다양한 유형의 VPN 알아보기: 어떤 VPN이 나에게 맞을까?

VPN 유형 소개

가상 사설망(VPN)은 다양한 요구에 맞게 다양한 형태로 제공됩니다. 일부 VPN은 사용 방법(개별 사용자 또는 전체 네트워크 연결)에 따라 정의되는 반면, 다른 VPN은 내부적으로 사용하는 기술 또는 프로토콜에 따라 정의됩니다. 이 글에서는 주요 VPN 유형을 살펴보고 각 VPN의 정의, 작동 방식, 장단점, 최상의 사용 사례, 예를 설명합니다. 글을 마치면 어떤 VPN 유형이 어떤 시나리오에 적합한지 명확하게 알 수 있을 것입니다.

세부 사항을 살펴보기 전에, 다룰 주요 VPN 유형에 대한 간략한 개요를 살펴보겠습니다.

• 원격 액세스 VPN: 개별 사용자(클라이언트)를 사설 네트워크(예: 회사 내부 네트워크)에 안전하게 연결합니다.
• 사이트 간 VPN: 전체 네트워크(예: 두 개의 사무실 LAN)를 인터넷을 통해 연결하며, 종종 여러 위치를 하나의 사설 네트워크로 병합하는 데 사용됩니다.
• 개인 VPN: 개인 사용을 위한 상용 VPN 서비스로, 인터넷 트래픽을 암호화하고 IP 주소를 마스킹합니다(사설 기업 네트워크에 액세스하는 용도는 아님).
• 모바일 VPN: 사용자의 기기가 다른 네트워크로 이동하거나 연결 유형(Wi-Fi, 셀룰러 등)이 변경되어도 안정적으로 연결 상태를 유지하도록 설계된 VPN입니다.
• 클라우드 VPN: 클라우드 인프라를 통해 제공되는 VPN으로, 클라우드 리소스에 안전하게 액세스하거나 클라우드를 원격 및 사이트 연결의 VPN 백본으로 사용합니다.
• 하드웨어 VPN: VPN 기능을 독립적으로 처리하는 전용 VPN 장치(어플라이언스)로, 종종 기업에서 성능과 보안을 위해 사용합니다.
• SSL VPN: Secure Sockets Layer/Transport Layer Security(SSL/TLS) 프로토콜(일반적으로 웹 브라우저 또는 경량 클라이언트를 통해)을 사용하여 연결을 보호하는 VPN입니다.
• MPLS VPN: 통신사의 MPLS 네트워크(Multi-Protocol Label Switching)를 통해 제공되는 VPN으로, 일반적으로 서비스 품질이 보장되는 안정적이고 관리되는 개인 연결이 필요한 기업을 위해 제공됩니다.
• L2TP VPN: 일반적으로 암호화를 위해 IPsec과 결합된 Layer 2 Tunneling Protocol을 사용하여 안전한 터널을 형성하는 VPN입니다(일반적으로 많은 기기에서 지원됨).

각 유형은 고유한 특성을 가지고 있습니다. 하나하나 자세히 살펴보겠습니다.

원격 접속 VPN

정의: 원격 액세스 VPN(클라이언트-사이트 VPN이라고도 함)을 사용하면 개별 사용자가 원격 위치에서 개인 네트워크에 연결할 수 있습니다. 일반적으로 사무실 외부에서 근무하는 직원이 회사의 내부 네트워크와 리소스에 안전하게 액세스하는 데 사용됩니다. 본질적으로 사용자의 기기는 조직의 VPN 서버 또는 게이트웨이에 암호화된 터널을 설정합니다.

작동 방식: 사용자는 자신의 기기에서 VPN 클라이언트 소프트웨어(또는 OS 내장 VPN)를 실행하여 인터넷을 통해 조직 네트워크의 VPN 게이트웨이 서버에 연결합니다. 게이트웨이는 사용자의 자격 증명을 인증하고 권한이 있는 경우 내부 네트워크 리소스에 대한 액세스를 부여합니다. 연결되면 VPN 클라이언트는 모든 데이터를 암호화하여 보안 터널을 통해 게이트웨이로 전송합니다. 회사 측에서는 VPN 게이트웨이가 데이터를 해독하여 마치 사용자가 로컬 네트워크에 있는 것처럼 인트라넷으로 전달합니다. 원격 액세스 VPN의 일반적인 프로토콜은 IPsec(네트워크 계층에서 작동) 또는 SSL/TLS(애플리케이션 계층에서 작동)로 연결을 보호합니다. 다중 요소 인증은 보안을 강화하는 데 자주 사용됩니다(예: 비밀번호 외에 일회용 코드나 인증서를 요구).

장점:

• 안전한 재택근무: 강력한 암호화로 공용 Wi-Fi를 사용하더라도 사무실과의 연결이 비공개로 유지됩니다. 이를 통해 민감한 회사 데이터를 도청하는 것을 방지합니다.
• 어디에서나 액세스: 사용자는 집에 있거나, 여행 중이거나, 카페에 있어도 온프레미스에 있는 것처럼 파일 서버, 데이터베이스 또는 내부 애플리케이션에 액세스할 수 있습니다.
• 세부적인 제어: 네트워크 관리자는 액세스 제어를 시행할 수 있습니다. 예를 들어, 특정 사용자 역할에 대해서만 특정 네트워크 세그먼트 또는 애플리케이션만 허용합니다. 보안 감사를 위해 VPN 세션을 기록하고 모니터링할 수도 있습니다.
• 전용 링크가 필요 없음: 각 사용자에 대해 비용이 많이 드는 임대 회선을 필요로 하지 않고 공용 인터넷을 사용합니다.

단점:

• 성능은 사용자의 인터넷에 따라 달라집니다. 원격 사용자는 로컬 인터넷이 좋지 않으면 모든 트래픽이 VPN을 통과하기 때문에 지연이나 느린 속도를 경험할 수 있습니다. 또한 추가적인 암호화/복호화 오버헤드가 있습니다.
• 설정 및 관리: 각 기기에는 VPN 클라이언트 구성이 필요합니다. 다양한 사용자 기기(노트북, 휴대전화 등)를 지원하고 연결 문제를 해결하는 데는 많은 노력이 필요합니다.
• 보안 고려 사항: 사용자의 기기가 맬웨어에 의해 손상되면 원격 액세스 VPN이 기업 네트워크로의 감염 경로가 될 수 있습니다. 강력한 엔드포인트 보안 및 인증이 중요합니다.

최상의 사용 사례: 원격 액세스 VPN은 재택 근무자, 출장 직원 또는 개인이 사무실 외부에서 보안 네트워크에 로그인해야 하는 모든 시나리오가 있는 조직에 이상적입니다. 예를 들어, 재택 근무하는 소프트웨어 개발자는 원격 액세스 VPN을 사용하여 회사의 소스 코드 저장소와 내부 도구에 접속합니다. 또한 회사 네트워크에 일시적으로 접속해야 하는 제3자 계약자에게도 유용합니다. 기업 환경이 아닌 경우 기술에 정통한 재택 사용자는 원격 액세스 VPN을 설정하여 홈 네트워크에 접속할 수 있습니다(예: 이동 중에도 홈 미디어 서버에 안전하게 접속).

예: 많은 기업이 원격 액세스 VPN에 Cisco AnyConnect, Palo Alto GlobalProtect 또는 OpenVPN Access Server와 같은 솔루션을 사용합니다. 예를 들어, 직원의 노트북에 설치된 Cisco의 VPN 클라이언트는 사무실의 Cisco 방화벽/VPN 게이트웨이에 연결합니다. OpenVPN 또는 WireGuard와 같은 오픈 소스 옵션도 종종 원격 액세스를 위해 회사 VPN 서버에 배포됩니다. 예시 시나리오는 VPN을 사용하여 집에서 사무실 PC로 안전하게 “RDP”(원격 데스크톱)하는 IT 관리자입니다. 모든 경우에서 원격 액세스 VPN은 사용자-네트워크 연결입니다. (특히 NordVPN의 사업 부문인 NordLayer와 유사한 서비스는 기업을 위한 클라우드 관리 원격 액세스 VPN도 제공합니다.)

사이트 간 VPN

사이트 간 VPN이란: 개별 클라이언트를 연결하는 것이 아니라 전체 네트워크를 서로 연결합니다. 종종 라우터 간 VPN이라고도 합니다. 여러 사무실이 있는 회사는 사이트 간 VPN을 사용하여 공용 인터넷을 통해 LAN(로컬 영역 네트워크)에 가입하여 모든 위치가 통합된 네트워크로 기능하도록 합니다. 일반적으로 사이트 간 VPN에는 두 가지 유형이 있습니다. 인트라넷 VPN(같은 회사의 사무실을 연결)과 엑스트라넷 VPN(회사의 네트워크를 파트너, 클라이언트 또는 공급업체의 네트워크와 연결하면서 양쪽의 액세스를 제한)입니다.

작동 방식: 사이트 간 VPN에서 각 사이트의 VPN 게이트웨이 장치(예: 방화벽 또는 라우터)가 VPN 연결을 처리합니다. 원격 액세스와 달리 이러한 사무실의 최종 사용자 장치는 일반적으로 개별 VPN 클라이언트를 실행하지 않습니다. 각 사무실의 게이트웨이가 전체 로컬 네트워크의 트래픽을 암호화하고 복호화합니다. 한 게이트웨이는 다른 사이트의 게이트웨이로 암호화된 터널을 시작하여 공유 키 또는 디지털 인증서로 인증합니다. 터널이 설정되면 사이트 A의 모든 컴퓨터가 VPN을 통해 사이트 B의 모든 컴퓨터와 통신할 수 있으며 라우터는 승인된 트래픽만 통과하도록 보장합니다. 사이트 간 VPN은 일반적으로 터널 모드에서 IPsec을 사용하여 네트워크 계층에서 패킷을 인증하고 암호화합니다. 일부 조직은 사이트 간을 위해 특수 링크 또는 MPLS도 사용합니다(MPLS에 대해서는 나중에 자세히 설명). 기본적으로 사무실 간의 가상 “전용 회선”과 같지만 인터넷을 통해 실행됩니다.

인트라넷 VPN의 경우 모든 참여 사이트는 한 조직의 제어를 받아 확장된 개인 WAN(광역 네트워크)을 형성합니다. 엑스트라넷 VPN은 제한된 상호 네트워킹(예: 회사와 외부 물류 공급자가 공유 애플리케이션을 위한 네트워크를 연결하는 경우)을 허용하기 위해 서로 다른 조직 간에 설정됩니다. 엑스트라넷의 경우 액세스 제어가 더 엄격합니다. 각 측은 다른 측에 필요한 것만 노출합니다.

장점:

• 분산된 네트워크를 연결합니다. 전용 회선을 임대하지 않고도 전 세계적으로 사무실을 연결하는 비용 효율적인 방법입니다. 각 사이트에는 인터넷 액세스와 VPN 장치만 있으면 됩니다.
• 항상 연결: 사이트 간 터널은 일반적으로 “항상 가동”되어 원활한 통신이 가능합니다. 사용자는 아무것도 시작할 필요가 없습니다. 사용자에게는 투명하며 네트워크가 연결될 뿐입니다.
• 장치당 클라이언트 소프트웨어 없음: VPN은 게이트웨이 간으로 작동하므로 개별 PC, 프린터 등은 특별한 설정이 필요하지 않습니다. 이렇게 하면 장치가 많을 때 관리가 간소화됩니다.
• 안전한 공유 인트라넷: 사이트 간의 모든 데이터는 터널을 통해 암호화되어 이동하므로 사무실 간 통신이 가로채지 않습니다. 효과적으로 하나의 대규모 개인 네트워크를 만듭니다.
• 인트라넷 및 엑스트라넷 유연성: 필요에 따라 내부적으로(지사 병합) 또는 외부적으로(신뢰할 수 있는 B2B 연결) 사용할 수 있습니다.

단점:

• 복잡한 초기 설정: 네트워크 관리자는 양쪽에서 호환되는 설정(암호화 프로토콜, 키 교환, 라우팅 규칙)을 구성해야 합니다. 다른 하드웨어 브랜드를 사용하는 경우 상호 운용성을 테스트해야 합니다.
• 정적 또는 안정적인 IP 필요: 종종 사이트 VPN 엔드포인트는 인터넷에서 서로를 찾기 위해 정적 IP 주소(또는 동적 DNS)가 필요합니다. 사무실의 IP가 예기치 않게 변경되면 동적으로 관리되지 않는 한 VPN이 중단될 수 있습니다.
• 성능은 인터넷 링크에 따라 달라집니다. VPN은 기본 인터넷 연결만큼 빠르고 안정적입니다. 양쪽 끝에서 지연 시간이 길거나 혼잡하면 전체 링크에 영향을 미칩니다. 개인 MPLS 회로와 달리 공용 인터넷은 지속적인 성능을 보장할 수 없습니다.
• 네트워크 범위로 제한됨: 사이트 간 VPN은 네트워크를 연결하기 때문에 로밍 사용자를 위한 것이 아닙니다. 무작위 개별 장치를 안전하게 연결할 수 있는 유연성이 부족합니다(원격 액세스 VPN의 용도입니다). 사실, 사이트 간 VPN을 사용하는 많은 회사는 재택 근무자를 위한 원격 액세스 솔루션도 배포합니다.
• 보안 및 신뢰: 한 사이트가 손상되면(예: 해커 또는 맬웨어) VPN은 다른 사이트를 공격하는 통로가 될 수 있습니다. 네트워크가 연결되어 있으므로 양측 모두 강력한 보안 위생을 유지해야 합니다.

최상의 사용 사례: 사이트 간 VPN은 데이터와 리소스를 지속적으로 공유해야 하는 두 개 이상의 고정 위치가 있는 조직에 가장 적합합니다. 예를 들어, 본사와 여러 지점이 있는 기업은 모든 위치에서 내부 파일 서버나 ERP 시스템에 안전하게 액세스할 수 있도록 사이트 간 VPN을 사용합니다. 또 다른 사례는 VPN을 통해 캠퍼스를 연결하는 대학이나 정부 기관이 동일한 작업을 하는 것입니다. 인트라넷 VPN 사용 사례: 리테일 체인은 각 매장의 네트워크를 중앙 데이터 센터에 다시 연결합니다. 엑스트라넷 VPN 사용 사례: 제조업체는 부품 공급업체와 VPN을 설정하여 재고 시스템이 안전하게 인터페이스될 수 있도록 하지만 공급업체의 액세스는 특정 데이터베이스에만 제한합니다.

