IPSec VPN: IPSec의 정의 및 VPN에 사용되는 원리

IPSec이란 무엇인가요?

‘IPSec’이라는 용어에서 ‘IP’는 ‘인터넷 프로토콜’을, ‘Sec’는 ‘보안’을 의미합니다. 쉽게 말해, IPSec은 인터넷 네트워크에서의 안전한 연결을 설정하기 위한 통신 규칙 모음을 뜻합니다.

인터넷 프로토콜, 즉 IP란 인터넷에서 사용되는 주요 라우팅 프로토콜로서, IP 주소 는 데이터가 이동할 위치를 나타냅니다. IPsec은 이 과정에 암호화와 인증 단계를 추가하기 때문에 전송되는 데이터의 안전을 보장합니다.

VPN이란? IPsec VPN이란?

IPSec은 사용자가 개인 네트워크에 연결된 것처럼 인터넷에 액세스할 수 있게 해주는 인터넷 보안 서비스인 가상 사설망(Virtual Private Network, VPN)을 구성하는 데 자주 사용됩니다.

VPN 연결은 익명성이 보장되는 공용 네트워크 서버를 통해 이루어지며, VPN의 암호화 터널을 통해 교환되는 데이터는 암호화되어 비공개로 유지됩니다. 따라서 VPN은 인터넷 통신을 암호화할 뿐만 아니라 강력한 익명성을 제공합니다.

VPN을 사용하면 공유 네트워크 인프라를 통해 기밀 데이터에 안전하게 액세스하고 교환할 수 있습니다. 특히 한국 VPN 사용자들은 재택 근무를 하는 경우 VPN을 꼭 켜고 회사 내부 문서 및 애플리케이션에 액세스해야 하는 경우가 많습니다.

시중의 많은 VPN들은 이러한 암호화된 연결을 설정하고 실행하기 위해 IPSec VPN 프로토콜 제품군을 사용합니다. 따라서 IPsec VPN이란 IPSec 프로토콜을 사용하는 VPN을 뜻합니다.

IPSec 프로토콜

네트워크 프로토콜은 네트워크의 모든 컴퓨터가 데이터를 해석할 수 있도록 데이터 형식을 지정하는 특정 방법입니다. IPSec은 하나의 프로토콜이 아니라 다음과 같이 구성된 프로토콜의 모음입니다:

• 인증 헤더(Authentication Header, AH): AH 프로토콜은 데이터 패킷이 신뢰할 수 있는 소스에서 왔으며 소비자 제품의 변조 방지 씰과 같이 데이터가 변조되지 않았음을 보장합니다. 하지만 이러한 헤더는 어떠한 암호화도 제공하지 않으며 공격자로부터 데이터를 숨기는 데 도움이 되지 않습니다.
• 캡슐화 보안 페이로드(Encryption Security Payload, ESP): 페이로드란 암호화된 데이터가 저장되는 공간입니다. ESP는 전송 모드를 사용하지 않는 한 각 패킷의 IP 헤더와 페이로드를 암호화합니다. ESP는 각 데이터 패킷에 자체 헤더와 트레일러를 추가합니다.
• 보안 연결(Security Association, SA): 키 협상 및 암호화 알고리즘에 사용되는 프로토콜 집합을 의미하는 SA는 보안 프로토콜 각각에 대한 보안 매개변수를 정의하는 역할을 합니다. 보안 방법을 명시한 계약서라고 생각하면 쉽습니다. 가장 일반적인 SA 프로토콜 중 하나는 Internet Key Exchange(IKE)입니다.

IPsec VPN 연결 방법

사용자는 VPN 애플리케이션 또는 ‘클라이언트’를 사용하여 IPsec VPN에 액세스할 수 있습니다. 일반적으로 이를 위해서는 사용자가 자신의 장치에 애플리케이션을 설치해야 합니다.

VPN 로그인은 일반적으로 비밀번호를 기반으로 합니다. VPN을 통해 전송되는 데이터는 암호화되지만, 사용자의 비밀번호가 유출되면 공격자가 VPN에 액세스하여 암호화된 데이터를 탈취할 수 있습니다.

