[Network] 재택근무에서 활용하는 VPN은 어떻게 동작할까?

🔊 해당 포스팅은 인프런 강의 널널한개발자님의 외워서 끝내는 네트워크 핵심이론 - 응용 내용을 공부하면서 배운 내용을 저만의 방식으로 재정리하고자 하는 목적 하에 작성되는 포스팅입니다. 아래 포스팅에서 사용되는 모든 자료는 제가 직접 재구성했음을 알립니다.
 

우리의 노트북으로 구글 웹서버에 접속할 수 있는 것은 네트워크 덕분이다

---

이번 포스팅에서는 코로나 시기 이후로 가속화됨에 따라 대중화 기술이 된 VPN(Virtual Private Network)에 대해서 알아보도록 하자. 

1. PN(Private Network, 사설 네트워크)이 뭔데?

VPN에 대해서 알기 전에 PN(사설 네트워크) 즉, Private Network에 대해서 먼저 이해할 필요가 있다. PN에 대한 정의를 텍스트로 설명하면 “보안성을 위해 물리적으로 통제 가능한 네트워크”이다. 또 다른 말로 하면 LAN이긴 하지만 보안이 적용되어서 외부에서는 접근이 불가능한 LAN을 의미한다고 보면 된다.
 
이제 좀 더 직관적인 이해를 돕기 위해서 "내가 회사를 운영하고 있다"고 가정해보자. 현재 내가 운영하고 있는 회사의 본사는 서울 어느 위치에 있으며, 서울 본사에서는 외부(인터넷)에서 회사 기밀을 담고 있는 자료에 접근하는 것을 당연히 막기 위해 PN을 구성해서 운영하고 있다.
 

출처: 카카오맵

 
위 그림처럼 서울 본사 건물에서 보안이 강화된 LAN 즉, PN을 구축했다. 그러다가 운영하고 있는 회사가 매출이 오르고 번창해서 다른 지역에 지사를 만들기로 했다. 그런데 이 지사에서 하는 역할이 제주도의 지역경제를 키우기 위한 것이여서 물리적인 건물 위치가 제주도여야만 한다고 해보자.
 

출처: 카카오맵

 
그런데 제주도 지사의 회사 직원들이 업무를 수행하기 위해서 서울 본사의 PN에 존재하는 DB서버에 접근해야 한다고 해보자. 해당 DB에는 본사에 대한 매출 정보와 같은 중요한 데이터가 있고, 제주도 지사 직원들이 업무를 수행하기 위해서는 저런 중요한 데이터에 접근해야만 한다고 해보자. 이러한 경우 제주도 지사 직원들은 어떻게 서울 본사의 DB 서버에 접근할 수 있을까?
 
가장 단순 무식한 방법은 제주도 지사 직원들이 서울 본사의 DB 서버에 접근할 필요가 있을 때마다 서울 본사로 출근을 해서 PN 내부에서 DB 서버로 접근하는 것이다. 하지만 이런 방법은 직원들을 매우 혹사(?) 시키는 방법으로 매우 비효율적이다.
 
다른 방법으로는 서울 본사와 제주도 지사를 잇는 PN을 물리적으로 직접 구축하는 것이다. 회사 직원들이 물리적인 인터넷 회선을 땅파서(?) 직접 연결하는 방법도 있겠지만.. 보통은 KT와 같은 대한민국의 ISP(인터넷 서비스 제공 업체)에게 비용을 내면서 PN 구축을 위탁하는 것이다. KT는 대한민국 전국의 네트워크 회선을 구축하고 있으므로 KT가 구축한 회선들 몇 개를 빌려서 우리 회사만의 PN 구축을 하는 것이다. 
 

출처: 카카오맵

 
하지만 이렇게 직접 PN을 구축하는 방법은 비용이 매우 비쌀 뿐만 아니라 네트워크 속도의 성능도 빠르지 않다. 돈은 돈대로 매우 비싼 비용을 지불하면서 네트워크 속도의 성능은 낮다니 이렇게 매우 비효율적인 방법을 채택하기에는 너무 부담스럽다. 다른 방법을 찾아야할 것 같다.
 
세번째 방법으로는 비용도 저렴하고 속도도 빠른 인터넷을 이용하는 것이다. 하지만 인터넷은 외부망으로 Public한 공간이기 때문에 인터넷을 이용하게 되면 서울 본사에 있는 DB 서버에 제주도 지사 직원들 뿐만이 아니라 일반인들도 접근할 수 있게되어 보안에 매우 취약하다. 이 방법도 적절하지 못하다.
 
마지막 방법으로는 인터넷을 이용하되 보안성을 강화함으로써 해결할 수 있다. 보안성을 강화한다는 것은 말 그대로 외부망인 인터넷에서 흐르고 있는 데이터에 암호화를 취하여 일반인들이 해당 데이터를 봐도 식별하지 못하게 하는 것이다. 이러한 과정은 달리 말하면 물리적인 PN을 암호화하는 기술로 소프트웨어화(Virtualization) 하였다고 하여 Virtual PN 즉, VPN이라고 부른다.

