대적으로 저렴한 인터넷과 VPN 장비를 이용하여 사설 전용망의 효과를 확보할 수가 있어 비용 절감 효과가 탁월하므로

과다하게 지출되는 전용선의 고비용 구조를 획기적으로 개선할 수 있다. 또한, xDSL 기반의 브로드밴드 VPN 은 기존 전용선(128Kbps 5∼10배 이상의 대역폭 확장이 가능하므로 지사나 지점에서의 인터넷 트래픽이 본사를 경유하는 네트워크 환경에서는 VPN 의 도입으로 인해

접속 속도의 향상과 트래픽 부하 분산 효과를 동시에 얻을 수 있다

전 세계적으로 네트워크와 인터넷의 대중화로 인해 폭발적으로 증가하고 있는 트래픽의 효율적인 처리를 위해 전용회선의 대역폭을

업그레이드하는 것보다는 가격대 성능비가 탁월한 VPN 구축을 고려하는 것이 현실적 대안이라고 할 수 있다.

② 기존 전용회선의 백업

이 부분은 VPN 의 안정성과 성능, 그리고 비용 효율성이 검증되기 시작하면서 최근에 많이 도입되고 있는 VPN 구성 사례라 할 수 있는데

공공기관이나 금융권 같이 네트워크의 안정성과 가용성이 중요시되는 사이트에서 많이 도입하고 있는 방식이다.대개 이러한 곳에서는 네트워크의 안정적 운영을 위해 네트워크 회선도 이중, 삼중으로 별도의 백업 회선을 구성하는 경우가 많은데

차 백업 회선을 xDSL 기반 VPN 으로 전환하여 비용 절감과 네트워크 대역폭 문제를 동시에 해결할 수 있다.특히, 지난 9.11 테러 사건 발생 이후 금융권을 필두로 유행처럼 구축이 이루어졌던 재난복구(Disaster Recovery : DR)용 백업 센터와의

연결에서도 VPN 은 매우 효율적인 방법을 제공하고 있다.

③ 전사적 차원의 보안 수준 향상

대개 전국적으로 분산된 지점이나 지사를 가진 환경의 경우, 관리나 비용 문제 등으로 인해 보안 솔루션이 본사에 집중되어 있고, 네트워크 연결을 위한 최소한의 장비만 구비되어 있는 것이 대부분이다. 따라서, 소규모 지사의 경우 외부로부터의 해킹 시도나 지능적인 웜

바이러스 등의 위협에 항상 노출되어 있다고 할 수 있으며, 실제 크고 작은 피해가 잇따르고 있다. 이러한 경우에도 VPN 은 효율적인 해답을 제시할

수 있는데, 초기의 VPN 장비들이 VPN 기능만을 제공했던 것과는 달리, 현재 대부분의 VPN 장비들은 방화벽과 IDS(침입탐지시스템

동시에 제공하고 점차 통합되고 있는 추세이다.따라서 고가의 보안 솔루션 도입이 현실적으로 힘든 중소 규모의 조직이나 지사 및 지점 환경에서는 VPN 도입과 동시에 통합 보안 솔루션을

구축하는 효과를 볼 수 있는데, 특히 VPN 관리를 위한 시스템 도입을 통해 전사적 통합 보안체계를 구축할 수 있다.

④ 유연한 모바일 접속 보장

인터넷과 통신 기술의 발달로 인해 사용자들의 접속 환경이 다양해지고 있으며, 업무 환경 자체도 재택 근무나 파견 근무의 도입 등으로 인해 점차

시간적, 공간적 제약이 사라지고 있으며 이동성과 원격 접속의 필요성이 강조되고 있다. 그러나, 원격 접속은 공중망을 이용하여 내부 네트워크에

접속하는 형태이므로 해킹이나 사용자의 부주의 혹은 스니핑으로 인한 불법적 정보 유출의 위협에 노출되어 있다. 그러나 VPN 은 원격 접속

소프트웨어를 이용하여 암호와 통신을 수행하므로 안전하고 신뢰성 있는 원격 접속 방법을 제공한다.이상에서 VPN 의 도입 사유를 몇 가지 유형으로 정리해 보았는데, 실제 VPN 이 많은 장점을 갖고 있으며 매력적인 요소가 있는 것은 분명한

사실이다. 하지만 이 시점에서 현재의 VPN 기술들이 가진 한계점이나 문제점에 대해서도 생각해 볼 필요가 있다.대표적으로 지적되는 부분들은 현재의 VPN 기술이 브로드밴드 환경에서 xDSL 회선의 불안정으로 인해 지속적인 신뢰성을 보장하지 못한다는 점

타사 장비와의 호환성 문제, 그리고 대규모의 원격 접속 환경에는 적합하지 못하다는 점 등이다.그러나, 이러한 부분들은 VPN 의 도입 검토 단계나 BMT 단계에서 충분히 검증이 가능한 부분들로 이미 해결 방법이 제시되고 있는 경우가

대부분이며, VPN 기술도 지속적으로 기능 개선을 통해 이러한 한계점들을 극복하고 있다.무엇보다도 지금도 다양한 환경에서 VPN 도입 후 크고 작은 성공 사례가 보고되고 있으며, VPN 도입 이후 이러한 문제로 인해 기존 환경으로 원상

복구한 사례는 없기 때문이다.

각 분야별 VPN 구성 사례

VPN 은 기존 네트워크 구성이나 업무 환경 및 요구 사항, 그리고 다른 시스템이나 타 기관과의 연동 여부와 같은 변수에 따라 다양한 구성 방안이

나올 수 있으나, 대개 유사한 환경이나 동종 업계에서는 비슷한 방식으로 구성되는 것이 보통이다.특히, 현재의 VPN 기술은 다양한 네트워크 환경에 유연하게 적용될 수 있는 장점을 갖고 있는데, 이 글에서는 이미 VPN 이 도입된 많은 업체들의

사례를 종합하여 각 분야별로 일반적인 VPN 구성 방식을 살펴보도록 하겠다.

● 공공기관, 금융권

공공기관이나 금융권은 전통적으로 네트워크 보안과 안정성이 생명이라고 할 수 있는 분야이므로 안정적인 서비스 운영을 위해 네트워크 장비와

전용회선 등 모든 부분에서 이중화 구성이 일반화돼 있다. 네트워크 환경도 프레임릴레이나 초고속 국가정보통신망(ATM)으로 구성되어 있으며

높은 보안성과 안정성을 위해 회선의 이중화뿐 아니라 지사나 지점의 인터넷 접속도 본사를 경유하여 이루어지는 구조가 많다.이러한 방식은 몇 가지 한계점을 지닐 수 있다. 먼저, 전용회선의 고비용 구조로 인해 비싼 회선 비용을 지불하면서도 낮은 대역폭을 이용할 수밖에

없어 지속적으로 전용회선 대역폭 업그레이드가 요구된다. 특히, 지점의 수가 많고 전국적으로 분산되어 있을수록 회선 부담이 가중되지만

보안성과 안정성이 극히 중요시되기 때문에 값싼 공중망을 사용하지 못하고 비싼 전용선에 의지해야만 하는 환경이다.또한, 지사의 인터넷 접속도 본사를 경유하는 구조가 많기 때문에 폭주하는 트래픽의 효율적인 처리를 위해 회선 업그레이드나 별도의 정책이

요구되며, 전용회선이나 본사 네트워크에 장애 발생 시 별도의 백업 대책이 없다면 모든 지사의 네트워크도 마비될 수 있다.공공기관이나 금융권에서 VPN 구성 방안은 대개 본사-지사 간에 구축된 백업용 전용회선을 VPN 으로 마이그레이션하는 방안이 대부분이다

이 제공하는 강력한 암호화 기능은 이들 기관들이 요구하는 강력한 보안 수준을 만족시킬 수 있으며, 회선 이중화나 장비 이중화를 통해

시간 고가용성 서비스를 제공할 수 있다.특히 최근에는 본사와 지사 간의 연결뿐 아니라, 재난 복구를 위한 본사-백업 센터간의 백업용 전용회선을 VPN 으로 마이그레이션하는 방안도

활발히 도입되고 있다. VPN 을 도입함으로써 얻게 되는 효과는 다음과 같다.첫째, 본사-지사 간의 네트워크 연결에서 고비용의 전용회선을 가격 대 성능비가 뛰어난 브로드밴드 VPN 으로 교체함으로써 수개월 이내에

투자비용회수(ROI)가 가능할 정도로 비용 절감 효과가 탁월하다.둘째, VPN 을 주 회선의 백업 용도뿐 아니라 액티브-액티브 형태로 부하분산 용도로도 활용할 수 있기 때문에 인터넷 접속 속도나 대역폭 향상을

직접 체감할 수 있다. 무엇보다도, 도입 기관의 보안 정책에 따라 회선별로 업무용 트래픽, 혹은 비업무용 트래픽을 할당할 수 있기 때문에 본사

네트워크의 트래픽 부하도 줄일 수 있다.마지막으로, 이러한 기관들은 보안상의 이유로 원격 접속을 허용하고 있지 않으나 필요하다면, 원격 접속 VPN 소프트웨어를 이용하여 안전한

방법으로 본사 네트워크에 접속할 수 있다. VPN 공급 업체에서 제공하는 통합 보안 관제도구를 이용하면 일관된 정책으로 통합보안솔루션 구현이

가능하다.

● 유통·외식 및 서비스 분야

유통이나 외식 및 서비스 분야는 본사-지점 간의 네트워크가 대개 전용회선이나 ISDN 으로 구축되어 있는 경우가 많으며, 포스(Point of Sale : POS) 시스템을 사용하여 배치 작업 형태로 주기적으로 본사와 통신하는 경우가 많다.지점에서의 인터넷 접속 방식은 본사 네트워크를 경유하거나, 자체적으로 ADSL 이나 케이블모뎀 같은 별도의 인터넷 회선을 신청하여 해결하는

경우가 많은데, 이러한 방식의 문제점은 증가하는 트래픽을 효율적으로 수용하기 어려우며 보안상 취약점이 존재한다는 것이다.특히, ISDN 서비스는 현재 신규 가입이 불가능하며, 낮은 대역폭 제공과 향후 유지보수의 어려움, 그리고 종량제 서비스의 한계점 등을 갖고

있으며, 본사에서 지점으로의 연결이 불가능한 환경이다.일반적으로 유통이나 서비스 분야는 공공기관이나 금융권의 사례와 달리 매우 높은 수준의 가용성보다는 적정 수준의 가용성과 경제성을 절충한

구성 방안이 적합하다고 할 수 있다. 이러한 점을 감안해 본사-지점 간의 연결에 VPN 과 PSTN 을 이용한 백업 방법을 고려해 구성하는 것이

일반적이다.기존의 전용회선이나 ISDN 네트워크 대신 브로드밴드 VPN 을 도입함으로써 회선 비용 절감과 더불어 높은 대역폭을 제공받을 수 있는데

현재까지 xDSL 서비스의 경우 모두 정액제 서비스로 종량제로 고비용 저효율인 ISDN 의 단점을 모두 해소할 수 있다.또한, 회선 이중화와 더불어 외장 모뎀을 이용하여 PSTN 3 차 백업까지 고려한다면 최악의 경우에도 최소한의 업무 수행이 가능하므로 네트워크

고가용성을 구현할 수 있다.

