Offcanvas

통신|네트워크

"SASE에 올인하지 마라" VPN을 재점검해야 할 이유

2022.06.03 David Strom  |  Network World
코로나19 팬데믹을 계기로 원격 근무자의 업무를 돕고 안전을 보호하는 더 나은 수단에 대한 개발 속도가 빨라졌다. 즉, 지금은 기업이 VPN을 재점검하기 좋은 시기다. 

최근 들어 VPN은 기능을 향상시키는 프로토콜 옵션이 추가되면서 처음 발명되었을 때보다 훨씬 앞선 수준으로 발전하고 있다. 동시에 새로운 보안 아키텍처인 ZTNA(Zero Trust Network Access), SASE(Secure Access Service Edge), SSE(Security Service Edge)가 원격 접근 VPN의 영역이었던 분야에 진출하고 있다. 
 
ⓒ Getty Images Bank


VPN vs. ZNTA

ZNTA의 기본 명제는 네트워크 접근을 원하는 모든 사용자와 장치를 인증해야 한다는 것이다. 접근권한을 폭넓게 부여하는 대신 어떤 접근권한을 언제, 누구에게 부여할지 까다롭게 선정한다. 제로 트러스트는 보안 위협이 기업 네트워크 내부와 외부에서 모두 발생할 수 있다고 가정하기 때문이다. 일부 기업은 IPsec VPN을 완전히 포기하고 보다 종합적인 ZTNA 기반 네트워크를 선택했지만 여전히 다른 종류의 보호는 필요하다. 예를 들어 출장 중인 직원의 스마트폰을 암호화해 추적과 해킹을 막아야 하는 경우를 생각해 보자. 

클라우드플레어(Cloudflare)는 ZTNA와 VPN의 차이점을 다음 3가지 특징을 중심으로 설명한다.

· OSl 계층: IPsec VPN은 네트워크 계층인 3계층에서 가동된다. 반면 ZTNA와 SSE, SASE는 주로 전송 계층(4계층)부터 응용 계층(7계층)까지 게이트웨이, 혹은 TLS 같은 웹 프로토콜을 사용해 가동된다. 이는 특정 앱과 장치를 보호함에 있어 ZTNA가 더 완전한 보호를 제공한다는 의미다. 그러나 3계층 보호는 더 광범위한 악성코드의 움직임을 차단하고 네트워크를 특정 부류의 사용자를 대상으로 분할하는 데 유용하다.

· 온프레미스 하드웨어 및 소프트웨어: 대부분 기업 VPN은 자체 온프레미스 서버를 필요로 한다. 이 서버는 각 엔드포인트 기기에 설치된 클라이언트 소프트웨어를 통해 모든 엔드포인트를 연결한다. 즉, 온프레미스 서버가 단일 오류 지점이 될 수 있다는 의미다. 또 클라우드 기반 리소스를 오가는 트래픽이 서버가 보관된 기업 데이터센터를 통과해야 하므로 지연이 늘어난다는 뜻이기도 하다. 반면 ZNTA는 상대적으로 발자국이 가볍고 대개 클라우드 기반 리소스로 구현되며, 특정 엔드포인트 소프트웨어 에이전트가 있든 없든 가동된다. 에이전트를 사용할 때는 엔드포인트의 CPU 하중이 늘어날 수 있다.

· 세밀한 제어: 대부분 VPN은 전체 네트워크를 안전하게 보호하는 것이 목적이다. 이런 목적을 위해 보호된 터널을 제공하며, 터널을 통해 원격 시스템이 네트워크 접근권한을 얻는다. 이론적으로는 좋을 것 같지만 실제로는 좋지 않다. 접근권한을 얻은 엔드포인트 1대가 감염되면 사이버 공격이 전체 네트워크로 퍼질 수 있기 때문이다. 반면 ZTNA의 보호 방식은 네트워크 접근과 애플리케이션 접근을 모두 제한한다. 따라서 특정 기기의 특정 사용자에게 특정 시간에 특정 애플리케이션에 대한 접근을 허용하는 세밀한 정책을 실행할 수 있다.