예: 많은 엔터프라이즈 네트워크 장치가 사이트 간 VPN을 지원합니다. 예를 들어 Cisco와 Juniper 라우터는 사무실 간에 IPsec 터널을 설정할 수 있습니다. 전형적인 예로 두 개의 Cisco ASA 방화벽을 사용하여 IPsec VPN을 통해 회사의 뉴욕 사무실과 런던 사무실을 연결하는 것입니다. 또 다른 예로는 AWS Site-to-Site VPN이 있는데, 이를 통해 회사는 IPsec 터널을 통해 온프레미스 네트워크를 Amazon 클라우드 VPC(Virtual Private Cloud)에 연결할 수 있습니다. 이를 통해 회사의 인트라넷이 AWS 클라우드 리소스로 효과적으로 확장됩니다. 마찬가지로 Azure와 Google Cloud는 하이브리드 클라우드 연결을 위한 유사한 VPN 게이트웨이 서비스를 제공합니다. 구성 측면에서 사이트 간 VPN은 인증을 위해 사전 공유 키 또는 인증서를 사용할 수 있으며 끊어지면 자동으로 다시 설정되도록 설정할 수 있습니다.

사이트 간 VPN은 더욱 발전할 수도 있습니다. 예를 들어 Cisco의 DMVPN(Dynamic Multipoint VPN)은 모든 트래픽이 중앙 허브를 거치지 않고도 여러 사이트 간의 메시 연결을 허용하고 사이트 간 모드의 OpenVPN은 IPsec 대신 SSL/TLS를 사용하여 사무실을 연결할 수 있습니다. 그러나 모든 사이트 간 VPN의 핵심은 인터넷을 통해 두 네트워크를 안전하게 연결하는 동일한 목적을 제공한다는 것입니다.

개인 VPN(소비자 VPN)

개인 VPN이란: 개인 VPN(소비자 VPN 또는 상업용 VPN 서비스라고도 함)은 개인 사용자를 대상으로 광고되는 VPN 유형입니다. ExpressVPN, NordVPN 또는 ProtonVPN과 같은 서비스가 이 범주에 속합니다. 기업용 VPN과 달리 개인용 VPN은 개인 인트라넷에 연결하지 않고, 대신 기기를 VPN 제공자의 서버에 연결한 다음, 거기서 공용 인터넷으로 연결합니다. 목표는 일반적으로 개인 인터넷 트래픽을 암호화하고 VPN 서버를 중개자로 사용하여 IP 주소/위치를 가리는 것입니다. 개인용 VPN은 최종 사용자에게 프라이버시, 보안 및 온라인 자유를 제공합니다.

작동 방식: VPN 서비스에 가입하고 VPN 클라이언트 앱을 설치합니다(컴퓨터, 휴대전화 등에). 연결하면 앱이 기기에서 제공자의 VPN 서버 중 하나로 암호화된 터널을 설정합니다(일반적으로 원하는 국가의 서버를 선택할 수 있음). 그런 다음 모든 인터넷 트래픽이 이 터널을 통해 먼저 VPN 서버로 라우팅됩니다. VPN 서버는 차례로 트래픽을 해독하여 인터넷의 대상 웹사이트나 서비스로 전달합니다. 외부에서는 트래픽이 실제 기기/IP가 아닌 VPN 서버에서 오는 것처럼 보입니다. 예를 들어, 캐나다의 VPN 서버에 연결하면 웹사이트는 실제로 스페인에 있더라도 캐나다에서 방문한다고 생각합니다. 개인 VPN은 빠른 연결과 강력한 암호화에 적합한 OpenVPN, IKEv2 또는 WireGuard와 같은 프로토콜을 사용하는 경우가 많습니다. VPN 제공자는 일반적으로 여러 지역에 걸쳐 많은 서버를 운영하며 클라이언트 앱에서 속도에 따라 선택하거나 자동 선택할 수 있습니다.

장점:

• 개인 정보 보호 및 익명성: 개인 VPN은 방문하는 웹사이트와 인터넷 서비스 제공자(ISP)로부터 실제 IP 주소를 숨깁니다. 모든 데이터는 전송 중에 암호화되므로 네트워크의 스누퍼(예: 공용 Wi-Fi 또는 ISP)가 온라인에서 무엇을 하는지 볼 수 없습니다. 이는 개인 정보를 중시하는 사용자에게 좋습니다.
• 지역 제한 및 검열 우회: 다른 국가에 있는 것처럼 보일 수 있기 때문에 개인 VPN은 지역 잠금 콘텐츠에 액세스하는 데 널리 사용됩니다. 예를 들어, VPN을 사용하여 해당 국가에서 사용할 수 없는 스트리밍 콘텐츠를 시청하거나 현지에서 검열된 서비스를 사용할 수 있습니다. 또한 제한적인 정권에 있는 사람들이 개방형 인터넷에 접속하는 데 사용할 수 있는 도구이기도 합니다.
• 신뢰할 수 없는 네트워크의 보안: 여행 중이거나 커피숍 Wi-Fi를 사용할 때 개인 VPN은 웹 트래픽(웹사이트, 이메일, 채팅)을 암호화하므로 Wi-Fi가 손상되더라도 공격자는 암호화된 데이터만 볼 수 있습니다. 일상적인 브라우징에 대한 보호 계층을 추가합니다(단, 기기의 맬웨어로부터 보호하지는 않습니다).
• 사용자 친화적: 상업용 VPN 앱은 일반적으로 원클릭 솔루션입니다. 키, 프로토콜 및 서버를 자동으로 관리합니다. 심층적인 기술 지식이 필요하지 않습니다. 종종 킬 스위치(VPN이 끊어지면 인터넷을 차단하여 누출을 방지) 및 광고 차단기와 같은 추가 기능이 있습니다.
• 회사 설정이 필요하지 않습니다. 누구나 가입하여 개인 VPN을 사용할 수 있습니다. 조직에 속하거나 특별한 네트워크 구성이 필요하지 않습니다.

단점:

• 제공자 신뢰: 개인 VPN을 사용하면 기본적으로 모든 트래픽을 VPN 회사의 서버를 통해 라우팅하게 됩니다. 해당 제공자가 데이터를 기록하거나 오용하지 않을 것이라고 신뢰해야 합니다. 평판이 좋지 않은 VPN은 암호화되지 않은 트래픽이 서버를 떠날 때 이를 보거나 온라인 활동 기록을 보관할 수 있습니다. 평판이 좋은 제공자는 기록이 없는 정책을 가지고 있으며 감사를 거치지만 이러한 신뢰의 균형은 유의해야 합니다.
• 비용: 무료 VPN이 있지만 종종 상당한 제한이나 개인 정보 보호 문제가 있습니다(일부는 사용자 데이터를 판매하거나 광고를 삽입하는 것으로 알려짐). 우수한 개인 VPN 서비스는 구독료(월간 또는 연간)를 부과합니다. 이는 사용자에게 비용이지만 일반적으로 월 몇 달러 정도입니다.
• 성능 저하: VPN을 사용하면 일반적으로 연결 속도가 다소 느려집니다. 데이터가 우회로(VPN 서버)로 이동하여 암호화/복호화됩니다. 최고의 VPN은 네트워크가 빠르므로 사용자는 속도 저하(10-20%)만 보이지만 느린 서비스에서는 저하가 상당할 수 있습니다. 높은 지연 시간은 온라인 게임과 같은 활동에도 영향을 미칠 수 있습니다.
• 내부 네트워크 액세스 불가: 원격 액세스 VPN과 달리 개인 VPN은 사무실 인트라넷이나 홈 NAS에 액세스할 수 없습니다(집에서 자체 VPN 서버를 구성하지 않는 한). 인터넷 트래픽을 보호하고 겉보기 위치를 변경하기 위한 것입니다. 즉, 개인 VPN은 개인 네트워크가 아닌 VPN 제공자의 네트워크에 연결합니다.
• 잠재적 서비스 차단: 일부 스트리밍 서비스나 웹사이트는 VPN IP 주소를 적극적으로 차단하려고 합니다. 사용자는 VPN 연결을 끊을 때까지 특정 사이트가 작동하지 않는다는 것을 알게 될 수 있습니다. 이 고양이와 쥐 놀이는 때때로 차단을 피하기 위해 서버나 제공자를 바꿔야 함을 의미합니다.

가장 좋은 사용 사례: 개인 VPN은 온라인 프라이버시를 원하거나 콘텐츠 제한을 우회해야 하는 개인에게 가장 좋습니다. 주요 사례:

• 인터넷 감시가 심한 나라의 기자나 활동가는 VPN을 사용하여 안전하게 통신하고 탐색합니다.
• 여행자는 해외에 있는 동안 VPN을 사용하여 좋아하는 자국의 Netflix 쇼를 시청합니다.
• 카페에서 일하는 사람은 VPN을 사용하여 트래픽을 암호화하여 공용 Wi-Fi를 사용하는 다른 사람이 데이터를 엿볼 수 없도록 합니다.
• ISP나 정부가 웹 탐색을 쉽게 추적하는 것을 원하지 않는 사람은 VPN을 기본 보호 계층으로 사용할 수 있습니다. 또한 게이머가 IP를 숨겨 DDoS 공격을 피하고 탐색할 때 일반적으로 마음의 평화를 얻는 데 유용합니다.

예: 시장은 개인 VPN 제공업체로 가득 차 있습니다. 인기 있는 예로는 ExpressVPN, NordVPN, Surfshark, CyberGhost, Proton VPN, PIA(Private Internet Access) 등이 있습니다. 각각 다양한 기기(Windows, Mac, iOS, Android 등)에 대한 앱과 일반적으로 전 세계적으로 다양한 서버 위치를 제공합니다. 예를 들어, NordVPN은 50개국 이상에서 수천 개의 서버를 운영하며, 사용자는 최적의 속도나 필요한 위치를 찾기 위해 이들 사이를 전환할 수 있습니다. 또 다른 예로는 Proton VPN이 있는데, 이 VPN은 속도가 제한적이지만 강력한 개인 정보 보호(지불할 수 없는 사람에게 유용함)를 제공하는 무료 플랜을 제공합니다. 무료 계층을 사용하는 데 이메일조차 필요하지 않아 칭찬을 받았습니다. 개인 VPN 서비스는 또한 종종 프로토콜에 대해 논의합니다. 예를 들어, 더 나은 성능을 위해 최신 WireGuard 프로토콜을 지원합니다.

요약하자면, 개인 VPN은 개인의 사용 편의성과 광범위한 인터넷 보안을 우선시합니다. 개인 VPN은 상당히 대중화되었으며, 현재 전 세계적으로 수억 명의 사람들이 개인적인 이유로 VPN을 사용하고 있다고 추정됩니다(특히 유명 이벤트로 인해 개인 정보 보호에 대한 인식이 높아진 후). 이들은 비즈니스 VPN과는 다른 존재입니다. 특정 개인 네트워크에 연결하는 도구라기보다는 개인 정보 보호 도구라고 생각하세요.

모바일 VPN

정의: 모바일 VPN은 다양한 네트워크 간에 이동하거나 간헐적으로 연결이 끊어질 수 있는 모바일 기기 사용자를 대상으로 하는 특수 유형의 VPN입니다. 모바일 VPN과 기존 원격 액세스 VPN의 주요 차이점은 기본 네트워크 연결이 변경되거나 일시적으로 끊어져도 모바일 VPN 세션이 지속된다는 것입니다. 이는 현장 근로자, 응급 대응자 또는 이동 중에 “항상 켜진” 연결이 필요한 모든 사람에게 중요합니다. 예를 들어 순찰차에서 노트북을 사용하는 경찰관을 생각해 보세요. 운전하는 동안 기기가 셀룰러 네트워크에서 Wi-Fi 핫스팟으로 전환되고 다시 돌아올 수 있습니다. 모바일 VPN은 이러한 전환 중에도 보안 세션을 원활하게 유지합니다.

작동 방식: 모바일 VPN에서 VPN 서버는 일반 원격 액세스와 마찬가지로 조직의 네트워크 가장자리에 위치하지만 클라이언트는 로밍을 처리하도록 구축됩니다. 모바일 VPN 클라이언트에 연결하면 VPN 서버에서 논리적 IP 주소(가상 IP라고도 함)가 할당됩니다. 이 IP는 연결 방법에 관계없이 기기에 유지됩니다. 모바일 VPN 소프트웨어는 네트워크 변경 시 서버로의 터널을 유지합니다. 셀룰러에서 Wi-Fi로 전환하면 터널이 새 네트워크를 통해 재설정되지만 VPN 서버(논리적 IP 또는 토큰으로 식별)에서의 세션은 계속됩니다. 서버는 이를 새 연결로 보지 않으므로 세션(및 그 안의 모든 애플리케이션 세션)을 다시 시작할 필요가 없습니다. 모바일 VPN은 종종 IKEv2와 MOBIKE(모빌리티 및 멀티호밍) 또는 독점 솔루션과 같이 모빌리티를 지원하는 프로토콜이나 확장에 의존합니다. 또한 Keepalive 메시지를 사용하여 네트워크 변경을 빠르게 감지하고 터널을 재설정할 수도 있습니다. 중요한 점은 모바일 VPN이 IP가 변경되거나 잠시 신호를 잃어도 세션을 끊지 않는다는 것입니다. 모바일 VPN은 이를 허용하도록 제작되었습니다.