● 일반기업

통신·ISP·대형 엔터프라이즈 환경의 경우는 앞서 살펴본 공공기관이나 금융권과 유사한 면이 많다. 그러므로 여기에서는 이러한 환경과 비교해

상대적으로 네트워크 의존도가 낮은 기업들, 즉 중소 규모의 기업들이나 제조 업체 등을 일반기업으로 분류하여 살펴보기로 하겠다

보통 일반기업 환경은 본사-지사를 전용회선으로 연결하여 사용하거나 소규모 지사의 경우에는 ADSL/케이블 등을 통해 인터넷과 같은 공중망을

이용하여 본사의 업무용 서버에 접근하는 경우가 많다.이러한 구성에서는 지사가 많을수록 높은 회선 비용이 발생하며, 단일 회선을 이용하여 구성된 경우가 대부분이므로 네트워크 회선 장애나 본사의

라우터 장애는 전체 네트워크에 치명적일 수 있다.특히, 지사의 인터넷 접속이 본사를 경유하는 경우 본사 측에는 트래픽 부하로 인해 별도의 회선 증설이 필요하며, ADSL 접속의 경우 기업의

중요한 데이터가 공중망으로 그대로 전송되며 외부로부터의 불법적 접근이나 공격 시도 등 보안상 취약점이 존재할 수 있는 구조이다

많은 사례를 살펴보면 일반 기업 환경의 트래픽은 업무용 트래픽 외 인터넷 접속 트래픽이 많은 비중을 차지하고 있는데, 이러한 환경은

브로드밴드 VPN 의 도입이 매우 효율적이다.VPN 구성 방안으로는, 본사 환경에는 안정성과 고가용성을 위해 VPN 이중화를, 지사 환경에는 xDSL 회선 이중화를 적용해 site-to-site VPN구성하는 것이 일반적이다. 이는 직접적인 전용회선 비용 절감뿐 아니라, 트래픽의 효율적 분배 및 전사적인 통합보안솔루션 구축이 가능하다는

장점이 있다.

실제 VPN 구현 사례

그럼 이제부터 실제 VPN 을 성공적으로 구축한 사례 분석을 통해 주요 도입 사유와 도입 전후 이슈 사항 및 도입 효과, 그리고 ROI분석 측면 등을 중점적으로 살펴보자.

● A 전자서비스

A 전자서비스는 전국적으로 프레임릴레이 전용선으로 연결된 80 여 개의 서비스센터를 xDSL 기반 브로드밴드 VPN 으로 교체해 시스템 구축과

그룹사로부터 전산망 분리를 성공적으로 완료한 사례이다.

기존 네트워크 구성 및 한계점

A 전자서비스는 전국적으로 약 80 여 개의 서비스센터를 운영하고 있는데, 대부분의 지점이 128K∼256Kbps 의 낮은 대역폭을 사용함에도

불구하고 월간 회선 비용만 약 9천만 원에 근접할 정도로 높은 비용을 지불하고 있었다.경기 위축과 함께 전사적인 비용 절감 차원의 노력이 진행되고 있는 상황에서 A 전자서비스는 고정적 전산 비용 중에서 많은 부분을 차지하고 있는

회선 비용은 당연히 부담이 될 수밖에 없었다. 특히, 모든 지사의 인터넷 접속이 본사를 경유하는 구조로 인해 본사 측에서는 인터넷 트래픽의

효율적 처리를 위해 2 개의 10M 메트로 이더넷을 운영했다. 그러나 여전히 트래픽 폭주 상태였으며, 지사 측에서는 낮은 인터넷 접속 속도로 인한

불만이 존재하고 있었다.이에 A 전자서비스는 기존 전용회선의 한계점들을 인식하고 해결 방안을 찾기 시작했다. 처음에는 본사-지점 간의 전용회선 업그레이드를

고려하였으나, 막대한 투입 비용에 비해 그 효과가 미미할 것이라는 결론에 이르렀으며, 그 대안으로 xDSL 기반 브로드밴드 VPN전용회선의 고비용 구조뿐 아니라 가까운 시일 내에 업무용 애플리케이션의 업그레이도 계획되어 있었기 때문에 이로 인해 증가하는 업무용

트래픽의 효율적 처리와 인터넷 트래픽의 분산은 절실한 문제였다. 또한, 초기에는 그룹사의 일부에 속해 있어 네트워크 관리도 아웃소싱에

의존하고 있었으나, 독자적인 보안 정책 관리를 위해 그룹사에서 전산망 분리를 고려하고 있었다.

도입 방법 및 마이그레이션

브로드밴드 VPN 이 저렴한 비용으로 높은 효율을 제공할 수 있으나, 실제 네트워크 인프라를 바꾸는 것은 간단한 작업이 아니었다

업계에서의 구축 사례가 전무하였기 때문에 A 전자서비스 측으로서는 이에 대해 충분한 검토와 검증이 필요했다. 특히, 브로드밴드 VPN 의 가장 큰 단점으로 지적되고 있는 xDSL 회선의 불안정성 문제로 인한 네트워크의 일시적 단절이나 이로 인한 업무용

애플리케이션의 장애, 이슈 사항 등을 철저하게 검증하고자 했다. 이러한 부분들을 중점적으로 하여 제안서 평가와 기능 평가 및 장기간의

통해 VPN 구축 업체를 최종적으로 결정하여 담당 엔지니어와 함께 시스템 이전과 전산망 분리 및 VPN 구축에 관련된 통합 컨설팅 작업을

진행했다. 주요 구성 내역으로는, 본사에는 효율적인 부하 분산과 고가용성을 위해 VPN 장비를 이중화하였으며, 전국 각 지점에는 xDSL/Cable 이중화로 로드밸런싱 및 실시간 세션 페일오버를 구현해 완벽한 애플리케이션 가용성을 확보했다. 전사적으로 효율적인 라우팅 체계를 위해 전체적으로 IP 체계의 재정립 작업이 수행되었으며, 지점 VPN 장비에서는 DHCP 기능 활성화를 통한

접속 및 IP 관리의 자동화로 본사의 관리 부담을 줄일 수 있었다. 또한 각 지점 VPN 장비들의 효율적 관리와 전사적 통합 보안관리 시스템을

도입하였다.

도입 효과

A 전자서비스는 VPN 을 도입한 후 비용과 성능 면에서 다음과 같이 즉각적인 효과를 볼 수 있었다.첫째, 기존의 고비용 저효율 구조를 획기적으로 개선하여 자체 분석 결과, 한달 반만에 ROI 부분을 달성할 수 있었다.둘째, 네트워크 대역폭의 향상과 효율적인 부하 분산을 이룰 수 있었는데, 지점에서는 향상된 대역폭과 직접적인 인터넷 접속으로 인해 약

정도의 접속 속도 향상(128K 전용선 기준)을 체감할 수 있었다. 본사에서는 인터넷 접속 트래픽이 각 지점별로 분산됨에 따라 트래픽 추이 분석과 예측이 가능해져 기존의 10M 메트로 이더넷 1

초기에는 예상하지 못했던 추가 비용 절감 효과까지 거뒀다. 또한, 정책적으로 업무용 트래픽은 액티브-액티브 로드 밸런싱을 적용하고 인터넷

트래픽은 한쪽 회선으로만 통신하도록 하여 업무용 트래픽의 서비스 수준(SLA)을 보장할 수 있었다. 이외에도 VPN 장비에 내장된 방화벽 기능과

IDS 기능을 적절히 활용하여 외부로부터의 유해한 접근이나 불필요한 트래픽 유입을 차단하여 전사적인 통합보안관리 체제를 구축할 수 있었던

것도 큰 성과였다.

항목 내역 금액(원) 비고

VPN 도입전 월간 회선비용

56K F/R 전용회선(4 개) *487,000

92,436,000F/R 전용회선 비용

접속회선료+전송회선료

256K F/R 전용회선(9 개) *1,473,000512K F/R 전용회선(2 개) *2,679,000T1 F/R 전용회선(1 개) *5,281,00010M 메트로이더넷(2 개) *7,376,000

VPN 도입 후

장비 도입 비용

전산센터(본사) : VPN 이중화

구성

센터(지점) : VPN 단일 구성

120,000,000

 

월간 회선 비용 ADSL(100 개) 12,176,000 ADSL : 3만 원 책정

케이블모뎀(1 개)

10M 메트로이더넷(1 개)유동 IP)

월간 비용

절감액  80,260,000  

ROI(Return on Investment) 약 1.5 개월에 VPN 도입 비용 회수 가능

(표) A 서비스 VPN 도입에 따른 ROI 분석

- ROI 분석은 ISP 의 공개가격을 기준으로 하였으며, 실제 컨설팅 비용과 투입 인력 할당 비용은 제외된 금액이다.

● B 영어교실

B 영어교실은 국내 중견 교육 기업으로서 전국적으로 많은 지사 및 영업점을 가지고 있다. 이 기업은 본사와 주요 지사와의 연결 및

간의 네트워크에 브로드밴드 VPN 을 도입, 성공적으로 구축을 완료한 사례이다.

기존 네트워크 구성 및 한계점

B 영어교실은 전국적으로 많은 회원 수를 확보하고 있으나, 학습지 회사의 특성상 일반 기업 환경처럼 실시간 데이터의 전송이 절실하지 않고

모든 영업점에서 본사와의 네트워크 접속이 필요한 환경은 아니었다.무엇보다 자체 운용 중인 업무용 애플리케이션이 인터넷 접속만 가능하면 어디서든 운용할 수 있었기 때문에 대부분의 지사들은

이용하여 업무와 인터넷을 동시에 사용하는 네트워크 구조였다.그러나 사용기간 내내 잦은 접속 장애와 외부로부터의 해킹 시도, 그리고 중요한 데이터가 인터넷으로 그대로 전송되는 것에 대해 일말의 불안감이

존재했다. 특히, 지난 1.25 인터넷 대란 당시 ISP 에서 일제히 특정 포트를 차단함에 따라 업무용 애플리케이션과 관련된 이슈 사항이 발생하였다

또한 양방향 통신을 필요로 하는 넷미팅과 같은 애플리케이션의 도입과 향후 전사적인 시스템 관리를 위해 본사에서 지사의 PC 나 시스템으로

접근할 필요성도 대두되어 기존 환경의 수정 및 보완이 불가피하게 됐다. 이와 별도로 신규 교육 서비스를 제공하기 위해 IDC 에는 대규모의 전산 자원이 증축되고 있었는데, 본사와 IDC 전산센터와의 실시간

동기화 및 시스템 관리를 위해 안전하고 효율적인 네트워크 연결방안도 절실하게 요구되었다.

도입 방법 및 마이그레이션

B 영어교실 측은 처음에는 ADSL 의 보안성 문제와 애플리케이션 이슈 및 기타 요구 사항들을 해결하기 위해 전용회선을 고려하였으며

증설에 앞서 우선 시범적으로 몇 개 지사에 전용회선(128Kbps 프레임릴레이)을 적용해 보았다.하지만, 결과는 그리 좋지 않았다. 먼저 본사 측으로서는 회선 비용이 부담이 되었고, 무엇보다 기존 ADSL 대비 턱없이 낮아진 대역폭으로 인해

지사 측으로부터 불만이 지속적으로 접수되었다.이에 B 영어교실 측은 xDSL 기반 브로드밴드 VPN 을 그 대안으로 검토하기 시작했다. 여러 업체들을 통해 제안을 받고 실제 업무 환경에서 철저한

BMT 를 진행한 뒤, 자사의 요구 사항을 가장 잘 만족할 수 있는 최종 구축 업체를 선정했다. 이에 따라 보안컨설팅 단계를 거쳐 본사와 지사와의

연결, 그리고 본사와 IDC 전산센터와의 네트워크 연결에 브로드밴드 VPN 을 적용했다.

