979. IPSec 터널/수송 모드 - 가상 사설망 네트워크 계층 암호화 통신망 IP 패킷 페이로드 캡슐화 종단 간 보안 게이트웨이 보호 원리

핵심 인사이트 (3줄 요약)

  • IPSec은 네트워크 계층(L3)에서 IP 패킷 전체를 암호화하여 종단 간 혹은 게이트웨이 간 안전한 통신을 보장하는 핵심 보안 프로토콜입니다.
  • **전송 모드(Transport Mode)**는 IP 헤더를 유지한 채 페이로드(데이터)만 암호화하며, 주로 내부망의 호스트 간(PC to PC) 통신에 사용됩니다.
  • **터널 모드(Tunnel Mode)**는 원본 IP 패킷 전체를 암호화하고 새로운 IP 헤더를 덧씌워 완벽한 은닉을 제공하며, VPN 장비 간(Site to Site) 통신에 주로 사용됩니다.

Ⅰ. IPSec (IP Security)의 위상 🌟

네트워크 계층(L3, IP 프로토콜)에서 패킷 자체에 암호화와 인증을 걸어버리는 통신 표준입니다. VPN을 뚫는 절대적인 뼈대 역할을 합니다. 웹 브라우저만 지키는 SSL/TLS(L4~L7)와 달리, IPSec은 그 밑의 바닥(L3)을 제어하므로, 핑(Ping)이든 FTP든 모든 종류의 인터넷 트래픽이 강제로 암호화되어 보호받습니다(투명성).

📢 섹션 요약 비유: IPSec은 인터넷이라는 거친 도로 위에 전용 장갑차를 띄우는 것과 같습니다. 차 안에 무엇을 싣든(웹, 메일, 파일) 장갑차의 두꺼운 장갑(L3 암호화) 덕분에 밖에서는 절대 안을 들여다볼 수 없습니다.

Ⅱ. 캡슐화 포장 방식 1: 전송 모드 (Transport Mode) 🌟

종단 간(End-to-End), 즉 내 컴퓨터(PC)부터 목적지 서버(PC)까지 끝에서 끝까지 보호할 때 쓰는 섬세한 포장법입니다.

  • 어떻게 포장하는가?: 원래 IP 패킷은 [원본 IP 헤더(주소)] + [페이로드(진짜 편지 내용)] 로 이루어집니다. 전송 모드는 편지봉투(원본 IP 주소)는 그대로 두고, 오직 안에 들어있는 [페이로드(진짜 데이터)]만 IPSec 암호화 철갑을 둘러버립니다.
    • 구조: [원본 IP 헤더] + [IPSec 헤더] + [암호화된 페이로드]
  • 특징 및 한계: 데이터 내용은 보호되지만 출발지와 목적지 IP 주소는 그대로 노출되어 트래픽 분석의 표적이 될 수 있습니다. 양단 PC에 모두 IPSec 소프트웨어가 필요하여 주로 사내망 내부의 호스트 간(Host-to-Host) 제한적 통신에 씁니다.

📢 섹션 요약 비유: 전송 모드는 투명한 비닐 편지봉투(원본 IP) 안에 편지 내용물만 시커먼 먹물(암호화)로 칠해버리는 것과 같습니다. 배달부는 주소를 보고 배달하지만, 도둑도 "누가 누구에게 보냈는지"는 알 수 있습니다.

Ⅲ. 캡슐화 포장 방식 2: 터널 모드 (Tunnel Mode) 🌟 핵심 🌟

VPN(가상 사설망) 장비들이 99% 사용하는 궁극의 강제 캡슐화 포장법입니다. 네트워크 간(Site-to-Site) 연결망의 표준입니다.

  • 어떻게 포장하는가?: 내부 PC는 일반적인 쌩얼 패킷([원본 IP] + [페이로드])을 날립니다. 패킷이 외부로 나가기 직전, 문지기인 VPN 라우터(게이트웨이)가 이를 낚아채어 패킷 전체(주소+내용물)를 거대한 철제 금고(IPSec)에 가둬버립니다.
    • 그리고 금고 겉면에 '새로운 IP 주소(VPN 게이트웨이 간 주소)'를 스티커로 붙여서 인터넷 바다로 전송합니다.
    • 구조: [새로운 IP 헤더] + [IPSec 헤더] + [암호화된 (원본 IP 헤더 + 페이로드)]
  • 특징 및 장점: 해커가 패킷을 훔쳐봐도 겉면에 적힌 VPN 장비 IP만 보일 뿐, 원래 출발지/목적지(사내망 IP)는 100% 암호화되어 숨겨집니다(완벽한 은닉 보안). 직원 PC에는 암호화 프로그램이 필요 없습니다.

📢 섹션 요약 비유: 터널 모드는 아예 편지 전체(주소+내용물)를 커다란 강철 상자에 집어넣고 용접한 뒤, 상자 겉면에 '우리 동네 우체국 ➜ 부산 우체국'이라는 전혀 다른 가짜 주소 스티커를 붙이는 짓입니다. 진짜 도착지가 어디인지 1%의 정보도 밖으로 새어나가지 않습니다.

Ⅳ. 전송 모드와 터널 모드 구조 비교

[원본 패킷 구조]
┌───────────────┬──────────────────────────────┐
│ 원본 IP 헤더  │ 페이로드 (실제 데이터)       │
└───────────────┴──────────────────────────────┘

[1. 전송 모드 (Transport Mode)] - 페이로드만 암호화
┌───────────────┬────────────┬──────────────────────────────┐
│ 원본 IP 헤더  │ IPSec 헤더 │ 암호화된 페이로드            │
└───────────────┴────────────┴──────────────────────────────┘
 (그대로 노출)                  (보호됨)

[2. 터널 모드 (Tunnel Mode)] - 원본 패킷 전체를 통째로 암호화
┌───────────────┬────────────┬────────────────────────────────────────────────────────┐
│ New IP 헤더   │ IPSec 헤더 │ 암호화된 [원본 IP 헤더 + 페이로드]                     │
└───────────────┴────────────┴────────────────────────────────────────────────────────┘
 (VPN 장비 주소)                (완벽하게 은닉 및 보호됨)

📢 섹션 요약 비유: 전송 모드는 내용물만 블라인드 처리하고 겉봉투는 그대로 쓰는 '절약형 포장'이고, 터널 모드는 아예 남이 준 편지 전체를 내 이름이 적힌 더 큰 상자에 통째로 쓸어 담는 '마트료시카 철통 포장'입니다.

👶 어린이를 위한 3줄 비유 설명

  1. IPSec: 인터넷이라는 나쁜 악당들이 많은 길에, 아무도 속을 들여다볼 수 없는 무적의 튼튼한 장갑차를 띄우는 마법이에요.
  2. 전송 모드: 편지를 보낼 때, 편지봉투(주소)는 그대로 두고 안에 들어있는 편지지 내용만 외계어로 바꿔버리는 방식이에요!
  3. 터널 모드: 원래 편지를 아예 커다란 강철 상자에 쏙 넣고 잠근 다음, 상자 겉에 진짜 주소 대신 "우체국끼리 배달!"이라고 가짜 주소를 적어 보내는 완벽한 비밀 작전이에요!