장점:

• 원활한 연결: 언급했듯이 가장 큰 장점은 지속적인 연결을 유지하는 것입니다. 진정한 모바일 VPN은 이동 중에도 “고정”됩니다. 엘리베이터를 타거나(잠시 신호가 끊김) 홈 Wi-Fi에서 모바일 데이터로 전환하더라도 다시 로그인하거나 작업을 잃을 필요가 없습니다. VPN 터널은 자동으로 다시 연결되고 계속됩니다.
• 모바일 근로자의 안정성 향상: EMS 승무원, 수리 기술자 또는 차량에 있는 사람과 같은 직업의 경우 이는 해당 애플리케이션(발송 소프트웨어, 원격 데이터베이스 등)이 연결된 상태를 유지함을 의미합니다. 이동 중에 일반 VPN을 사용할 때 경험할 수 있는 지속적인 VPN 끊김/재연결 주기로 인한 좌절감을 줄여줍니다.
• 기기에 독립적인 모빌리티: 모바일 VPN은 “모바일 폰”만을 위한 것이 아닙니다. 사용자의 모빌리티에 관한 것입니다. 랩톱, 태블릿 또는 휴대전화에서 모바일 VPN 클라이언트를 사용할 수 있습니다. 네트워크를 자주 변경할 수 있는 모든 기기입니다. 이점은 동일합니다. 세션 지속성입니다.
• 이동 중 데이터 보안: 모든 VPN과 마찬가지로 트래픽을 암호화합니다. 특히 모바일 근로자의 경우, 4G, 호텔 Wi-Fi 또는 공공 핫스팟에 있든 본사로의 연결이 안전하게 유지됩니다.
• 인증의 유연성: 모바일 VPN 클라이언트는 종종 현장 배포에 적합한 다양한 인증 방법(예: 인증서, 토큰, 생체 인식)을 지원하여 어디에서나 쉽고 안전하게 연결할 수 있습니다.

단점:

• 복잡한 클라이언트 및 서버 설정: 모바일 VPN 솔루션은 구현하기가 더 복잡할 수 있습니다. 모든 표준 VPN 서버가 바로 사용할 수 있는 완벽한 원활한 로밍을 지원하지는 않습니다. 특수 소프트웨어(또는 IPsec용 MOBIKE와 같은 추가 모듈)가 필요할 수 있습니다. 마찬가지로 클라이언트 소프트웨어도 지원해야 합니다. 네트워크가 변경되어도 휴대폰의 모든 VPN 앱이 터널을 유지하는 것은 아닙니다.
• 성능 오버헤드: 세션을 활성 상태로 유지하려면 클라이언트가 백그라운드에서 재연결을 처리해야 합니다. 네트워크를 전환할 때 트래픽이 잠시 중단될 수 있으며, 전환이 빈번한 경우 실시간 애플리케이션에 약간의 영향을 미칠 수 있습니다. 또한 VPN 서버를 통해 논리적 IP를 유지해야 하므로 “양호한” 네트워크에 있을 때에도 추가 라우팅 홉이 발생할 수 있으며, 정지 상태일 때 직접 연결하는 것에 비해 처리량이 약간 감소할 수 있습니다.
• 배터리 및 데이터 사용: 모바일 기기에서 VPN을 계속 켜고 연결을 협상하면 추가 배터리를 사용할 수 있습니다. 또한 모바일 VPN은 종종 연결 상태를 모니터링하기 위해 keepalive ping을 보내 시간이 지남에 따라 약간의 데이터를 소모합니다(일반적으로 일반적인 사용에 비하면 무시할 수 있음).
• 가용성: “모바일 VPN” 기능을 제공하는 공급업체가 적습니다. 예를 들어, 많은 개인 VPN 서비스는 네트워크 홉을 통해 세션을 실제로 유지하지 않고, 대부분 사용자에게는 괜찮은 새로운 네트워크에서 새로 다시 연결합니다. 진정한 모바일 VPN은 엔터프라이즈 솔루션(특정 모드의 NetMotion, Cisco AnyConnect 등)에서 발견되는 경향이 있습니다. 이는 선택 사항을 제한하거나 더 높은 비용이 발생할 수 있습니다.
• 전환 처리 제한: 연결에 매우 빈번한 플랩이 발생하는 경우 모바일 VPN도 어려움을 겪을 수 있습니다. 또한 IP 주소가 크게 변경되는 경우(예: VPN 포트를 차단하는 네트워크로 이동하는 경우) 동일한 세션을 유지하지 못할 수 있습니다.

최상의 사용 사례: 모바일 VPN은 사용자의 네트워크 연결이 변경되거나 간헐적으로 발생할 것으로 예상되지만 지속적인 보안 연결이 필요한 모든 시나리오에서 빛을 발합니다. 몇 가지 예:

• 공공 안전 및 응급 대응자: 이동하는 동안 범죄 데이터베이스나 환자 ​​기록에 액세스해야 하는 노트북이 있는 경찰, 소방, 구급차.
• 대중교통 직원 또는 배달 기사: 터널 등에 떨어질 수 있는 셀룰러 데이터를 사용하는 동안 태블릿을 사용하여 정보를 기록하는 모든 사람.
• 현장 서비스 엔지니어: 예를 들어, 건물 안팎으로 이동하면서 사무실 Wi-Fi와 모바일 데이터 간을 전환하는 기술자. 시스템에 대한 안전한 링크를 유지합니다.
• 군 또는 야외 연구 시설: 네트워크 링크가 전환되지만(위성, 셀룰러 등) 작업을 다시 연결하기 위해 중단할 여유가 없는 환경. 일상적인 출장객도 이점을 얻을 수 있습니다. 집 Wi-Fi를 떠나 4G 택시를 탄 다음 공항 Wi-Fi에 연결하는 것을 상상해 보세요. 모바일 VPN은 이 모든 과정에서 회사 VPN을 중단 없이 유지할 수 있습니다.

예: 모바일 VPN 솔루션의 잘 알려진 예로는 모바일 인력 연결에 초점을 맞춘 NetMotion Mobility(현재 Absolute Software의 일부)가 있습니다. 이 솔루션은 장치에 가상 IP를 할당하고 장치가 네트워크 간에 이동할 때 세션을 유지합니다. 또 다른 예로는 MOBIKE가 활성화된 IKEv2/IPsec 프로토콜을 사용하는 것입니다. 많은 최신 VPN 서버(Microsoft RRAS, strongSwan 등)와 클라이언트가 이를 지원합니다. Windows에서 IKEv2를 사용하는 기본 제공 VPN 클라이언트는 실제로 네트워크가 변경되면 터널을 다시 설정하려고 시도합니다(MOBIKE 덕분에 동일한 IKEv2 세션 매개변수 사용). 소비자 측면에서 Android 또는 iOS의 “항상 켜진 VPN” 개념은 간접적으로 관련이 있습니다. VPN이 자동으로 다시 연결되도록 하지만 진정한 모바일 VPN처럼 반드시 세션이 지속되는 것은 아닙니다. OpenVPN에는 연결이 재개될 때 도움이 되는 “persist-tun” 옵션이 있습니다. Speedify와 같은 일부 최신 솔루션은 속도와 원활한 전환을 위해 여러 연결(Wi-Fi + 셀룰러)을 결합한다고 마케팅합니다. 사실상 연결 결합에 최적화된 모바일 VPN입니다.

휴대전화에서 VPN을 사용하는 일반 사람(예: 개인 VPN 앱)은 엄격한 의미에서 모바일 VPN을 사용하지 않을 수 있다는 점에 유의해야 합니다. 네트워크를 호핑하면 다시 연결해야 할 수 있습니다. 하지만 특정 앱은 원활한 재연결에서 더 나아졌습니다. 그러나 중요한 상황에서는 전용 모바일 VPN 기술을 사용하여 세션 손실이 발생하지 않도록 보장합니다.

클라우드 VPN

정의: 클라우드 VPN은 클라우드 플랫폼을 통해 제공되는 VPN 서비스 또는 인프라를 말합니다. 기존 VPN 하드웨어 또는 온프레미스에 있는 서버 대신 클라우드 VPN은 클라우드에서 호스팅되고 종종 공급자가 관리합니다. 클라우드를 중개자로 활용하여 사용자를 클라우드 기반 리소스에 연결하거나 전체 네트워크를 연결할 수도 있습니다. 기업이 점점 더 퍼블릭 또는 하이브리드 클라우드에서 데이터와 서비스를 호스팅함에 따라 클라우드 VPN은 이러한 클라우드 환경을 사용자 또는 다른 네트워크와 안전하게 연결하기 위해 등장했습니다. 간단히 말해서, 클라우드 기반 네트워크 인프라를 사용하여 안전한 연결을 제공하는 VPN입니다.

작동 방식: 몇 가지 시나리오가 있습니다.

• 사이트 대 클라우드: 사이트 대 사이트와 유사하지만, 하나의 “사이트”가 클라우드 네트워크입니다. 예를 들어, 사무실 게이트웨이에서 AWS 또는 Azure의 VPN 게이트웨이로 VPN을 설정합니다. 이 보안 터널(종종 IPsec)을 사용하면 온프레미스 네트워크가 다른 지사 사무실인 것처럼 클라우드 VPC와 통신할 수 있습니다. 클라우드 공급업체는 VPN 엔드포인트(AWS VPN Gateway 또는 Google Cloud VPN 등)를 제공하여 클라우드에서 VPN을 종료합니다.
• 클라우드를 통한 원격 액세스: 사무실 데이터 센터에 VPN 서버를 두는 대신 클라우드 호스팅 VPN 서비스를 사용합니다. 원격 사용자는 클라우드에서 실행되는 VPN 게이트웨이에 연결하여 회사 네트워크 또는 클라우드 리소스에 액세스할 수 있습니다. 기본적으로 VPN 컨센트레이터는 클라우드에 아웃소싱됩니다. 이를 통해 온프레미스 하드웨어의 부담을 줄이고 클라우드의 글로벌 존재감을 활용하여 더 나은 성능을 낼 수 있습니다.
• 서비스로서의 VPN: 일부 공급업체(예: Perimeter 81, Zscaler, Cisco Meraki)는 전체 클라우드 관리 VPN 서비스를 제공합니다. 사용자는 공급자의 가장 가까운 클라우드 존재 지점에 연결합니다. 거기에서 인터넷(개인용 VPN과 비슷하지만 중앙 제어가 있는 비즈니스 중심)으로 라우팅되거나 회사 환경으로 돌아갑니다. 클라우드는 확장, 사용자 관리, 심지어 공급자의 네트워크를 통한 여러 사이트의 상호 연결까지 처리합니다.

모든 경우에, 암호화와 트래픽 라우팅의 무거운 짐은 클라우드 인프라에서 이루어진다는 것이 특징입니다. 예를 들어, Google Cloud VPN을 사용하면 온프레미스 라우터와 GCP 프로젝트의 Google VPN 게이트웨이 간에 VPN 터널을 구성할 수 있습니다. 이들 간의 데이터는 인터넷을 통해 암호화되고 Google은 고가용성을 관리합니다. 클라우드 VPN은 일반적으로 여전히 표준 프로토콜(IPsec, SSL/TLS)을 사용하지만, 차이점은 서버가 있는 위치와 관리 방법입니다.

장점:

• 글로벌 접근성 및 확장성: 클라우드에 있기 때문에 사용자는 종종 최적화된 경로로 어디에서나 연결할 수 있습니다. 많은 클라우드 VPN 서비스에는 전 세계에 여러 게이트웨이가 있으므로 원격 사용자는 인근 지역에 연결한 다음 클라우드 백본을 통해 리소스로 라우팅될 수 있습니다. 이를 통해 모든 사람이 단일 온프레미스 VPN 서버에 접속하는 것보다 지연 시간을 개선할 수 있습니다. 또한 용량(대역폭 증가, 사용자 증가)을 추가하는 것이 더 쉽습니다. 종종 클라우드 인스턴스를 확장하거나 필요에 따라 게이트웨이를 추가할 수 있습니다.
• 온프레미스 유지 관리 감소: 설치 또는 유지 관리할 물리적 어플라이언스가 없습니다. 이미 클라우드에 많이 있는 조직의 경우 클라우드 VPN을 배포하면 인프라 코드 및 아웃소싱 모델에 적합합니다. 업데이트, 패치 및 가동 시간은 공급자가 처리할 수 있습니다.
• 클라우드 리소스에 대한 직접 보안 액세스: 데이터베이스 또는 애플리케이션이 클라우드에 있는 경우 클라우드 VPN은 중앙 사무실을 통한 백홀링 없이 보안 액세스를 허용하는 자연스러운 방법입니다. 사용자는 클라우드 환경의 VPN에 직접 연결하여 해당 클라우드의 리소스에 액세스할 수 있습니다. 이는 AWS 호스팅 애플리케이션에 액세스하는 분산 팀에 적합합니다.
• 분산된 인력 지원: 클라우드 VPN은 고정된 “사무실”이 없는 회사에 적합합니다. 예를 들어, 완전히 원격인 회사는 데이터 센터가 없이도 클라우드에 가상 네트워크를 두고 모든 직원이 여기에 연결할 수 있습니다. 인터넷이 있는 한 어느 위치에서나 안전하게 연결할 수 있습니다.
• 높은 가용성과 안정성: 대형 클라우드 공급업체는 견고한 인프라를 제공합니다. 클라우드 VPN 게이트웨이는 데이터 센터 전반에 내장된 중복성을 제공할 수 있습니다. 이는 단일 온프레미스 서버에 비해 다운타임이 적다는 것을 의미합니다. 또한 클라우드 공급업체의 네트워크 내에서 이동하는 트래픽(VPN에서 유입 후)은 백본의 QoS 및 안정성에서 이점을 얻을 수 있습니다.
• OPEX 가격 책정: 사전 하드웨어 비용 대신 클라우드 VPN은 월 단위로 청구될 수 있습니다(고정 서비스 요금 또는 사용량 기준). 이는 경제적으로 유익하거나 적어도 비용을 운영 비용으로 전환할 수 있습니다.

단점:

• 타사에 대한 의존성: 중요한 보안 인프라를 위해 클라우드 공급자 또는 서비스에 의존하고 있습니다. 중단이나 타사 측의 문제는 VPN에 영향을 미칠 수 있습니다. 또한 타사 클라우드에 보안 액세스를 신뢰한다는 것은 해당 클라우드의 보안 관행이 최고 수준인지 확인해야 한다는 것을 의미합니다.
• 필요한 인터넷 액세스: 클라우드 VPN에는 모든 사이트/사용자에 대한 인터넷 연결이 필요합니다. 인터넷이 끊어지면 직접적인 지점 간 링크로 돌아갈 수 없습니다. 완전한 클라우드 설정의 경우 괜찮지만 일부 시나리오(예: 같은 도시에 있는 두 사무실)의 경우 직접 링크가 클라우드로 이동하고 돌아오는 것보다 지연 시간이 짧을 수 있습니다.
• 통합의 복잡성: 사이트-클라우드 VPN을 설정하려면 클라우드 공급자 구성으로 작업해야 할 수 있으며, 이는 기존 네트워크 엔지니어에게는 생소할 수 있습니다. 각 클라우드에는 고유한 도구와 특성이 있습니다. 또한 Perimeter 81과 같은 클라우드 관리 서비스를 사용하는 경우 이를 ID 관리와 통합하고 내부 네트워크에 대한 라우팅 규칙을 정의해야 합니다. 어렵지는 않지만 패러다임이 다릅니다.
• 데이터 전송 비용: 클라우드 공급자는 종종 데이터 이탈에 대해 요금을 청구합니다. 클라우드 VPN을 통해 많은 트래픽을 펌핑하는 경우(특히 클라우드에서 사용자에게) 대역폭 요금이 부과될 수 있습니다. MPLS 회선보다 여전히 저렴할 수 있지만 주의해야 할 사항입니다.
• 잠재적인 성능 병목 현상: 클라우드는 확장할 수 있지만 잘못 구성되거나 크기가 작은 클라우드 VPN 인스턴스는 병목 현상이 될 수 있습니다. 또한 트래픽이 더 긴 경로를 사용할 수 있습니다. 예를 들어 회사 사무실과 같은 도시에 있는 사용자가 다른 지역의 클라우드 VPN 게이트웨이를 통해 연결한 다음 사무실로 다시 돌아가야 하는 경우 간접적입니다(하지만 일반적으로 이러한 헤어핀을 피하기 위해 설계합니다).