도입 효과

B 영어교실은 본사-지사와의 주요 트래픽으로 DB 관련 입출력 작업이 많았기 때문에 보안이 무엇보다 중요시되었다. 사용자 입장에서는 접속 속도

또한 무시할 수 없는 요인이었는데, VPN 도입 후 이러한 사항들을 말끔히 해소할 수 있었다.우선, 본사-지사 간의 전용회선 연결 시 문제가 되었던 비용 문제와 외부로부터의 해킹 시도, 그리고 공중망 이용에 따른 보안 신뢰성 문제를

완벽히 해결했다. 본사와 지사 환경에서 모두 고속의 양방향 통신이 가능함에 따라, 넷미팅과 같은 업무용 애플리케이션의 활용도도 크게

증가되었다. 뿐만 아니라, 본사에서 지사의 시스템들을 모니터링하고 관리할 수 있게 됨에 따라 향후 전사적 차원에서 효율적인 시스템 관리나 보안성 향상을

위한 SMS(System Management System)나 VMS(Virus Management System)와 같은 애플리케이션의 도입도 가능해졌다

지사에서도 VPN 장비에 내장된 방화벽과 IDS 기능을 이용, 기존 환경에서의 보안 이슈를 해결할 수 있게 되었으며, VPN 을 이용해 안전한 원격

접속이 가능해짐에 따라 재택 근무자나 파견 근무자들도 안전하게 본사와 IDC 환경에 접속할 수 있게 됐다. 본사와 IDC 전산센터와의 연결에서도 백업회선으로 브로드밴드 VPN 을 도입하여 뛰어난 성능과 비용 절감 효과를 볼 수 있었으며

VPN 의 부하분산 및 페일오버의 구현으로 안정적인 네트워크 환경 구축을 완료했다.전체적으로 B 영어교실의 경우에는 브로드밴드 VPN 도입을 통해 기존의 문제점 해결뿐 아니라, 업무의 효율성도 크게 높였다고 할 수 있다

기업의 경우 기존의 본사-지사와의 연결에 전용선이 아닌 저렴한 ADSL 회선을 사용하고 있었기 때문에 비용 절감 효과는 표면적으로 크게

부각되지 않았던 사례라 할 수 있다. 그러나 만일 VPN 을 도입하지 않고 지사 모두를 128Kbps 전용회선으로 구성했을 경우 약 10IP 8만 원, 128K F/R : 80만 원)의 비용을 지불하면서도 만족할만한 효과를 얻지 못했을 것이다. 또한 본사-IDC 간의 연결도 고속의 백업

전용회선 대신 VPN 도입을 통해 적지 않은 비용이 절감되리라는 것을 쉽게 예상할 수 있다.지금까지 분야별로 일반적인 VPN 구성 방법부터 국내 환경에서 인지도를 갖고 있는 두 개 기업을 대상으로 VPN 구성 사례를 살펴보았다

담당자의 요청과 고객사의 보안을 위해 더 세부적인 상황을 다루지 못하였으나 전체적인 흐름과 내용을 파악하는 데는 무리가 없었으리라 믿는다

소개한 두 개의 기업이 업종이나 분야는 다소 상이하지만 VPN 을 도입함으로써 짧은 기간에 뛰어난 비용 절감 효과를 볼 수 있었다

서술하였듯이 비용 절감 효과뿐 아니라, 네트워크 대역폭 확장 및 전체 보안 수준 향상, 그리고 새로운 애플리케이션 도입 등으로 높은 만족도를

나타내고 있다는 점에서 공통점을 찾을 수 있다.결론적으로, VPN 은 인터넷이라는 영원히(?) 신뢰할 수 없는 공중망을 전제로 하면서도 전체적인 보안 수준을 떨어뜨리지 않으면서 조직에게는

만족할만한 비용 절감 효과를, 사용자들에게는 향상된 대역폭으로 인해 높은 업무효율성을 제공하고 있다고 정리할 수 있다.다음 호에서는 ‘VPN 실전구축 가이드’라는 주제로 기업 환경에서 실제 VPN 을 도입할 때 주요 체크리스트 및 검증 사항, 그리고 엔터프라이즈

솔루션 구축 방안 등을 중점적으로 살펴보기로 하겠다.

[Tech Report - VPN③]

기업 환경 VPN 실전 구축 가이드

각자 환경에 맞는 VPN 기술 선택이 필수

IT 시장의 전반적인 침체에도 불구하고 시장에서 호평을 받으며 활발히 도입되고 있는 솔루션을 꼽는다면 단연 VPN(Virtual Private Network, 가상사설망)이 그 선두에 있다. VPN 기술은 그 기본 개념이 소개된 이후로 뛰어난 비용 절감 효과와 보안 신뢰성을 무기로 꾸준히 영역을 넓혀갔다. 특히, 국내 환경은 전 세계적으로 가장 발달된 xDSL 인프라를 기반으로 브로드밴드(Broadband) VPN 솔루션이 활발하게 도입되고

있다. 이러한 시점에서 기업 환경 VPN 실전 구축 가이드라는 주제로 총 4 회에 걸쳐 VPN 의 기본 개념과

특징, 구현 기술 등을 살펴보자. 또한 기업 환경에서 VPN 을 구축할 때 필수적인 가이드라인과 VPN 의

과거와 현재, 차세대 VPN 솔루션의 기술과 전망, 그리고 주요 분야에서의 적용 성공 사례 등을

소개하고자 한다.

시그엔 정보보안기술팀

박광청 과장(kcpark@sig-n.com)이규호 대리(pang295@sig-n.com)조은영 대리(eycho@sig-n.com)

 

연재목차

1 회(2004 년 1 월호) VPN 개요 및 기술 분석

2 회(2004 년 1 월호) VPN 구성 사례

3 회(이번 호) VPN 실전 구축 가이드

4 회(2004 년 4 월호) VPN 미래와 향후 전망

이번 호에서는 VPN 실전 구축 가이드라는 주제로 엔터프라이즈 VPN 솔루션의 주요 특징과 실제 기업 환경에서 VPN 솔루션 도입 시 주요 점검

사항과 일반적 절차, 그리고 브로드밴드 VPN 구축 시 유의할 점 등을 살펴보도록 하겠다.

엔터프라이즈 VPN 솔루션

VPN 기술은 1990 년대 중반 처음 선보인 이후 지속적인 발전을 거듭하고 있는데, 오늘날 기업 환경에서 필요로 하는 엔터프라이즈

특징을 정리하면 다음과 같다.● 하드웨어 일체형 솔루션: 과거에는 VPN 장비 가격이 워낙 고가였고, 특정 영역에서만 부분적으로 사용되었기 때문에 기존에 사용하던

방화벽이나 라우터와 같은 네트워크 장비에 암호화 모듈을 추가하여 구축하는 경우가 많았다. 그러나 이러한 방식은 충분한 성능이나 안정성을

제공하지 못하는 것이 단점이다. 그래서 최근에는 하드웨어 기반 어플라이언스 방식이 선호되며, 이러한 일체형 장비는 소프트웨어 방식에 비해

높은 성능과 안정성, 그리고 짧은 부팅시간 등 많은 장점을 제공한다.● 고성능 제공: VPN 장비도 타 보안 솔루션과 유사하게 트래픽이 집중되는 곳에 위치하기 때문에 폭주하는 트래픽의 효율적인 처리를 위한

고성능 제공이 필수이다. 따라서, VPN 장비도 기가비트 인터페이스 지원이 일반화되고 있는데, 특히 최근에는 강력한 암호화 성능 및 와이어

스피드(Wire Speed)급 성능을 제공하기 위해 RISC 칩을 채용하거나 네트워크 프로세서를 탑재한 제품들도 선보이고 있다.● 고가용성 제공: 과거에는 금융권이나 정부기관 같은 일부 특수한 분야에서만 고가용성 무정지 시스템이 요구되었으나, 지속적인 하드웨어 가격

하락과 온라인 비즈니스의 확대로 인해 이제 고가용성(High Availability : HA)은 IT 전 분야에서 공통적으로 요구되는 사항이다

고가용성은 장비 이중화나 클러스터링을 이용한 장비 자체의 장애 극복 및 회선 이중화를 통한 부하 분산과 회선 장애 극복을 의미하는데

환경에서는 365 일 24 시간 신뢰성 있는 VPN 네트워크 운영이 필수 조건이다.● 관리 편의성: 대규모 네트워크 환경에서 VPN 도입은 초기 구축 작업뿐 아니라 도입 후 운영 관리까지 많은 리소스가 투입되는 프로젝트이다

따라서 구축 및 관리 작업을 자동화하고 관리 편의성을 극대화할 수 있는 방안이나 대안이 명확히 제시되어야만 한다.● 트래픽 제어 기술: VPN 은 비용 절감이라는 면에서 분명히 매력적인 솔루션이나 신뢰(?)할 수 없는 인터넷을 기반으로 하기 때문에 지연 및

시간에 민감한 음성서비스나 멀티미디어 서비스, 실시간 애플리케이션 환경에 적용하기에는 다소 무리가 있는 것이 사실이다.최근에는 이러한 한계를 극복하기 위해 특정 애플리케이션 및 네트워크에 최소한의 대역폭을 보장하는 QoS(Quality of Service)기술이 VPN 에도 도입되고 있으며 향후에는 엔터프라이즈 VPN 솔루션의 필수적인 조건이 될 것으로 보인다.

기업 환경 VPN 도입 절차

기업 환경에서 VPN 도입은 보안 정책과 네트워크 인프라 자체의 변경을 의미하기 때문에, 철저한 사전 점검 및 제안서 평가

시범 서비스 및 테스트 단계를 거쳐 적합한 제품을 선정한 뒤, 실제 구축을 진행하는 경우가 대부분이다.

구 분 장 점 단 점 적합한 환경

IPSec VPN

다양한 환경에 적용 가능

애플리케이션과 독립적

운용

높은 보안 수준 유지 가능

각 지사별 VPN 장비 필요

대규모 원격접속 환경에는

다소 부적절함

일반적인 본-지사간 VPN C/S 기반 애플리케이션 운용

MPLS VPN

뛰어난 QoS 기능 지원

장비 도입 비용 없음

관리 부담 없음

대역폭에 비해 다소 고비용

고객사 고유 정책 반영

어려워

시간에 민감한 애플리케이션

운영 환경(음성, 동영상 외

Managed VPN장비 도입 비용 없음

유지보수 및 관리비용 절감

가능

다소 고비용

고객사 고유 정책 반영

어려움

보안/암호화 수준 다소 낮음

별도의 전산인력 부재 환경

관리/관제 업무 아웃소싱 희망

고객

SSL VPN Clientless VPN 기술 현재 지원 서비스 다소 다수의 원격 사용자를 가진

(별도의 SW 필요 없음)

제한됨

다양한 서비스 지원을

위해서는 게이트웨이 방식

및 에이전트 필요

환경 및 웹 기반 애플리케이션

운영 사이트

(표 1) 주요 VPN 기술 특징 비교

1) 사전 점검 단계

기업 환경에서 성공적인 VPN 도입을 위해서는 VPN 도입 목적과 현재 상황에 대한 분석 작업, 구축 완료 후 얻게 될 도입 효과 등에 대해 명확하게

정의해야 하는데, 점검할 주요 내용은 다음과 같다.

① 업무용 애플리케이션과 호환성 여부 : 기존 환경에서 운영 중인 업무용 애플리케이션 및 프로세스가 VPN 인프라에서 정상적으로

운용 가능한지 여부를 점검하는 것으로 가장 핵심적인 항목이다.② 기존 네트워크 환경과의 통합 여부 : VPN 을 도입하려는 환경은 일정 규모 이상의 네트워크를 보유하고 있는 경우가 많으며

다양한 네트워크 장비나 보안 장비들이 도입·운용되고 있는 경우가 대부분이다. 따라서 VPN 솔루션이 이미 도입된 다양한 네트워크

장비들과 호환 및 상호 연동성을 제공하는지 검증해야 하며, 대개의 경우 VPN 은 타 보안 솔루션과 연동되어 전체적인 보안 수준을

높일 수 있다.③ 타사 VPN 제품과의 호환성 : 최근에는 기업 간 업무 영역의 확장이나 인수합병 등으로 인해 과거와는 달리 익스트라넷

구축도 빈번하게 이루어지므로 타사 VPN 제품과의 호환성 여부도 중요한 점검 사항이다. 대부분의 VPN 장비들이 IPSec지원하므로 상호간 호환성을 제공하나, 구현 가능한 제품 목록과 실제 구현 사례 및 이슈 사항 등을 살펴보아야 한다

④ 구축 사례 여부 : IPSec VPN 은 공개된 표준 기술로 이를 채용한 각 장비들의 기능과 성능 수준은 점차 평준화되고 있는

추세이다. 그렇기 때문에 제품 자체의 기능이나 사양, 그리고 제안서와 같은 기술자료 검토로는 차별성을 찾기 힘들며

환경에서의 구축 사례를 중점적으로 살펴봐야 한다.⑤ 관리 편의성 여부 : VPN 은 도입 단계부터 설치 및 운영에 이르기까지 지속적인 관리와 모니터링이 필요하다. 또한 도입 이후에는