2. IP 주소를 활용하자 : IPSec VPN  

앞으로 설명할 VPN은 IPSec VPN이다. IPSec는 IP Security의 약자로 단지 VPN 프로토콜의 유형 중 하나에 속한다. IP 라는 키워드가 있기 때문에 당연히 IP 주소와 연관이 있다. IPSec 프로토콜 중에는 다음과 같은 3가지 유형이 존재하는데, 하나씩 알아보자.
 

• ISAKMP : 터널링을 수행하는 GW들 간에 어떤 방식으로, 무슨 기준으로 데이터를 암호화할 것인지
• IP AH(Authentication Header) : 데이터의 무결성을 보장
• IP ESP(Encapsulation Security Protocal) : 데이터에 대해 암호화를 수행

ISAKMP에 대해 설명하면서 '터널링(Tunneling)' 이라는 키워드가 등장했다. 터널링이란 네트워크에 흐르는 데이터를 암호화해서 식별할 수 없게 만드는 것을 의미한다. 이 터널링은 말 그대로 '터널을 뚫어준다' 라는 의미인 셈인데, 터널을 뚫어준다는 것은 어쨌건 서로 다른 두 구간이 있고, 그 구간 사이를 연결해준다는 셈이 된다. 그리고 방금 터널링이 데이터를 암호화해준다고 했는데, 여기서 데이터는 '패킷'을 의미한다. 왜냐하면 IPSec 프로토콜은 IP 주소를 활용하고, IP 주소를 식별자로 하는 (OSI 7 계층 중) 네트워크 계층에서는 패킷이 데이터 단위이기 때문이다.
 
이 때, 어떤 것들 간의 구간을 연결 즉, 터널링해주냐에 따라 2가지 유형으로 나뉜다. 이에 대해서 하나씩 알아보자. 그리고 아래의 내용을 읽어나가면서 터널링 시, '패킷' 데이터가 어떻게 변화하는지에 대해 주목해보자.

2-1. VPN 터널링 in GtoG 

GtoG의 G는 라우터나 공유기와 같은 GW 서버를 의미한다. 지금 알아볼 구조는 GW들 간에 VPN 터널링을 수행할 때이다.
 

GtoG는 GW들 간의 VPN 터널링을 의미한다

 
[PC 1 → DB서버]로 접근하는 상황이라고 가정해보자. 위에서 예시를 든 것처럼 PC 1은 제주도 지사에, DB 서버는 서울 본사에 있다. 그림 속 1번부터 3번 단계까지 각 단계에 대한 설명은 아래와 같다.
 
(1): 가장 처음에 PC 1은 인터넷에 연결되어 있는 제주도 지사에 있는 GW로 요청을 보낼 것이다. 이 때의 패킷 정보를 보면 출발지는 PC 1의 IP 주소인 3.3.3.10, 도착지에는 서울 본사의 DB 서버의 IP 주소인 5.5.5.5로 되어 있다.
 
(2): 이 패킷이 제주도 지사의 GW에 도착하고 서울 본사의 GW로 패킷을 보내는 순간 터널링 기술이 적용된다. 터널링은 크게 2가지 기법을 적용한다. 첫 번째 기법은 Outer IP 헤더라는 것을 새롭게 하나 생성에서 패킷에 붙여준다. 그리고 Outer IP 헤더에는 출발지가 제주도 지사의 GW 서버의 IP 주소인 3.3.3.1이, 도착지엔 서울 본사의 GW 서버의 IP 주소인 5.5.5.1이 적혀져 있다. 두 번째 기법은 패킷에서 Outer IP 헤더를 제외한 나머지 부분을 모두 암호화 시키는 것이다. 이제 이 패킷은 서울 본사의 GW 서버로 전송한다.
 
[제주도 지사의 GW → 서울 본사의 GW]로 이동할 동안에 거쳐가는 네트워크는 분명 외부망인 인터넷이다. 하지만 패킷의 데이터 부분에는 모두 암호화가 되어 있는 상태이기 때문에 회사의 외부인이 해당 패킷에 접근하더라도 정보를 식별할 수가 없게 된다. 물론 데이터에 대한 식별은 불가하지만, GW들 간에 통신을 했다는 흔적과, 각 GW의 IP 주소 정보는 일반인들도 볼 수 있다는 것은 어쩔 수 없다.
 
(3): 이제 패킷이 서울 본사의 GW에 도착하게 되면 Outer IP를 제거하고 암호화된 부분은 복호화한다. 그렇게 되면 서울 본사의 GW에서 보고 있는 패킷에 들어있는 출발지, 도착지 정보는 각각 3.3.3.10, 5.5.5.5이다. 이렇게 해서 결국 PC 1은 제주도에 있지만 서울에 있는 DB 서버에 접근할 수 있게 된다.