최상의 사용 사례: 클라우드 VPN은 현대 클라우드 우선 조직에 이상적입니다. 주요 사례:

• 대부분의 인프라가 AWS에 있고 직원 수가 적은 회사는 온프레미스에 VPN 서버를 호스팅하고 싶어하지 않을 수 있습니다. 대신 AWS Client VPN(AWS 관리 OpenVPN 서비스)을 사용하여 직원이 지역 간에 AWS 리소스와 VPC에 안전하게 액세스할 수 있도록 합니다.
• 클라우드로 마이그레이션하는 다중 사이트 기업은 전환 중에 사이트-클라우드 VPN을 사용하여 온프레미스 데이터 센터를 새 클라우드 환경과 인터넷을 통해 안전하게 연결할 수 있습니다. 이렇게 하면 하이브리드 클라우드 연결이 생성됩니다.
• 사무실이 전혀 없는 스타트업이나 원격 우선 회사: Perimeter 81의 Cloud VPN과 같은 서비스를 사용하면 모든 직원이 Perimeter81의 네트워크에 연결하고 거기에서 공유 클라우드 서비스와 인터넷에 안전하게 액세스할 수 있습니다. 이를 통해 중앙 집중식 보안(클라우드 내 가상 사무실과 같음)이 제공됩니다.
• 빠른 글로벌 VPN 존재감을 원하는 조직: 예: 아시아, 유럽, 미국에 사용자가 있는 기업은 각 지역에 클라우드 VPN 게이트웨이를 배포하여 직원이 가장 가까운 게이트웨이에 연결하여 모든 직원이 단일 미국 기반 VPN 서버로 이동하는 것보다 속도를 향상시킬 수 있습니다. 그런 다음 클라우드 공급업체의 백본이 이러한 VPN 허브를 연결합니다.
• 일시적 또는 확장 가능한 요구 사항: 단기 프로젝트나 계절적으로 부하가 높은 VPN이 필요한 경우 몇 달 동안 클라우드 VPN 어플라이언스를 스핀업하는 것이 하드웨어를 조달하는 것보다 쉽습니다.

예: 주요 클라우드 플랫폼에는 자체 VPN 서비스가 있습니다. Google Cloud VPN과 AWS Site-to-Site VPN을 사용하면 온프레미스 라우터와 클라우드 간에 IPsec 터널을 설정할 수 있습니다. AWS는 또한 사용자 원격 액세스를 위한 완전 관리형 OpenVPN 서비스인 Client VPN을 제공합니다. Azure VPN Gateway는 마찬가지로 지점 대 사이트(사용자 대 Azure) 및 사이트 대 사이트 기능을 제공합니다. SaaS 측면에서 Perimeter 81(Check Point 지원)은 다양한 글로벌 위치에 “가상 게이트웨이”를 설정하고 중앙에서 사용자 액세스를 관리할 수 있는 클라우드 관리형 VPN 서비스를 제공합니다. OpenVPN Cloud는 OpenVPN Inc.의 또 다른 서비스로, 서버를 직접 실행할 필요가 없는 클라우드 호스팅 VPN을 제공합니다.

클라우드 VPN의 증가를 반영하는 실제 통계: 2022년 현재 “클라우드 VPN” 세그먼트는 VPN 시장 수익의 약 73%를 차지했으며, 이는 조직이 기존 설정보다 클라우드 기반 VPN 배포를 빠르게 받아들이고 있음을 나타냅니다. 여기에는 VPN 인프라에서 클라우드를 사용하는 것과 액세스 용이성을 위해 VPN-as-a-Service를 도입하는 것이 모두 포함됩니다.

요약하자면, 클라우드 VPN은 VPN을 클라우드 컴퓨팅 시대로 끌어올려 유연성, 글로벌 도달 범위, 잠재적으로 더 간단한 운영을 제공하며, 특히 다른 서비스에 대해 이미 클라우드를 신뢰하는 기업에 유용합니다.

하드웨어 VPN

무엇인가: 하드웨어 VPN은 VPN 기능을 처리하는 전용 물리적 장치를 말합니다. 범용 서버나 PC에서 실행되는 VPN 소프트웨어와 달리 하드웨어 VPN 어플라이언스는 네트워크에 연결하는 전용 상자(종종 VPN 기능이 있는 라우터나 방화벽 장치)입니다. 이러한 장치에는 암호화 작업을 위한 자체 프로세서, 강화된 운영 체제, 웹 기반 관리 인터페이스가 함께 제공되는 경우가 많습니다. 일반적으로 대규모 조직에서 사이트 간 VPN을 위해 사용하거나 많은 원격 액세스 클라이언트를 위한 중앙 VPN 집중 장치로 사용합니다.

작동 방식: 하드웨어 VPN 어플라이언스는 일반적으로 네트워크 가장자리(게이트웨이와 같음)에 위치합니다. 예를 들어, 인터넷 모뎀에 연결된 하드웨어 VPN 장치가 있을 수 있습니다. 이 장치는 트래픽을 암호화/복호화하고 종종 방화벽/라우터 역할도 합니다. 원격 사용자가 연결하면 실제로 이 장치에서 종료되어 인증되고 네트워크에 연결됩니다. 사이트 간에서 이러한 두 장치가 두 장치 사이에 터널을 만듭니다. 특수 하드웨어이기 때문에 일반 서버 CPU보다 암호화 작업을 더 빠르게 처리할 수 있는 경우가 많습니다(일부는 VPN용 ASIC가 내장되어 있음). 많은 하드웨어 VPN도 로드 밸런싱과 동시 연결을 기본적으로 지원하므로 안정적인 성능으로 많은 수의 VPN 클라이언트나 여러 터널을 동시에 처리할 수 있습니다. 관리 작업은 일반적으로 장치 자체의 웹 인터페이스나 콘솔을 통해 이루어집니다.

장점:

• 강화된 보안 및 격리: 하드웨어 VPN은 일반 서버와 별도로 자체 장치에서 실행됩니다. 이러한 격리는 공격 표면을 줄일 수 있습니다(장치의 OS는 일반적으로 최소화되고 VPN 작업에 전용됩니다). Windows 서버만큼 일반적인 바이러스나 OS 공격에 취약하지 않습니다. 또한 내장된 변조 방지 기능이 있을 수 있습니다. 전반적으로 전용 보안 게이트웨이입니다.
• 고성능 및 안정성: 장치의 유일한 작업은 VPN(종종 방화벽 기능과 함께)을 수행하는 것이므로 매우 효율적일 수 있습니다. 많은 하드웨어 VPN에는 암호화를 위한 하드웨어 가속이 포함되어 있어 대기 시간을 줄이면서 처리량을 늘릴 수 있습니다. 또한 안정성을 위해 최적화되어 있으며 문제 없이 장시간 실행할 수 있습니다. VPN 사용자가 수백 명이거나 대역폭이 매우 높은 사이트 링크가 있는 경우 하드웨어 VPN은 종종 엔트리 레벨 소프트웨어 솔루션보다 부하를 더 잘 처리할 수 있습니다.
• 부하 분산 및 확장성: 중급~고급 어플라이언스는 VPN 연결을 여러 머신이나 CPU 코어에 분산할 수 있습니다. 일부 어플라이언스는 중복성을 위해 클러스터로 제공됩니다. 하나가 실패하면 다른 하나가 인계합니다(고가용성). 또한 여러 기기 간에 사용자를 분산할 수 있습니다. 이는 대규모 기업에 적합합니다.
• 웹 기반 관리: 거의 모든 하드웨어 VPN은 VPN 설정, 사용자를 구성하고 연결을 모니터링하기 위한 웹 인터페이스 또는 클라우드 관리 포털을 제공합니다. 예를 들어 Linux 서버에서 구성 파일을 관리하는 것보다 관리를 간소화할 수 있습니다.
• 올인원 네트워킹 기능: 종종 하드웨어 VPN 어플라이언스는 방화벽, 라우터 및 침입 방지 시스템의 역할을 합니다. 예를 들어 많은 UTM(Unified Threat Management) 또는 차세대 방화벽(Fortinet, Palo Alto, SonicWall 등)에는 VPN 기능이 내장되어 있습니다. 따라서 네트워크 보안을 위한 통합 솔루션을 얻을 수 있습니다.

단점:

• 비용: 하드웨어 VPN 장치는 비쌀 수 있습니다. 전문 장비와 종종 브랜드 프리미엄에 비용을 지불하게 됩니다. 이는 소규모 비즈니스 장치의 경우 수백 달러에서 엔터프라이즈급 섀시의 경우 수만 달러에 이를 수 있습니다. 또한 공급업체는 사용자당 또는 지원 계약에 대한 라이선스 비용을 부과할 수 있습니다. 비용 때문에 하드웨어 VPN은 일반적으로 투자가 정당화되는 대규모 기업이나 지사에서만 실행 가능합니다.
• 유연성 감소: 변경 또는 업그레이드하려는 경우 장치의 기능에 따라 제한을 받습니다. 용량을 추가하려면 새 기기를 구매해야 할 수 있습니다. 모든 서버에서 실행할 수 있는 소프트웨어와 달리(예: 클라우드에서 빠르게 확장 가능) 하드웨어는 고정되어 있습니다. 또한 하드웨어 장치를 사용하면 해당 공급업체의 생태계와 업데이트 일정에 어느 정도 종속됩니다.
• 배포 노력: 물리적 장치를 설치하려면 전원, 랙 공간 및 물리적 유지 관리를 처리해야 합니다. 사이트가 많은 경우 사이트당 하나의 장치(또는 클러스터)가 필요합니다. 장치를 배송하고 다양한 위치에 설치하는 것은 물류적 문제가 될 수 있지만 소프트웨어 VPN 서버는 원격으로 설정할 수 있습니다.
• 단일 장애 지점: 중복된 장치를 배포하지 않는 한 단일 하드웨어 VPN은 중요한 지점입니다. VPN이 죽으면 VPN 액세스가 중단됩니다(많은 회사가 HA 쌍으로 이를 완화하지만).
• 기능 불균형: 때때로 하드웨어 어플라이언스는 “최신 및 최고” 프로토콜을 구현하는 데 뒤떨어집니다. 예를 들어, 어플라이언스는 IPsec과 OpenVPN을 지원할 수 있지만 WireGuard와 같은 새로운 프로토콜이 등장하면 공급업체가 펌웨어로 제공하기로 결정할 때까지(전혀 그렇지 않을 수도 있음) 사용할 수 없습니다. 소프트웨어 솔루션은 새로운 프로토콜을 더 빨리 채택할 수 있습니다.

최상의 사용 사례: 하드웨어 VPN은 견고하고 항상 켜진 VPN 서비스가 필요하고 전용 장치를 구매할 여유가 있는 기존 조직에 적합합니다. 일반적인 사용 사례:

• 엔터프라이즈 게이트웨이: 회사 본사에는 직원의 모든 원격 액세스를 처리하는 VPN 어플라이언스가 있을 수 있습니다. 예를 들어, 은행은 고급 Juniper 또는 Palo Alto VPN 컨센트레이터를 사용하여 강력한 암호화와 24/7 안정성으로 수천 개의 직원 VPN 세션을 종료할 수 있습니다.
• 지점 연결: 각 지점에는 사이트 간 VPN을 통해 자동으로 본사에 다시 연결되는 작은 하드웨어 VPN 라우터가 있습니다. Cisco ISR 라우터 또는 Meraki MX 어플라이언스와 같은 어플라이언스가 이 역할에 자주 사용됩니다. 이는 롤아웃을 간소화합니다. 상자를 꽂으면 VPN을 통해 홈으로 전화합니다.
• 안전한 파트너 액세스: 비즈니스 파트너에게 네트워크 일부에 대한 액세스 권한을 제공하는 경우 여러 개별 계정을 설정하는 대신 파트너가 귀사에 연결되는 하드웨어 VPN 장치를 설치하도록 할 수 있습니다. 이렇게 하면 연결이 네트워크 수준에서 이루어지고 모니터링하기가 더 쉽습니다.
• 데이터 센터 간 링크: 대량의 볼륨을 전송하는 두 개의 데이터 센터는 백업 전송으로 공용 인터넷을 사용하는 경우 특히 사이트 간 트래픽을 암호화하기 위해 한 쌍의 하드웨어 VPN 게이트웨이(높은 처리량)를 사용할 수 있습니다. 하드웨어 장치는 특수 칩을 사용하여 멀티 기가비트 암호화 링크를 더 잘 구현할 수 있습니다.
• 규정 준수가 필요한 조직: 일부 산업은 FIPS 140-2 호환 암호화 모듈과 같은 하드웨어 솔루션을 선호합니다. 많은 하드웨어 VPN은 정부 또는 의료 사용에 대한 확신을 제공하는 인증을 받았습니다. 또한 물리적 보안 모듈(스마트 카드 또는 하드웨어 토큰 등)과 더 직접적으로 통합할 수도 있습니다.

예: 하드웨어 VPN 제공이 풍부합니다.