중요한 관리 포인트가 될 수 있으므로, 지역적으로 분산 배치되어 있는 VPN 장비들을 효율적으로 관리할 수 있는 방안이

제시되어야 한다. ⑥ 향후 확장성 : 기업의 네트워크 환경은 끊임없이 진화하고 있으므로, VPN 솔루션도 이러한 변화에 맞추어 유연한 확장성을

제공해야 한다. 업그레이드 지원 여부와 충분한 VPN 성능 제공, 그리고 대용량 트래픽 처리를 위한 기가비트 네트워크 지원 여부

등이 주요 점검 사항이다.⑦ 공인인증 여부 : 보안 제품 도입 시 공인인증 획득 여부도 제품 선정의 중요한 기준이 될 수 있다. 일단 공인인증을 획득한 제품은

신뢰성 확보와 기본 기능에 대해 공식적으로 검증받은 제품이므로 VPN 도입 시 반드시 검증해야 하는 많은 과정들을 단축할 수

있다. 현재 보안 제품에 부여되는 공인인증으로는 미국 트루시큐어사에서 부여하는 ICSA(International Computer Security Association) 인증과 국내의 K 시리즈 인증, 그리고 최근 부각되고 있는 국제공통 평가기준(Common Criteria : CC) 대표적이다. ⑧ 최적의 기술 선택 여부 : 현재 시장에는 IPSec VPN 외에도 MPLS VPN, ISP 에서 제공하는 VPN 관리 서비스, 그리고 최근 관심이

고조되고 있는 SSL VPN 등 다양한 기술들이 존재하고 있다. 이러한 VPN 기술들은 각기 고유 영역을 갖고 상호 보완하는 형태로

발전하고 있는 추세이다. 이는 각 기업이나 조직에서 VPN 도입을 검토할 때 선택의 폭이 넓어졌다는 것과 그만큼 고려해야 될

사항이 많아졌다는 것을 의미하는데, 이러한 기술들의 주요 특징을 파악하고 최적화된 VPN 기술 선택이 필요하다. ⑨ 안정적인 기술 지원 여부 : 대규모 VPN 프로젝트의 경우 전국적인 규모로 장기간에 걸쳐 진행되며, 전체 보안 정책에 많은 변화를

수반하므로, 솔루션 업체로부터 향후 안정적인 서비스와 기술지원을 받을 수 있는지도 점검하여야 한다. 여기에는 구축 노하우나

엔지니어의 역량 등 기술적인 부분 외에도 회사의 재무 상태나 경영 상태까지 포함되는데, 최근 몇 년간 수익성 악화로 인해

국내에서 VPN 사업을 포기하거나, 제품 개발 자체가 중단되어 원활한 기술 지원이나 고객 서비스를 제공받지 못한 사례가 많았던

것이 사실이다.

구 분 항 목 수 량 비 고

VPN 장비본사용 VPN 장비 2 본사 이중화 구성 시

지사용 VPN 장비 2 지사 2곳 연결 기준

부하분산 장비 L4 스위치 2 본사측 부하분산 용도

VPN 소프트웨어

VPN 매니저 소프트웨어 1 VPN 매니저 프로그램

VPN 매니저 서버 1 VPN 매니저 서버

VPN 원격 접속 테스트 5 copy 원격 좁속 테스트(5 인 기준)

공인 IP 및 인터넷 접속 회선본사측 공인 IP - VPN 장비, L4 스위치 할당 용도

지사측 xDSL 회선 외 - 브로드밴드 VPN 구축 시

기타접속 테스트용 시스템 - PC 또는 서버

성능 테스트 용 소프트웨어 - FTP 및 별도 성능 측정 도구

(표 2) VPN BMT 사전 준비사항

2) 벤치마크 테스트

기업 환경에서 VPN 의 도입은 보안과 네트워크 인프라에 많은 변화가 수반되므로 도입 사유와 요구 사항을 정의한 뒤, 제안요청서

Proposal : RFP) 발송과 접수된 제안서 평가 후, 시범 서비스나 벤치마크 테스트(Bench Mark Test : BMT)를 통해 세부 기능 평가를 진행한 후

결과를 취합하여 최종 제품을 선정하는 경우가 많다. VPN 솔루션은 타 보안 솔루션에 비해 경쟁 제품의 수가 많고, 네트워크 환경에 따른 변수 등

검증해야 될 부분이 많기 때문에 BMT 자체도 손쉬운 절차가 아니다. VPN BMT 시 사전 준비 사항과 점검 사항은 다음과 같다.

① 기능 테스트 : VPN 장비의 주요 기능 검증 단계로 VPN 관련 기능들과 NAT, DHCP 등과 같은 네트워크 기능 및 장비에서

제공하는 관리 및 모니터링 기능, 그리고 기타 부가 기능 등이 주요 점검 대상이다.② 성능 테스트 : 성능 테스트는 실제 VPN 터널링을 구현한 상태에서 각 암호화/인증 정책별로 VPN 성능(Throughput)것으로, 대개 FTP 서비스를 이용해 대용량 파일을 전송하는 방법을 많이 사용한다. 이를 통해 장비에서 제공 가능한 최대 성능치를

얻을 수 있으며, 이것을 기준으로 규모에 맞는 적절한 사양을 결정한다.③ 안정성 테스트 : 대부분의 보안 장비와 마찬가지로 VPN 도 네트워크의 경계지점에 위치하므로 VPN 의 장애, 특히 본사

장비의 장애는 전체 네트워크의 장애로 이어지기 때문에 서비스 영속성을 위해 안정성과 신뢰성은 매우 중요한 부분이다

BMT 나 시범 서비스 단계에서 잦은 리부팅이나 전원 차단 등으로 인위적으로 장애 상황을 유발해 터널의 안정적인 동작 여부와

파일시스템의 견고함 등 VPN 장비의 안정성을 철저히 점검하여야 한다. 특히, xDSL 회선 이중화로 구성되는 지사 환경의 경우

안정적인 부하 분산 여부와 한쪽 회선 단절 시에도 즉각적인 페일오버를 통해 TCP 세션이나 애플리케이션이 끊어지지 않고

정상적으로 운용 가능한지도 살펴보아야 한다.④ 관리 편의성 테스트 : 관리 편의성 부분도 BMT 단계에서 중요한 점검 항목인데, VPN 하드웨어의 설치 및 관리 편의성뿐 아니라

VPN 소프트웨어(VPN 매니저나 원격 접속 소프트웨어)의 안정성 및 호환성 부분도 검증하여야 한다. 특히, 효율적인

정책관리를 위해 VPN 관리도구에서 구성관리, 성능관리, 정책관리, 장애 및 로그관리 등의 요소가 얼마나 잘 구현되어 있는지

검증하여야 한다.

구 분 항 목 평 가

기 능

설치 용이성(HW, SW, 사용자 접속 SW 외) 상/중/하동적 라우팅 프로토콜 지원 여부 Yes/No고가용성을 위한 장비/회선 이중화 지원 여부 Yes/NoVPN 장비 및 관리도구에 대한 접근 통제기능 제공 여부 Yes/No다양한 암호화 프로토콜(DES, 3DES, AES 외) 지원 여부 Yes/No다양한 인증 프로토콜(MD5, SHA-1 외) 지원 여부 Yes/No다양한 VPN 터널 연결방식 지원 여부 Yes/No원격 접속 사용자 인증 방법 및 절차 -DHCP, DHCP Relay, VRRP 기능 지원 여부 Yes/NoNAT 지원 여부 및 적용 가능한 구성 Yes/No타사 VPN 장비와 호환성 여부 Yes/No권장 사용자/세션/터널 수치 -최대 사용자/세션/터널 수치 -이벤트와 시스템 로그/알람/Alert 방법 및 구현 용이성 상/중/하

성 능

DES 및 3DES 암호화 전송 성능 -장비 및 회선 이중화에 따른 성능 향상 정도 상/중/하각 장비별 최대 성능 수치 -

안정성

장비 자체의 보안기능 및 감사 수준 상/중/하BMT 시 장비의 연속 가동 시간 및 장애 발생 여부 -세션 유지시간(Session Running Time 측정) -장비 또는 회선 단절 시 페일오버 및 안정성 여부 상/중/하터널 장애감지 여부 및 구현 방법 -인위적 장애발생 유도 시 이슈사항 및 특이사항 -

관리편의성 관리용 GUI 도구 주요 기능 및 사용 편의성 상/중/하

VPN 관리도구 사용 편의성 및 주요 기능 검토 상/중/하시스템 주요자원(CPU, Memory 외) 모니터링 기능 Yes/No장애 발생시 관리자 통보 기능 Yes/No원격 접속 및 관리 기능(보안성/관리 편의성) Yes/No장비 업그레이드 및 패치 적용 방법 및 난이도 상/중/하VPN 정책 백업 및 복원 기능 지원 여부 Yes/No

기타

인터넷/VPN Split Tunnel 기능 지원 여부 Yes/No기존 환경과의 통합성 여부와 수준 상/중/하자동 백업/라우팅을 위한 부가기능 지원 여부 Yes/No멀티캐스트 및 GRE 기능 지원 여부 Yes/NoQoS 또는 트래픽 제어기능 지원 여부 Yes/No

(표 3) VPN BMT 주요 점검 항목 (VPN Check List)

구 분 장 점 단 점

구성사례

1VPN 장비가 방화벽으로 보호됨

전체 네트워크 보안 수준 강화 효과

방화벽 및 VPN 에 모든 네트워크 트래픽 집중

단일 경로 배치→장비 장애 시 전체 네트워크

장애 발생

방화벽 보안정책 복잡

(IPSec, IKE 등 VPN 관련 서비스 허용 외

구성사례

2방화벽에서 정책 변경 불필요

전체 네트워크 보안 수준 강화 필요

방화벽 및 VPN 에 모든 네트워크 트래픽 집중

단일 경로 배치→장비 장애 시 전체 네트워크

장애 발생

VPN 자체에 보안성이 없을 경우, 보안 사고

가능성 존재

구성사례

3

효율적인 부하분산이 이루어짐

방화벽에서 정책변경 불필요

단일 장비 장애가 전체 네트워크 장애로

이어지지 않음

별도의 라우팅 정책 및 보안정책 변경 필요

(표 4) 각 구성 방식별 장단점

3) 정보 수집 및 설계 단계

제안서 평가와 BMT 를 진행한 뒤 집계된 결과 및 제안 가격 등을 종합하여 최종제품을 선정한 후에는 수집된 정보와 고객사의 네트워크 환경

트래픽 유형 및 업무용 프로세스 분석을 통해 실제 보안 정책을 설계하여야 한다. 이 단계에서는 보호하려고 하는 자원의 정의 및 전체 프로젝트

일정이 수립되어야 하며 도입 완료 시 고객이 얻게 되는 이점과 ROI(Return on Investment) 분석 등이 명확하게 이루어져야 한다

성공적인 VPN 프로젝트를 위해서는 프로젝트의 규모와 성격에 따라 필요하다면 별도의 네트워크 보안컨설팅 인력을 투입하여 현재 상황에 대한

분석과 설계뿐 아니라 VPN 도입 이후 발생 가능한 이슈 사항과 향후 확장성 부분도 적절히 고려하여야 한다.● 전사적 VPN 정책 설계: 전사적으로 적용될 공통된 VPN 정책은 IP 주소 설계, VPN 암호화/인증 방식 및 키 교환 방식 등이 있는데

지사를 가진 네트워크 환경에서는 NAT 를 적용, 사설 IP 를 사용하는 것이 일반적이다. 방화벽이나 침입탐지시스템과 같은 보안 장비가 이미

도입되어 있는 경우, 이들 간의 연동 정책 및 최적화된 구성 방안을 위한 각 장비에서의 정책 변경 부분도 고려되어야 하는데, 가장 일반적인

사례는 그림 3 과 같다. ● 본사 VPN 정책 설계: 본사의 규모나 연결될 지사의 규모나 수, 그리고 향후 확장성을 고려하여 적절한 성능을 보장할 수 있는 사양의 장비를

선정하여야 한다. 대개 VPN 제안사는 이와 관련된 축적된 노하우를 보유하고 있으므로, 엔지니어의 도움이나 객관화된 자료, 그리고

단계에서의 성능 데이터를 기반으로 적절한 모델을 결정한다. 본사는 중요한 전산 자원이 집중되어 있으며, 모든 지사의 VPN 트래픽이 집중되는

환경이므로 안정적인 VPN 서비스 운영과 적절한 성능 보장을 위해 부하 분산과 고가용성 정책이 필요하다. 대개 클러스터링이나

사용하여 Active-Active 및 Active-Standby 형식으로 부하 분산과 장애 발생 시 즉각적인 페일오버를 구현하는 경우가 많은데, 흐름도는 그림 4 와 같다.현재 몇몇 VPN 제품들은 L4 스위치 없이 자체 클러스터링만으로 고가용성 구현이 가능한 경우도 있는데, 이중화 구성을 통해 고가용성 구현 시

VPN 장비와 L4 스위치에서 VRRP(Virtual Router Redundancy Protocol) 구현 등으로 인해 여분의 IP 나 별도의 네트워크 서브넷팅 작업이

필요한 경우도 있다. 전사적으로 적용한 VPN 정책 설계 외에도 다수의 지사 환경을 가진 네트워크 환경에서는 각 지사별로 사설

할당하므로 이 영역에 대해서는 VPN 장비가 처리할 수 있도록 기존의 라우터나 L3 장비에서의 라우팅 작업이 필요하다. 특히, 금융권에서

전용선의 백업 용도나 백업 센터와의 효율적 연결 방안으로 브로드밴드 VPN 을 고려할 경우에는 전용선 장애 시, VPN 으로의 즉각적인 대체를

위해 VPN 과 기존 네트워크 장비 간에 VRRP 적용 및 OSPF 와 같은 동적 라우팅 프로토콜 작업이 필요하다.

