a hand holds a lock; IPSEC is written on it.

온라인 상에서 사람들의 안전과 보안을 강화해주는 가상 사설망 중 하나인 IPsec VPN은 간단하게 IPsec 프로토콜에서 실행되는 VPN이라고 생각하시면 됩니다. 이 외에도 이 VPN에는 정말 다양한 기능이 있는데요! 이번 글에서는 IPsec, IPsec 터널IPsec VPN이 무엇인지 자세하게 알아볼게요. 그럼 기본 개념부터 시작해봐요!

목차

    IPsec란 무엇인가요?

    IP를 해석하면 인터넷 프로토콜이라는 정의가 내려지죠. IPsec은 인터넷 프로토콜 보안 (Internet Protocol Security)의 약자입니다. IP 부분은 데이터의 목적지를 뜻하고 sec은 데이터를 암호화하고 인증하는 것을 의미합니다. 다시 말해, IPsec은 공용 인터넷을 통해 기기 간에 안전하고 암호화된 연결을 설정하는 일련의 프로토콜 모음입니다. IP를 생각했을 때 이보다 좀 더 큰 개념이라고 생각하시면 돼요.

    IPsec의 인터넷 프로토콜 IP 그룹화 방법”에 대해 알아볼게요

    • 인증 헤더(Authentication Header, AH)
    • 보안 페이로드 캡슐화(Encapsulating Security Payload, ESP)
    • 보안 연결(Security Association, SA)

    IPsec은 무엇으로 구성되나요?

    무엇으로 구성되었는지 묻는 것은 어떻게 작동하는지 묻는 것과 거의 다를 게 없습니다. IPsec (Internet Protocol Security)의 주요 목표는 보안 연결을 암호화하고 설정하는 것입니다. 그리고 세 개의 작은 프로토콜 그룹으로 세분화되고 이를 통해 목표를 달성할 수 있게 이루어집니다. 세분화된 세 개의 프로토콜 그룹은 각각 별도의 고유한 작업을 처리합니다.

    A town and a village are connected by a stream that leads into a fortified castle. The town is named AHtown, the village ESPville and the castle is named Fort SA.

    보안 인증 헤더(AH) — 모든 데이터의 출처가 동일하고 해커의 데이터 일부를 정상적인 데이터로 위장하지 못하도록 확인합니다.

    예를 들어, 누군가로부터 봉인된 봉투를 받았다고 상상을 해보세요. 그 봉투의 봉인이 훼손되지 않았다면 아무도 편지를 손대지 않았다는 사실을 알 수 있겠지요? 인증 헤더는 IPsec VPN을 통해 전송되는 모든 데이터에 대해 동일한 기능을 수행합니다. 하지만 해당 작업은 IPsec의 두 가지 동작 중 하나에 불과합니다. 다른 동작은 보안 페이로드 캡슐화입니다.

    보안 페이로드 캡슐화(ESP)보안 페이로드 캡슐화는 암호화 프로토콜로 데이터 패키지를 볼 수 없는 형태로 변환합니다. 암호화 기능 외에도 ESP는 인증 헤더와 유사한 기능인 데이터 인증 및 무결성 확인을 수행할 수 있습니다.

    앞서 언급한 편지 예시로 돌아가 볼게요. 누군가가 중간에 편지를 가로채서 연다 해도, 그 편지는 이해할 수 없는 문자로만 가득 차 있을 겁니다. 사용자 입장에서 보자면, VPN 클라이언트 쪽에서는 암호화가 이루어지고 반대쪽에 있는 VPN 서버에서는 암호화가 처리되는 겁니다.  

    보안 연결(SA)IPsec 연결을 설정하는 두 장치 간에 합의된 사양 집합입니다.

    인터넷 키 교환 (Internet Key Exchange) 또는 키 관리 프로토콜은 해당 사양의 일부입니다. IKE는 다른 장치의 보안 연결과 협상하고 이를 인증할 수 있도록 합니다. IKE는 암호화 키를 다른 장치의 SA와 교환함으로써 안전한 통신 채널을 제공해줄 수 있습니다.

    더욱 쉽게 예시를 들어 설명해 볼게요. 두 스파이가 있다고 상상을 해보세요. SA는 이 두 스파이 사이의 암호와 같다고 보시면 됩니다. SA는 암호화된 메시지를 어떻게 해석하고 누구에게 전달해야 하는지를 알려줍니다. 즉 두 장치 간에 통신 중 정보를 보호하는 방법에 대한 그들만의 합의된 방법인 거지요.