• Cisco – Cisco ASA(Adaptive Security Appliance) 및 후속 Cisco Firepower 어플라이언스와 같은 기기는 널리 사용되는 VPN/방화벽 기기입니다. ASA는 Cisco AnyConnect(SSL/IPsec)를 통한 IPsec 사이트 간 터널과 원격 액세스를 동시에 지원할 수 있습니다.
• Juniper – Juniper의 SRX 시리즈는 이전 Juniper Netscreen 어플라이언스와 마찬가지로 유사한 목적을 제공합니다.
• Fortinet FortiGate – IPsec 및 SSL VPN 기능을 포함하는 인기 있는 방화벽으로, 종종 분산 기업에서 사용됩니다.
• SonicWall – 관리하기 쉬운 VPN 및 보안을 제공하는 SMB 어플라이언스로 유명합니다.
• WatchGuard, Palo Alto Networks, Check Point – 모두 VPN 허브로 작동할 수 있는 어플라이언스를 보유하고 있습니다.
• 일부 ASUS, Linksys 모델과 같은 소규모 비즈니스 라우터도 일부 사용자를 위한 하드웨어 VPN 서버 역할을 지원합니다. 이러한 라우터는 강력하지는 않지만 하드웨어 VPN 구현으로도 간주됩니다(PC가 아닌 라우터가 작업을 수행함).

예를 들어, 지사 사무실에 Meraki MX64 장치가 있을 수 있습니다. 중앙 대시보드는 본사의 Meraki 어플라이언스에 VPN 터널을 자동으로 설정하도록 구성되어 있습니다. 관리자는 Meraki 클라우드를 통해 이를 모니터링할 수 있습니다. 또 다른 예로, 대학은 학생과 교수진이 원격으로 접속하는 데 사용하는 Pulse Secure 또는 F5 VPN 어플라이언스를 배포할 수 있습니다. 이는 종종 웹 포털이 있는 특수 SSL VPN 게이트웨이입니다(일반 소프트웨어 클라이언트가 일반화되기 전에 많이 사용됨).

요약하자면, 하드웨어 VPN은 전용 “VPN 박스”를 갖는 것과 관련이 있습니다. 이는 더 높은 가격과 덜 민첩한 대가로 뛰어난 성능과 통합 보안을 제공합니다. 이는 기존 네트워크 아키텍처에서 여전히 매우 일반적입니다.

SSL VPN

정의: SSL VPN은 SSL/TLS 암호화(HTTPS 웹 브라우징을 보호하는 것과 동일한 기술)를 사용하여 보안 터널을 만드는 유형의 VPN입니다. 네트워크 계층에서 작동하는 IPsec VPN과 달리 SSL VPN은 일반적으로 TLS(SSL의 최신 버전)를 사용하여 전송 또는 애플리케이션 계층에서 작동합니다. “SSL VPN”이라는 용어는 종종 표준 웹 브라우저를 통해 액세스할 수 있는 VPN을 구체적으로 나타내며 브라우저의 기본 제공 SSL/TLS 기능을 활용합니다. 많은 조직에서 클라이언트 없는 원격 액세스를 허용하기 위해 SSL VPN을 배포합니다. 사용자는 브라우저에서 로그인 페이지로 이동하여 인증한 다음 특정 내부 웹 애플리케이션에 액세스하거나 해당 포털을 통해 씬 클라이언트를 사용할 수 있습니다. SSL VPN은 TLS를 사용하는 전체 터널 VPN(OpenVPN과 같은)을 의미할 수도 있습니다. 이러한 VPN은 클라이언트 소프트웨어가 필요하지만 방화벽을 통과하기에 편리한 포트 443에서 TLS 프로토콜을 사용합니다.

작동 방식: SSL VPN은 두 가지 주요 형태로 제공됩니다.

• SSL 포털 VPN: 사용자는 웹 브라우저를 통해 HTTPS 보안 웹 페이지(VPN 포털)에 연결하고 로그인합니다. 이 포털 페이지에서 포털을 통해 프록시되는 내부 리소스(웹 서버, 웹 인터페이스를 통한 파일 공유 등)에 대한 링크를 클릭할 수 있습니다. 기본적으로 VPN은 “브라우저 기반”입니다. 해당 포털에 대한 사용자의 브라우저 트래픽은 SSL/TLS를 통해 암호화되고 VPN 어플라이언스는 사용자를 대신하여 내부 서비스와 통신합니다. 이는 해당 페이지를 통해 여러 서비스에 액세스할 수 있는 웹사이트에 대한 하나의 연결입니다.
• SSL 터널 VPN: 이 모드에서 VPN은 브라우저를 통해 시작될 수 있지만 그런 다음 어떤 종류의 활성 구성 요소(예: Java, ActiveX 또는 HTML5 클라이언트)를 로드하거나 로컬 클라이언트 프로그램을 사용하여 보다 일반적인 용도의 터널을 만듭니다. 이 터널은 SSL/TLS(포트 443)를 통해 실행되지만 웹뿐만 아니라 여러 프로토콜을 전송할 수 있습니다. 사용자는 예를 들어 브라우저만으로는 전송할 수 없는 암호화된 터널을 통해 원격 데스크톱이나 기타 애플리케이션을 실행할 수 있습니다. 이를 위해서는 종종 브라우저에 작은 에이전트를 설치하거나 실행해야 합니다. 실행되면 일반적인 VPN과 같지만 TLS를 전송 수단으로 사용합니다.
• 두 경우 모두 SSL VPN이라고 하는 이유는 모든 웹 브라우저가 지원하는 광범위한 SSL/TLS 암호화 표준을 활용하기 때문입니다. 즉, 사용자는 반드시 특별한 VPN 클라이언트가 필요하지 않습니다. 기본적인 액세스에는 웹 브라우저만 있으면 됩니다. 통신은 일반적으로 방화벽에서 열려 있는 TCP 포트 443(HTTPS)을 통해 이루어집니다(차단되거나 복잡한 구성이 필요할 수 있는 특정 IPsec 포트와는 다름).

현대의 SSL VPN은 실제로 TLS를 사용하지만(SSL 3.0은 더 이상 사용되지 않음), 이 용어는 여전히 존재합니다. 이들은 서버가 SSL 인증서(종종 신뢰할 수 있는 CA에서 발급)를 제시하고 클라이언트와 안전한 세션을 설정하는 데 의존합니다. 사용자 인증은 웹 인터페이스를 통해 비밀번호, 2단계 토큰 등을 통해 이루어질 수 있습니다.

장점:

• 특별한 클라이언트가 필요 없음(포털 모드의 경우): 사용자는 표준 웹 브라우저가 있는 모든 기기에서 액세스할 수 있습니다. 이는 타사 계약자나 공용 컴퓨터를 사용할 때 유용하며 소프트웨어를 설치할 필요가 없습니다. 접근성에 대한 기준을 낮춥니다.
• 방화벽과 NAT를 쉽게 통과: HTTPS를 사용하므로 SSL VPN은 일반적으로 대부분의 프록시 서버, NAT 장치 및 방화벽을 문제 없이 통과할 수 있습니다. 일반적인 웹 트래픽처럼 보입니다. 익숙하지 않은 포트를 차단하는 많은 기업 네트워크는 여전히 443을 허용하므로 SSL VPN이 중단될 가능성이 적습니다. 이는 제한적인 네트워크의 사용자에게 매우 편리합니다.
• 세분화된 액세스 제어: 특히 포털 모드에서 관리자는 VPN을 통해 특정 애플리케이션만 노출할 수 있습니다. 예를 들어 SSL VPN을 통해 이메일과 내부 위키는 허용하지만 다른 것은 허용하지 않을 수 있습니다. 이 애플리케이션 계층 접근 방식은 사용자가 전체 네트워크 액세스가 아닌 특정 서비스만 허용하기 때문에 위험을 줄일 수 있습니다.
• BYOD 친화성: 직원이 개인 기기나 휴대전화를 사용하는 경우 전체 VPN 클라이언트를 설치하고 싶지 않을 수도 있습니다(또는 설치가 허용되지 않을 수도 있음). SSL VPN을 사용하면 브라우저를 통해 로그인하고 내부 웹 앱을 안전하게 사용할 수 있습니다. 이러한 유연성은 다양한 기기 환경에서 유용합니다.
• 배포 용이성: 관리자 측에서 SSL VPN 어플라이언스를 설정하는 것은 종종 사용자와 권한만 구성하는 것을 의미합니다. 클라이언트 소프트웨어 배포가 없습니다(헬퍼를 한 번만 설치해야 할 수 있는 터널 모드를 사용하는 경우는 제외). 대규모 대상(학생 집단이나 고객 등)에게 VPN 배포를 간소화할 수 있습니다.
• 애플리케이션 계층에서 암호화: TLS는 안정적이고 인증되고 암호화된 채널을 제공합니다. 성숙한 라이브러리와 지원이 있는 검증된 기술입니다.

단점:

• 포털 모드에서 제한된 액세스: 클라이언트 없는 웹 포털 접근 방식을 사용하는 경우 사용자는 일반적으로 웹 기반 애플리케이션 또는 특정 프록시 가능 서비스에만 액세스할 수 있습니다. 복잡한 클라이언트/서버 애플리케이션 또는 LAN 프로토콜을 지원하지 않을 수 있습니다. 예를 들어, 어플라이언스에 해당 프록시가 없는 한 순수 포털 VPN을 통해 SSH 클라이언트 또는 데이터베이스 클라이언트를 사용하는 것은 간단하지 않습니다.
• 성능 오버헤드: TCP를 통한 TLS는 UDP를 사용할 수 있는 IPsec에 비해 일부 유형의 트래픽에 대해 약간 덜 효율적일 수 있습니다. 또한 많은 사용자가 데이터를 트랜스코딩하거나 프록시하는 웹 포털을 통해 상호 작용하는 경우 VPN 어플라이언스의 CPU가 많은 작업(예: URL 다시 쓰기, 파일 다운로드 처리 등)을 수행할 수 있습니다. 터널 모드에서는 일반적으로 성능이 좋습니다(예를 들어 OpenVPN은 SSL VPN이며 성능이 좋지만 어떤 경우에는 WireGuard/IPsec보다 약간 느립니다).
• 브라우저 호환성 및 구성 요소: 플러그인(예: Java 또는 ActiveX를 사용하는 이전 플러그인)에 의존하는 터널 모드 SSL VPN은 호환성 문제가 발생할 수 있습니다. 최신 VPN은 HTML5 또는 경량 에이전트로 전환했지만, 특히 브라우저가 “위험한” 플러그인을 허용하는 데 더 엄격해짐에 따라 여전히 문제가 발생할 수 있습니다.
• 클라이언트 머신의 보안: 클라이언트 없는 액세스의 이점은 단점이 될 수도 있습니다. 누군가가 관리되지 않거나 공개된 컴퓨터에서 SSL VPN 포털에 로그인하면 흔적(캐시된 데이터, 다운로드 등)을 남길 위험이 있습니다. 많은 SSL VPN은 캐시 클리너 또는 시간 초과 정책과 같은 것으로 이를 완화하려고 하지만 보안 수준이 낮은 엔드포인트가 사용된다는 위험이 여전히 있습니다.
• 전체 네트워크 터널이 아님(에이전트를 사용하지 않는 경우): 전체 네트워크 액세스가 필요한 경우(예: 네트워크 드라이브 매핑, 웹이 아닌 앱 사용) 씬 클라이언트 또는 에이전트가 필요하며, 이는 소프트웨어 클라이언트 영역으로 다시 돌아갑니다. 그 시점에서 IPsec에 비해 장점은 주로 방화벽 통과 용이성과 더 간단한 사용자 경험이지만 클라이언트 소프트웨어가 있어야 합니다(즉시 브라우저를 통해 제공되더라도).

최상의 사용 사례: SSL VPN은 다양한 엔드포인트의 사용자에게 특정 애플리케이션에 대한 원격 액세스를 제공하는 데 적합합니다. 사용 사례:

• 계약자 또는 파트너 액세스: 계약자에게 네트워크에 대한 전체 VPN을 제공하는 대신, 필요한 애플리케이션 하나만 보여주는 SSL VPN 웹 포털 로그인을 제공할 수 있습니다. 이렇게 하면 노출이 제한되고, 직원은 복잡한 것을 구성할 필요가 없습니다.
• 개인 기기에서 직원 액세스: 직원이 집 컴퓨터에서 무언가를 빠르게 확인해야 하는 경우 SSL VPN 포털을 사용하면 개인용 컴퓨터에 기업용 VPN 소프트웨어를 설치하지 않고도 회사 인트라넷에 안전하게 로그인할 수 있습니다.
• 대규모 배포: 대학은 종종 SSL VPN을 사용하여 학생들이 원격으로 도서관 리소스나 실험실에 액세스할 수 있도록 합니다. 학생은 포털 사이트로 이동하여 캠퍼스 자격 증명으로 로그인하고, Java 기반 터널 클라이언트를 실행하여 실험실 기계나 도서관 데이터베이스에 액세스할 수 있습니다.
• 매우 제한적인 네트워크: 사용자가 VPN을 차단하는 호텔, 컨퍼런스 센터 또는 외국과 같은 환경에 있는 경우 SSL VPN은 일반적인 HTTPS 트래픽처럼 보이기 때문에 종종 통과할 수 있습니다. 이는 회사 IPsec VPN이 차단된 것을 발견할 수 있는 출장객에게 유용하지만 백업 SSL VPN(포트 443)은 작동합니다.
• 애플리케이션 계층 보안 요구 사항: 일부 조직은 원격 사용자가 전체 네트워크 액세스 권한을 갖는 것보다 애플리케이션 세트만 사용하는 것을 선호합니다. SSL VPN 포털은 설계상 이를 시행합니다.