● 지사 VPN 정책 설계: 지사의 규모나 사용자 수 및 회선 대역폭 사용 현황, 그리고 BMT 의 성능 데이터를 바탕으로 적절한 사양의 장비를

선정해야 한다. 지사의 수가 많을 경우 대개 비용 문제로 낮은 사양의 장비를 선정하는 경우가 많은데, 기본적으로 VPN 프로세서는 일정량의

오버헤드를 발생시키므로 성능과 안정성, 그리고 향후 확장성에 대한 고려가 필요하다. 브로드밴드 VPN 환경에서는 신뢰성 있는

위해 회선을 이중화하여 부하 분산 및 즉각적인 페일오버를 구현하는 경우가 많은데, 업무의 중요도에 따라 부하 분산 비율 및 정책을 다르게

적용할 수 있다. 현재 국내에서 서비스되는 초고속인터넷 접속 서비스의 경우 ISP 별

고정 IP 별로 가격이 다소 차이가 있다. 특히, 지역별로 서비스 안정성 및 회선 품질 차이가 큰

편이므로 지사의 환경에 적합한 서비스를 결정할 필요가 있는데, 더 완벽한 VPN 네트워크 구축을

위해서는 회선 이중화뿐 아니라 ISP 이중화(KT 와 하나로통신)까지 고려하는 것이 좋다

지사 환경의 경우 보안이나 관리 편의성을 위해 내부적으로 NAT 와 DHCP 를 적용, 사설

동적으로 할당해서 사용하는 경우가 많다. 만일 별도의 전산 자원이 존재하거나 전사적 차원에서

VMS(Virus Management System)나 DMS(Desktop Management System)와 같은 별도의

솔루션을 사용한다면 원활한 접속을 위해 고정 IP 를 할당하여야 한다.최근의 VPN 장비들은 VPN 기능 외에도 방화벽이나 침입탐지시스템(IDS) 기능 등 통합보안 기능을

제공하는 경우가 많은데, 소규모 지사 환경의 경우에는 별도의 보안 장비가 없는 경우가 많으므로

이러한 기능을 적용하면 전체 보안 수준 향상에 큰 도움이 된다. 그러나 지사용 VPN 높지 않은 경우가 대부분이므로, 이러한 기능들을 모두 사용할 경우 VPN 성능 자체가 영향을 받을 수

있으므로 적용 여부 및 적절한 수준이 결정되어야 한다.

 

4) 구축 단계

실제 VPN 구축 단계에서는 설계 시 미흡했던 부분의 재점검 및 보완 작업이 추가될 수 있다. 이러한 점을 보완하기 위해 발생한 이슈 사항 및 특이

사항은 설치 보고서와 같은 형식으로 별도의 기록을 남겨둘 필요가 있다. 대개의 경우 VPN 구축은 기존의 레거시 환경과 VPN 환경이 공존하는

과도기 단계이며 일정기간 동안 VPN 의 안정성을 검증한 뒤, 기존의 전용선이나 프레임릴레이 회선을 철거하므로 단계별 마이그레이션 전략이

필요하다.

● 본사 VPN 구축: 주요 작업은 VPN 장비 설치와 VPN 관리도구(VPN Manager) 설치 및 기존 네트워크 장비와의 연동 등으로 대규모 네트워크

환경의 경우에는 VPN 도입 과정이나 기존 네트워크 장비와의 연동 및 정책 변경 과정에서 예측하지 못하는 문제가 발생하는 경우가 빈번하다

그러므로 만일의 경우에 대비한 백업 대책을 강구하고 네트워크 다운타임을 최소화하는 것을 목표로 구축 작업에 임해야 한다. 본사

단계에서 많이 발생하는 이슈들은 지사와 터널링이 정상적으로 형성되지 않거나 지사에서 송신 패킷에 대한 응답을 받지 못하는 경우인데

경유 네트워크의 각 지점에서 라우팅 작업이 제대로 설정되지 않은 경우가 많다.● 지사 VPN 구축: 지사 VPN 구축 작업은 대개 IP 주소와 같은 최소한의 네트워크 정보만을 설정한 후 나머지 작업은 원격지에서 일괄적으로

진행하는 경우가 많은데, 원격 작업 및 안정적인 VPN 서비스를 위한 전제 조건은 제공되는 회선의 품질 및 안정성 여부이다. 만일

자체가 불안정하거나 일정한 성능을 제공하지 못하는 경우에는 본사와 VPN 을 구현하더라도 실제 정상적으로 애플리케이션을 운용하지 못하는

경우가 대부분이며 잦은 장애의 원인이 되므로, 해당 ISP 와 협의하여 회선 품질 검사를 실시하거나 교체를 요구하여야 한다. 특히

본사 환경과는 달리 여러 가지 조건이 열악한 경우가 많으므로, 효율적인 VPN 구축을 위해서는 전사적인 차원에서 작업 내용 공지 및 각 지점

담당자를 지정하여 사전에 회선 설치 여부 및 작업 과정에 대해 조율하는 과정이 필요하다.

5) 교육 및 유지보수 단계

최근의 VPN 솔루션들은 전용 어플라이언스 형식으로 출시되기 때문에 과거와 비교하여 장애가 발생하는 비율은 극히 낮다

직접적인 장비 장애뿐 아니라 회선의 불안정성 및 사소한 이슈들도 VPN 장애로 이어질 수가 있기 때문에 구축 완료 후 기술 이전

교육이나 장애 발생에 대처하기 위한 유지보수 방법 및 관제 방안 등도 중요한 요소이다.

구 분 ADSL VDSL HDSL SDSL Cable Modem

하향속도 1.5∼8 Mbps 13∼52 Mbps T1/E1160 K∼2.0 Mbps

256 K∼8 Mbps

상향속도 16∼640 Kbps 1.6∼19 Mbps T1/E1160 K∼2.0 Mbps

128 K∼1 Mbps

전송거리 ∼4.7 Km 0.3∼1.5 Km ∼3.5 Km ∼2 Km각 CATV 지역 및

자체 망 설치 지역

장점 기존 전화선 이용

별도 설치장비

불필요

고속 통신 가능 N/A N/A 성능이 안정적임

기존 전화선 이용

별도 설치장비

불필요

단점안정성 및 신뢰성

떨어짐거리 제한이 심함

별도 전화선

필요N/A

동시 사용시 속도

저하

기타비대칭형 구조

전화 동시 사용

대칭 및 비대칭

전화 동시 사용

대칭형 구조

전화 별도 사용

대칭형 구조

전화 동시 사용

비대칭형 구조

전화 별도 사용

DHCP 방식

(표 5)xDSL 서비스별 주요 특징

브로드밴드 VPN 구축 시 고려사항과 전환방법

브로드밴드 VPN 은 기존의 프레임릴레이나 전용선 대신 xDSL 이나 케이블 같이 가격대 성능비가 탁월한 초고속 정보통신 인프라를 활용하여

VPN 을 구성하는 방법으로, 최근 국내 환경에서 대세로 굳어지고 있는 VPN 솔루션이다.

xDSL 인프라 개요

DSL(x Digital Subscriber Line : 디지털 가입자 회선)은 증폭기나 중계기의 도움없이 구리로 된 TP(Twisted Pair) 케이블을 기반으로 고속으로

데이터를 전송하는 기술로써 ADSL, HDSL, SDSL 및 VDSL 기술 등을 통칭하는데 기술에 따라 구현 방식 및 성능에 다소 차이가 있다

xDSL 인프라는 기존 전용선 환경에 비해 높은 성능을 제공하지만, 구리선을 기반으로 하므로, 회선 불안정성 및 잦은 접속 장애라는 문제점이

있다. 일반적으로 장애가 자주 발생하는 구간은 ISP 의 DSLAM(DSL Access Multiplexer) 장비부터 가입자 단까지의 접속 구간 영역이다

현재 국내의 xDSL 서비스는 ADSL 및 Cable 모뎀 방식에서 VDSL 쪽으로 서비스가 강화되고 있는데, xDSL 인프라의 장단점을 정리하면 다음과

같다.

■ 장점: 탁월한 가격대 성능비

xDSL 환경의 가장 큰 장점은 단연 탁월한 가격대 성능비로써, 월 4만∼5만 원의 낮은 비용으로 2∼3Mbps 정도의 고 대역폭을 제공받을 수

있다는 것이다.동일한 조건에서 128Kbps 전용선과 KT-ADSL(유동 IP)의 성능을 테스트한 데이터를 비교하면 기존 전용선 대비 약 12배(Download) (Upload)의 높은 수치를 보여줌을 알 수 있다.

■ 단점 1: 회선 불안정성

xDSL 환경은 구리선을 접속 매체로 하기 때문에 전화국과의 거리 및 외부 환경 변수에 따라 회선의 품질과 안정성이 저하되는 구조를 갖고 있는데

이는 일정한 속도 내에서 안정적인 품질을 제공하는 전용선과 비교되는 부분이다. 따라서 xDSL 인프라를 기반으로 하는 브로드밴드

솔루션은 실제 구축에 앞서 xDSL 회선의 품질 및 안정성에 대한 검증 작업이 필수적으로 요구된다.

■ 단점 2: 보안 취약성

현재 국내에서 서비스 중인 ADSL, VDSL 및 케이블 서비스는 대부분 DHCP 를 활용한 공인 IP 를 제공하고 있는데, 이는 외부로부터 해킹 공격의

집중 타깃이 되는 등 보안상 취약한 구조를 가지고 있다. 각 ISP 가 할당하는 IP 주소 정보는 이미 해킹 사이트나 인터넷 상에 공개되어 있으며

실제로 이 영역을 대상으로 해킹 시도가 빈번하게 이루어지고 있다.

가정에서 일반 사용자가 인터넷 접속 시에는 백신 등을 이용하여 이러한 위협을 최소화할 수 있지만

기업 환경에서는 네트워크 차원에서 적절한 보안 대책이 필요하다고 할 수 있다.

■ 단점 3: 암호화되지 않은 데이터의 전송

TCP/IP 의 취약점으로 인해 네트워크 상에서 암호화되지 않은 데이터(Plain Text) 전송은 손쉽게

스니핑(Sniffing) 당할 수 있다. 특히 고객 정보나 거래 정보와 같은 중요한 기업 데이터의 불법 유출은

기업의 비즈니스 환경에 치명적인 일이다. 이러한 불법적 스니핑을 통한 데이터 유출과 피해를

방지하기 위해서는 중요한 데이터는 SSL(Secure Socket Layer)이나 IPSec 같은 암호화 기술을

사용하여 신뢰성을 확보하는 것이 필수적이다. 그림 9 는 일반 네트워크 통신과 VPN 스니핑한 결과를 보여준다.

