핵심 인사이트 (3줄 요약)

  1. 본질: L2TP(Layer 2 Tunneling Protocol)는 재택근무하는 회사원의 집 노트북(클라이언트)과 회사 본사 서버를 터널로 뚫어주기 위해, 시스코의 L2F와 마이크로소프트의 PPTP 기술의 장점만 쏙쏙 뽑아 합친 국제 표준(IETF) 원격 접속(Remote-Access) VPN 프로토콜이다.
  2. L2 (2계층) 연장의 마법: 이름 그대로 IP(3계층)를 넘기는 게 아니라, 아예 이더넷이나 PPP 같은 L2 데이터 링크 계층(MAC 단위) 프레임 자체를 통째로 캡슐화하여 인터넷 너머로 날라주기 때문에, 재택근무자가 마치 회사 1층 스위치에 랜선을 직접 꽂은 것처럼 사내망(IP 대역)을 그대로 부여받는다.
  3. L2TP/IPsec 결합의 필수성: GRE와 마찬가지로 L2TP 자체에는 데이터 암호화(보안) 기능이 1도 없어서 해커가 패킷을 다 뜯어볼 수 있다. 그래서 스마트폰이나 윈도우 VPN 설정창을 보면 항상 "L2TP/IPsec" 이라는 이름으로 암호화 프로토콜(IPsec)과 한 세트로 묶여서 무적의 방어막을 친 채 구동된다.

Ⅰ. 개요 및 필요성 (Context & Necessity)

  • 개념: 인터넷과 같은 공중망(IP 기반 망)을 통해 Point-to-Point Protocol (PPP) 프레임을 캡슐화하여 터널링하는 IETF 표준 프로토콜 (RFC 2661). UDP 포트 1701번을 사용한다.

  • 필요성: 코로나로 인해 직원이 집에서 업무를 봐야 한다. 사내 결재 시스템은 무조건 사내망 IP(192.168.10.x)를 가져야만 열린다. 직원이 집 공유기에서 할당받은 IP(172.30.1.5)로는 죽었다 깨어나도 접속 불가다. "직원 노트북이 집 공유기에 연결되어 있지만, 논리적으로는 우리 회사 메인 스위치에 매우 긴~~~~~ 랜선(L2)을 뻗어서 직접 꽂은 것처럼 속일 수 없을까?" 이 미친 짓을 가능하게 해주는 기술이 L2TP(2계층 터널링)다.

  • 💡 비유: L2TP는 해리포터의 **"마법의 벽난로 이동(플루 가루)"**과 같습니다.

    • 내 몸(노트북)은 분명 우리 집(집 공유기)에 있습니다.
    • 하지만 집 벽난로(L2TP 터널 입구)로 쑥 들어가면 런던 마법부(회사 본사 스위치)의 벽난로로 몸이 그대로 튀어나옵니다.
    • 런던 마법부 직원들은 내가 순간이동으로 왔는지, 걸어왔는지 모르고 "아, 이 사람 방금 로비(사내 스위치)로 들어온 우리 직원(사내 IP)이네!" 라며 회사 출입증(사설 IP)을 목에 걸어줍니다.

📢 섹션 요약 비유: L2TP는 부산에 있는 내 컴퓨터의 랜 구멍과, 서울 본사에 있는 스위치 포트 사이를 **가상의 400km짜리 투명 랜선(L2 Tunnel)**으로 다이렉트로 이어버리는 기적의 케이블 연장술입니다.

Ⅱ. L2TP의 동작 원리와 VPN 아키텍처 (Deep Dive)

1. PPP (Point-to-Point Protocol)의 캡슐화

L2TP는 이름에 L2가 들어가는 만큼, 2계층 프로토콜인 PPP 프레임을 캡슐화하는 데 특화되어 있다.

