HOME > 솔루션 > Future System
VPN 이란?

VPN은 Internet과 같은 Public Network을 이용하여 Private Network을 구성하는 기술로 기존의 전용선을 이용한 Private Network에 비해 훨씬 저렴한 비용으로 보다 Connectivity가 뛰어나면서도 안전한 망을 구성할 수 있다는 면에서 Internet의 활성화와 더불어 각광을 받기 시작한 보안 솔루션의 하나이다.


VPN 분류


VPN은 Internetworking Scenario에 따라 보통 다음의 세가지 형태로 분류하며 각각의 경우에 서로 다른 Security Policy가
필요하고 다른 구현 기술이 존재할 수 있다.



Intranet VPN


Intranet VPN은 LAN-to-LAN Connection으로 거의 반 영구적인 사설망이며, Corporation의 입장에서 보면 Branch Office는 일반적으로 신뢰할 수 있는 것으로 보기 때문에 보안상의 위협은 그렇게 크다고 보지는 않는다. 그러나 Subnet들 사이를 연결하는 만큼 대용량의 통신이 일어날 수 있으므로 Performance가 보다 중요한 요소가 될 수 있다. 대부분의 경우 Router나 Firewall혹은 Dedicated VPN Device를 이용한 LAN-to-LAN Encryption/Authentication에 의해 구성된다.그러나 많은 경우 보안상의 위협요소는 외부보다는 내부에 더 많이 존재한다. FBI와 CSI(Computer Security Institute)의 공동 조사에 따르면 실제로 보안침해의 반 이상이 내부에서 일어난다고 한다. 따라서 고의든 실수든 내부인에 의한 정보누출이 더 심각하다고 판단되거나, 혹은 개인이나 부서에 따라 서로 다른 신뢰를 둘 필요가 있다면, trusted subnet base의 VPN보다는 User-Specific Security Policy에 따른 End-to-End Security를 보장해야 할 것이다. 이런 경우는 내부자원의 접근제한을 개인이나 부서에 따라 두어야 하므로 End-to-End Encryption, Per-User Authentication등에 의한 보다 정교한 Access Control이 필요할 것이다.

Remote Access[Dial-up] VPN

기존의 Direct Dial-up Remote Access를 위해서는 많은 조직체들이 Modem Pool을 유지하고 장거리 전화 비용을 부담해야 했으나, 이 경우에도 Internet을 Backbone으로 이용함으로써 보다 저렴하고 구현 및 관리가 쉬운 Remote Access VPN을 구성할 수 있다. Remote Access VPN Scenario는 Mobile-to-LAN Connection으로 그 기본 기능은 Mobile User로 하여금 사내의 자원에 대한 안전한 접근을 허용함으로써 업무의 능률을 높이고자 하는 것이다. 따라서 이 경우는 대부분의 응용에서 사용이나 관리상의 용이성(Ease of Use/Management)이 보다 중요한 고려사항이 될 수 있다. 이동 단말의 특성상 Client는 사용하기 쉽고 (특히 VPN Client Configuration) User-Transparent하게 동작해야 할 것이고, Server의 입장에서는 Easy and Centralized Management가 필수적이다. Dial-up Access의 특성상 Accounting/Billing과 관련하여 User-Level Authentication을 기본적으로 제공해야 하므로 기본적인 Data Encryption/Authentication 뿐만 아니라, Accounting/Billing과 관련된 각종 통계자료의 중앙 집중식 관리가 필요하다. 이러한 목적으로 인터넷 표준인 RADIUS (Remote Authentication in Dial-In User Service)가 가장 널리 사용된다. 갈수록 Homeworker나 Telecommuter, SOHO, Roaming Users (Salespersons, Traveling employees) 등 이동 단말을 사용하는 인구가 증가하고 있으므로 이들이 사내의 자원(e-mail/web server, database 등)을 안전하게 공유할 수 있게 하는 것은 업무의 능률, 곧 회사의 경쟁력을 향상시키는데 필수적이다. 따라서 현재 VPN 시장에서 Remote AccessVPN이 차지하는 비중이 급속히 증가하고 있는 추세이다.


Extranet VPN

Extranet VPN은 security policy가 서로 다른 이질적인 subnet들을 상호 연결시켜 주는 business-to-business VPN인 만큼, intranet에 비해 security risk가 높고 보다 정교한 access control이 필요하며 interoperability를 고려해야 하는 등 가장 구성하기 어려운 VPN이라 할 수 있다. 비록 상호 연결되어 자원을 공유한다 하더라도 꼭 필요한 자원에 대해서만 접근을 허용해야 하고 상대방은 항상 잠재적인 공격자가 될 수 있으므로 모든 가능한 경우를 대비한 총체적인 보안 솔루션이 요구된다.
End-to-end security 및 user-specific access control이 기본적으로 제공되어야 하고, 각 subnet의 경계에는 가능한 direct connection을 피하고 보다 정교한 access control이 가능한 application proxy firewall를 설치하여 subnet들을 선택적으로 격리시키는 것이 바람직하다. 그리고 서로 다른 조직체를 연결시켜 주어야 하므로 interoperability를 위해 standard-base의 security protocol을 사용해야 하며, 가능한 다양한 보안 메커니즘을 지원하는 제품이 유리할 것이다. 특히 extranet VPN은 한 subnet에서의 security flaw가 다른 subnet의 security에 영향을 미치지 않도록 unidirectional security model을 기반으로 해야 한다.