1085. IPsec IKEv2 터널 협상 - Internet Key Exchange v2 가상 사설망 VPN 보안 터널링 SA 1단계 2단계 모바일 VPN 연결 복구

핵심 인사이트: (975, 979번 IPsec 심화) 본사와 지사 사이의 인터넷 허공에 암호화된 파이프(IPsec VPN)를 뚫고 싶다. 파이프를 뚫으려면 양쪽 라우터가 만나서 "우리 암호는 AES-256 쓰고, 열쇠는 5분마다 바꾸자!"라고 협상(Handshake)을 해야 한다. 옛날 IKEv1 시절엔 이 협상 핑퐁을 6번이나 쳐야 해서 VPN 켜는 데 한 세월이 걸렸고, 폰으로 와이파이에서 LTE로 넘어가면 VPN이 뚝 끊겨서 빡쳤다. "야! 협상 핑퐁을 6번에서 4번으로 확 줄여서 빛의 속도로 뚫어! 그리고 모바일 폰 IP가 LTE로 바뀌어도 VPN 안 끊어지고 알아서 스무스하게 연결되는 최신(MOBIKE) 기술 좀 넣어!" 21세기 모바일 기업 망을 책임지는 VPN 협상의 제왕, IKEv2다.

Ⅰ. IPsec VPN의 심장: IKE (Internet Key Exchange)

• IPsec은 실제로 데이터를 암호화해서 쏘는 트럭(ESP/AH)입니다.
• IKE: 트럭이 달리기 전에 먼저 라우터 양쪽이 만나서 "우리 어떤 암호화 알고리즘 쓸래? 암호 키(Key)는 뭘로 할래?"라고 **규칙을 정하고 보안 터널(SA, Security Association)을 뚫어주는 '사전 협상 전문 외교관 프로토콜'**입니다. (UDP 500번 사용)

Ⅱ. 구형 IKEv1의 치명적 한계

• 통신을 너무 복잡하게 만들었습니다.
• Main Mode(6번 핑퐁) 또는 Aggressive Mode(3번 핑퐁)로 1단계 터널을 뚫고, 다시 Quick Mode(3번 핑퐁)로 2단계 진짜 터널을 뚫는 미친 짓(최대 9번의 메시지 교환)을 하느라 CPU 오버헤드가 크고 연결이 느렸습니다.
• 모바일(스마트폰) 지원 기능이 아예 없었습니다.

Ⅲ. IKEv2의 탄생과 3대 마법의 칼질 🌟 핵심 기출 🌟

IETF에서 복잡한 걸 싹 다 갈아엎고 모바일 시대에 맞게 재창조했습니다.

1. 4-Way 핑퐁으로 초고속 압축 (속도 향상)

• 9번 핑퐁 치던 걸 **단 4개의 메시지(2번의 왕복, 4-Way Handshake)**로 싹 다 욱여넣었습니다.
  • IKE_SA_INIT (2번): "야 나랑 IPsec 할래? 우리 암호 방식 이거 쓰자!" (1단계 뼈대 터널 생성)
  • IKE_AUTH (2번): "콜! 내 인증서(신분증) 여기 있어, 너도 인증서 내놔. 그리고 진짜 데이터 터널(Child SA)도 같이 바로 뚫자!" (신분 확인 + 2단계 진짜 터널 동시 생성)
• 협상이 빛의 속도로 끝나서 VPN 접속 버튼을 누르자마자 1초 만에 철컥 붙습니다.

2. MOBIKE (IKEv2 Mobility and Multihoming) 🌟 최강 무기 🌟

• 스마트폰 VPN의 구원자입니다.
• KTX를 타고 폰으로 IPsec VPN을 켰습니다. 와이파이 존에서 IP가 10.x.x.x 였는데, LTE 기지국으로 넘어가면서 IP가 11.x.x.x 로 바뀌었습니다.
• IKEv1: IP가 바뀌었으니 터널을 다 때려 부수고 1번부터 다시 협상(접속 끊김 발생).
• MOBIKE 탑재 IKEv2: 폰이 서버한테 UPDATE_SA_ADDRESSES 패킷을 하나 툭 던집니다. "야! 나 터널 그대로 둔 채 내 IP만 11번으로 바뀌었으니까 장부 수정만 해!" 서버가 오케이 하면 화상 회의가 단 1초도 끊기지 않고 부드럽게(Seamless) VPN 터널이 유지됩니다.

3. 디도스(DDoS) 방어: 쿠키(Cookie) 챌린지

• 해커가 가짜 IP로 1단계(INIT) 요청만 100만 번 쏴서 VPN 라우터의 메모리를 터뜨리는 공격을 막습니다.
• 의심스러우면 라우터가 Cookie 퀴즈를 던지고, "너 진짜 살아있는 놈이면 이 쿠키 값 다시 답장에 넣어서 보내!"라고 역으로 확인(Stateless 방어)한 뒤에야 암호 협상 메모리를 열어주어 장비를 보호합니다.

Ⅳ. 기업 도입의 현실

• 현재 시스코, 주니퍼, 팔로알토 등 모든 글로벌 기업용 방화벽과 아이폰/안드로이드의 기본 IPsec VPN은 100% IKEv2를 표준으로 채택하여 돌아가고 있습니다.

📢 섹션 요약 비유: 기존 IKEv1 VPN 협상은 조선시대 **'양국 사신들의 외교 회담'**이었습니다. 양쪽 사신이 길 위에서 만나 인사하고(1번), 신분증 검사하고(2번), 암호 맞추고(3번), 세부 룰 정하고(4번)... 총 9번이나 왕복으로 편지를 주고받아야 비로소 터널 공사가 시작되어 연결이 한 세월이었습니다. 게다가 폰으로 와이파이에서 LTE로 바뀌어 주소가 달라지면 "너 신분증 다시 꺼내!"라며 터널을 다 때려 부수고 처음부터 다시 협상해야 했습니다(끊김 현상). 최신 IKEv2 협상은 현대의 **'초고속 전자 계약 시스템'**입니다. 만나는 즉시 서로 신분증과 암호화 룰을 한 봉투에 다 쓸어 담아서 딱 2번만 왕복 교환(4-Way)하면 1초 만에 공사가 끝납니다. 특히 스마트폰 IP가 와이파이에서 LTE로 바뀌어도, MOBIKE라는 흑마법을 통해 터널을 부수지 않고 서버에 "나 방금 이사했어 주소만 바꿔!"라고 쪽지 하나만 날리면 끊김 0.1초도 없이 VPN이 완벽히 이어지는 기업형 모바일 보안망의 최강자입니다.