브로드밴드 VPN 구축 가이드

브로드밴드 VPN 은 xDSL 인프라 특성으로 인해 설계 및 구축 단계에서 전용선 기반

상이한 부분이 있는데, 브로드밴드 VPN 구축을 위한 가이드 라인은 다음과 같다.① xDSL 단점 극복 방안: 성공적인 브로드밴드 VPN 구축을 위해서는 회선의 불안정성이라는 xDSL 인프라의 치명적 한계를 극복해야 하는데

대부분의 브로드밴드 VPN 기술들은 회선 이중화를 적용하여 부하 분산과 회선 장애 시 즉각적인 페일오버를 통해 이를 구현하고 있다

이중화의 기본 개념은 한 회선에 장애가 발생했을 때 이를 즉시 감지하고 짧은 시간 내에 이를 정상적인 회선으로 전환하여 고가용성을 보장하는

것이다.특히, xDSL 회선 설치 시 몇 가지 유의할 사항으로는 회선의 상태를 점검하기 위해 전화/팩스 동시 사용 시 끊김 및 불안정성 여부 점검과

한국전산원이나 각 ISP 에서 제공하는 회선 테스트 페이지를 이용하여 회선 속도 및 안정성 여부를 검증하여야 한다. 또한, 회선 이중화를 위해

복수 개의 회선 설치 시, 안정적인 운영을 위해 기본 게이트웨이(Default Gateway : DSLAM)가 틀리게 설정되어 있는지 확인해야한다

무인국사(주로 시외나 변두리)와 같이 DSLAM 이 하나밖에 없는 접속 환경이라면 안정성을 위해 ISP 의 변경도 고려하는 것이 좋다

② 마이그레이션 방안: 전용선을 사용하고 있는 환경에서 브로드밴드 VPN 을 도입하기 위해서는 검토해야 될 부분들이 상당히 많은데

환경에서 브로드밴드 VPN 네트워크로 안정된 마이그레이션을 위한 방안은 다음과 같다.먼저, 성공적인 브로드밴드 VPN 구축을 위한 필수 조건인 xDSL 회선의 안정성이 보장되어야 하는데, 만일 제공되는 xDSL 회선의 품질이 기준치

이하일 경우에는 ISP 와 별도 협의가 필요하다. 또한, 설계된 보안 정책을 기반으로 본사와 지사간 VPN 터널링을 구현하면, 전용선과

공존하는 과도기적 네트워크가 된다. 대개 라우터에서 특정 네트워크 영역(주로 본사)을 VPN 장비로 라우팅 처리(Static Routing)이 기간 동안 충분한 네트워크 및 애플리케이션 연결성 및 안정성 테스트를 통해 설계 단계나 BMT 단계에서 발견하지 못한 이슈 사항이나

위험요소 분석을 통해 VPN 네트워크의 안정성을 100% 검증한 후 기존 전용선을 단절하여 마이그레이션 하는 것이 중요하다.만일 마이그레이션 과정에서 문제가 발생했을 경우에는 네트워크, VPN, 애플리케이션 등으로 분류하여 장애 원인을 파악한 후, VPN 업체와 상의하여 해결 방안을 모색하여야 한다.이상으로 기업 환경에서 VPN 구축 시 점검할 주요 내용들을 전반적으로 살펴보았는데, 실제 대규모 VPN 프로젝트를 진행하게 되면 많은 이슈

사항 및 장애를 경험하게 되며 대부분의 장애는 VPN 자체보다는 불안정한 xDSL 회선이나 라우팅 설정과 같은 네트워크 환경으로부터 기인하는

경우가 많다.

결론적으로, xDSL 회선 장애를 최소화하고 안정성을 확보하는 것이 성공적인 VPN 네트워크 구축 및 운영을 위한 핵심 요소라고 할 수 있다

초고속인터넷 서비스는 KT, 하나로통신, 두루넷, 데이콤과 같은 대형 ISP 외에도 각 지역 유선 방송사나 중소 규모 ISP 등에서도 제공하는 경우가

많으며, VDSL 서비스로 재편되고 있는 추세이다. 따라서 VPN 도입 검토 단계부터 지역별로 이용 가능한 ISP 별 서비스와 가격 및 접속 방식

그리고 회선의 안정성에 대해 철저한 조사 및 준비가 필요하다고 할 수 있다.이상으로 3 회에 걸쳐 VPN 개요와 주요 구성 사례 및 기업 환경 VPN 실전 구축 가이드 등 전반적인 흐름들을 살펴보았다. 마지막 연재에서는 ‘

의 미래와 향후 전망’이라는 주제로 VPN 솔루션의 확장성 및 향후 전망과 현재 관심의 대상이 되고 있는 다양한 차세대 VPN 기술들에 대해

살펴보도록 하겠다.

[Tech Report - VPN ④]VPN 미래와 향후 전망

차세대 VPN 시장을 이끌어 갈 동력들

IT 시장의 전반적인 침체에도 불구하고 시장에서 호평을 받으며 활발히 도입되고 있는 솔루션을

꼽는다면 단연 VPN(Virtual Private Network, 가상사설망)이 그 선두에 있다. VPN 기술은 그 기본

개념이 소개된 이후로 뛰어난 비용 절감 효과와 보안 신뢰성을 무기로 꾸준히 영역을 넓혀왔다. 특히, 국내 환경은 전 세계적으로 가장 발달된 xDSL 인프라를 기반으로 브로드밴드(Broadband) VPN 솔루션이 활발하게 도입되고 있다. 이러한 시점에서 기업 환경 VPN 실전 구축 가이드라는 주제로 총 4회에 걸쳐 VPN의 기본 개념과 특징, 구현 기술 등을 살펴본다. 또한 기업 환경에서 VPN을 구축할 때

필수적인 가이드라인과 VPN의 과거와 현재, 차세대 VPN 솔루션의 기술과 전망, 그리고 주요 분야에서의

적용 성공 사례 등을 소개하고자 한다.

시그엔 정보보안기술팀

박광청 과장

(kcpark@sig-n.com)이규호 대리

(pang295@sig-n.com)조은영 대리

(eycho@sig-n.com)

 

연재목차

1회(2004년 1월호) VPN 개요 및 기술 분석

2회(2004년 2월호) VPN 구성 사례

3회(2004년 3월호) VPN 실전 구축 가이드

4회(이번 호) VPN 미래와 향후 전망

지난 3회의 연재에서 VPN 기술 개요와 각 분야별 구성사례, 그리고 기업환경 VPN 실전 구축 가이드를 살펴보았다

마지막으로 현재 VPN 기술의 시장과 전망, 그리고 차세대 VPN이라 일컬어지는 다양한 기술들의 특성 및 향후 전망에 대해

논하기로 한다.

국내 VPN 시장 분석 및 향후 전망

2003년 국내 VPN 시장 규모는 700억 원대로 추산된다. 이는 비용 감소와 함께 네트워크 성능 및 보안 수준을 획기적으로 향상시킬

수 있는 VPN의 장점이 부각되었기 때문이다. VPN 시장은 성숙기에 접어들어 금융, 공공뿐만 아니라 민수시장에서도 도입이

활발하게 진행됐다. 특히, 국내 환경은 초고속 정보통신 인프라를 기반으로 한 브로드밴드 IPSec VPN 구축이 대세였다

그러나 VPN의 신뢰성이 검증되고 시장 규모가 성장함에 따라 최근에는 새로운 VPN 기술의 출현과 기존 VPN의 기능을 확장한

다양한 서비스들이 출시되는 등 스펙트럼이 다양화되고 있다.■ 국내 VPN 시장 분석

지난 한해도 금융권과 공공기관 그리고 민수시장에서 크고 작은 VPN 프로젝트가 이뤄졌다. 이전과 비교해 주목할만한 점은

단순 전용선 대체를 통한 비용절감 용도 뿐 아니라, 네트워크 부하분산 및 기존 전용선의 백업 용도로도 도입되는 사례가

증가했다는 것이다. 국내에서는 xDSL 인프라를 이용한 브로드밴드 VPN이 활발히 도입됨에 따라 전용선에 비해 상대적으로 불안정한

이슈사항들을 해결할 수 있었던 국내 VPN 업체들의 경쟁이 치열하게 전개되었다. 하지만 선두권에 속하는 몇몇 업체들이 시장을 양분, 신규 업체들은 사업을 포기하거나 지사를 철수하는 등 양극화 현상을 보였다

특히, 전체 보안 시장에서 가장 큰 규모를 차지하고 있는 공공, 금융시장에서 K4 인증을 요구하고 있어, 이를 획득한 업체들은

독점적 지위를 영위하는데 반해 나머지 업체들은 현실적으로 진입이 불가능한 입장이다. 따라서 인증을 갖지 못한 업체들이나 외국

벤더들은 보안 인프라에 대한 투자가 덜한 민수 시장을 개척해야만 하는 어려움을 겪었다.■ VPN 시장 향후전망

브로드밴드 IPSec VPN 기술의 가장 큰 경쟁력은 단연 비용절감 효과이다. 그러나, 지난해를 기점으로 VPN의 성능과 신뢰성이

검증됨에 따라, VPN을 기반으로 한 다양한 사업 모델과 새로운 기술들이 주목받고 있다. 특히 VPN 인프라에서 안정적인 서비스

운영을 위한 QoS(Quality of Services) 기능이 구현 가능해짐에 따라 그 적용 영역과 서비스 수준이 향상된 고급화된

VPN 솔루션들이 속속 선보이고 있다.① VPN 매니지드 서비스 부상

VPN 솔루션이 기업 네트워크를 안정적이고 효율적으로 운영할 수 있는 훌륭한 방법으로 인식되고, 전사적 도입이 이루어지면서

대두된 문제가 지역적으로 분산된 VPN 장비들을 효율적으로 운영 및 관리하는 것이었다. 실제로 일정 규모 이상의 VPN 네트워크는 도입 뿐 아니라 도입 이후, 운영 및 관리 단계에서 전문적인 인력을 필요로 하는 경우가

많다. 이를 해결해주는 대안으로 등장한 것이 VPN 매니지드 서비스이다. VPN 매니지드 서비스는 보안 관리 및 헬프데스크 운영

등을 통신사업자가 담당하므로, 기업은 본연의 기업 활동에 집중할 수 있어 효과적이다. 이러한 장점으로 인해

서비스는 2003년을 기점으로 하여 다수의 고객을 확보해 가고 있다. 최근에는 KT와 데이콤 같은 대형 통신 업체뿐만 아니라 중소규모의 ISP에서도 관련 서비스를 제공하고 있다. VPN 구축 및 관리에 소요되는 인적 및 물적 자원을 절감할 수 있으므로, 향후에도 VPN 매니지드 서비스 시장은 꾸준히 성장하리라

예상된다. ② 통합장비 시장의 성장 가속화

VPN 프로세스의 암호화/인증 알고리즘과 IKE는 높은 컴퓨팅 리소스를 요구하기 때문에 VPN 장비는 소프트웨어 방식보다 암호화

가속 기능을 가진 단독형 어플라이언스 형태가 선호되었다. 그러나 최근에는 급격히 발전한 하드웨어 기술을 이용하여 다양한

보안기능을 단일 박스에서 구현하는 통합 보안장비의 출시가 이어지고 있다.