예: 많은 엔터프라이즈 VPN 솔루션은 SSL VPN 기능을 제공합니다. 몇 가지 예:

• Pulse Connect Secure(이전 Juniper) – 웹 포털과 전체 터널 옵션을 모두 제공하는 잘 알려진 SSL VPN 어플라이언스입니다. 사용자는 웹 앱에 브라우저를 통해 로그인하거나 더 광범위한 액세스를 위해 Java 애플릿을 실행할 수 있습니다.
• Cisco ASA/Firepower – 포털 액세스를 위한 “클라이언트리스 SSL VPN” 기능과 터널에 SSL/TLS를 사용할 수 있는 AnyConnect 클라이언트를 제공합니다(따라서 클라이언트 모드에서 SSL VPN입니다).
• Palo Alto GlobalProtect – 주로 SSL/TLS(및 후드 아래의 IPsec)를 사용할 수 있는 에이전트 기반 VPN이지만 특정 앱에 대한 포털 기능도 있습니다.
• OpenVPN – OpenVPN은 기본적으로 SSL VPN 프로토콜입니다(TLS를 사용함). 클라이언트 프로그램이 필요하지만 소비자 및 비즈니스 VPN 모두에서 매우 인기가 있습니다. 많은 개인 VPN 제공자의 사용자 정의 프로토콜(예: NordVPN의 NordLynx는 실제로 WireGuard이지만 다른 프로토콜은 사용자 정의 TLS 기반 프로토콜을 사용함)은 유사한 TLS 터널링을 사용합니다.
• Fortinet FortiGate – SSL VPN을 위한 웹 포털과 전체 터널을 위한 FortiClient가 있습니다. Fortinet의 포털은 예를 들어 Java 애플릿을 실행하여 브라우저를 통해 RDP 세션을 허용할 수 있습니다.
• Check Point – SSL VPN 블레이드도 제공하며, 종종 가벼운 클라이언트를 통한 모바일 사용자 액세스에 초점을 맞춥니다.

구체적인 시나리오를 설명하자면, 직원이 회사 웹사이트로 가서 로그인합니다. “인트라넷”, “이메일”, “공유 드라이브”와 같은 옵션이 표시됩니다. “인트라넷”을 클릭하면 포털 내에서 내부 SharePoint 사이트가 열립니다. 더 많은 것이 필요한 경우 “전체 VPN 시작”을 클릭하면 전체 VPN 터널을 설정하는 작은 에이전트 다운로드가 트리거되어 사무실 LAN에 있는 것처럼 Outlook 애플리케이션이나 네트워크 드라이브 매핑을 사용할 수 있습니다. 이 모든 것이 TLS로 보안됩니다. 사용자 관점에서 보면 매우 간단했고 관리자 관점에서는 노출되는 내용을 엄격하게 제어하고 애플리케이션 수준에서 사용을 감사할 수 있었습니다.

MPLS VPN

정의: MPLS VPN은 일반적인 인터넷 기반 암호화 터널 모델을 전혀 사용하지 않고 서비스 제공자의 MPLS 네트워크를 사용하여 가상으로 트래픽을 분리하고 우선순위를 지정하는 VPN입니다. MPLS(Multi-Protocol Label Switching)는 패킷에 레이블을 지정하고 미리 결정된 경로를 따라 전달하는 고성능 라우팅 기술입니다. MPLS VPN에서 통신사나 통신사는 MPLS를 사용하여 공급업체의 백본에서 고객을 위한 개인 네트워크 세그먼트를 분할합니다. IP 라우팅이 관련된 경우 종종 Layer 3 VPN(L3VPN)이라고 하며, 특정 지점 간 회로의 경우 Layer 2 VPN이라고 합니다. MPLS VPN은 일반적으로 기업을 위한 구독 서비스로, 개인 네트워크의 안정성을 갖춘 여러 사이트 간의 연결을 제공합니다. 트래픽이 실제로 공유 인프라를 통과할 수 있지만 MPLS 레이블로 격리되고 종종 종단 간 암호화되지 않습니다(필요한 경우 암호화를 추가할 수 있음).

간단히 말해서 MPLS VPN은 통신사가 제공하는 개인 고속도로 차선을 공공 인터넷 차선과 분리한 것과 같습니다. 모든 지점은 공급업체의 네트워크에 연결되고(라우터 연결을 통해) 공급업체는 이러한 연결이 서로에게 도달할 수 있지만 다른 사람에게는 도달할 수 없도록 보장하며, 종종 성능을 보장합니다.

작동 방식: 회사는 MPLS VPN 서비스를 위해 공급업체(예: AT&T, Verizon, BT 등)와 계약을 맺습니다. 제공자의 네트워크 에지 라우터(PE 라우터)는 회사 사이트(CE – 고객 에지 라우터)에 연결됩니다. MPLS를 사용하여 제공자는 회사 트래픽에 태그를 지정하고 다른 회사와 분리합니다. 또한 제공자가 사이트 간 라우팅을 처리하도록 라우팅 프로토콜을 실행할 수도 있습니다. 두 가지 유형이 있습니다.

• 3계층 MPLS VPN: 제공자는 고객 네트워크와 IP 라우팅에 참여합니다(VRF(Virtual Routing and Forwarding)와 같은 기술 사용). 제공자는 기본적으로 IP 접두사를 전달하고 사이트 간에 전달되도록 합니다. 패킷에는 MPLS 헤더가 레이블되어 다른 사이트에만 전달되고 다른 사이트에는 전달되지 않습니다. 이것이 가장 일반적입니다.
• 2계층 MPLS VPN: 제공자는 2계층 위치 간에 지점 간 연결(가상 전용 회선 또는 VPLS(Virtual Private LAN Service)와 같음)을 제공합니다. 이는 아래에 MPLS 터널을 사용하여 사이트 간에 스위치를 확장하는 것과 같습니다.

MPLS VPN에는 암호화가 내재되어 있지 않습니다. 외부인이 공급자의 네트워크에 액세스할 수 없기 때문에 “비공개”입니다. 그러나 통신사의 MPLS 네트워크에 침입하는 것이 사소한 일이 아니기 때문에 실제로는 매우 안전합니다(그리고 그들은 종종 물리적으로 트래픽을 분리하거나 액세스 제어 목록을 사용하여 분리를 시행합니다). 일부 고객은 공급자를 완전히 신뢰하지 않는 경우 이중 보안을 위해 여전히 IPsec을 오버레이합니다.

장점:

• 보장된 성능(QoS): MPLS VPN은 종종 SLA와 함께 제공됩니다. 공급자가 경로를 제어하기 때문에 대역폭, 낮은 지연 시간, 낮은 지터 등을 보장할 수 있습니다. 특정 트래픽(예: 음성 또는 비디오)을 다른 트래픽보다 우선시할 수 있습니다. 이러한 서비스 품질은 개방형 인터넷에서 어려움을 겪을 수 있는 실시간 애플리케이션에 큰 판매 포인트입니다. 패킷은 제어된 라우팅이 있는 관리형 백본을 통해 이동하여 공용 인터넷의 예측 불가능성을 피합니다.
• 안정적이고 일관됨: MPLS 라우팅은 매우 효율적입니다. 각 라우터는 복잡한 IP 조회를 수행하지 않고 레이블만 보고 전달 결정을 내립니다. 이를 통해 지연 시간을 줄이고 처리량을 개선할 수 있습니다. 게다가 MPLS 네트워크에는 일반적으로 중복성과 빠른 재라우팅이 있으므로 한 경로가 실패하면 패킷이 미리 설정된 다른 경로로 빠르게 전환될 수 있습니다. 중요한 데이터(금융 거래, 음성 통화)가 있는 기업의 경우 MPLS VPN은 높은 안정성을 갖춘 전용 전용 회선처럼 느껴집니다.
• 많은 사이트에 대한 확장성: 공급업체 MPLS VPN은 각 사이트가 다른 사이트로 개별 터널을 필요로 하지 않고도 수십 또는 수백 개의 사이트를 완전한 메시로 연결할 수 있습니다(복잡한 메싱을 하지 않는 한, 더 많은 사이트 = 관리할 터널이 더 많은 기존 VPN과 다름). 각 사이트를 공급업체 클라우드에 연결하기만 하면 공급업체의 MPLS가 레이블을 통해 모든 사이트 간 연결을 처리합니다. 이렇게 하면 대규모 네트워크의 복잡성이 줄어듭니다. 즉, 통신사에 오프로드할 수 있습니다.
• 오프로드 관리: 회사는 암호화 키, VPN 컨센트레이터 등을 관리할 필요가 없습니다. 공급업체가 라우팅 및 분리를 처리합니다. 일부 IT 팀의 경우 사이트의 에지 라우터에만 집중하면 처리하기가 더 쉽습니다.
• 프로토콜 독립적 전송: MPLS는 IP뿐만 아니라 다양한 프로토콜을 전송할 수 있습니다. 필요한 경우 레거시 프로토콜을 캡슐화하고 레이어 2 회로를 지원할 수 있습니다. 예를 들어, 회사가 여전히 사이트 간에 프레임 릴레이 또는 이더넷 브리징을 사용하는 경우 MPLS L2 VPN이 이를 수용할 수 있습니다.
• 보안(실용적인 의미): 암호화되지는 않았지만 MPLS VPN은 폐쇄된 생태계이기 때문에 매우 안전합니다. 통신사가 운영하는 개인 네트워크를 갖는 것과 같습니다. 견고한 분리가 있습니다. 종종 “가상 사적이지만 효과적으로 안전하다”고 설명됩니다.

단점:

• 높은 비용: MPLS VPN 서비스는 일반적으로 일반 인터넷 연결 + VPN을 사용하는 것보다 훨씬 비쌉니다. 통신사가 전용 대역폭과 관리를 제공하기 위해 프리미엄을 지불하는 것입니다. 비용은 종종 거리와 대역폭에 따라 달라집니다. 예를 들어, 뉴욕에서 시카고까지 10Mbps MPLS 링크는 동일한 속도의 표준 비즈니스 인터넷 링크보다 훨씬 비쌀 수 있습니다. 이로 인해 소규모 회사나 예산이 부족한 회사에는 MPLS가 덜 매력적입니다.
• 공급자 종속성 및 비융통성: 변경 사항은 통신사에 의존합니다. 새 사이트를 추가하거나 대역폭을 늘리고 싶으신가요? 긴 프로비저닝 시간과 계약 변경이 필요할 수 있습니다. 소프트웨어 VPN처럼 버튼을 클릭하기만 할 수 없습니다. 또한 해당 공급자의 영역에 크게 묶여 있습니다. 해당 공급자가 특정 지역에 서비스를 제공하지 않는 경우 공급자 간에 별도의 계약이나 네트워크 간 인터페이스가 필요할 수 있으며, 이는 상황을 복잡하게 만듭니다.
• 종단 간 암호화되지 않음: 누군가가 MPLS 네트워크나 링크에 실제로 도청했다면 잠재적으로 데이터를 가로챌 수 있습니다(드물고 어렵기는 하지만). 일부 회사는 매우 민감한 데이터 계층 암호화를 상단에 적용하지만, 그러면 일부 이점을 잃게 됩니다(예: 공급자가 트래픽을 효과적으로 압축하거나 최적화할 수 없음). 반면 인터넷을 통한 IPsec VPN은 기본적으로 암호화됩니다.
• 감소된 공용 인터넷 통합: MPLS VPN은 사무실을 연결하는 데 좋지만, 각 사이트는 여전히 일반 인터넷 트래픽을 위한 별도의 인터넷 브레이크아웃이 필요하거나 모든 인터넷 트래픽을 중앙 사이트로 다시 가져온 다음 내보내야 합니다(비효율적일 수 있음). 따라서 각 사이트에서 MPLS와 인터넷 서비스 비용을 모두 지불하게 될 수 있습니다. 순수한 인터넷 VPN을 사용하면 인터넷 연결이 이중 역할을 합니다. VPN과 일반 브라우징에 모두 사용됩니다.
• 최신 기술로 전환: 최근 많은 조직이 MPLS에서 SD-WAN(소프트웨어 정의 WAN)으로 이동하고 있습니다. SD-WAN은 스마트 소프트웨어로 여러 개의 저렴한 인터넷 링크를 사용하여 MPLS 수준에 가까운 안정성을 달성하지만 비용은 낮습니다. MPLS VPN은 때때로 비교적 더 엄격하고 레거시로 간주됩니다. MPLS는 여전히 많이 사용되고 있지만, 비용 절감을 위해 일부를 SD-WAN으로 보완하거나 대체하는 추세입니다.
• 공급자 적용 범위에 따른 제한: 회사가 전 세계적으로 사무실을 두고 있는 경우 모든 통신사가 모든 곳에 있는 것은 아닙니다. 여러 MPLS 공급자가 필요할 수 있으며, 이를 연결하면 복잡해지고 네트워크 간에 핸드오프하는 경우 일부 QoS를 무력화할 수 있습니다. 반면, 공용 인터넷은 보편적으로 접근 가능합니다(다양한 품질이 있지만).

최상의 사용 사례: MPLS VPN은 다음에 이상적입니다.

• 대규모 기업 또는 은행: 사무실 간 트래픽에 대한 보장된 가동 시간과 성능이 필요합니다. 예를 들어, 거래 처리를 위해 데이터 센터와 지점을 연결하는 은행은 MPLS VPN을 사용하여 빠르고 안정적인 연결을 보장하여 ATM과 지점 시스템이 연결이 끊어지거나 속도가 느려지지 않도록 할 수 있습니다.
• 실시간 서비스: 사무실 간에 VoIP 전화 시스템이나 화상 회의를 광범위하게 사용하는 회사는 종종 MPLS에 의존하여 음성/비디오 패킷이 우선 순위를 갖고 지터를 방지합니다. 이렇게 하면 통화 품질이 높게 유지됩니다.
• 다중 사이트 일관성: 예를 들어 50개의 소매점과 5개의 창고가 있는 조직은 MPLS를 사용하여 모든 위치를 연결하여 재고 및 판매 시스템이 최소한의 지연과 모든 곳에서 동일한 네트워크로 실시간으로 복제되도록 할 수 있습니다. 이는 관리를 간소화합니다.
• 규제 산업: 데이터 경로에 대한 더 높은 수준의 제어가 필요할 수 있는 정부 또는 의료는 야생 인터넷을 통해 암호화된 데이터를 전송하는 것보다 MPLS를 선호할 수 있습니다. 이는 보다 통제된 네트워킹에 대한 인식(및 현실)을 제공합니다.
• 인터넷이 신뢰할 수 없는 경우: 일부 지역이나 상황에서는 공공 인터넷 링크가 신뢰할 수 없거나 대기 시간이 길 수 있습니다. 개인 MPLS 회로는 안정적인 대안을 제공할 수 있습니다. 예를 들어, 국제 기업은 때때로 예측할 수 없는 해저 케이블 혼잡을 피하기 위해 MPLS를 사용하여 해양 간 연결을 합니다. MPLS는 대기 시간에 대한 보장이 제공됩니다.

예: MPLS VPN의 대부분 예는 브랜드 제품이 아니라 통신사의 서비스입니다.

