2019.10.17

'VPN 트래픽 보안 통제 무력화'··· 'IPv6 VPN 탈옥'을 막는 3가지 방법

Scott Hogg | Network World
기업은 원격 사용자의 기기가 금지 사이트에 접속하지 못하도록 VPN을 사용한다. 그러나 IPv6가 원격 사용자의 기기에 어떤 역할을 하는지 인식하지 못하면 이것이 무용지물이 될 수 있다.

이러한 허점의 원인은 기업 원격 접속 VPN의 구성 방식 때문이다. VPN 집중기를 통과하는 IPv4 트래픽에만 검사 및 보안 통제 기능이 적용되고 IPv6 트래픽은 방치하도록 구성된 경우가 있다. 이처럼 보안 통제가 적용되지 않은 IPv6 트래픽은 자유롭게 인터넷에 직접 접속한다. 이른바 'IPv6 VPN 탈옥(IPv6 VPN breakout)' 문제다. 이 문제는 잘 알려졌지만 여전히 간과되는 경우가 많다. IPv6 VPN 탈옥 문제에 해결책이 없는 것은 아니다. 그러나 문제의 심각성을 인식하기 위해 그 문제 자체를 먼저 이해해야 한다.

IPv6 VPN 탈옥 문제가 간과되는 이유
VPN을 통해 기업 네트워크에 접속하는 기기에 IPv6이 얼마나 자주 사용되는지 모르는 기업이 많다. 기업 네트워크에 원격 접속하기 위해 사용되는 전화기, 태블릿, 노트북 등은 일반적으로 IPv6을 지원한다. 이들 장치의 인터넷 접속에 사용되는 광대역 및 셀룰러 서비스 역시 IPv6을 지원한다. 그 결과 기업은 IPv6을 보안 요소로 인식하지 못한 채 VPN이 IPv4 트래픽만 검사하도록 구성한다. 기업 네트워크와 장치, 데이터를 위험에 빠뜨릴 수도 있는 IPv6 사이트에 모바일 기기가 자유롭게 접속하도록 방치하는 셈이다.
 
<그림 1> IPv4 보호 기능이 작동하는 방식

IPv4 보호 기능은 <그림 1>과 같이 작동한다. 일단 VPN이 설정되면 VPN 집중기는 인터넷으로 가는 트래픽을 검사해 해당 기업이 구성한 정책에 의해 금지된 곳으로 향하는 트래픽은 차단한다. 대부분의 기업 VPN은 보안 강화를 위해 '분할 터널링 금지(no split-tunneling)'라고 불리는 조처를 한다. 모든 IPv4 연결을 반드시 VPN으로 통과시키는 것이다. 분할 터널링 금지 상태에서 VPN 연결이 설정되면 일반적으로 원격 장치가 인터넷에 따로 연결하는 것이 불가능하다.

이 작업은 주로 VPN 터널을 통해 VPN 클라이언트에게 IPv4 기본 경로(0.0.0.0/0.0.0.0)를 알려주는 방식으로 이루어진다. 이 IPv4 기본 경로는 VPN 클라이언트의 라우팅 테이블(<그림 1>에서 노트북 화면상의 붉은색 필드)에 삽입된다. 따라서, 최종 사용자가 VPN을 실행하고 있으면 IPv4 웹사이트에 대한 모든 연결 시도는 기업 인트라넷을 거쳐 검사를 받게 된다.

문제는 기업이 VPN 클라이언트 라우팅 테이블(::/0))(<그림 1>에서 노트북 화면상의 푸른색 필드)에도 존재하는 IPv6 기본 경로가 포함되도록 VPN 상에서 분할 터널링 금지 설정을 적용하지 않는 경우가 많다는 것이다. 따라서 IPv6 트래픽은 인터넷에 직접 접속할 수 있는 경로가 생겨 기업의 어떠한 인터넷 경계 보안 조치도 우회하게 된다. 따라서 기업은 IPv6 지원 기기가 이미 기업 네트워크와 모바일 직원의 수중에 있다는 사실을 직시하고 이러한 보안 약점을 제거할 적극적인 조처를 해야 한다.