특히, 스위치와 같은 네트워크 장비에서 ASIC(Application Specific Integrated Circuit)이나 NPU(Network Processor Unit)같은 고성능 칩을 탑재하여 성능이 급격히 향상됨에 따라 방화벽/VPN 기능에 안티바이러스나 능동형 보안기술을 추가하는 경향이

짙어지고 있다. 이러한 경향은 보안시장의 전반적 추세인 능동형 보안기술과 통합 보안솔루션의 부각과도 그 맥을 같이 하고 있다. 벤더들은 기존 방화벽에 VPN 기능을 통합하거나, IPS(Intrusion Preven tion System)와 같은 능동형 보안기술을 추가하여 기존

제품과 차별화에 나섰다. 이러한 통합보안장비들은 가격 효율성과 관리 편의성을 내세워 상대적으로 보안이 취약한

Medium Business) 시장을 집중적으로 공략할 것으로 예상된다.③ 새로운 인증 제도의 도입

그간 국내 정보보호 산업을 육성하고 보호한다는 취지 하에 정부에 의해 운영되어온 인증제도의 변화도 나타나고 있다

사례가 국제공통 평가기준(Common Criteria : CC)이다. 그동안 정보보호 솔루션에 적용된 K4 인증제도는 일정 부분 국내

정보보호 산업 발전에 기여한 것이 사실이지만, 공공/금융 시장에서 몇몇 업체들에게 사실상 독점적 지위를 부여하여 국내

보안솔루션과 외산 제품들과의 기술력 격차가 벌어진 것도 사실이었다.이에 비해 CC는 정보보호시스템 평가의 국제 표준기준으로 각국이 협정을 통해 평가결과를 상호간 인정하므로, 이 제도가 정착되면

국산 제품과 외산 제품은 인증면에서 동등한 위치를 점하기 때문에 판도 변화가 일어날 것으로 보인다. 정부에서도

평가기준으로 채택하였으며, 해외 진출을 목표로 하는 업체들에게 CC 인증은 피해갈 수 없는 관문이 되어버렸다. 대부분의 국내 VPN 선두 업체들은 CC 인증을 완료했거나 추진 중에 있다.④ 다양한 VPN 기술 출현

과거에는 VPN 하면 IPSec이 연상되었으나, 최근에는 VPN의 활용도가 점차 증가하고 있다. 특히 IT 전반적으로 부각되고 있는 유비쿼터스(Ubiquitous)나 유틸리티 컴퓨팅(Utility Computing)과 같은 시공간 제약성 극복과

TCO(Total Cost of Owner ship), ROI(Return on Investment)와 같은 비용 효율성을 강조한 개념들이 중요시됨에 따라 이와

맥락을 같이 하는 다양한 VPN 기술들이 선보이고 있다. 그 대표적인 예가 MPLS VPN을 비롯하여 최근 관심이 고조되고 있는 SSL VPN, 그리고 커뮤니티 기반 종단간 암호화 통신을

지원하는 VCN(Virtual Community Network) 등이다. 이러한 다양한 VPN 기술들이 실제 네트워크 환경에 적용되면 향후에는

VPN 적용 영역이나 활용도 또한 크게 높아질 것으로 전망된다.

제품군 평가 완료 제품 평가 진행 제품 평가 업체 수

침입차단시스템(K4) 29 2 12

침입탐지스스템(K4) 23 1 12

CC 평가 인증 3 8 4

(표 1) 정보보호시스템 평가인증 현황 출처 : 2004. 2. 정보보호진흥원

구분 MPLS VPN IPSec VPN

개요 네트워크 기반 기술 전용 VPN 장비기반 기술

구성방법2계층 VPN(MPLS L2 VPN)3계층 NPN(MPLS L3 VPN)

랜투랜 VPN(Site-to-Site VPN)원격 접속 VPN(Site-to-Remote VPN)

장점

트래픽 제어 및 QoS 기능 제공

네트워크 레벨에서 VPN 기능 제공

뛰어난 관리 편의성

낮은 도입/관리 비용

보안수준과 암호화 기능 뛰어남

고객사 고유의 보안정책 적용 가능

다양한 인터넷 접속기술 활용 가능

단점

동일 ISP 내부에서만 운영 가능

공중망 전송시 암호화 기능 미약함

고비용 구조와 낮은 대역폭

높은 초기 도입비용

트래픽 제어 및 QoS 기능 미약

지속적인 관리비용 발생

표준 RFC 2547 RFC 2401

(표 2) MPLS VPN과 IPSec VPN 기능 비교

다양한 차세대 VPN 기술 분석

■ MPLS VPNMPLS(Multi Protocol Label Switching)는 2계층의 유선속도(Wire Speed)와 3계층의 라우팅 기법을 접목한 스위칭 기술로

고정된 표준 길이(4Byte)의 라벨(Label)을 이용하여 데이터를 전송하는 기술이다. MPLS는 기존 IP 네트워크 기반 전송기술과 IP 헤더(Header), 주소 조회 및 전송 방식에 다소 차이가 있다. IP는 물론

프레임릴레이 같은 다양한 프로토콜 수용이 가능하며, 회선과 네트워크를 보유한 ISP와 같은 사업자만 운영할 수 있는 서비스이다

MPLS의 가장 큰 장점은 정책기반 트래픽 제어를 통해 최근 부각되고 있는 SLA (Service Level Agreement), QoS (Quality of Service), CoS(Class of Service)와 같은 서비스 품질보장이 가능하며, 우선 순위에 따른 차별된 서비스를 제공할 수 있다는

것이다.MPLS VPN은 하나의 물리적 회선에서 고객별로 완벽한 트래픽 분리가 가능한 MPLS 기술과 공중망을 이용하여 VPN기술로, 높은 신뢰성과 보안수준을 보장할 수 있다. 특히 고객 입장에서는 장비도입 비용이나 관리비용을 절감할 수 있다는 점이

매력적인 요소이다. 반면, 동일한 ISP 네트워크 내부에서만 구현 가능하고, 자체적인 암호화 성능이 미약하므로 인터넷과 같은

공중망 경유시 보안에 다소 취약하다는 점, 그리고 국내의 xDSL 기반 브로드밴드 VPN 환경과 비교하여 고비용 저대역폭 구조라는

단점이 있다.① 2계층 MPLS VPN2계층 MPLS VPN은 VPLS(Virtual Private LAN Service)라고도 불리는데, MPLS 네트워크에서 2계층 프레임을 포인트 투 포인트

(Point-to-Point) 방식으로 터널링을 구성, 목적지까지 전달해 주는 방식이다.2계층 MPLS VPN 서비스가 3계층 MPLS VPN 서비스와 다른 점은 PE (Provider Edge) 라우터와 CE (Customer Edge) 특별한 관계를 맺지 않는다는 것이다. PE는 멀티포인트 서비스를 제공하기 위해 CE로부터 수신한 프레임을 목적지 네트워크로 단순히 전달하는 역할만 담당한다

는 2계층 MPLS 기술이므로, 지리적으로 떨어져 있는 여러 사이트들이 마치 하나의 랜 스위치에 연결되어 있는 것과 같은 가상회선

(VC) 효과를 제공하며, IP 데이터뿐 아니라 다른 네트워크 패킷도 전송할 수 있다는 장점이 있다. 특히, 기업 입장에서는 복잡한 사설망을 통합, 효율적으로 운영할 수 있으므로 통신 및 관리비용 절감효과가 뛰어나다

제공자는 가입자의 라우팅 정책에 관여하지 않으므로 운영부담을 덜 수 있고, 기존 네트워크에 확장성 부여를 통한 새로운 수익

창출이 가능하다.

② 3계층 MPLS VPN3계층 MPLS VPN은 BGP(Border Gateway Protocol)를 중심으로 한 IP 네트워크 체계로 RD(Route Distinguisher)주소와 결합하여 가입자를 구분하는 방식을 사용하는데 BGP 네트워크 운영에 익숙한 인터넷 사업자나 통신 사업자에게 적합한

모델이다.3계층 MPLS VPN은 2계층 기반 VPLS와 달리 PE 라우터와 CE 라우터가 밀접한 관계를 맺고 라우팅 정보를 교환한다

라우터 간에도 BGP를 기반으로 라우팅 정보를 활발히 교환하는 구조이다.3계층 MPLS VPN은 IP 네트워크 기반이므로 다양한 물리적 매체의 수용이 가능하며, 경로검색 및 재설정이 신속하게 이루어진다는

장점이다. 그러나 IP 패킷만 수용 가능하며, PE 라우터가 많은 라우팅 정보를 관리하므로 서비스 운영자 측면에서는 다소 부담이

되는 방식이다.이상에서 살펴본 바와 같이 2계층 MPLS와 3계층 MPLS 기술은 각 방식별로 장단점이 존재하는데, 향후에는 이 두 가지 기술을

동시에 제공할 수 있는 기술(Multipoint MPLS)이 선보일 것으로 전망된다. 또한 최근에는 공중망을 경유하는

네트워크에서 보안취약성을 보완하기 위해 IPSec 기반 암호화 기술을 활용하고자 하는 시도도 있다.결론적으로, MPLS VPN은 VPN 매니지드 서비스의 활성화로 인해 향후 본격적인 궤도에 오를 것으로 보인다. 실제로

2001년부터 MPLS 망을 구축해 MPLS VPN 서비스 제공을 위해 준비해 왔으며, 현재 KT VPN과 보라 MVP 서비스를 제공한다

이밖에 LG 그룹도 2002년 자체 그룹망(LG*Net)을 ATM에서 MPLS로 전환하여 각 계열사별로 MPLS VPN을 적용하였으며

삼성네트웍스도 유사한 구축 사례를 가지고 있다.

■ SSL VPNSSL(Secure Socket Layer)은 웹 서버와 웹 브라우저간의 안전한 통신을 보장하기 위해 1993년 넷스케이프사에 의해 제안된 보안

프로토콜로 1995년부터 온라인 상거래나 웹 서비스에 적용되기 시작했다. SSL의 버전은 2.0, 3.x 등이 있는데, SSL 2.0은 보안측면에서 취약점이 많이 발견되어 현재는 3.1 버전이 TLS (Transparent Layer Security)라는 이름으로 표준화되어 널리 사용되고 있다. SSL은 인터넷 프로토콜의 TCP 계층과 애플리케이션 계층 사이에서 동작하며, 현재 모든 웹 브라우저에서 기본적으로 운용

가능하다. 이를 이용하면 웹 서버와 클라이언트간의 통신이 암호화 처리되어 신뢰성 있는 통신을 보장받을 수 있다

서버나 클라이언트의 인증(Authentication)까지 수행할 수 있으므로, 웹 환경에서 이상적인 보안 솔루션으로 평가되고 있다

SSL VPN은 그림 2와 같이 SSL의 암호화/복호화 프로세스 이용하여 VPN을 구현하는 기술로 별도의 복잡한 절차 없이 웹

브라우저만으로 VPN을 구현할 수 있으므로 뛰어난 사용 및 관리 편의성을 보장할 수 있는 Clientless VPN 솔루션으로 각광 받고

있다. 또한 시스템 혹은 애플리케이션 별로 VPN 적용이 가능하므로, 암호화/복호화 처리에 따른 오버헤드 감소효과도 있다

최근 기업 환경에서 증가하는 이동/재택 근무자 지원 뿐 아니라, 협력사와의 엑스트라넷 VPN 혹은 SCM(Supply Chain Manage ment) 통신 채널 구축에도 적합한 솔루션으로 평가받고 있다.반면, SSL은 4계층에서 암호화/복호화를 수행하므로 지원 가능한 애플리케이션이 제한되며, 접속자별로 독자적인 터널링 구현으로

인한 과부하로 성능저하 가능성이 있다. 특히 SSL은 신뢰성 있는 프로토콜 상에서 동작하도록 설계되었기 때문에,

애플리케이션을 보호할 수 없다는 것이 단점이다. 현재 SSL VPN은 언제 어디서나 네트워크 자원에 접근할 수 있는 유비쿼터스(Ubiquitous) 네트워크 구축에 필수적인 보안기술로

인식되면서 시장에서 많은 주목을 받고 있으며, 각종 시장조사 기관들도 SSL VPN의 급격한 성장세를 전망하고 있다

그러나 국내 SSL VPN 시장에 대한 평가는 다소 부정적이다. 그 근거로 ▲해외시장과 달리 구체적 시장 규모가 검증되지 않았다는

점 ▲아직 국내에 SSL VPN이 적용된 대규모 레퍼런스 사이트가 없다는 것이다. 이로 인해 일각에서는 SSL VPN비해 너무 과열되는 것이 아니냐는 분석도 나오고 있다.하지만, SSL VPN 기술이 가진 장점은 명확하고 통신 인프라의 발전 속도와 증가하는 모바일 네트워크의 성장세를 감안할 때 그

성장성은 크다. 현재의 SSL VPN 기술이 가진 한계점 및 해결해야 할 이슈 사항들을 정리하면 다음과 같다.