    IPsec의 정보 전송 방법은 어떤가요?

    AH 또는 ESP 헤더 사용을 위해 IPsec을 설정하면 전송 모드 또는 터널 모드 선택을 해야 합니다. 

    IPsec 전송 모드 (Transport Mode): 이 모드는 보내는 데이터를 암호화하지만, 목적지에 대한 정보는 암호화하지 않습니다. 따라서 해커나 사이버 범죄자는 중간에서 가로챈 통신 데이터를 읽을 수는 없지만 언제 어디서 보내졌는지는 파악할 수 있습니다.   

    IPsec 터널 모드 (Tunnel Mode): 터널링은 인터넷을 통해 두 장치 간에 안전한 암호화된 연결을 생성합니다. 따라서 이렇게 생성된 연결은 비공개적이고 안전합니다. IPsec VPN은 이 모드에서 작동하며 IPsec VPN에 터널을 생성합니다. 

    중요한 점은 웹사이트 를 통해 데이터를 전송하는 데 사용되는 두 프로토콜(UDP vs TCP) 중 IPsec은 방화벽을 무시하는 유형의 전송인 UDP(사용자 데이터그램 프로토콜)를 사용하는 것입니다.

    개념을 이해하시는 데에 도움이 됐나요? 지금까지 알아본 모든 내용을 IPsec VPN이라는 앱으로 살펴볼게요!

    IPsec VPN이란 무엇이며 어떻게 작동하나요?

    사설 네트워크, 또는 VPN은 인터넷과 사용자의 연결을 암호화하는 앱입니다. VPN으로 연결을 암호화하기 위해 프로토콜을 사용하며 암호화하는 방법은 다양합니다. IPsec 사용은 그중 하나입니다. IPsec 프로토콜 제품군을 사용하는 VPN을 IPsec VPN 이라고 합니다. IPsec VPN이 작동하는 원리를 알아볼게요! 

    IPsec이 실행 중이라고 가정해 보겠습니다. IPsec VPN을 작동하는 원리는 어떻게 될까요?

    1. 연결을 클릭합니다. 
    2. ESP와 터널 모드를 사용하여 IPsec 연결을 시작합니다. 
    3. SA는 사용될 암호화 유형과 같은 보안 매개변수를 설정합니다. 
    4. 데이터는 암호화된 상태에서 송수신할 준비가 완료됩니다.
    An infographic showing how IPsec connection works between two devices.

    이것이 IPsec의 기본입니다. 단순해 보일 수 있지만, 실제 IPsec VPN 동작 원리는 이보다 조금 더 복잡합니다.

    IPsec은 단계별로 어떻게 작동하나요?

    IPsec을 사용하여 통신하려는 두 대의 장치가 있다고 가정해 봅시다. 한 장치가 메시지를 보내려고 할 때 다음과 같은 일이 발생합니다.

    1. 키 교환 —  IPsec은 각 장치의 메시지를 암호화하고 해독하기 위해 암호화 키(랜덤 문자열)를 설정합니다.
    2. 헤더 및 트레일러 — 인터넷에서 전송되는 모든 데이터는 패킷이라고 불리는 작은 조각으로 나누어집니다. IPsec 프로토콜은 IP 패킷 헤더 앞부분(IP Header)과 끝부분(트레일러)에 인증 및 암호화 정보를 넣습니다. 해당 IP Header와 트레일러는 장치에 데이터 패킷으로 처리해야 할 작업을 알려줍니다.
    3. 인증 — IPsec은 각 데이터 패킷에 고유한 “이름” 또는 ID를 부여하여 인증합니다.
    4. 암호화 — IPsec은 데이터 패킷의 내용을 암호화합니다.
    5. 전송 — 패킷은 전송 또는 터널링 프로토콜을 사용하여 전송됩니다. 
    6. 암호 해독 — 다른 장치가 메시지를 수신하고 해독 키를 사용하여 메시지를 해독합니다.

    IPsec은 MSS와 MTU에 어떤 영향을 미치나요?

    모든 데이터는 데이터 패킷에 담겨 전송되며, 원본 패킷 전체를 측정하는 방법은 바이트 단위입니다.

    MSS또는최대 세그먼트 크기는 데이터 패킷최대 크기(1460바이트)를 나타내는 값입니다.

    MTU최대 전송단위는 인터넷에 연결된 기기가 수용할 수 있는 최대크기(1500바이트)를 나타내는 값입니다.