이처럼 적응성과 유연성이 뛰어난 보안은 관리되지 않는 개인 기기나 보안용 클라이언트 소프트웨어가 전혀 없는 IoT 장치를 다룰 때 유리하다. ZTNA는 다양한 보안 관리 도구를 통합하는 수단으로도 활용할 수 있다. 예를 들어 팔로알토 네트웍스의 프리즈마 액세스(Prisma Access)는 ZTNA를 사용해 방화벽, 클라우드 접근 보안 브로커 및 SD-WAN 도구를 결합한다.

이런 차이점에도 불구하고 VPN과 ZTNA가 공존할 수 있는 상황이 있다. 원격 사무실에 연결할 때, 혹은 온프레미스 파일 서버에 연결할 때 VPN을 사용하는 것이다. 기업이 VPN을 더욱 면밀히 살펴봐야 할 이유는 2가지다. VPN과 ZTNA는 서로 보완할 수 있으며, VPN은 아직 원격 근무자가 많은 상황에서 포괄적인 보안 수단을 제공하기 때문이다.

더욱 중요한 것은 VPN 프로토콜 환경이 지난 15~20년에 걸쳐 크게 개선됐다는 점이다. IPsec는 윈도우, 맥OS, iOS에서 지원되는 터널링 프로토콜인 인터넷 키 익스체인지(Internet Key Exchange) 버전 2(IKEv2)로 대부분 대체됐다. IKEv2에는 이동하는 모바일 장치에 더욱 빠른 터널 재연결을 제공하는 NAT(Network Address Transversal)도 포함되어 있다. 

또한 IKEv2는 AES 및 블로우피시(Blowfish)를 사용해 더 나은 암호화와 인증서 기반 인증을 제공해 중간자(Man-in-the-middle, MitM) 공격을 방지한다. IKEv2는 시스코 SSL 애니커넥트(AnyConnect)와 주니퍼의 VPN 제품처럼 여러 기업용 VPN에서도 지원한다.

비교적 최신 VPN 프로토콜인 와이어가드(WireGuard)오픈VPN(OpenVPN)도 있다. 2가지 모두 서버 네트워크, 엔드포인트 클라이언트 및 실제 프로토콜 자체를 포함해 부분적으로 오픈소스화된 다른 서비스를 조금씩 제공한다. 


오픈VPN

오픈VPN 프로젝트는 소비자용 VPN 제공업체인 윈드스크라이브(Windscribe), 핫스팟 실드(Hotspot Shield), 노드VPN(NordVPN), 익스프레스VPN(ExpressVPN) 등이 채택했다. 윈도우, 맥OS, iOS, 안드로이드, 리눅스 클라이언트를 지원한다. 오픈소스 상태이므로 코드와 다양한 구현판을 지켜보는 눈이 더 많다는 점은 기업 사용자에게도 이득이다.

오픈VPN 프로젝트에서 개발한 오픈VPN 클라우드는 관리형 서비스로 연결할 수 있어 현장 VPN 서버가 필요 없어진다. 무료판으로는 3개의 동시 연결을 구축할 수 있다. 월 요금제는 최소 10대의 엔드포인트를 연결할 때 1대당 월 7.5달러에서 시작한다. 연결 기기가 50대가 넘으면 요금이 월 몇 달러 수준으로 떨어진다. 셀프 호스팅 구성을 위한 오픈VPN 서버 소프트웨어도 비슷한 가격에 이용할 수 있다. 오픈VPN 프로젝트는 VPN 이외에도 사이버실드(CyberShield)를 제공한다. 이는 DNS 트래픽 암호화 서비스로서 DoS 및 중간자 공격 방지에 도움이 된다.

