VPN(Virtual Private Network)이란 무엇인가?

암호화된 터널을 통해 안전한 통신을 제공하는 기술

 

 

목차
   ­ㄴ VPN 이란?
   ㄴ VPN의 주요 사용목적
   ㄴ VPN의 종류
   ㄴ IPSec-VPN(Site-to-Site) 통신흐름 및 장단점
   ㄴ IPSec-VPN 세부내용
   ㄴ SSL-VPN(Client-to-Site) 통신흐름 및 장단점
   ㄴ SSL-VPN 세부내용

 

VPN(Virtual Private Network, 가상사설망)은 공용 인터넷망을 통해 사설 네트워크에 안전하게 접속할 수 있도록 해주는 기술입니다. 이를 통해 사용자는 외부에서 기업 내부망에 접속하거나, 인터넷 사용 시 IP 주소를 숨기고 암호화된 통신을 할 수 있어 보안성과 프라이버시를 높일 수 있습니다.

 

 

□  VPN 이란?    

    1. 정의

         Virtual Private Network (가상 사설망) : 인터넷과 같은 공용 네트워크를 이용해 사설 네트워크처럼 안전한 통신을 할 수 있도록 만들어주는 기술

 

    2. 주요 기능

        - 데이터 암호화
        -  사용자 인증
        -  IP 주소 숨김
        -  보안 터널링(Tunneling)을 통한 안전한 통신 경로 확보

 

□  VPN의 주요 사용목적    

    1. 원격 근무 지원 : 직원이 외부에서 회사 내부망에 안전하게 접속
    2. 인터넷 검열 우회 : 국가나 기관의 인터넷 제한 우회
    3. 개인 정보 보호 : 인터넷 사용 시 사용자 IP, 위치 정보 숨김
    4. 공용 Wi-Fi 사용 시 보안 강화 : 데이터 도청/중간자 공격 방지

□  VPN의 종류    

분류 기준	종류	설명
구축 방식	Site-to-Site VPN	두 개 이상의 네트워크를 VPN으로 연결 (ex. 본사 ↔ 지사)
	Remote Access VPN	개인 사용자가 VPN 서버에 접속하여 내부망에 접근
	Client-to-Site VPN	클라이언트가 VPN 소프트웨어를 통해 서버에 접속
	SSL VPN	웹 브라우저 기반, 별도 클라이언트 없이 SSL로 암호화된 접속 지원
	IPSec VPN	IP 보안 프로토콜을 기반으로 한 전통적 VPN 방식
운영 방식	Self-hosted VPN	조직이 자체적으로 VPN 서버를 구축하여 운영
	Commercial VPN	개인 사용자가 가입하여 사용하는 유료/무료 VPN 서비스 (ex. NordVPN, ExpressVPN 등)
암호화 프로토콜	PPTP, L2TP, IPSec, OpenVPN, WireGuard 등	각기 다른 보안성, 속도, 호환성을 가진 프로토콜 사용

 

□  IPSec-VPN(Site-to-Site) 통신흐름 및 장단점   

    1. 구성방식

       - 본사와 지점에 각각 VPN 게이트웨이(방화벽 또는 라우터)를 설치하고, 두 지점을 IPSec 터널로 직접 연결하여 사설망처럼 통신하는 방식

 

    2. 통신흐름

        - 본사 방화벽에서 IPSec 터널을 설정

        - 지점 방화벽도 터널 설정 및 키 교환(IKE)

        - 양쪽 방화벽 간 암호화된 터널을 통해 사설 IP 대역의 데이터 송수신

 

    3. 장점

항목	설명
보안성	강력한 암호화(IPSec 기반)로 도청 및 위변조 방지
비용 효율	전용선 대신 인터넷 회선을 사용해 통신 비용 절감
확장성	지점이 늘어날 경우 터널만 추가하면 되므로 유연한 확장 가능
지속적인 연결	사용자가 수동으로 연결할 필요 없이 항상 연결 상태 유지
사설망처럼 동작	지점에서도 내부망 리소스(서버, 프린터 등)에 로컬처럼 접근 가능

    4. 단점

항목	설명
초기 설정 복잡도	터널 설정, 키 관리, 방화벽 규칙 설정 등 초기 구성 작업이 복잡
네트워크 장애 시 전체 영향	본사 VPN 장비 장애 시 여러 지점이 동시에 단절될 수 있음
인터넷 회선 의존성	터널 안정성은 각 지점의 인터넷 품질에 크게 의존
트래픽 경로 비효율 가능성	모든 지점 트래픽이 본사를 경유하도록 구성되면 병목 발생 가능
보안 정책 통일 필요	모든 지점에 동일한 보안 정책을 일관되게 적용해야 운영이 수월함

 