• 전형적인 예: 다국적 기업의 모든 사이트를 연결하는 AT&T VPN 서비스. 각 사이트의 라우터는 AT&T의 네트워크에 연결됩니다. AT&T는 모든 사이트 간 연결이 달성되도록 라우팅을 처리합니다. 기업은 서비스 클래스를 요청할 수 있습니다. 예를 들어, 대역폭의 30%는 음성(높은 우선순위), 20%는 중요 앱, 나머지는 최선의 노력입니다. AT&T의 MPLS는 이를 시행합니다. 그 결과 모든 사무실에 걸쳐 있는 개인 네트워크가 됩니다.
• Verizon Business IP VPN은 이와 유사한 또 다른 서비스로, 마찬가지로 QoS와 글로벌 연결을 허용합니다.
• 레벨 3(현재 Lumen) MPLS IP VPN – 이러한 공급업체는 종종 네트워크를 볼 수 있는 포털을 보유하고 있지만 구현은 MPLS의 배후에 있습니다.
• 일부 공급업체는 MPLS 링크와 통합 인터넷 장애 조치 등의 하이브리드도 제공합니다. 하지만 순수한 MPLS VPN은 주로 개인 네트워크에 의존한다는 것을 의미합니다.

기술적 예: 한 회사가 파리, 런던, 도쿄에 사무실을 두고 있습니다. 그들은 파리와 런던의 경우 Orange Business Services(France Telecom)에서 MPLS VPN을 받고, 도쿄의 경우 NTT에서 상호 연결로 받습니다. 각 사이트의 라우터에는 공급자에 대한 인터페이스가 있습니다. 공급자는 해당 라우터를 회사의 VPN ID(VRF)에 할당합니다. 그들은 경로를 교환합니다. 파리는 MPLS 클라우드를 통해 런던과 도쿄에 도달하는 방법을 알고 있습니다. 파리가 도쿄에 패킷을 보내면 공급자의 인그레스 라우터가 도쿄의 이그레스 라우터 경로에 해당하는 MPLS 태그로 레이블을 지정합니다. 공급자 네트워크의 각 홉에서 라우터는 레이블을 기반으로 패킷을 빠르게 전환합니다(IP 조회 없음). 도쿄의 라우터에 도착하면 레이블이 팝업되고 IP 패킷이 도쿄 사무실 네트워크에 전달됩니다. 이 모든 과정에서 다른 고객의 트래픽은 레이블이 다르기 때문에 섞이지 않으며 중간 라우터는 VPN당 별도의 레이블 공간을 추적합니다. 회사는 이 세 사이트가 하나의 큰 개인 라우터에 있는 것처럼 안정적이고 빠른 연결을 누립니다.

MPLS VPN은 “VPN”이 항상 “인터넷의 암호화된 터널”을 의미하는 것은 아니라는 점을 강조합니다. 통신사가 제공하는 “가상 사설망”을 의미할 수도 있습니다. 이들은 약간 배후에 있지만 많은 대규모 네트워크에 여전히 필수적입니다.

L2TP(2계층 터널링 프로토콜) VPN

정의: L2TP는 공용 네트워크를 통해 전송하기 위해 데이터를 캡슐화하는 데 사용되는 VPN 터널링 프로토콜입니다. L2TP 자체로는 암호화나 기밀성을 제공하지 않습니다. 보안을 위해 종종 IPsec과 함께 사용됩니다. 사실, 사람들이 “L2TP VPN”이라고 말할 때 일반적으로 L2TP/IPsec을 의미하는데, 이는 터널링에 L2TP를 사용하고 암호화/인증에 IPsec을 사용하는 것을 결합한 것입니다. L2TP는 2계층에서 작동하므로(따라서 이름이 그렇습니다) PPP 프레임을 전송할 수 있으므로 IP뿐만 아니라 모든 종류의 프로토콜을 터널링할 수 있습니다. PPTP(Point-to-Point Tunneling Protocol)의 후속 프로토콜이자 Cisco에서 L2F(Layer 2 Forwarding Protocol)의 확장 프로토콜로 설계하여 두 프로토콜의 기능을 결합했습니다.

오늘날 실제 사용에서 L2TP/IPsec은 많은 운영 체제(Windows, macOS, Linux, iOS, Android는 모두 L2TP/IPsec 클라이언트가 내장되어 있음)에서 기본적으로 지원하는 일반적인 VPN 옵션입니다. 이로 인해 타사 소프트웨어 없이 VPN을 설정하는 데 인기 있는 선택이 되었습니다. 예를 들어, 소규모 사무실에서는 L2TP/IPsec VPN을 사용하여 직원이 노트북이나 휴대전화에 내장된 VPN 클라이언트를 사용하여 연결할 수 있습니다.

작동 방식: L2TP는 두 개의 “L2TP 피어”(일반적으로 클라이언트와 서버) 사이에 터널을 만듭니다. 패킷(예: IP 패킷)을 L2TP 내부에 캡슐화한 다음 인터넷을 통해 UDP 패킷 내부로 전송합니다(L2TP는 UDP 포트 1701을 사용함). 그러나 L2TP 데이터가 전송되기 전에 클라이언트와 서버 간에 IPsec 보안 연결이 설정됩니다(IKE 프로토콜 사용). 그런 다음 모든 L2TP 트래픽은 이 IPsec SA를 통해 전송되며, 일반적으로 암호화를 위해 IPsec ESP 프로토콜을 사용합니다. 기본적으로:

1. 클라이언트와 서버는 IPsec 핸드셰이크를 수행하고 암호화된 채널을 구축합니다.
2. 암호화된 채널 내에서 클라이언트는 L2TP 세션을 시작합니다.
3. L2TP 세션은 인증합니다(종종 사용자 이름/암호 또는 Windows 도메인 자격 증명을 통해).
4. 일단 설정되면 클라이언트의 네트워크 트래픽은 L2TP에 의해 캡슐화되고(PPP 프레임에 래핑하는 것과 같음) IPsec에 의해 암호화되어 서버로 전송됩니다. 그런 다음 서버는 캡슐화를 해제하고(IPsec 복호화, 그런 다음 L2TP 래핑 해제) 내부 패킷을 대상 네트워크로 전달합니다.

L2TP 캡슐화는 실제로 이중 캡슐화를 수행합니다. 즉, 데이터에 두 개의 계층(L2TP/PPP + IPsec)이 있어 효율성이 약간 떨어질 수 있습니다. 하지만 유연성도 허용합니다. L2TP는 필요한 경우 비 IP 트래픽을 전송할 수 있습니다(대부분의 경우 L2TP 내부의 PPP 내부의 IP일 뿐입니다).

장점:

• 광범위하게 지원: L2TP/IPsec은 기본적으로 거의 모든 최신 시스템에서 사용할 수 있습니다. 이러한 보편성으로 인해 OpenVPN과 다른 시스템이 널리 알려지기 전에는 필수 선택이었습니다. 관리자는 사용자 지정 클라이언트를 배포할 필요가 없습니다. 내장된 VPN 클라이언트가 해당됩니다. 이는 일부 사람들이 오늘날에도 L2TP를 사용하는 이유인데, 모든 환경에서 새 소프트웨어를 설치할 수 있는 것은 아니기 때문입니다.
• 보안(IPsec 포함): IPsec과 페어링하면 강력한 암호화(IPsec의 AES, 3DES 등)와 인증을 제공합니다. IKEv1 또는 IKEv2 모드의 IPsec은 적절하게 구성하면 충분히 테스트되고 안전합니다. 기본적으로 L2TP/IPsec의 보안은 강력한 IPsec에서 비롯됩니다.
• 유연한 인증: L2TP는 PPP 인증 방법(PAP, CHAP, MS-CHAPv2, EAP)을 사용할 수 있습니다. 즉, 사용자 인증을 위해 RADIUS 서버와 같은 시스템과 통합하여 엔터프라이즈 통합(예: Active Directory 자격 증명으로 로그인)을 허용할 수 있습니다. IPsec 자체도 엔드포인트를 인증합니다(일반적으로 사전 공유 키 또는 인증서 사용). 따라서 IPsec을 통한 머신 수준 인증과 PPP/L2TP를 통한 사용자 수준 인증이라는 이중 계층을 얻습니다. 이는 추가 보안 계층으로 볼 수 있습니다.
• 방화벽 친화적(어느 정도): L2TP/IPsec은 UDP 포트(IPsec의 경우 500 및 4500, L2TP의 경우 1701, NAT-T를 사용할 때 실제로 4500으로 캡슐화됨)를 사용합니다. 많은 방화벽이 이를 처리할 수 있으며 IPsec(NAT-T)에 대한 NAT 트래버설이 표준화되어 있으므로 일반적으로 NAT 뒤에서 작동합니다. SSL VPN만큼 은밀하지는 않지만 일반적으로 많은 네트워크에서 작동합니다. IPsec은 UDP 기반이므로 긴 버스트에 대해 제한될 수 있는 TCP 연결이 필요하지 않습니다.
• 사이트 간 사용: 원격 액세스에 자주 사용되지만 L2TP는 사이트 간에도 사용할 수 있으며, 특히 어떤 이유로 비IP 터널을 필요로 하거나 기존 L2TP 어플라이언스를 사용하려는 경우에 그렇습니다. 일부 오래된 라우터는 라우터 간에 L2TP 터널을 지원했습니다. 사이트 간에서 종종 GRE 또는 IPsec만 사용되지만 L2TP는 어떤 경우에 옵션입니다.
• 데이터에 대한 고정 포트 없음(IPsec 사용): 일부 NAT가 싫어하는 GRE 프로토콜이 있는 PPTP와 달리 IPsec을 통한 L2TP는 UDP 패킷 내부에 숨겨집니다. 이렇게 하면 GRE 기반 VPN보다 NAT를 통과하기가 더 쉽습니다.

단점:

• 낮은 성능: L2TP는 데이터를 두 번 캡슐화합니다(L2TP + IPsec). 이는 오버헤드를 추가합니다. 구체적으로, IPsec을 통한 L2TP는 두 개의 헤더에 데이터를 캡슐화하고 두 단계의 체크섬을 수행합니다. 이는 WireGuard 또는 일반 IPsec과 같은 최신 프로토콜보다 느릴 수 있습니다. 이중 캡슐화는 처리량을 줄이고 대기 시간을 약간 증가시킬 수 있습니다. 또한 종종 UDP에서 실행되고 TCP의 혼잡 제어와 같은 메커니즘이 없기 때문에(내부 트래픽은 TCP일 수 있음) 불안정한 네트워크에서는 때때로 더 느릴 수 있습니다.
• 어떤 경우 방화벽 장애물: 일반적으로 괜찮지만 일부 엄격한 방화벽은 L2TP/IPsec을 중단시키는 UDP 4500/500을 차단할 수 있습니다. 또한 동일한 NAT 뒤에 있는 여러 사용자가 L2TP/IPsec을 사용하여 동일한 VPN 서버에 연결하려고 하면 일부 이전 구현에서 문제가 발생했습니다(이는 IPsec IKE 문제이며 많은 사람이 해결했지만 과거에는 문제였습니다).
• 화려한 기능이 부족함: L2TP는 꽤 오래되었습니다(1999년에 표준화됨). 일부 최신 VPN 프로토콜의 민첩성이나 기능이 없습니다. 예를 들어, 암호화를 동적으로 조정하지 않으며(IPsec이 협상하는 것 이상), 웹 프록시 등을 통과하는 기본 제공 메커니즘이 없습니다(SSTP 또는 OpenVPN이 할 수 있는 것과 같음). 기본적으로 작동하거나 작동하지 않으며, 많은 폴백이 없습니다.
• VPN 필터로 차단할 가능성: 일반 웹 트래픽으로 숨길 수 있는 TLS와 달리 L2TP/IPsec에는 식별 가능한 서명(UDP 500/4500 등)이 있습니다. VPN을 차단하려는 일부 네트워크나 국가는 IPsec과 L2TP를 대상으로 합니다. HTTPS(SSL VPN이 통과)를 허용하지만 알려진 VPN 프로토콜은 차단할 수 있습니다. 따라서 적대적인 상황에서는 L2TP를 차단하기가 더 쉽습니다.
• 암호화 자체 없음: L2TP만 고려하면(IPsec 없이) 안전하지 않습니다. 하지만 일부 특정 시나리오(예: 이미 안전한 네트워크)를 제외하고는 거의 단독으로 사용되지 않습니다. 인터넷 VPN에 IPsec 없이 L2TP를 사용하는 사람은 없으므로 단점이 아니라고 할 수 있습니다… 하지만 설계상 주목할 점은 IPsec과 페어링하는 것입니다.
• 약간 오래됨: 많은 VPN 제공업체와 기업이 IKEv2 또는 OpenVPN/WireGuard를 선호하여 L2TP/IPsec을 단계적으로 폐지하고 있습니다. 예를 들어 Microsoft는 최신 Windows에서 클라이언트 VPN에 IKEv2를 사용하도록 밀어붙이고 있습니다. L2TP는 여전히 작동하지만 “최첨단”으로 여겨지지 않습니다. 이제는 호환성 또는 레거시 선택에 가깝습니다. 예를 들어, 일부 보고서에 따르면 L2TP/IPsec은 제대로 구성되지 않으면 약화될 수 있습니다(예: 약한 암호를 사용하는 기본 설정 또는 강력하지 않으면 무차별 대입 공격을 받을 수 있는 사전 공유 키).

최상의 사용 사례: L2TP/IPsec VPN은 표준 기반의 광범위하게 호환되는 VPN이 필요하고 추가 소프트웨어를 설치하고 싶지 않을 때 좋습니다. 사용 사례는 다음과 같습니다.