IPv6 VPN 탈옥 예방법
최상의 결과를 얻으려면 VPN과 기업 경계선에 IPv6을 설정해 상황을 통제해야 한다. 기업은 인터넷 경계상에 IPv6 연결을 먼저 설정한 후 VPN에 대한 IPv6 연결을 설정해야 한다. 최신 기업 경계 방화벽 및 VPN 소프트웨어는 IPv6 기능을 이미 지원하므로 설정과 구성만 해 주면 된다. 설정과 구성이 완료되면 트래픽 흐름은 <그림 2>와 같은 모습이 된다.
 
<그림 2> IPv6 VPN 탈옥을 예방하는 구성

두 번째 방법은 IPv6 유출을 자체적으로 예방하는 VPN 클라이언트를 사용하는 것이다. 예를 들면, 시스코의 애니커넥트 클라이언트를 시스코의 ASA 보안 장비와 함께 사용하면 IPv6이 설정된 클라이언트 상에 분할 터널링이 구성되는 방식을 제어할 수 있다. 팔로알토 네트웍스(Palo Alto Networks)의 글로벌프로텍트(GlobalProtect) VPN과 포티넷(Fortinet)의 SSL VPN 포티클라이언트(FortiClient) 역시 유사한 방식으로 IPV6을 사용한다. IPv6을 설정하고 VPN 정책으로 제어하기만 하면 된다.

주의할 것은 VPN 터널을 설정해 결과적으로 IPv6 연결을 끊어버릴 수 있다는 점이다. 이 경우 VPN 서버는 IPv6 기본 경로(::/0)를 VPN 클라이언트의 라우팅 테이블로 알려서 모든 IPv6 연결이 VPN 터널을 통과하도록 만든다. 그러나, VPN과 기업 내부 네트워크가 IPv4 전용이면 모든 IPv6 연결이 중단된다. VPN에 IPv6 연결 기능이 없는 기업은 이 IPv6 기본 경로를 알려서는 안 된다. IPv6를 사용하는 애플리케이션에 접근을 시도하는 모든 VPN 클라이언트에 애플리케이션 연결 문제를 야기하기 때문이다. IPv6 설정 사이트에 접속하려던 사용자는 클라이언트가 IPv4로 빠르게 전환함에 따라 처음에는 접속 실패를, 그 후에는 접속 지연을 겪게 된다.

세 번째 방법은 도메인 이름 시스템(DNS)을 활용해 IPv6 VPN 탈옥을 예방하는 것이다. 이 경우에 IPv4 전용 VPN은 그대로 남아 있지만 모든 DNS 주소 결정 시도는 터널을 강제로 통과하게 된다. IPv6 DNS 질의는 차단되지만 IPv4 질의는 성공한다.

이 방법의 단점은 IPv6 DNS 결정 및 연결 시도가 시간 초과해 IPv4로 전환됨에 따라 일부 IPv6 가능 애플리케이션의 성능이 저하될 수 있다는 것이다. 이 경우 문제해결 애플리케이션 이슈가 더 커질 수 있다. 왜냐하면 IT 관리자는 IPv4 및/또는 IPv6을 사용하고 있을지 모르는 애플리케이션을 찾아야 하고 문제를 DNS, 연결, VPN 정책, VPN 클라이언트 구성 등으로 구분해 규명해야 하기 때문이다.

IPv6이 가능한 기업 원격 접속 VPN 증축을 미루면 미룰수록 기업이 겪을 IPv6 VPN 탈옥 문제는 더 악화한다. 최종 사용자 장치의 IPv6 사용은 더 늘어날 것이고 기업 VPN을 통해 돌아오는 IPv4 트래픽은 점점 줄어들 것이기 때문이다. 이제 기업은 IPv6 VPN 탈출 문제를 인지하고 IPv6 자체 인터넷 경계에서, 그리고 원격 접속 VPN을 대상으로 IPv6를 설정하도록 적극적인 조처를 해야 한다. ciokr@idg.co.kr



2019.10.17

'VPN 트래픽 보안 통제 무력화'··· 'IPv6 VPN 탈옥'을 막는 3가지 방법

Scott Hogg | Network World
기업은 원격 사용자의 기기가 금지 사이트에 접속하지 못하도록 VPN을 사용한다. 그러나 IPv6가 원격 사용자의 기기에 어떤 역할을 하는지 인식하지 못하면 이것이 무용지물이 될 수 있다.