오픈VPN은 TCP 포트에서는 물론 UDP 포트에서도 실행되므로 유연성이 높다. 이는 국가의 후원을 받는 행위자들이 잘 알려진 원격 접근 포트의 차단을 시도할 때 오픈VPN을 통한 연결이 더 탄력적이라는 의미다. 물론 단점도 있다. 오픈VPN의 로컬 서버 대부분이 북반구에 위치하기 때문에 다른 지역에서 연결하면 지연이 더 길다. 하지만 익스프레스VPN, 노드VPN과 같은 소비자용 VPN 제공업체는 전 세계적으로 더 넓은 지역에 진출해 있다.


와이어가드

와이어가드 역시 오픈소스 프로젝트다. IKEv2와 마찬가지로 설계 목적은 안정성을 향상시키는 빠른 재연결이다. 오픈VPN과 마찬가지로 윈도우, 맥OS, iOS, 안드로이드, 리눅스 클라이언트 등 일련의 서비스를 함께 제공하며 멀바드(Mullvad), 프로톤VPN(ProtonVPN), 서프샤크(Surfshark), 노드VPN, PIA(Private Internet Access) 등 소비자용 VPN 제공업체에서 지원한다.

지지자들의 주장에 따르면 와이어가드는 린(lean) 아키텍처 때문에 다른 VPN 프로토콜보다 성능이 뛰어나고 컨테이너 컬렉션에서 쉽게 구현될 수 있다. 무료이며 모든 UDP 포트에서 실행된다. 와이어가드 작성자들이 공개한 보안 제한에 대해 세부 지침에 따르면, 프로토콜은 아직 미완성 상태이며 트래픽 난독화 기능이 없다. 

와이어가드나 오픈VPN을 사용하면 기업은 원격 프로토콜 컬렉션을 평가할 때 더 많은 힘과 유연성을 갖는다. 보안 때문에 찾았다가 유용성 때문에 계속 사용하게 된다. 예를 들어, 관리형 오픈VPN 클라우드를 사용해 원격 접근 수요를 빠르게 확장하거나 축소할 수 있다. 이는 ZTNA 기반 솔루션이 작동하는 방식에 가깝다.


기업이 VPN을 고려해야 하는 이유 

소비자용 VPN 제공업체만 오픈VPN과 와이어가드를 채택했음에도 기업이 관심을 가져야 할 이유는 무엇일까? 첫째, 오픈VPN과 와이어가드는 오버헤드가 낮아 지연이 줄고 사용성을 개선할 수 있다. 둘째, 스스로의 가치와 개인정보보호 등의 기능을 입증하기 위한 서드파티 보안 감사를 비롯해 오픈소스 사용에 따른 장점을 잘 보여준다. 기업용 VPN 제공업체들도 솔루션과 서비스를 개선하기 위한 목적으로 이런 전략을 채택할 수 있다.

그렇다면 기업이 SSE 및 SASE를 포기해야 한다는 의미일까? 전혀 그렇지 않다. 기업에는 다양한 애플리케이션, 대역폭 요건, 최종 사용자 장치를 아우르는 온갖 종류의 원격 접근 수요가 있다. 애플리케이션은 프라이빗 클라우드, 퍼블릭 클라우드, 컨테이너, 온프레미스 장비처럼 온갖 종류의 인프라에 걸쳐 실행된다. 일반적인 기업은 복수의 ID 제공업체, 인증 도구, 네트워크 구성을 사용한다. 여기에 SASE 및 SSE의 브라우징 세션 분리 기능이나 클라우드 접근 보안 브로커 설정 기능을 추가하면 이런 리소스를 더욱 안전하게 보호할 수 있다.

모든 원격 사용자가 데이터센터에 보관된 게이트웨이 서버를 통해 연결하던 시대는 지났다. 그러나 최신 VPN 프로토콜은 제로 트러스트라는 새롭지는 않지만 ‘멋진 신세계’를 충분히 보완할 수 있다.
editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.