가상 사설망의 이해와 VPN이 SD-WAN에 중요한 이유

Network World

인터넷 기반의 가상 사설망은 안전하지 않은 연결에 보안을 더해 1990년대부터 큰 인기를 끌었고, 이 과정에서 VPN은 오늘날 SD-WAN 기술을 탄생시킨 촉매 역할을 했다.

VPN의 정의
가상 사설망(VPN)의 정의는 인터넷과 같이 안전성이 떨어지는 네트워크 전송에서 보안 네트워크를 생성하는 것이다.

VPN은 네트워크에서 두 개 이상의 노드를 연결할 때 쓰인다. 가장 보편적인 용도는 개별 사용자 시스템과 사이트 연결이나 사이트와 사이트 연결이다. 사용자 상호 연결도 할 수 있지만, 사용 사례가 워낙 제한적이라 실제 구현은 드물다.

그 외에 가능한 사용 사례로 사물과 네트워크 연결이 있다. 당장은 흔치 않지만 사물 인터넷(IoT)이 성장하면서 앞으로 디바이스-네트워크간 VPN이 부상할 가능성이 높다.

원격 액세스 VPN
원격 액세스 VPN은 가장 일반적인 형태의 VPN으로, 사용자가 회사 네트워크에 직접 연결되지 않은 상태에서도 회사 리소스에 액세스할 수 있게 해준다. 원격 액세스 VPN은 일반적으로 임시 연결이며 사용자 작업이 완료되면 해제된다.

프라이버시를 보장하기 위해 사용자 엔드포인트(노트북, 모바일 디바이스 또는 홈 컴퓨터 등)와 회사 네트워크 사이에 보안 터널이 설정된다. 터널 설정을 위해서는 암호, 토큰, 생체 ID와 같은 인증이 필요하다.

사용자 측에서 쉽게 연결할 수 있도록 사용자 엔드포인트에 위치한 VPN 소프트웨어에 사용자 이름과 암호가 내장되는 경우도 있지만, 인증은 어떤 형태로든 항상 사용된다.

원격 액세스 VPN의 이점
원격 액세스 VPN 사용 시 얻는 이점은 작업자의 위치에 관계없이 전용 물리적 회선이 없어도 회사 리소스에 연결할 수 있다는 것이다.

덕분에 비용이 절감되고 과거에는 연결이 불가능했던 원격지에서도 연결이 가능하다.

원격 액세스 VPN의 예
로펌의 변호사가 공유 서버에 저장된 클라이언트 파일에 원격으로 액세스하려는 경우를 생각해 보자. 회사가 전용 사설망을 사용해서 변호사의 집을 회사 네트워크에 연결할 수도 있지만, 이 경우 비용 부담이 너무 커진다.

이때 VPN이 훌륭한 대안이 될 수 있다. VPN을 사용하면 변호사가 집에서 사용하는 인터넷 서비스를 통해 가상으로 연결할 수 있기 때문이다.

변호사가 다른 도시에서 열리는 컨퍼런스로 출장을 가는 경우 사설 연결을 통해 회사에 연결할 방법이 없다. 이 경우에도 임시 인터넷 서비스를 통해 VPN을 사용하면 공유 서버에 접속할 수 있으므로 VPN은 로펌을 위한 핵심 비즈니스 도구가 된다.

원격 액세스 VPN의 단점
VPN을 통한 원격 액세스의 단점은 여러 가지 요인에 따라 성능이 크게 요동칠 수 있다는 것이다. 요인에는 사용 중인 인터넷 서비스, 암호화 방법, 사용자가 연결에 사용하는 엔드포인트 등이 포함된다.

예를 들어 집 광섬유를 통해 연결하는 작업자는 호텔에서 공유 와이파이를 통해 VPN 세션을 설정하는 경우에 비해 훨씬 더 높은 성능을 얻게 된다.

이러한 문제는 회사 IT 부서의 통제 범위를 벗어나는 경우가 대부분이므로 작업자 입장에서는 아쉽지만 성능을 개선하기 위해 할 수 있는 일은 거의 없다.

모든 기업 서비스는 원격 액세스 VPN을 통해 액세스할 수 있으며 대부분은 별 문제 없이 실행되지만, 동영상과 같이 대량의 대역폭을 소비하는 애플리케이션, 또는IP 전화(VoIP)처럼 지연률이 낮아야 할 때는 들쭉날쭉한 성능이 문제가 된다.

IPSec 대 SSL VPN
원격 액세스 VPN은 대부분 IPSec 또는 보안 소켓 계층(SSL)을 사용해서 보안 터널을 통해 회사 네트워크로 사용자를 연결하는데, 이 두 가지에는 한 가지 큰 차이점이 있다. IPSec VPN은 작업자가 사무실에 있을 때와 똑같이 모든 회사 리소스에 액세스할 수 있게 해준다. 따라서 작업자는 모든 공유 드라이브, 애플리케이션 및 기타 자산을 볼 수 있다.

SSL VPN은 일반적으로 내부 네트워크 전체가 아니라 단일 애플리케이션에 연결된다. SSL VPN이 점차 인기를 끌게 된 이유는 SSL 프로토콜의 컴퓨팅 리소스 부담이 비교적 적고, 원격 사용자가 볼 수 있는 부분과 볼 수 없는 부분을 IT 부서에서 더 세밀하게 통제할 수 있기 때문이다. 특정 애플리케이션 집합으로 액세스를 제한하면 사용자 디바이스가 감염된 경우에도 조직을 보호할 수 있다.