이러한 허점의 원인은 기업 원격 접속 VPN의 구성 방식 때문이다. VPN 집중기를 통과하는 IPv4 트래픽에만 검사 및 보안 통제 기능이 적용되고 IPv6 트래픽은 방치하도록 구성된 경우가 있다. 이처럼 보안 통제가 적용되지 않은 IPv6 트래픽은 자유롭게 인터넷에 직접 접속한다. 이른바 'IPv6 VPN 탈옥(IPv6 VPN breakout)' 문제다. 이 문제는 잘 알려졌지만 여전히 간과되는 경우가 많다. IPv6 VPN 탈옥 문제에 해결책이 없는 것은 아니다. 그러나 문제의 심각성을 인식하기 위해 그 문제 자체를 먼저 이해해야 한다.

IPv6 VPN 탈옥 문제가 간과되는 이유
VPN을 통해 기업 네트워크에 접속하는 기기에 IPv6이 얼마나 자주 사용되는지 모르는 기업이 많다. 기업 네트워크에 원격 접속하기 위해 사용되는 전화기, 태블릿, 노트북 등은 일반적으로 IPv6을 지원한다. 이들 장치의 인터넷 접속에 사용되는 광대역 및 셀룰러 서비스 역시 IPv6을 지원한다. 그 결과 기업은 IPv6을 보안 요소로 인식하지 못한 채 VPN이 IPv4 트래픽만 검사하도록 구성한다. 기업 네트워크와 장치, 데이터를 위험에 빠뜨릴 수도 있는 IPv6 사이트에 모바일 기기가 자유롭게 접속하도록 방치하는 셈이다.
 
<그림 1> IPv4 보호 기능이 작동하는 방식

IPv4 보호 기능은 <그림 1>과 같이 작동한다. 일단 VPN이 설정되면 VPN 집중기는 인터넷으로 가는 트래픽을 검사해 해당 기업이 구성한 정책에 의해 금지된 곳으로 향하는 트래픽은 차단한다. 대부분의 기업 VPN은 보안 강화를 위해 '분할 터널링 금지(no split-tunneling)'라고 불리는 조처를 한다. 모든 IPv4 연결을 반드시 VPN으로 통과시키는 것이다. 분할 터널링 금지 상태에서 VPN 연결이 설정되면 일반적으로 원격 장치가 인터넷에 따로 연결하는 것이 불가능하다.

이 작업은 주로 VPN 터널을 통해 VPN 클라이언트에게 IPv4 기본 경로(0.0.0.0/0.0.0.0)를 알려주는 방식으로 이루어진다. 이 IPv4 기본 경로는 VPN 클라이언트의 라우팅 테이블(<그림 1>에서 노트북 화면상의 붉은색 필드)에 삽입된다. 따라서, 최종 사용자가 VPN을 실행하고 있으면 IPv4 웹사이트에 대한 모든 연결 시도는 기업 인트라넷을 거쳐 검사를 받게 된다.

문제는 기업이 VPN 클라이언트 라우팅 테이블(::/0))(<그림 1>에서 노트북 화면상의 푸른색 필드)에도 존재하는 IPv6 기본 경로가 포함되도록 VPN 상에서 분할 터널링 금지 설정을 적용하지 않는 경우가 많다는 것이다. 따라서 IPv6 트래픽은 인터넷에 직접 접속할 수 있는 경로가 생겨 기업의 어떠한 인터넷 경계 보안 조치도 우회하게 된다. 따라서 기업은 IPv6 지원 기기가 이미 기업 네트워크와 모바일 직원의 수중에 있다는 사실을 직시하고 이러한 보안 약점을 제거할 적극적인 조처를 해야 한다.

