981. ESP (Encapsulating Security Payload) - IPSec 기밀성 무결성 데이터 암호화 터널 수송 모드 통신망 완벽한 보호 구조 캡슐화 원리

핵심 인사이트 (3줄 요약)

  • 기밀성 보장: AH와 달리 페이로드(데이터) 전체를 강력한 대칭키 암호화(AES 등)로 보호하여 스니핑을 통한 도청을 원천 차단합니다.
  • NAT 횡단 지원: 패킷 외부의 새로운 IP 헤더는 무결성 검증에서 제외하므로, 중간 공유기(NAT) 환경에서도 오류 없이 통신이 가능합니다.
  • VPN 핵심 프로토콜: 인증, 무결성, 기밀성을 동시에 제공하며, 터널 모드와 결합하여 실제 실무 IPsec VPN 구축 시 표준으로 사용됩니다.

Ⅰ. ESP (Encapsulating Security Payload)의 개념

ESP는 IPsec 프로토콜 제품군 중 하나로, 송신자와 수신자 간의 통신에 기밀성(Confidentiality), 데이터 발신자 인증(Data Origin Authentication), 연결 없는 무결성(Connectionless Integrity), 그리고 제한적인 트래픽 흐름 기밀성을 제공하는 핵심 보안 프로토콜입니다. AH(Authentication Header)가 제공하지 못하는 '데이터 암호화' 기능을 수행하여 패킷의 내용이 노출되는 것을 방지합니다.

📢 섹션 요약 비유: AH가 투명한 플라스틱 상자에 씰을 붙여 변조만 막았다면, ESP는 내용물을 시커먼 먹물로 칠한 뒤 불투명한 티타늄 강철 상자에 넣고 용접해버려 아무도 안을 들여다볼 수 없게 만든 완벽한 비밀 금고입니다.

Ⅱ. ESP의 주요 특징 및 강력한 방어력

1. 완벽한 기밀성 (Confidentiality)

  • 상위 계층 데이터(TCP/UDP 세그먼트 등)를 AES, 3DES 등 강력한 암호화 알고리즘을 사용해 암호화합니다.
  • 중간 기착지에서 패킷을 캡처하더라도 암호화 키를 알지 못하면 내용을 해독할 수 없습니다.

2. NAT 환경 호환성 (NAT-T)

  • AH의 치명적인 단점은 외부 IP 헤더까지 무결성 검증에 포함하여 NAT 통과 시 해시값이 깨진다는 점이었습니다.
  • 반면, ESP는 인증(무결성 검사) 범위에서 외부 IP 헤더를 제외합니다. 따라서 NAT 장비가 출발지 IP 주소를 변경하더라도 목적지에서 무결성 검사에 실패하지 않으며, 정상적인 통신이 가능합니다.

📢 섹션 요약 비유: 겉면 택배 송장(외부 IP 헤더)은 택배 기사(NAT)가 떼고 새로 붙이든 말든 신경 쓰지 않고, 안에 들어있는 진짜 물건(데이터)만 강철 상자에 넣어 암호화 자물쇠를 채우기 때문에 중간 배달소가 여러 번 바뀌어도 문제없이 도착합니다.

Ⅲ. ESP의 캡슐화 구조 (터널 모드)

ESP가 VPN에서 가장 널리 쓰이는 형태인 터널 모드(Tunnel Mode)로 동작할 때의 패킷 캡슐화 구조입니다. 전체 원본 패킷(Original IP Header + Data)이 암호화 대상이 됩니다.

┌─────────────────┬───────────┬───────────────────────┬────────────┬──────────┐
│                 │           │     <-- 암호화 대상 (Encrypted) -> │          │
│ New IP Header   │ ESP Header│ Original IP Header    │ Data       │ ESP Trail│ ESP Auth │
│ (터널 종단점 IP)│ (SPI, Seq)│ (실제 송/수신자 IP)   │ (Payload)  │ (Padding)│ (MAC)    │
└─────────────────┴───────────┴───────────────────────┴────────────┴──────────┘
                  <---------------- 인증 대상 (Authenticated) ------------------>
  1. New IP Header: VPN 게이트웨이(라우터 등) 간의 라우팅을 위한 새로운 외부 헤더입니다.
  2. ESP Header: 암호화 매개변수(SPI, Sequence Number 등)를 포함합니다.
  3. Encrypted Payload: 원본 IP 헤더, 실제 데이터, ESP 트레일러가 모두 암호화됩니다.
  4. ESP Auth: 데이터의 무결성과 인증을 확인하기 위한 해시(MAC) 값입니다. 외부 헤더인 New IP Header는 범위에서 제외됩니다.

📢 섹션 요약 비유: 기존 편지(원본 패킷) 전체를 새로운 까만 봉투(ESP 암호화)에 쏙 넣고, 그 까만 봉투 겉면에 새로운 배송지 주소(새 IP 헤더)를 적어 보냅니다. 마지막으로 까만 봉투가 열리지 않게 도장(ESP Auth)을 찍는데, 새 배송지 주소에는 도장이 안 묻어 있어서 중간 우체국에서 주소를 수정해도 끄떡없습니다.

👶 어린이를 위한 3줄 비유 설명

  • 친구에게 보내는 비밀 일기장을 투명 비닐(AH)이 아니라 **절대 열리지 않는 두꺼운 철제 금고(ESP)**에 넣어서 보냅니다.
  • 누군가 중간에 금고를 훔쳐도 열쇠(암호화 키)가 없어서 안에 무슨 내용이 있는지 절대 알 수 없습니다.
  • 금고 겉에 붙은 주소 스티커는 우체부 아저씨가 중간중간 바꿔 붙여도(NAT) 금고 자체는 망가지지 않아서 친구 집에 무사히 도착합니다!