2-2. VPN 터널링 in GtoE

이번에 살펴볼 구조는 GtoE이다. 여기서 G는 GW 서버를, E는 엔드포인트를 의미한다. 엔드포인트라고 한다면 단말기, 쉽게 말해 노트북이나 PC를 의미한다.(이전에 배운 엔드포인트 호스트를 의미한다) 사실 GtoE에서의 VPN 터널링 구조는 우리에게 가장 익숙한 재택근무를 할 때 활용하는 VPN 구조이다. 이제 GtoE에서의 VPN 터널링 동작 과정을 하나씩 살펴보도록 하자.
 

PC 99에서 DB 서버로 통신한다고 가정해보자

 
제주도 지사의 직원의 고향은 울릉도인데, 부모님이 아프셔서 부모님을 돌보러 울릉도에 갔고, 그 직원은 2주간 울릉도에서 재택근무를 하는 상황이다. 이럴 때, 직원의 노트북인 PC 99에서 서울 본사의 DB 서버로 어떻게 접근이 가능할까? 이번 그림도 마찬가지로 1번부터 7번 단계까지 각 단계에 대한 설명은 아래와 같다.
 
(1): 가장 먼저 해야할 일은 PC 99에 VPN Client 프로그램을 설치해야 한다. 해당 프로그램을 설치한 뒤, 해당 직원은 제주도 지사 직원이기 때문에 VPN Client 프로그램으로 연결할 GW는 제주도 지사에 존재하는 IP 주소가 3.3.3.1인 GW와 연결시킨다.
 
(2): 이렇게 제주도 지사의 GW와 연결되는 순간 해당 GW에서 PC 99로 새로운 IP 주소를 부여하게 된다. 이로써 PC 99는 기존 IP 주소인 9.9.9.9와 새로 부여 받은 IP 주소인 3.3.3.50을 부여 받는다. 이 때 새로 부여 받은 IP 주소의 특징을 보면 제주도 지사에 존재하는 PC 1,2,3과 네트워크 ID가 같은 것을 볼 수 있다. 이렇게 네트워크 ID가 같다는 것은 뭘 의미할까? PC 99가 실제로는 물리적으로 PC 1,2,3이랑 떨어져 있지만 네트워크 ID는 동일하기 때문에 PC 99랑 통신하는 서버는 PC 99가 마치 PC 1,2,3이랑 물리적으로 같은 공간에 있다고 착각하게 됨을 의미한다.
 
(3): PC 99는 현재 울릉도 부모님 집에 이미 설치되어 있는 KT 인터넷을 이용해서 공유기로 연결한 뒤 인터넷에 접근 가능한 상태이다. 이 공유기와 제주도 지사의 GW 서버 간에 VPN 터널링이 연결된다. 이후에 PC 99에서 최초로 패킷이 생성되는데, 패킷의 정보를 보면 출발지는 PC 99의 새로운 IP 주소인 3.3.3.50이, 도착지는 서울 본사의 DB 서버인 5.5.5.5이다. 
 
(4): 공유기와 제주도 지사의 GW 간에 터널링이 수행되면서 패킷에 암호화 및 Outer IP 헤더가 추가된다. Outer IP 헤더에 보면 출발지에는 공유기의 주소인 9.9.9.1이, 도착지엔 제주도 지사의 GW 주소인 3.3.3.1이 입력된다.
 
(5): 제주도 지사의 GW에 해당 패킷이 도착하면 Outer IP를 제거하고 암호화된 데이터 부분을 복호화한다. 복호화시킨 IP 헤더 정보에는 여전히 (3) 단계에서 입력된 것과 동일하게 출발지는 3.3.3.50, 도착지는 5.5.5.5이다.
 
(6): 이제 서울 본사의 DB 서버로 가기 위해서, 제주도 지사의 GW와 서울 본사의 GW 간에 터널링이 수행된다. 다시 암호화가 수행되고 Outer IP 헤더가 추가된다. Outer IP 헤더 속 출발지에는 제주도 지사의 GW 주소인 3.3.3.1, 도착지엔 서울 본사의 GW 주소인 5.5.5.1이 입력된다.
 
(7): 마지막으로 서울 본사의 GW에 패킷이 도착하면 Outer IP 헤더가 제거되고, 암호화된 데이터가 복호화된다. 복호화된 패킷 내의 IP 헤더에는 여전히 출발지가 3.3.3.50, 도착지가 5.5.5.5가 적혀져 있다. 이로써 5.5.5.5 주소를 갖는 DB 서버로 데이터가 전달된다.

 

이로써 울릉도에 있는 PC 99는 서울 본사의 DB 서버로 접근이 가능해진다.

---

이렇게 해서 강의 속 내용에 대한 공부 기록이 모두 끝이 났다. 아마 직후에는 다른 공부를 좀 진행하다가 나중에 SSL 과 같은 보안 관련 강의를 공부하고 기록해보려고 한다.