□  IPSec-VPN 세부내용   

    1. 정보보호 관점

구분	설명	보안상 이점	보안상 고려사항
IPSec 암호화	ESP(Encapsulating Security Payload) 사용. AES, 3DES 등 지원	데이터 기밀성 및 무결성 보장	암호화 알고리즘 설정이 약하거나, IKE 설정 오류 시 취약
IKE 인증 방식	Pre-shared Key 또는 Digital Certificate	인증 기반 터널 형성, 재전송 방지	키 유출 시 전체 터널 노출, PSK 사용 시 관리 부하
접근제어 정책	ACL 기반 트래픽 제어 (암호화할 트래픽 명시)	L3 수준에서 명확한 정책 정의 가능	정책 미흡 시 불필요한 내부 접근 허용 가능성
로깅 및 모니터링	VPN 터널 상태, IKE 이벤트, SA 재협상 로그 확보	침해 징후 탐지 및 대응 가능	로그 누락 시 공격 징후 파악 어려움
세분화된 트래픽 필터링	Zone-to-Zone, Port 기반 허용/차단 가능 (방화벽 통합 시)	내부망 접근 최소 권한 설정 가능	터널 내부 ACL 구성 누락 시 과도한 접근 허용 가능

 

    2. 트래픽 흐름 및 네트워크 운영 관점

항목	장점	단점	대응 방안
전용선 대비 유연성	인터넷 기반, 빠른 구축	인터넷 회선 품질에 민감	QoS 적용 및 다중 회선 구성
라우팅 구조	정적/동적 라우팅 설정 가능 (OSPF/BGP 지원 시)	복잡한 트래픽 경로 시 라우팅 충돌	터널 전용 VRF/VTI 구간 분리 권장
Full Mesh vs Hub-Spoke	Full Mesh: 지점 간 직접 통신 가능 Hub-Spoke: 관리 단순	Full Mesh는 터널 수 급증 Hub-Spoke는 본사에 집중	필요에 따라 Hybrid 구성 고려
트래픽 가시성	암호화 전 트래픽 감시 가능(입출구 제어 지점)	터널 내부는 DPI 어려움	암호화 전 구간에서 보안 장비 연동 필요
MTU 영향	IPSec encapsulation으로 인한 오버헤드 존재	경계 라우터에서 MTU 조정 미흡 시 단편화 발생	MSS Clamping 및 MTU 튜닝 필요
장애 대응	Failover 장비 또는 터널 자동 재연결 지원	터널 재연결 지연, 복수 터널 시 우선순위 충돌	Dead Peer Detection(DPD), SLA 기반 경로 우선순위 조정

 

    3. 네트워크 구성 방식 비교

       1) Split Tunnel 구성 (인터넷은 지점에서 직접)

           (1) 통신 흐름

               - 본사 내부망 접근 : PC → 지점 VPN 장비 → IPSec 터널 → 본사 → 내부 시스템

               - 인터넷 접속 : PC → 지점 VPN 장비 → 지역 인터넷 회선 → 인터넷

 

           (2) 장점

               - 인터넷 트래픽이 본사로 우회하지 않으므로 속도 및 회선 비용 절감

               - 본사 장비에 불필요한 부하 없음

 

           (3) 단점

               - 인터넷 트래픽은 본사의 보안 정책이나 로깅을 우회함

               - 사용자 PC가 인터넷 경유로 공격에 노출될 수 있음(따라서 지점 측에서도 UTM/NGFW 등의 최소 방어 필요)

 

       2) Full Tunnel 구성 (모든 트래픽이 본사 경유)

           (1) 통신 흐름

               - 모든 트래픽 : PC → 지점 VPN 장비 → IPSec 터널 → 본사 →  내부망 또는 인터넷(본사 통해 NAT 및 외부 접속)

 

           (2) 장점

               - 모든 트래픽이 본사로 모이므로 보안 제어, 감사, 로그 통합 관리 가능

               - 사용자 단말이 위협에 노출될 가능성 감소

 

           (3) 단점

               - 본사 회선/방화벽에 트래픽 부하 집중

               - 지연(latency) 증가 (지점에서 서울 본사 → 외부 사이트 접속 시 거리 문제 발생)

 

       3) Tunnel 구성 비교

항목	Split Tunnel	Full Tunnel
보안 통제	낮음 (인터넷 우회)	높음 (모든 트래픽 본사 통제)
성능	우수 (직접 인터넷)	낮을 수 있음 (우회 트래픽 증가)
구현 난이도	쉬움	상대적으로 복잡 (라우팅/방화벽 설정 필요)
적합 사례	지점에 UTM이 있는 경우	보안 통제가 중요한 환경, 민감 데이터

 

 

□  SSL-VPN(Client-to-Site) 통신흐름 및 장단점   

    1. 구성방식

       - 사용자 PC에 SSL VPN 클라이언트를 설치하거나 웹 브라우저를 통해 접속
       - 사용자는 인터넷을 통해 SSL 포트를 이용하여 VPN 게이트웨이(방화벽 등)와 SSL 세션 기반 터널 연결

