언제 어디서나 자유롭고 안전한
인터넷 사용 ‘OK’
유지보수 비용 절감·안전한 유비쿼터스 액세스 구현 … 시장 확대 중
황인각
주니퍼코리아 기술팀 차장
최근 사내간, 사내-사외간 통신에 사용되는 네트워크가 점차 인터넷 기반으로 변모함에 따라 인터넷을 이용하면서도 종단 간에 안전한
통신이 가능하도록 하는 VPN 기술이 많이 도입됐다. 이러한 VPN 기술이 개인이나 기업의 사용 용도에 맞도록 공중망을
사설망처럼 이용할 수 있게 하는 IPSec VPN 기술이다.
<편집자>
VPN 기술은 한 조직의 내부 사용자 간의 혹은, 외부 사용자와의 통신에서 암호화 기술과 터널링 기술을 이용한 안전한 통신
채널을 제공하는 기술로서 비즈니스 측면의 사용자뿐만 아니라, ISP 사업자, 그리고 전자상거래 사업자까지 다양하게 사용될 수
있는 차세대 네트워킹을 위한 핵심기술로 기대되고 있다.
SSL VPN의 등장, ‘클라이언트리스 VPN’
IPSec VPN을 이용한 구축은 사이트 투 사이트(Site-to-Site), 사이트 투 클라이언트(Site-to
Client)의 두 가지 방식으로 이뤄지고 있으며, 사이트 투 사이트 경우는 매우 안정적인 보안 서비스를 제공한다. 반면 사이트
투 클라이언트는 원거리상의 모든 컴퓨터상에 VPN 클라이언트 소프트웨어를 설치, 관리 및 유지보수를 해야하는 어려움으로 도입에
많은 걸림돌이 되고 있다.
즉, 클라이언트 VPN은 사용자 액세스를 위해 데스크톱이나 노트북에 반드시 클라이언트 소프트웨어가 설치돼야 VPN 접속이
가능하다는 점이 활성화의 장애가 되고 있다. 그래서 새로운 개념의 액세스 솔루션에 대한 요구가 대두하게 됐고 특히 무거운
클라이언트 VPN을 대체하고자 하는 새로운 SSL-VPN 기술이 개발됐다.
IPSec 기반의 클라이언트 VPN망을 운영하는 기업(관리자)은 다음과 같은 문제를 항상 가지고 있으며, SSL-VPN 솔루션은 이러한 문제를 적은 비용으로 효과적으로 해결해 줄 수 있다.
· 클라이언트 소프트웨어의 버전 및 패치 관리의 어려움
· 사용자의 다양한 하드웨어, 운영체제 버전 및 패치 상태에 따른 설치의 어려움
· 장애시 정확한 해결책 제시의 어려움
SSL-VPN은 기본 웹 브라우저만 있으면 어디서든 간편하게 VPN을 접속할 수 있다는 점에서 사용자들은 별도의 장비나
클라이언트 소프트웨어 없이 브라우저를 통해 접속하면 되기 때문에 IPSec VPN에 비해 사용 및 관리가 편리하고 비용 절감도
가능하다. 센터에 설치된 SSL-VPN 장비와 연동해 클라이언트가 없는 클라이언트리스(Clientless) VPN 구축이
가능하다는 점에서 일반 사용자, 특히 협력사, 이동 사용자 및 재택 근무자들을 위한 최적의 솔루션으로 평가 받고 있다.
SSL VPN이란
SSL(Secure Sockets layer)은 웹 서버와 웹 브라우저간의 안전한 통신을 위해 넷스케이프에서 제창한 프로토콜로
인터넷 익스플로러, 넷스케이프 네비게이터와 같은 웹 브라우저에 기본적으로 탑재돼 있는 보안 표준 프로토콜이다. SSL은 오늘날
온라인 상거래, 웹서비스, 그리고 안전한 애플리케이션 계층 액세스를 포함하는 많은 다른 네트워크 기능을 위해 보안을 제공하는
인터넷 보안 프로토콜의 선두주자다.