SSL VPN과 IoT
사물 인터넷은 폭넓은 디바이스로 구성되며 그 중 상당수는 기업 네트워크 내에서 사용되는 센서다. 이러한 센서는 건물 시스템 모니터링 및 제어부터 제조 설비 기계 관련 데이터 수집에 이르기까지 다양한 용도로 사용된다.

일반적으로 이러한 디바이스는 회사 네트워크와 통신할 수 있어야 하는데 여기에는 SSL VPN이 이상적이다. SSL VPN을 구성해서 IoT 디바이스가 기능을 수행하는 데 필요한 서비스를 제외한 모든 요소에 대한 액세스를 제한할 수 있다.

원격 액세스 VPN 필요성 약화
소프트웨어로서의 서비스(SaaS) 인기가 높아지면서 IT 부서에서 원격 액세스 VPN을 제공해야 할 경우는 줄어들고 있다. 애플리케이션과 데이터는 회사 데이터 센터에서 클라우드로 옮겨가는 중이고 사용자는 서비스에 직접 액세스할 수 있다. VPN을 통하고 다시 회사 네트워크까지 거쳐야 한다면 사용자 경험의 질이 떨어지게 된다.
 



사이트 대 사이트 VPN
사이트 대 사이트 VPN은 장소, 일반적으로 지사 사무실을 회사 네트워크에 연결한다. 사이트 대 사이트 VPN에서 연결은 주로 라우터, 방화벽 또는 전용 VPN 어플라이언스와 같은 네트워킹 디바이스에 의해 설정되고 해제된다. 랩톱, 데스크톱과 같은 최종 사용자 디바이스는 그러한 역할을 하지 않는다.

사이트 대 사이트 VPN을 구현하는 이유 중 하나는 네트워크 전문가가 원격 액세스 VPN을 구현하는 이유와 비슷하다. 전용 임대 회선을 사용한 사이트 연결은 비용이 너무 많이 들고 현실적이지도 않기 때문이다.

사이트 대 사이트 VPN 예
미국에 소재한 컨설팅 기업이 일본에 직원 3명이 상주하는 지사 사무실을 연다고 가정해 보자. 직원들은 공유 파일 서버, 이메일 및 기타 회사 리소스에 액세스해야 한다. 이 경우 네트워크 수요가 특별히 높지는 않으므로 전용 회선 연결은 타당하지 않다.

이 회사는 로컬 인터넷 연결을 구매해서 두 위치를 연결하는 인터넷 기반 VPN을 만들면 매월 수천 달러를 절감할 수 있다.

한편 인터넷 기반 VPN은 설정하기 복잡하고 민첩성이 떨어진다. 중간 규모 또는 대규모 네트워크의 경우 인터넷 VPN에서 무언가를 변경하기가 상당히 어려워질 수 있다. 또한 인터넷 연결을 사용하므로 네트워크 혼잡도를 비롯한 여러 가지 요인에 따라 애플리케이션 성능이 들쭉날쭉할 수 있다.

사이트 대 사이트 MPLS VPN
사이트 대 사이트 VPN의 또 다른 형태는 공용 인터넷 대신 통신사가 제공하는 MPLS 클라우드에 연결해서 VPN 연결 설정의 부담을 서비스 제공업체에 맡기는 것이다. 서비스 제공업체는 자체 MPLS 네트워크를 통해 사이트 사이에 가상 연결을 생성한다.

이 VPN 유형의 가장 큰 장점은 네트워크 민첩성과 네트워크 메시(mesh) 기능이다. 일반적인 사이트 대 사이트 네트워크에서 각 지사는 데이터 센터에 연결되고 모든 지사 간 트래픽은 이 중앙 허브를 통과하게 된다. 메시를 구현하면 지사는 허브를 거치지 않고 서로 직접 연결된다.

화상 회의를 비롯해 대역폭 소비량이 크고 지연에 민감한 애플리케이션에서는 직접 연결이 필요할 수 있는데 MPLS VPN은 이러한 사용 사례에 가장 적합하다.

MPLS VPN의 단점은 항상 비용이다. MPLS와 같은 사설 IP 서비스는 매우 고가이며 특히 국제 연결의 경우 비용 부담이 더욱 커진다.

VPN과 SD-WAN
SD-WAN은 인터넷 기반 VPN의 경제성, MPLS VPN의 성능과 민첩성을 동시에 제공하므로 요즘 네트워크 전문가들 사이에서 화두가 되고 있다.

SD-WAN을 사용하면 조직은 많은 비용이 드는 MPLS 회선을 적어도 일부라도 경제적인 인터넷 연결로 대체하고, SD-WAN의 최적화와 다중 경로 기능을 사용해 각 워크로드에 충분한 성능 수준을 유지할 수 있다.

또한, SD-WAN의 제어 요소는 기반 인프라와 분리됐으므로 중앙 포털에서 네트워크를 구성할 수 있다. SD-WAN에서 설정을 변경하는 작업은 대부분 마우스 클릭 몇 번이면 된다.

VPN 기술은 수십 년 전부터 사용되고 있다. VPN의 대대적인 다음 진화 단계를 SD-WAN라고 볼 수 있다. editor@itworld.co.kr