구분 IPSec VPN SSLVPN

접근제어정교한 접근 제어 어려움

(네트워크 및 사용자 단위로 적용)정교한 접근 제어 가능

(시스템 및 애플리케이션 외)

애플리케이션

지원

3계층에서 동작

별도의 애플리케이션 수정 필요 없음

IP기반 모든 애플리케이션 지원 가능

4계층 또는 그 이상에서 동작

웹 기반 애플리케이션 혹은 SSL 지원하는

애플리케이션으로 제한

클라이언트

소프트웨어VPN 클라이언트 소프트웨어 설치 필요 웹 브라우저 외 별도의 소프트웨어 필요 없음

암호화높은 수준의 암호화 정책 적용 가능

DES/3DES/AES/RC4 외높은 수준의 암호화 정책 적용 가능

주로 RC4(128 bit) 알고리즘 사용

장점

적용 가능한 애플리케이션 다양함

엔드 투 엔드 보안 적용 가능

클라이언트 단에 별도 부하 없음

간편한 원격 접속 VPN 적용 가능

사용 및 관리 편의성 뛰어남

서버와 클라이언트 인증 가능

단점

운영 및 관리적 요소 많음

서버나 클라이언트 인증 불가

지속적인 유지보수 비용 발생

대규모 원격접속 VPN 환경에 부적합

과부하로 인한 성능 저하 가능성

적용 가능한 애플리케이션/프로토콜 제한

UDP 기반 애플리케이션 지원 제한

사설 IP 기반 네트워크에 적용 힘듬

기타전체적으로 Site-to-Site VPN 모델에 적합

IP 기반 모든 애플리케이션에 적용 가능

전체적으로 Site-to-Remote VPN 모델에 적합

VPN 게이트웨이 자체의 보안성 필요

(표 3) SSL VPN과 IPSec VPN의 차이

① 적용 가능한 애플리케이션의 제한

SSL VPN 기술은 4계층에서 보안기능을 제공함으로써 IPSec과 달리 적용 가능한 프로토콜과 애플리케이션이 제한된다

대체적으로 웹이나 웹 기반 애플리케이션, 그리고 POP, SMTP, IMAP 등과 같은 범용 서비스는 문제없이 구현할 수 있다

SSL VPN이 지원하기 힘든 클라이언트/서버 기반 혹은 UDP 기반 애플리케이션 등은 일종의 프록시(Proxy) 방식인 게이트웨이 혹은

PPP 바인딩(Binding) 기법을 이용하여 극복하고 있는데, 구현 방법에 따라 호환성 여부 및 사용자 편의성에 차이가 있으므로 이에

대해서는 충분한 검증이 필요하다.② SSL 프로세스 자체의 부하

SSL 프로세스는 기본적으로 서버 측에 많은 부하를 발생시킨다. 특히 SSL VPN은 각 사용자별로 별도의 터널링을 구현하는

형태이므로, VPN 게이트웨이는 많은 부하가 발생하며 이는 성능 저하로 이어질 수 있다. 따라서, SSL VPN 게이트웨이는 이러한

문제를 해결하기 위해 고성능 프로세서를 탑재하거나 별도의 SSL 가속 기능을 활용하기도 하는데, 대규모 접속자를 가진 네트워크

환경에서 충분한 성능 제공이 가능한지 검증하여야 한다.③ 사설 IP 적용 이슈

IPSec VPN은 네트워크 레벨에서 터널링을 구현하므로 사설 IP 적용이 전혀 문제가 되지 않으나, SSL VPN은 접근하려는 시스템이

사설 IP를 갖고 있으면 접근 자체가 불가능하거나 설정이 복잡한 경우가 많다.④ 그외 기타

SSL VPN 게이트웨이는 반드시 공인 IP를 갖고 있어야 하며, 그 특성상 모든 클라이언트가 1차 접근이 가능한 형태로 구성되므로

SSL VPN 게이트웨이나 서버 자체가 견고한 보안성을 제공하여야 한다.현재 대부분의 SSL VPN 제품들이 접속 필터링 정책을 제공하고 있지만, 접속 클라이언트 시스템이 해킹이나 백도어 공격 등에

노출되었을 경우에는 전체 네트워크 보안에 치명적일 수 있기 때문에 접속 클라이언트 시스템의 신뢰성과 보안성이 전제되어야만

한다.SSL VPN은 Clientless VPN 이라는 측면이 부각되면서 이미 시장에 성공적으로 진입한 것으로 보이며, 향후에는 웹 기반

애플리케이션 뿐 아니라 대다수의 애플리케이션도 완벽히 지원 가능할 것으로 예상된다. 또한, SSL VPN은 IPSec VPN방식이나 운영 면에서 다소 유사한 측면이 있지만 일부에서 우려하는 바와는 달리 이 두 기술은 서로의 시장을 잠식하는 배타적

솔루션이 아니라, 상호 보완적 솔루션으로 고유영역을 지키며 성장해 나갈 것으로 보인다.

■ VoVPNVoVPN(Voice over VPN)은 VPN 인프라에서 VoIP 서비스를 구현하는 것으로, VPN 암호화 통신에 음성 데이터를 통합하거나 기존

VoIP 네트워크에 VPN을 적용하여 추가적인 비용절감 효과 및 향상된 보안수준을 얻는 기술이다.과거에는 IP 네트워크 환경의 대역폭 부족 문제와 트래픽 제어의 어려움, 그리고 VPN의 안정성과 신뢰성 결여로 인해

인프라에서 음성이나 비디오와 같은 멀티미디어 데이터의 전송 가능성은 이론적으로만 제기되었다. 또한 ATM과 프레임릴레이 같은

일부 네트워크에서만 적용되었다. 그러나 초고속 접속 기술의 대중화로 xDSL을 기반으로 한 브로드밴드 VPN이 전용선을 빠른

속도로 대체하면서 그 신뢰성이 검증되었고, MPLS와 같은 기술을 통해 IP 환경에서도 대역폭 제어가 가능해짐에 따라

대한 관심이 다시 높아지고 있다.VoVPN은 궁극적으로 데이터와 음성 및 비디오 트래픽의 통합 네트워크인 디지털 컨버전스(Digital Convergence)것이다. 하지만 VoVPN 솔루션은 각 벤더와 제품별로 구성 방식이 상이한 경우가 많다.해외에서는 이미 VoVPN 기술이 시장성을 입증 받으면서 성공적 구축 사례들이 나오고 있는 반면, 국내에서는 아직

IP 텔레포니 시장이 크게 활성화되지 않고 있다. 국내에서는 최근에 이르러 VoIP 벤더와 VPN 벤더를 중심으로 서서히 연계 시도가

이루어지고 있다. 특히, 국내의 VPN 시장이 표준 IPSec 기반으로 정리되면서, 대부분 제품들의 기능이나 성능, 가격이 평준화됨에 따라 부가기능으로

QoS 기능이나 VoIP 기능을 탑재하여 차별성 부각과 동시에 VoVPN 시장에 진입하려는 시도가 엿보여진다. VoVPN 앞서 몇 가지 검증할 부분들은 다음과 같다.첫째, 본질적으로 음성데이터나 스트리밍과 같은 멀티미디어 데이터는 전송지연이나 패킷 유실 등에 매우 치명적이기 때문에

대용량 트래픽 환경에서도 안정적인 서비스 운영이 가능한지 검증하여야 한다.둘째, VoIP 관련 프로토콜의 지원 여부를 검증하여야 한다. VoIP는 음성 데이터를 기존의 PSTN 망 대신 H.323 표준규격(G.711, G.729A, G.723.1 등)으로 압축 후, 상대편 H.323 게이트웨이로 전송하여 구현하므로

게이트웨이에서 H.323이나 H.323 NAT 변환 기능 및 대역폭 할당 기능 등이 지원되는지 확인하여야 한다.

■ MVPN무선 네트워크 환경의 대표적인 보안기술이 WPKI와 MVPN이다. WPKI(Wireless PKI)는 PKI 기술을 무선 네트워크 환경에 적용한 것으로, 주로 CDMA 구간에 적용되는 보안 기술이다

MVPN(Mobile VPN)은 보안에 취약한 모바일 네트워크 환경에서 신뢰성 있는 통신을 지원하기 위해 모바일 네트워크 구간에

암호화 기술을 적용하는 것이다.WPKI 기술은 그 자체로는 진보한 기술임에는 틀림없으나, 아직 국내환경에서는 PKI 인프라가 활성화되지 않았다

무선 네트워크 환경에서 전송되는 모든 데이터 보안을 위해 WPKI 기술을 적용하는 것은 비용부담이 크다는 단점이 있다

따라서 현실적으로 MVPN이 적합한 무선 네트워크 보안 기술로 평가되고 있는데, 현재의 MVPN 기술이 활성화되기 위해서는

다음과 같은 몇 가지 전제 조건들이 있다.① 범용 클라이언트 제공여부

무선 네트워크 환경은 유선환경과 통신환경이 상이하고, 특히 무선 네트워크 접속을 위한 통신기기나 단말기는 그 종류가 다양하다

그러므로 MVPN 클라이언트 소프트웨어는 다양한 VPN 장비 지원 및 사용 편의성이 보장되어야 하며, 다양한 모바일 기기들에 대해

호환성 및 높은 이식성을 보장하여야 한다. 이러한 이유로 MVPN 클라이언트는 IPSec 클라이언트와는 달리 VPN 자 업체에 의해 제공되는데, MVPN 클라이언트는 크게 소프트웨어 방식, 하드웨어 방식 및 클라이언트리스(Clientless) 있는데 주로 소프트웨어 방식이 많이 사용된다.② NAT 및 NAPT 지원

대개의 경우 모바일 서비스를 제공하는 이동통신 사업자들은 효율적인 IP 분배 및 보안을 위해 NAT 및 NAPT 기능을 적용한다

사용자의 경우, 그 특성상 고정 IP를 사용할 수 없기 때문에 MVPN 클라이언트 소프트웨어는 NAT Traversal 기능 및 어그레시브

모드(Aggressive Mode) 등을 완벽하게 지원하여야 한다.③ 무선 단말기의 물리적 한계 극복

현재의 스마트폰이나 PDA 같은 모바일 기기들은 대개 낮은 컴퓨팅 능력과 확장 가능한 대역폭이 제한되어 있으므로 높은 성능의

암호화 알고리즘 적용이나 대용량 데이터 전송이 불가능한 경우가 많다. 따라서 MVPN 클라이언트 소프트웨어는 VPN 인한 오버헤드를 최소화할 수 있도록 설계되어야 한다.MVPN 솔루션은 이동 사용자들의 안전한 본사 네트워크 접속 뿐 아니라, 모바일 뱅킹 혹은 모바일 증권거래와 같은 신뢰성이

보장되어야 하는 곳에 활용 가능하나, 현재까지는 그 기대치만큼 시장을 형성하지 못하고 있는 것이 사실이다

이유로는 국내의 PDA 및 스마트폰의 미비한 보급률과 부진한 모바일 기기의 활용도 면에서 찾을 수 있는데, 금융거래나 기업의 중요자원에 대한 접근은 유선환경에서 이루어지고 있는 경우가 많다.이로 인해 초기에 야심차게 출발했던 국내외 MVPN 업체들은 뛰어난 기술력을 가지고도 이렇다 할 성과를 거두지 못하고 있는

실정이다. 현재 유비쿼터스를 비롯한 무선 네트워크 기술의 발전 속도를 가늠할 때, MVPN은 많은 성장 가능성을 갖고 있으며

지속적 발전이 예상되는 기술이다.

지금까지 4회에 걸쳐 기업환경 VPN 실전구축 가이드라는 주제로 VPN 기술 개요부터 구성사례 및 구축가이드

차세대 VPN 기술의 개요와 전망 등을 살펴보았다. 다소 딱딱하거나 지루한 내용들이 있었을 것이다. 그러나, VPN 기술에 대한 전반적인 흐름 정립에는 나름대로

유용했으리라고 생각한다. 현재의 IT 환경은 그 변화 주기가 점차 짧아지고 있고, 기업의 네트워크 환경 변화에 따라

비롯한 정보보안 솔루션도 꾸준히 진화할 것으로 예상된다. 향후에는 IT 환경의 대세로 지목되고 있는 통합(Convergence)의 바람이 VPN 및 보안시장에서도 더욱 거세질 것으로 예상된다고 할 수 있다.부족한 원고를 끝까지 읽어주신 독자들께 감사 드리며, VPN 및 네트워크 보안에 관련하여 의문점이 있으신 분들은

필자들에게 문의하면 최대한 도움을 드리도록 하겠다.