현재 SSL의 2.0, 3.0, 3.1(TLS 1.0)이 사용되고 있으며, 아래와 같은 중요한 보안 기능들을 사용해 인터넷 등 공개된 네트워크상에서 민감한 데이터의 전송을 가능하게 한다.
·상호인증 : 클라이어트와 서버간의 상호 인증(RSA, DSS, X.509 )
·기밀성 : 대칭키 암호화 알고리즘을 통한 데이터의 암호화(DES, 3DES, RC4등)
·데이터 무결성 : MAC기법을 이용해 데이터 변조 여부 확인(md5,SHA-1)
SSL VPN의 기술적 특징
지난 몇 년 동안의 기술적인 동향은 안전한 네트워크 액세스를 위해서 저가의 광대역 서비스를 통한 인터넷과 암호화 기술을 사용하는
것이었다. 특히 기업 및 기관들이 업무적인 생산성을 개선하고 비용 절감 차원에서 전용선과 모뎀 설비를 광대역으로 대체하기
시작했다.
인터넷 연결성의 편리성으로 인해 언제 어디서든 네트워크 접속이 용이해지면서 통신의 비밀을 보장하기 위해 암호화를 사용하는 동안,
기업은 재택 근무자, 원격 근무자 또는 이동 근무자들을 위해 내부 컴퓨팅 자원을 효율적으로 액세스하게 해줘 전반적인 네트워크 및
컴퓨팅 환경에 대한 비용의 절감을 실현할 수 있었다.
안전한 네트워크(리모트) 액세스를 요구하는 대표적인 유형을 든다면, 첫째로, 인트라넷 액세스(재택 근무, 출장, 호텔 혹은 고객
사이트에 있는 이동 직원) 둘째로, 엑스트라넷 액세스(고객 ,협력사, 계약직 및 임시직원과 같은 외부인 또는 비직원)을 들 수
있다. 아래의 몇 가지의 기술들은 인터넷을 통해 리모트 액세스를 안전하게 해주는 보편화된 기술 중 가장 광범위하게 적용되는
기술이다.
· 네트워크 레이어 기술 : 일반적인 IPSec VPN에서 채택한 기술IPSec/IKE(Internet Key Exchange) 사용
· 트랜스포트 레이어 기술 : SSL VPN에서 채택한 기술, SSL을 사용하는 SOCKS
· 애플리케이션 레이어 기술 : SSL VPN에서 채택한 기술, SSL상에서 작동되는 HTTP(대부분의 웹 브라우저에 포함된 기술)
SSL VPN은 사용자와 SSL VPN 장비 사이의 안전한 데이터의 교환을 위해 애플리케이션 계층에서 SSL을 이용한 암호화
서비스를 제공함으로써 기존 VPN의 문제점인 네트워크와 방화벽을 통과할 경우 발생하는 포트 블럭(Port Block)과 같은
문제점을 해결한다. 또한 SSL VPN은 클라이언트리스 VPN이라고 부르기도 하는데 그 이유는 오늘날 대부분의 표준화된 웹
브라우저는 HTTP와 HTTPS(SSL)를 기본적으로 모두 지원하므로 IPSec 리모트 VPN과는 대조적으로 사용자 측면에
VPN 클라이언트의 설치, 구현, 그리고 지원과 함께 결부된 모든 문제들을 해결할 수 있다.
SSL은 웹 브라우저와 웹 서버간의 안전한 통신을 위해 넷스케이프에서 개발됐고, 애플리케이션에서 암호화가 이뤄지기 때문에 하위
레이어의 다양한 프로토콜 및 응용 프로그램의 지원에 제한을 받게 된다. 그래서 SSL VPN업체들은 초창기 웹 및 웹 기반의
애플리케이션만을 지원했으며, 고객 및 시장의 확장성을 위해 대부분의 SSL VPN 업체들은 기업의 다양한 애플리케이션을 지원하기
위한 기술 투자에 많은 시간을 투자해야 했다. SSL VPN을 이용한 서비스의 지원 발전 단계는 다음과 같이 3단계로 발전해왔다.