       - 사용자 인증 후 내부망 자원에 안전하게 접근 가능

 

    2. 통신흐름

        - 사용자 PC에서 VPN 포털 접속 (보통 HTTPS 443 포트)

        - 인증 후 SSL 기반의 암호화 터널 생성

        - 터널을 통해 내부망 자원 접근 (L3 Full Access 또는 특정 애플리케이션 기반 접근)

 

    3. 장점

항목	설명
접근 편의성	별도 장비 없이 브라우저 기반 접근 가능 (무설치 또는 경량 클라이언트)
보안성	SSL/TLS 기반 암호화로 안전한 통신 보장
유연성	원격근무, 모바일 환경 등 다양한 디바이스에서 접속 가능
세분화된 접근 제어	사용자별 리소스 접근 제한 및 권한 분리 가능
방화벽 친화성	대부분의 환경에서 허용되는 443 포트 사용으로 연결 용이

 

    4. 단점

항목	설명
성능 제약	대규모 트래픽 처리에는 부적합 (클라이언트 수 많아지면 성능 저하 가능)
클라이언트 제약	특정 기능은 클라이언트 설치 필요 (L3 터널 등)
세션 기반	세션 만료 또는 중단 시 연결 재시도 필요
내부망 확장 한계	전사적인 네트워크 확장에는 한계, 주로 원격 사용자용
보안 정책 통일 어려움	다양한 디바이스 대응 시 정책 적용 복잡도 증가

 

□  SSL-VPN 세부내용    

    1. 정보보호 관점

구분	설명	보안상 이점	보안상 고려사항
SSL 암호화	TLS 1.2 이상 기반 (AES, RSA 등)	데이터 암호화 및 위변조 방지	구버전 TLS 사용 시 취약
사용자 인증	ID/PW, OTP, 인증서, MFA 등	다단계 인증 적용 가능	약한 인증 수단 사용 시 계정 탈취 위험
세분화된 접근 제어	사용자/그룹별 리소스 제어	최소 권한 원칙 적용 가능	정책 누락 시 내부 자원 과다 노출
세션 로깅 및 감사	접속 기록, 사용 리소스, 실패 시도 등 로깅	추적성 및 감사 가능	로그 저장소 보안 필요
엔드포인트 보안 연동	NAC, AV 상태 검사 후 접속 허용	비인가 단말 차단 가능	비정상 우회 가능성 고려 필요

 

    2. 트래픽 흐름 및 네트워크 운영 관점

항목	장점	단점	대응방안
설치 편의성	웹 기반 접근 가능, 빠른 도입	고급 기능은 별도 클라이언트 필요	클라이언트-리스 기능만 우선 도입 가능
NAT 및 방화벽 호환	443 포트 사용으로 대부분 NAT/방화벽 통과	비표준 포트 사용 시 연결 제한 가능	표준 포트 사용 유지 권장
유동 IP 지원	고정 IP 불필요, 어디서든 접속 가능	IP 추적 어려움	사용자 단말 등록 및 장비 인증 적용
단말 보안 상태 확인	AV 설치, 업데이트 여부 등 점검 가능	탐지 우회 가능성	NAC 연동 및 단말 보안 정책 강화
세션 기반 터널	자동 연결 종료 등으로 보안 강화	장시간 사용 시 재연결 불편	세션 유지 정책 및 사용자 가이드 제공

 

    3. 네트워크 구성 방식 비교

       1) Web Portal 방식 (웹 기반 애플리케이션 접근)

           (1) 통신 흐름

               - 사용자는 브라우저로 SSL VPN 포털 접속

               - 웹에서 제공하는 애플리케이션에 접근 (메일, ERP 등)

 

           (2) 장점

               - 별도 클라이언트 설치 없이 접근 가능

               - 내부 애플리케이션 접근만 허용 가능해 보안 우수

 

           (3) 단점

               - 브라우저로 동작하는 리소스만 접근 가능

               - 파일 공유, 프린터 등 사용 어려움

 

       2) L3 Full Tunnel 방식 (전체 네트워크 접근)

           (1) 통신 흐름

               - SSL 클라이언트 설치 후 내부망 전체에 IP 할당

               - 사용자 단말에서 내부망 자원 전체 접근 가능

 

           (2) 장점

               - 실제 내부망과 동일한 수준의 접근 가능

               - 업무 리소스 사용의 제약 없음

 

           (3) 단점

               - 설정 복잡, 보안 통제 미흡 시 내부망 노출 위험

               - 트래픽 부하 및 회선 속도 저하 가능

 

       3) 구성 비교

항목	Web Portal	L3 Full Tunnel
접근 방식	애플리케이션 단위	네트워크 전체
보안성	높음 (제한된 접근)	상대적으로 낮음 (광범위 접근)
구현 난이도	낮음	높음
성능 영향	적음	높음
적합 환경	재택근무, 외부 협력사 등	내부 직원, 고정 단말 사용자 등

 

감사합니다.