TECHNICALLY SPEAKING 20호

VPN 양 날개 'IPSec·SSL'

기업들은 본사 직원들과 동일한 수준의 애플리케이션과 리소스에 액세스해야 하는 원격지 직원을 비롯해 고객, 협력 업체, 계약 업체 등 특정 애플리케이션에 대한 접속이 필요한 다양한 사용자 들에게 안전한 원격 접속을 제공하고 싶어 한다.
사용자가 누구이건 간에 가상사설망(VPN)은 안전한 원격 접속을 위한 논리적인 솔루션이라고 할 수 있다. 가장 일반적으로 사용되고 있는 VPN 기술은 IPSec(IP Security)과 SSL(Secure Sockets Layer)이다. IPSec과 SSL은 서로 보완적인 기술로 구축 상황에 따라 서로 다른 특징을 가지고 있다. 서로 비교 우위를 따져서 구축할 필요가 없는 것이다.
사실, IPSec과 SSL VPN을 통합한 제품은 IPSec과 SSL VPN에 대한 특정 개별 플랫폼을 도입할 필요성이나 추가 비용이 필요 없다.

안전한 'IPSec VPN'
거의 모든 IP 애플리케이션을 지원할 수 있기 때문에, 원격 시스템의 IPSec VPN 클라이언트는 사무실 환경과 동일한 사용자 환경과 워크 플로우를 제공한다. IPSec은 개별 사용자 권한에 따라 기업 네트워크의 IP 애플리케이션에 접근할 수 있게 해준다. 사용하기에 용이하며 인증, 데이터 기밀성 서비스와 함께 IP 패킷 계층에서 매우 견고한 데이터 암호화를 제공하는 것이 특징이다.
IPSec은 일관되며 언제나 접속이 필요한 상황에 이상적이다. 이 기술은 손상된 세션을 탐지할 수 있으며, 일반적으로 기업이 보유하고 있는 시스템에서 접속이 이뤄지기 때문에 짧은 시간 지연도 없다.
시스코는 기업용 원격 접속 보안을 위해 IPSec VPN을 최적화했다. 대표적인 제품으로는 시스코 VPN 3000 시리즈 컨센트레이터와 시스코 PIX 보안 어플라이언스, 시스코 IOS 라우터를 들 수 있다.

SSL VPN의 대표적인 특징은 사용자들이 VPN 클라이언트 소프트웨어를 미리 설치하지 않아도 브라우저를 통해 기업 네트워크에 안전하게 액세스할 수 있다는 점이다. 이는 매우 매력적인 기능으로, 모바일 직원들에게 큰 이점을 제공한다. 예를 들면, 호출을 받은 의사의 경우 가정용 PC나 PDA를 사용해 환자의 진료 기록에 액세스할 수 있다. 협력 업체는 특정 애플리케이션에서 원격 접속을 필요로 하는 공동 프로젝트에 질문을 올리거나 협업할 수 있다. 또한 직원들이 인터넷 카페에서 기업용 문서나 이메일에 안전하게 액세스할 수도 있다.
SSL VPN의 단점은 애플리케이션이 웹을 기반으로 하지 않을 경우 효력을 발휘할 수가 없으며, 클라이언트가 없는 SSL 기반 VPN에 의해 지원되지 않은 애플리케이션에도 효과가 없다는 것이다. 보다 복잡한 애플리케이션의 경우 다운로드를 통한 애플릿에 의해 지원되거나 프록시나 터널링을 실행해야 가능한 경우가 많다.

SSL/클라이언트리스(clientless)는 기존 시스코 VPN 3000 컨센트레이터 소프트웨어 버전 4.1 이상이 탑재된 시스코 VPN 3000 컨센트레이터 장비에서 지원된다. 이 소프트웨어는 cisco.com/kobayashi/sw-center/에서 다운 받을 수 있다. 스마트넷(SMARTnet) 계약을 맺은 시스코 고객은 무료다.
IPSec과 SSL 기술은 강력한 인증 및 원 타임 비밀 번호 지원 기능을 제공한다. 소프트 토큰(soft token)이 IPSec의 경우 실용적일 때가 많은데, 미리 설치된 소프트웨어가 필요하기 때문이다. 반면 하드(hard) 토큰은 별도의 휴대용 장비에 의해 생성될 수 있고 보다 쉽게 사용이 가능하다.

편리한 'SSL VPN'
시스코 VPN 3000 시리즈 컨센트레이터는 IPSec VPN(시스코 VPN 클라이언트)와 SSL VPN(WebVPN), 마이크로소프트 내장형 클라이언트를 지원한다. 시스코 VPN 3000 시리즈 컨센트레이터를 통해 SSL VPN과 IPSec VPN 접속이 이뤄질 수 있기 때문에 각 사용자와 요구 사항에 따라 가장 적절한 원격 접속 보안 솔루션이 될 수 있다.
시스코 VPN 3000 시리즈 컨센트레이터는 대규모 조직의 요구 사항에 부응하도록 확장할 수 있으며, 래디우스(RADIUS), Kerberos/액티브 디렉토리, 마이크로소프트 NT 도메인, RSA SDI, X.509 디지털 인증서, 통합 인증 서버 등 많은 인증 유형을 지원한다. 중앙에서 구성되며 세밀한 액세스 제어 기능은 사용자들에게 적합한 기업 리소스에만 접근하도록 보장할 수 있다.

올해 말 시스코가 단행한 보안 업체 트윈고(Twingo)의 인수는 SSL VPN과 엔드포인트 보안 기능을 시스코의 WebVPN(SSL VPN) 솔루션에 향상시켜주게 될 것이다. 트윈고의 시큐어 데스크톱은 히스토리 파일이나 캐시, 쿠키, 이메일 파일 첨부, 기타 다운로드한 데이터 등과 같이 민감한 데이터의 모든 흔적을 없애주는 신뢰성 있는 기술을 제공한다.
또한 트윈고 기술은 주요 시스템 소프트웨어나 시스템 워터마크의 존재 여부를 토대로 한 액세스 판단을 가능하게 해준다.

필자 피트 데이비스(PETE DAVIS)
필자 피트 데이비스(PETE DAVIS)는 시스코의 원격 접속 VPN 제품군 매니저로 IPSec과 SSL 기술 전문가이다. VPN과 관련된 신제품 개발을 담당하고 있다. 이메일 주소는 psd@cisco.com이다.

맨위로


Packet 지난 호 보기