983. VPN (가상 사설망) - Virtual Private Network 사설망 전용선 비용 절감 터널링 암호화 인터넷망 공중망 가상 논리 보안 통신망 기초 원리

핵심 인사이트 (3줄 요약)

  • 비용 효율적 보안망: 고가의 물리적 전용선 대신 저렴한 공용 인터넷망을 사용하여 사설망과 같은 수준의 보안을 제공하는 논리적 통신망입니다.
  • 3대 핵심 기술: 데이터의 출발지와 목적지를 캡슐화하는 터널링, 데이터를 알아볼 수 없게 만드는 암호화, 정당한 사용자인지 확인하는 인증 기술로 완성됩니다.
  • 다양한 접속 모델: 본사와 지사를 연결하는 Site-to-Site VPN(IPSec 주류)과 원격 근무자가 사내망에 접속하는 Remote Access VPN(SSL/TLS 주류)으로 나뉩니다.

Ⅰ. 전용선(Leased Line)의 딜레마

과거 은행이나 대기업은 보안을 위해 통신사에 엄청난 비용을 지불하고 외부와 물리적으로 격리된 자기들만의 '물리적 전용 도로(전용선)'를 임대하여 사용했습니다. 하지만 기업의 규모가 커져 지사가 수백 개로 늘어나고, 원격 및 재택근무가 일상화되면서 모든 물리적 공간에 전용선을 설치하는 것은 천문학적인 인프라 비용을 발생시키는 불가능한 일이 되었습니다.

📢 섹션 요약 비유: 회사 전용 고속도로를 전국 모든 직원 집 앞까지 새로 까는 것은 비용적으로 불가능에 가깝습니다.

Ⅱ. VPN (Virtual Private Network)의 개념 🌟

VPN은 이러한 비싼 전용선을 물리적으로 구축하는 대신, 누구나 사용하는 **저렴한 공중망(Public Network, 인터넷)을 이용하면서도 암호화와 터널링(Tunneling) 기술을 적용하여, 마치 물리적으로 100% 분리된 사내 전용선(Private Network)을 구축한 것과 동일한 보안 효과를 내는 '논리적(가상) 사설 통신망'**입니다.

┌─────────────────┐                                                 ┌─────────────────┐
│  서울 본사(사설망) │                                                 │  부산 지사(사설망) │
│ [192.168.1.X]   │                                                 │ [192.168.2.X]   │
└────────┬────────┘                                                 └────────┬────────┘
         │                                                                   │
  ┌──────▼──────┐               인터넷 (Public Network)               ┌──────▼──────┐
  │  VPN 라우터  ├───────────────────────────────────────────────────┤  VPN 라우터  │
  │ (공인 IP A)  │  ◄──────── 논리적 암호화 터널 (VPN Tunnel) ────────►  │ (공인 IP B)  │
  └─────────────┘                                                 └─────────────┘
         * 사설 IP 패킷을 공인 IP 패킷으로 캡슐화하고 페이로드를 암호화하여 전송

📢 섹션 요약 비유: 공용 고속도로(인터넷) 위에 우리 회사 차만 다닐 수 있고 밖에서는 안이 절대 안 보이는 '투명하고 튼튼한 마법의 가상 터널'을 뚫는 기술입니다.

Ⅲ. VPN을 완성하는 3대 흑마법 🌟

1. 터널링 (Tunneling) - 캡슐화

사내망에서 사용하는 사설 IP(예: 192.168.1.1)를 목적지로 적어 인터넷에 보내면 공중망 라우터는 이를 라우팅할 수 없어 폐기합니다. VPN은 이 원본 패킷 위에 새로운 외부 공인 IP 헤더를 덧씌워(캡슐화) 공중망을 통과할 수 있게 만듭니다. 목적지 VPN 장비에 도착하면 겉 포장을 벗겨내고 원래의 사설 목적지로 데이터를 전달합니다.

2. 암호화 (Encryption) - 기밀성 보장

가상의 터널을 뚫더라도, 중간에 해커가 패킷을 가로채면 내용을 들여다볼 수 있습니다. 이를 방지하기 위해 데이터 본문(페이로드) 전체를 강력한 **대칭키 암호화 알고리즘(AES-256 등)**으로 완전히 암호화합니다. (IPSec의 경우 ESP 프로토콜 사용)

3. 인증 (Authentication) - 무결성 및 신원 확인

아무나 가짜 공인 IP 포장을 씌워 사내망으로 침투하는 것을 막기 위해, 패킷에 위변조 불가능한 해시 값을 첨부(IPSec의 경우 AH 프로토콜 등)하여 전송된 데이터가 손상되지 않았으며 "정당한 권한을 가진 내부자"가 보낸 것임을 철저히 검증합니다.

📢 섹션 요약 비유: 편지를 보낼 때 내용물을 시커먼 먹물로 칠해 아무도 못 읽게 하고(암호화), 위조 불가능한 도장을 찍은 뒤(인증), 그 편지를 다른 사람 이름이 적힌 더 큰 가짜 봉투에 넣어(터널링) 배달하는 완벽한 보안 시스템입니다.

Ⅳ. VPN의 두 가지 모델 (Site-to-Site vs Remote Access) 🌟 시험 단골

1. Site-to-Site VPN (지사 간 VPN)

  • 본사와 지사 등 **네트워크 대 네트워크(LAN-to-LAN)**를 연결하는 거대한 VPN 모델입니다.
  • 개별 사용자의 PC에는 별도의 소프트웨어를 설치할 필요가 없습니다. 양 끝단의 네트워크 관문(게이트웨이)에 위치한 VPN 라우터 장비가 암호화와 터널링을 투명(Transparent)하게 처리합니다.
  • 주로 보안성이 높고 무거운 IPSec VPN 기술이 사용됩니다.

2. Remote Access VPN (원격 접속 VPN)

  • 재택근무자나 출장자가 외부에서 노트북/스마트폰으로 회사망에 접속할 때 사용하는 단말 대 네트워크(Client-to-LAN) 모델입니다.
  • 사용자 단말에 별도의 **'VPN 클라이언트(앱)'**를 설치하거나 웹 브라우저를 통해 접속합니다. 로그인 시 단말과 회사 방화벽 사이에 1:1 터널이 생성됩니다.
  • 과거에는 클라이언트 설치가 필요한 방식을 많이 썼으나, 최근에는 웹 브라우저만으로 접속 가능한 가벼운 SSL/TLS VPN이 주류를 이루고 있습니다.

📢 섹션 요약 비유: Site-to-Site는 두 건물 사이에 거대한 전용 지하 터널을 뚫어놓아 직원들이 그냥 걸어 다니면 되는 방식이고, Remote Access는 외근 나간 직원이 필요할 때만 본사로 이어지는 1인용 휴대용 순간이동 포탈을 여는 방식입니다.

👶 어린이를 위한 3줄 비유 설명

  1. 전용선과 인터넷: 우리 가족만 다니는 비싼 개인 도로를 깔 돈이 없어서, 누구나 쌩쌩 달리는 공짜 고속도로를 써야 해요.
  2. VPN 터널링과 암호화: 고속도로를 달리는데 도둑들이 쳐다볼까 봐, 자동차 전체를 절대 안 보이는 '검은색 강철 마법 망토'로 덮고 달리는 거예요!
  3. 효과: 밖에서 보면 그냥 시커먼 덩어리 자동차가 지나가는 것 같지만, 우리 가족(회사)끼리는 안전하고 빠르게 비밀 대화를 나눌 수 있답니다.