• 소규모 사무실 원격 액세스: 멋진 VPN 솔루션을 위한 예산이 없는 소규모 회사는 기본 L2TP/IPsec 서버(많은 라우터와 NAS 기기가 지원)를 사용하여 직원이 연결할 수 있습니다. 직원은 OS에 내장된 VPN 클라이언트를 사용할 수 있습니다. 파일이나 내부 시스템에 액세스하는 것과 같은 작업에 적절한 보안을 제공합니다.
• 기기 호환성 시나리오: L2TP/IPsec만 지원하는 기기(일부 구형 기기 또는 특정 IoT 게이트웨이)가 있다고 가정해 보겠습니다. L2TP를 사용하면 모든 기기가 동일한 VPN 서버에 연결할 수 있습니다. 예를 들어, 구형 Android 버전은 PPTP와 L2TP/IPsec을 지원했지만 OpenVPN은 기본적으로 지원하지 않았습니다.
• 백업 VPN 옵션으로: 조직은 주로 최신 VPN 기술을 사용하지만 기본 VPN을 사용할 수 없는 기기(또는 기본 VPN이 실패하는 경우)를 위한 대체 수단으로 L2TP/IPsec을 사용할 수 있습니다. 모든 OS에 내장되어 있으므로 편리한 백업입니다.
• 암호화 유연성이 필요한 사이트 간: 회사가 지점을 연결하고 비 IP 트래픽을 실행하거나 이중 암호화를 사용하려는 경우 IPsec과 함께 L2TP를 사용할 수 있습니다. 그러나 이는 틈새 시장입니다. 일반적으로 IPsec만 사용하거나 GRE를 IPsec 위에 사용합니다. 그러나 L2TP는 추가 계층이 필요한 시나리오에서 사용될 수 있으며 사용되었습니다(예: 두 개의 LAN을 연결하고 브리징하기 위해 IPsec 터널 내부의 L2TP).
• 교육 또는 랩 설정: 때때로 L2TP/IPsec은 교과서나 과정에서 VPN 개념을 가르치는 예로 사용됩니다(2계층 특성으로 인해 터널링과 암호화를 잘 설명합니다). 따라서 랩 시나리오에 나타날 수 있습니다.

Examples:

• Microsoft Windows Server에는 L2TP/IPsec VPN 클라이언트를 허용할 수 있는 “라우팅 및 원격 액세스 서비스(RRAS)” 역할이 있습니다. 많은 기업이 2000년대와 2010년대에 이를 사용하여 Windows 노트북이 추가 소프트웨어 없이(기본 제공 Windows VPN 클라이언트만 사용) VPN에 연결할 수 있었습니다. 이는 일반적인 L2TP/IPsec 배포의 예입니다.
• Cisco 라우터(예: 이전 Cisco 2800 시리즈 또는 현재 ISR)는 원격 액세스를 위한 L2TP/IPsec 서버 역할을 할 수 있습니다. Cisco의 QuickVPN(이전 클라이언트) 또는 기본 제공 Windows 클라이언트는 L2TP/IPsec을 사용하여 라우터에 연결합니다.
• SoftEther VPN(오픈소스 다중 프로토콜 VPN 서버)은 장치에서 L2TP/IPsec 연결을 허용하고 동시에 다른 프로토콜을 지원할 수 있습니다. 이는 이것이 종종 여러 옵션 중 하나로 포함되는 방식을 보여줍니다.
• 많은 최신 VPN 서비스(상업용)는 실제로 앱에서 L2TP/IPsec을 기본 프로토콜로 더 이상 제공하지 않지만(OpenVPN 또는 WireGuard를 선호) 때때로 수동 L2TP/IPsec 설정을 대체 수단으로 허용합니다. 예를 들어 NordVPN은 앱에서 L2TP를 지원하지 않지만 역사적으로 수동 설정 가이드를 제공했습니다(단계적으로 폐지하고 있지만). 그들은 L2TP가 많은 시스템에서 사용 가능하지만 제대로 구성되지 않으면 가장 안전하지 않다고 언급합니다.
• 흥미로운 용도: 스마트폰에 OpenVPN 앱이 있기 전에 누군가가 휴대전화를 홈 네트워크에 연결하려면 종종 홈 라우터(pfSense 또는 소규모 VPN 서버 등)에 L2TP/IPsec을 설정하여 iPhone이 내장된 VPN을 사용하여 홈으로 다시 연결하고 홈 미디어에서 스트리밍하거나 개인 정보에 액세스할 수 있었습니다. 별도의 앱이 필요 없기 때문에 편리했습니다.

결론적으로 L2TP 자체는 터널링 방법일 뿐(데이터가 통과하는 튜브라고 생각하면 됨)이고 IPsec은 그 튜브를 보호하는 잠금 장치입니다. L2TP/IPsec은 수년간 VPN의 주력 제품이었습니다. 블록에서 가장 빠르거나 가장 화려한 제품은 아니지만, 필요한 작업을 수행하며 거의 모든 곳에서 지원됩니다. 장치에서 VPN 구성 화면을 보면 “L2TP/IPsec”이 옵션으로 나열되어 있을 가능성이 높으며, 이는 널리 사용됨을 나타냅니다.

올바른 유형의 VPN 선택

VPN 유형이 너무 많은데, 어떻게 하면 필요에 맞는 올바른 VPN을 선택할 수 있을까요? 궁극적으로는 사용 사례, 환경 및 우선순위에 따라 달라집니다. 다음은 결정을 내리는 데 도움이 되는 간단한 체크리스트입니다.

집에서 사무실 네트워크에 연결해야 합니까(직원 또는 학생인 경우)?
원격 액세스 VPN 사용 – 이렇게 하면 기기가 개인 네트워크에 안전하게 연결할 수 있습니다. 예: 집에서 일하는 직원은 회사의 원격 액세스 VPN을 사용하여 파일 서버와 내부 사이트에 접속해야 합니다.

여러 위치에 있는 전체 사무실 네트워크를 병합하거나 연결하려고 합니까?
사이트 간 VPN 사용 – 여러 사무실에서 하나의 통합 네트워크를 만드는 데 이상적입니다. 이는 개별 PC가 아닌 라우터/방화벽에서 구성됩니다. 예: 모든 사람이 인트라넷을 공유하도록 지사를 본사에 연결합니다.

주로 온라인 개인 정보 보호, 스트리밍 또는 검열 우회에 관심이 있는 개인입니까?
개인 VPN 사용 – 평판이 좋은 소비자 VPN 서비스에 가입합니다. 인터넷 트래픽을 암호화하고 개인 회사 네트워크에 액세스하지 않고도 IP를 가립니다(필요하지 않을 가능성이 높음). 예: 노트북과 휴대전화에서 ExpressVPN과 같은 개인 VPN을 사용하여 공용 Wi-Fi에서 안전하게 검색하고 지역 차단된 콘텐츠에 액세스합니다.

VPN 사용자가 네트워크를 자주 바꾸거나 이동(차량, 현장 작업)합니까?
모바일 VPN 고려 – 솔루션이 원활한 로밍을 지원하는지 확인합니다(예: IKEv2 기반 VPN 또는 전문 모바일 VPN 클라이언트). 예: 순찰차에 노트북을 장착한 경찰서의 경우 모바일 VPN 솔루션을 배포하여 경찰이 운전하는 동안 연결 상태를 유지합니다.

인프라가 주로 클라우드에 있습니까? 아니면 VPN 인프라를 아웃소싱하는 것을 선호합니까?
클라우드 VPN 선택 – 클라우드 공급업체의 VPN 서비스나 클라우드 VPN 공급업체를 사용합니다. 이렇게 하면 온프레미스 하드웨어가 줄어들고 분산된 인력의 접근성이 향상될 수 있습니다. 예: 모든 서버가 AWS에 있는 스타트업은 AWS 클라이언트 VPN을 사용하여 팀원이 어디서나 클라우드 리소스에 안전하게 액세스할 수 있도록 할 수 있습니다.

고성능 또는 많은 수의 VPN 연결을 위한 전용 장치가 필요합니까?
하드웨어 VPN 어플라이언스 배포 – 견고하고 항상 연결된 연결이 필요하고 전문 하드웨어에 투자할 수 있는 중대형 기업에 가장 적합합니다. 예: 기업 사무실에서는 수천 명의 직원과 사이트 VPN 연결을 안정적으로 처리하기 위해 Cisco 또는 Palo Alto VPN 어플라이언스를 설치할 수 있습니다.

파트너나 계약자에게 VPN을 통해 제한된 액세스를 제공하거나 방화벽을 쉽게 통과해야 합니까?
SSL VPN을 고려하세요. 이를 통해 웹 기반 액세스가 가능하고 복잡한 클라이언트 설정이 필요 없습니다. 사용자가 다양한 기기나 네트워크에 있는 경우에 완벽합니다. 예: 공급업체에 SSL VPN 포털에 로그인하여 전체 네트워크 VPN 대신 내부 시스템의 인벤토리 데이터를 볼 수 있도록 하세요.

사이트 간 네트워크 성능 보장이 최우선 순위이고 예산이 있습니까?
MPLS VPN(공급자 VPN) 사용 – 안정적이고 지연 시간이 짧은 링크(음성, 비디오 또는 중요 데이터용)가 필요하고 비용을 지불할 의향이 있는 경우 통신사의 MPLS VPN 서비스를 선택하세요. 예: 병원 시스템에서는 병원과 진료소를 MPLS VPN으로 연결하여 의료 애플리케이션 데이터와 VoIP 통화가 항상 서비스 품질로 보호되도록 합니다.

앱을 설치하지 않고도 대부분 기기에서 기본적으로 지원되는 VPN이 필요합니까?
L2TP/IPsec(또는 IKEv2 IPsec) 사용 – 이러한 프로토콜은 주요 OS 플랫폼에 내장되어 있습니다. 조금 오래되었지만 호환성이 편리할 수 있습니다. 예: 소규모 기업이 L2TP/IPsec 서버를 설정하면 직원들이 iPhone 및 Windows 랩톱에서 기본 제공 VPN 설정을 사용하여 연결할 수 있으므로 새 앱을 설치할 필요가 없습니다.

원격 액세스에 대한 최신 보안 및 성능이 우선인가요(그리고 사용자 지정 앱을 사용해도 괜찮나요?)
OpenVPN 또는 WireGuard와 같은 최신 프로토콜 사용(원래 목록에는 없지만 맥락상 언급할 가치가 있음) – 이는 사용 측면에서 VPN의 “유형”이 아니지만 원격 액세스 및 개인 VPN의 경우 프로토콜 선택이 중요합니다. 예를 들어, 많은 개인 VPN 서비스가 이제 속도 때문에 WireGuard를 제공합니다. 직원을 위한 새 VPN을 출시하고 모든 기기가 지원할 수 있는 경우 WireGuard(빠르고 가벼운 프로토콜)는 레거시 L2TP보다 원격 액세스 VPN 솔루션에 적합한 선택이 될 수 있습니다.

많은 경우 VPN 유형을 결합할 수 있습니다. 예를 들어, 대기업은 핵심 사이트 연결에 MPLS VPN을 사용하지만 모바일 직원을 위한 원격 액세스 SSL VPN을 사용할 수도 있고, 필요에 따라 사이트 VPN과 원격 VPN을 모두 처리하기 위해 각 사이트에 하드웨어 VPN 장치를 둘 수도 있습니다. 핵심은 VPN 유형을 해결하려는 문제와 일치시키는 것입니다.

• 연결 범위: 개별 사용자 대 전체 네트워크.
• 환경: 온프레미스 대 클라우드 대 하이브리드.
• 이동성: 고정형 대 이동형 사용자.
• 성능 대 비용: 성능이 중요하고 예산이 있는 경우 MPLS, 비용 절감이 더 중요한 경우 인터넷 기반 VPN.
• 고객 고려 사항: 소프트웨어를 설치할 수 있는지 여부(설치할 수 없는 경우 내장형 또는 SSL 포털 솔루션으로 전환).
• 보안 수준: 나열된 모든 VPN은 보안을 제공하지만 추가 보증이나 규정 준수가 필요한 경우 기술을 계층화할 수 있습니다(예: 강력한 인증을 사용한 IPsec 또는 MPLS와 자체 암호화 사용 등).

마지막으로, 관리 및 유지 관리를 항상 고려하는 것을 기억하세요. VPN에는 유지 관리가 필요합니다. 사용자 계정 또는 키 관리, 장치 또는 소프트웨어 업데이트, 문제 모니터링. 클라우드 VPN이나 ​​잘 지원되는 하드웨어 어플라이언스와 같은 솔루션은 수동 작업을 줄일 수 있지만 DIY 솔루션(자체 OpenVPN 서버 실행 등)은 더 많은 제어를 제공하지만 더 많은 실무 관리가 필요합니다.

VPN 종류를 한눈에 비교

VPN 유형	목적	최고의 사용 사례	암호화	프로토콜
원격 액세스 VPN	개별 사용자를 안전하게 프라이빗 네트워크에 연결	원격 근무자, 출장 직원, 원격 작업	IPsec, SSL/TLS	IPsec, SSL/TLS
사이트 간 VPN	다양한 위치 간 전체 네트워크 연결	여러 사무실 네트워크를 안전하게 연결	주로 IPsec	IPsec, GRE, MPLS
개인 VPN	개인 인터넷 트래픽 암호화 및 IP 주소 마스킹	온라인 개인 정보 보호, 지역 제한 콘텐츠 우회, 공용 Wi-Fi	IPsec, WireGuard	OpenVPN, IKEv2, WireGuard
모바일 VPN	사용자가 네트워크를 변경할 때 안정적인 연결 유지	현장 근무자, 간헐적으로 연결되는 장치	IPsec, IKEv2, 독점 프로토콜	IKEv2, IPsec, 독점
클라우드 VPN	클라우드 기반 리소스 및 네트워크에 안전하게 액세스	클라우드 인프라에 안전하게 연결	IPsec, SSL/TLS	IPsec, SSL/TLS
하드웨어 VPN	VPN 기능을 독립적으로 처리하는 전용 장치	대기업에서 VPN 하드웨어가 필요한 경우	장치별로 다름, 주로 IPsec 사용	독점 (Cisco, Palo Alto, Fortinet)
SSL VPN	웹 액세스를 위한 SSL/TLS 암호화 사용	웹 브라우저를 통한 원격 액세스 제공, 클라이언트 불필요	SSL/TLS	SSL/TLS
MPLS VPN	통신업체의 MPLS 네트워크를 통한 안전한 프라이빗 네트워크 연결	고성능 사이트 간 링크가 필요한 기업	자체 암호화는 없으나 제공업체와 안전하게 연결	MPLS
L2TP VPN	IPsec과 결합된 Layer 2 터널링 프로토콜을 사용하여 데이터 암호화	다양한 장치에서의 호환성, 기본 보안 제공	주로 IPsec	L2TP/IPsec

이러한 유형의 VPN과 그 강점을 이해하면 공용 Wi-Fi에서 단일 사용자의 연결을 보호하든 전체 글로벌 기업의 네트워크를 함께 연결하든 필요에 가장 잘 맞는 VPN을 선택할 수 있습니다. 각 유형은 VPN 환경에서 고유한 역할을 하며, 차이점을 아는 것은 작업에 적합한 도구를 배포하는 데 도움이 됩니다.

FAQ: VPN 유형 이해