이러한 사고를 미연에 방지하려면 다크 웹 모니터링 을 통해 자격 증명 유출 여부에 대해 실시간으로 알림을 받거나 바이러스 및 위협 방지Pro 기능과 같은 안티 멀웨어 툴이 탑재된 VPN을 사용하는 것이 좋습니다. VPN 암호화 뿐만 아니라 온라인 상의 일반적인 위협을 막아주기 때문에 한차원 더 높은 보안을 경험할 수 있습니다.

IPSec VPN 동작 원리

IPsec 암호화 연결에는 다음 단계가 포함됩니다:

1. 1.키 교환: 암호화에는 키가 필요합니다. 키는 메시지를 ‘잠금’(암호화)하고 ‘잠금 해제’(해독)하는 데 사용할 수 있는 임의의 문자 문자열입니다. IPsec은 연결된 장치 간에 키를 교환하여 각 장치가 다른 장치에서 메시지를 해독할 수 있도록 키를 설정합니다.
2. 2.패킷 헤더 및 트레일러: 네트워크를 통해 전송되는 모든 데이터는 패킷이라는 작은 부분으로 나뉩니다. 패킷에는 페이로드, 즉 전송된 실제 데이터와 헤더 또는 해당 데이터에 대한 정보가 모두 포함되어 있어 패킷을 수신하는 컴퓨터가 패킷을 사용하는 방법을 알 수 있습니다. IPsec은 인증 및 암호화 정보를 포함하는 여러 헤더를 데이터 패킷에 추가합니다. 프로토콜 세트는 각 패킷의 페이로드를 따르는 트레일러도 추가합니다.
3. 3.인증: IPsec은 각 패킷에 대해 수집가 항목의 진위 확인 스탬프와 같은 인증을 제공합니다. 이를 통해 패키지가 공격자가 아닌 신뢰할 수 있는 소스로부터 전송되었는지 확인할 수 있습니다.
4. 4.암호화: IPsec은 각 패킷 내의 페이로드와 각 패킷의 IP 헤더를 암호화합니다. 따라서 IPsec을 통해 전송되는 데이터는 안전하게 비공개로 유지됩니다.
5. 5.전송: 암호화된 IPsec 패킷은 전송 프로토콜을 사용하여 하나 이상의 네트워크를 통해 목적지까지 이동합니다. 이 단계에서 IPsec 트래픽은 전송 프로토콜로 TCP가 아닌 UDP를 더 자주 사용한다는 점에서 일반 IP 트래픽과 다릅니다. 전송 제어 프로토콜인 TCP는 장치 간에 전용 연결을 설정하고 모든 패킷이 도착하도록 보장합니다. 사용자 데이터그램 프로토콜인 UDP는 이러한 전용 연결을 설정하지 않습니다. IPsec은 방화벽을 통과할 수 있는 IPsec 패킷을 허용하기 때문에 UDP를 사용합니다.
6. 6.암호 해독: 통신의 다른 쪽 끝에서 패킷이 복호화되고 애플리케이션(예: 브라우저)이 제공된 데이터를 사용할 수 있게 됩니다.

두 가지 IPSec 모드

IPSec은 보호 수준이 서로 다른 두 가지 모드로 작동합니다.

터널(Tunnel) 모드

터널 모드에서는 전체 원본 IP 패킷이 캡슐화되어 새 IP 패킷의 페이로드가 됩니다. IPSec 터널 모드는 권한이 없는 당사자로부터의 데이터 보호를 강화하므로, 퍼블릭 네트워크의 데이터를 전송하는 데 적합합니다. 컴퓨터가 페이로드와 헤더를 포함한 모든 데이터를 암호화하고, 데이터에 새 헤더를 추가합니다.

전송(Transport) 모드

IPSec 전송 모드는 데이터 패킷의 페이로드만 암호화하고 IP 헤더를 원래 형식으로 유지합니다. 암호화되지 않은 패킷 헤더를 통해 라우터는 각 데이터 패킷의 대상 주소를 식별할 수 있습니다. 따라서 IPSec 전송은 두 컴퓨터 간의 직접 연결을 보호하는 경우처럼, 가깝고 신뢰할 수 있는 네트워크에서 사용됩니다.