IPv6 VPN 탈옥 예방법
최상의 결과를 얻으려면 VPN과 기업 경계선에 IPv6을 설정해 상황을 통제해야 한다. 기업은 인터넷 경계상에 IPv6 연결을 먼저 설정한 후 VPN에 대한 IPv6 연결을 설정해야 한다. 최신 기업 경계 방화벽 및 VPN 소프트웨어는 IPv6 기능을 이미 지원하므로 설정과 구성만 해 주면 된다. 설정과 구성이 완료되면 트래픽 흐름은 <그림 2>와 같은 모습이 된다.
 
<그림 2> IPv6 VPN 탈옥을 예방하는 구성

두 번째 방법은 IPv6 유출을 자체적으로 예방하는 VPN 클라이언트를 사용하는 것이다. 예를 들면, 시스코의 애니커넥트 클라이언트를 시스코의 ASA 보안 장비와 함께 사용하면 IPv6이 설정된 클라이언트 상에 분할 터널링이 구성되는 방식을 제어할 수 있다. 팔로알토 네트웍스(Palo Alto Networks)의 글로벌프로텍트(GlobalProtect) VPN과 포티넷(Fortinet)의 SSL VPN 포티클라이언트(FortiClient) 역시 유사한 방식으로 IPV6을 사용한다. IPv6을 설정하고 VPN 정책으로 제어하기만 하면 된다.

주의할 것은 VPN 터널을 설정해 결과적으로 IPv6 연결을 끊어버릴 수 있다는 점이다. 이 경우 VPN 서버는 IPv6 기본 경로(::/0)를 VPN 클라이언트의 라우팅 테이블로 알려서 모든 IPv6 연결이 VPN 터널을 통과하도록 만든다. 그러나, VPN과 기업 내부 네트워크가 IPv4 전용이면 모든 IPv6 연결이 중단된다. VPN에 IPv6 연결 기능이 없는 기업은 이 IPv6 기본 경로를 알려서는 안 된다. IPv6를 사용하는 애플리케이션에 접근을 시도하는 모든 VPN 클라이언트에 애플리케이션 연결 문제를 야기하기 때문이다. IPv6 설정 사이트에 접속하려던 사용자는 클라이언트가 IPv4로 빠르게 전환함에 따라 처음에는 접속 실패를, 그 후에는 접속 지연을 겪게 된다.

세 번째 방법은 도메인 이름 시스템(DNS)을 활용해 IPv6 VPN 탈옥을 예방하는 것이다. 이 경우에 IPv4 전용 VPN은 그대로 남아 있지만 모든 DNS 주소 결정 시도는 터널을 강제로 통과하게 된다. IPv6 DNS 질의는 차단되지만 IPv4 질의는 성공한다.

이 방법의 단점은 IPv6 DNS 결정 및 연결 시도가 시간 초과해 IPv4로 전환됨에 따라 일부 IPv6 가능 애플리케이션의 성능이 저하될 수 있다는 것이다. 이 경우 문제해결 애플리케이션 이슈가 더 커질 수 있다. 왜냐하면 IT 관리자는 IPv4 및/또는 IPv6을 사용하고 있을지 모르는 애플리케이션을 찾아야 하고 문제를 DNS, 연결, VPN 정책, VPN 클라이언트 구성 등으로 구분해 규명해야 하기 때문이다.

IPv6이 가능한 기업 원격 접속 VPN 증축을 미루면 미룰수록 기업이 겪을 IPv6 VPN 탈옥 문제는 더 악화한다. 최종 사용자 장치의 IPv6 사용은 더 늘어날 것이고 기업 VPN을 통해 돌아오는 IPv4 트래픽은 점점 줄어들 것이기 때문이다. 이제 기업은 IPv6 VPN 탈출 문제를 인지하고 IPv6 자체 인터넷 경계에서, 그리고 원격 접속 VPN을 대상으로 IPv6를 설정하도록 적극적인 조처를 해야 한다. ciokr@idg.co.kr

X