  • 직원이 윈도우에서 'VPN 연결' 버튼을 누르면, 노트북은 PPP라는 옛날 전화선 접속 시절의 다이얼업 기술로 "저 사내망에 붙고 싶어요!"라고 로그인 요청을 만든다.
  • 하지만 PPP는 인터넷(IP망)을 타고 날아갈 수 없는 2계층 데이터다.
  • L2TP의 개입: 노트북(또는 앞단의 공유기, LAC)이 이 PPP 프레임을 L2TP 봉투에 쏙 담고, 그 겉면에 다시 UDP 1701번 헤더공인 IP 헤더를 붙여 인터넷으로 쏜다.
  • 본사 방화벽(LNS)이 이를 받아 봉투를 뜯고 안에 든 PPP 로그인 정보를 사내 인증 서버(RADIUS)로 보내 아이디/비번을 확인한다.

2. 컴포넌트 용어: LAC와 LNS

실무나 자격증 시험에 나오는 L2TP 터널의 양 끝단 장비 이름이다.

  • LAC (L2TP Access Concentrator): 직원이 있는 쪽(터널 입구)이다. 보통 직원의 노트북 내장 VPN 클라이언트 프로그램이거나, 직원이 연결된 외부 통신사의 접근 라우터다.
  • LNS (L2TP Network Server): 본사 쪽(터널 출구)이다. 본사 입구에 버티고 서서 LAC이 던진 터널 캡슐을 까서 내용물을 회사 내부에 뿌려주는 VPN 게이트웨이(방화벽/라우터) 장비다.
 ┌─────────────────────────────────────────────────────────────┐
 │                L2TP/IPsec VPN의 원격 접속 캡슐화 구조              │
 ├─────────────────────────────────────────────────────────────┤
 │                                                             │
 │   [ 직원 노트북 (집) ] ════════════════════════▶ [ 본사 방화벽 ] │
 │                                                             │
 │   [ 4단 포장 구조 ]                                            │
 │   1. 겉 IP 헤더 (목적지: 본사 공인 IP)                            │
 │     2. IPsec (ESP) 헤더 ──▶ 여기서부터 암호화! 절대 못 열어봄!     │
 │       3. L2TP (UDP 1701) 헤더 ──▶ 터널 식별자                   │
 │         4. PPP 프레임 ──▶ 아이디, 비밀번호, 사내 데이터가 들었음!      │
 │                                                             │
 │   ▶ 결과: 해커가 인터넷에서 중간에 낚아채도, IPsec이라는 티타늄 금고에  │
 │           갇혀 있어 1번 IP 헤더 외에는 어떤 정보도 훔쳐볼 수 없다.       │
 └─────────────────────────────────────────────────────────────┘

3. 왜 하필 PPTP가 아니고 L2TP인가?

  • PPTP (Point-to-Point Tunneling Protocol): 1990년대 MS가 만들었다. 셋업이 10초 컷으로 미치도록 쉽지만, MS-CHAPv2 암호화가 뚫려서 해커한테 다 털린다. 요새는 보안 감사에서 쓰면 욕을 바가지로 먹고 퇴사당하는 퇴물이다. (애플 iOS 10부터 아예 PPTP 접속 기능을 아이폰에서 지워버렸다).
  • L2TP: 시스코(L2F)와 MS(PPTP)가 싸우다 휴전하고 만든 업계 통합 표준이다. 자체 암호화를 과감히 버리고 우주 최강 암호화 기술인 **IPsec과 영혼의 듀오(L2TP/IPsec)**를 맺어, 현재 전 세계 모바일 및 윈도우 환경에서 가장 안정적이고 널리 쓰이는 원격 접속 VPN의 황제로 군림하고 있다.

📢 섹션 요약 비유: L2TP/IPsec은 007가방(L2TP)에 기밀문서(PPP)를 넣고 수갑을 찬 채로 장갑차(IPsec)를 타고 이동하는 **"완벽한 요인(VIP) 호송 작전"**입니다. 목적지(본사)에 도착해야만 장갑차 문이 열리고 수갑을 풀러 서류를 읽을 수 있습니다.