1) 초기 단계 : 웹, 웹 기반의 애플리케이션, 파일 공유 지원
2) 확장 단계 : 클라이언트/ 서버 애플리케이션 지원
3) 성숙 단계 : UDP 트래픽, 네트워크 레이어 트래픽 지원
현재 SSL VPN은 웹, 웹 애플리케이션, 메세징 클라이언트, 이메일, 파일 공유, 클라이언트/서버 애플리케이션 등 기업의
핵심적인 모든 업무 형태를 모두 지원함으로 업무 적용의 한계가 완전히 극복된 상태며, 자체적으로 DMZ 서비스를 지원해
인트라넷의 사설 IP 네트워크 구성 시에도 정상적인 서비스 구현이 가능하다. 또한, 다양한 암호화 기법(DES, 3DES,
RC4)과 데이터 무결성 기법(MD5, SHA-1)을 모두 지원한다.
IPSec과 SSL VPN의 비교
기본적으로 IPSec과 SSL VPN은 기업의 중요한 데이터를 보호하는 기능, 즉 데이터의 기밀성 및 무결성 등의 기능은
동일하며, 단지 데이터의 암호화를 구현하는 방식의 차이가 있을 뿐이다. IPSec VPN과 SSL VPN은 서비스 측면에서 상호
보안 관계이며, 서비스의 형태는 다음과 같이 분리해 볼 수 있다,
1) 고정성 인터넷 사이트 투 사이트(Intranet Site-to-Site) VPN
2) 이동성 인터넷 사이트 투 클라이언트(Intranet Site-to-Client: 리모트 클라이언트 VPN)
3) 이동성 엑스트라넷 사이트 투 클라이언트(Extranet Site-to-Client: 리모트 클라이언트 VPN)
고정성 VPN은 본사와 지사간에 특정 장소에서 VPN을 구현하며, 이동성 VPN은 센터(본사)의 고정된 장소와 사용자의 위치가
계속 바뀌는 경우에 구현하는 VPN이다. IPSec VPN은 반드시 리모트에 하드웨어나 소프트웨어가 필요하므로 신뢰할 수 있는
네트워크(본사-지사) 간의 고정성 사이트 투 사이트 형태에 적합하며, 신뢰할 수 없는 네트워크와 신뢰할 수 있는
네트워크(본사)와의 VPN 구현에는 적합하지 못하다.
또한, 리모트 컴퓨터상에 VPN 클라이언트 소프트웨어를 반드시 설치해야 하므로 설치, 관리 및 유지보수 등의 문제점을 가지고
있다. SSL VPN은 이동성 사용자에게 아주 적합한 암호화된 리모트 액세스 방법을 제공한다. 정리하면, SSL VPN의 장점은
다음과 같다.
·기업 자원을 액세스하는데 사용되는 장비로 다운로드할 필요가 없다.
·엔드 유저가 설정 작업을 수행할 필요가 없다.
·표준 웹 브라우저가 있는 곳이라면 어디서든 사용할 수 있기 때문에 사용자가 업무용 랩톱을 보유하지 않아도 된다.
·OS 독립적이다.
·액세스를 세부적으로 제어할 수 있기 때문에 사용자들은 권한이 있는 자원과 애플리케이션만을 볼 수 있다.
SSL VPN은 이와 같이 웹 브라우저에서 이용 가능한 SSL을 활용해 저가의 광대역 서비스를 통해 언제, 어디서나 손쉽게
인터넷을 통한 VPN을 구성하는 액세스 기술이며, 시장 조사 기관인 메타그룹이 발표한 자료에 의하면 향후 3년 안에 SSL
VPN이 리모트 클라이언트 VPN 서비스의 80% 이상을 차지할 것으로 전망하고 있다. | |