    해당 패킷에는 전송되는 정보, IP 헤더(20바이트) 및 TCP 헤더(20바이트)가 포함되어 있으며, 모두 크기 제한이 있습니다.

    IPsec은 최대 전송 단위를 변경하지 않지만, 최대 세그먼트 크기 값은 항상 낮춥니다. 아래는 수식으로 증명한 것입니다.

    인터넷을 통한 IP 패킷의 표준 전송량

    MTU(1500바이트) – (IP 헤더(20바이트) + TCP 헤더(20바이트)) = MSS(1460바이트)

    그러나 IPsec은 전송된 데이터에 추가 IP 헤더를 더하므로 전체 IP 패킷의 “가중치”는 저절로 변경될 수 있는 겁니다. 

    MTU(1500바이트) – (IP 헤더(20바이트) + TCP 헤더(20바이트) + IPsec 바이트) = MSS(1460바이트 – IPsec 바이트)

    직접 IPsec VPN 체험하기

    이제 VPN 내에서 IPsec VPN이 어떤 거고 무엇인지 알게 됐어요. 스마트폰에서 VPN을 사용하는 서프샤크 VPN 사용자의 경우, IPsec 프로토콜의 일부인 IKEv2 이름으로 IPsec VPN을 사용 중일 겁니다. 아직 서프샤크 VPN과 함께 해보지 않으셨다면 어서 구독해 보세요. 서프샤크 VPN을 사용해보면 IPsec 그 이상을 제공해준다는 걸 아시게 될 거예요!

    서프샤크로 개인 정보를 완벽하게 보호하세요

    차원이 다른 VPN

    보안 설정하기

    자주 묻는 질문

    IKEv2(인터넷 키 교환 버전 2)는 IPsec 프로토콜 제품군의 보안 연결 부분에서 사용되는 프로토콜입니다.

    사용자를 인증하고, 연결 끝에 있는 장치가 해당 사용자가 맞는지 확인한 다음, Diffie–Hellman 키 교환”을 통해 암호화된 연결을 설정합니다. 암호화된 데이터를 해독하기 위해 암호화 암호를 키로 만들지 않고, 공용 네트워크를 통해 암호화 암호를 전송하는 데 일반적으로 사용하는 방법입니다. 

    IKEv2 프로토콜을 실행하는 IPsec을 IKEv2/IPsec이라고 칭하지만 업계 표준 명칭은 IKEv2입니다. IKEv2는 2005년에 출시되었으며 1995년에 개발된 IKEv1을 사용하는 기존 IPsec의 일부 문제를 개선할 수 있도록 수정한 것입니다.

    IPsec은 안전한가요?

    전 세계 주요 VPN 제공업체는 IPsec을 IKEv2와 함께 사용하면 안전하다고 여깁니다. 하지만 2015년경에 미국 국가안보국(NSA)이 IPsec을 침해했을 가능성있다는 주장이 제기된 걸 확인할 수 있습니다. 만약 이 주장이 맞는다면 NSA는 IPsec에 백도어를 설치했거나 Diffie–Hellman 키 교환을 조작하는 방법을 알아냈을 것입니다. 그러나 일부 보안 프로토콜 전문가들은 해당 주장에 대해 이의를 제기하고 있습니다. 

    대부분 VPN의 제공업체는 IPsec VPN을 대체할 대안을 제공합니다.

    IPsec가 SSL보다 더 좋은가요?

    IPsecSSL(Secure Sockets Layer, 보안 소켓 계층) 성능 비교는 어떻게 보면 사과와 오렌지를 비교하는 것과 같을 수 있습니다. IPsec이 작동하는 방법은 SSL이 OSI (개방형 시스템 상호연결) 모델에서 작동하는 방법과 달라요. 두 프로토콜을 간략히 비교하자면 다음과 같습니다.

    IPsec
    SSL
    네트워크 계층 에서 작동
    응용 계층에서 작동
    프로토콜의 집합
    프로토콜
    VPN으로 작동하려면 소프트웨어 필요(전체 장치 보호)
    소프트웨어로 사용 가능(전체 장치 보호) 및 브라우저를 통해 VPN 연결 가능(브라우저 트래픽만 보호)
    IPsec VPN은 사용자에게 네트워크 전체 액세스 허용
    SSL VPN은 네트워크에 대한 액세스를 사용자가 지정 가능
    IPsec VPN은 클라우드에 구현하기 더 쉬움
    SSL VPN은 클라우드에 대한 추가 구성 필요

    IPsec과 SSL 모두 안전하며, 두 방법 모두 좋은 VPN을 구축하는 데 사용될 수 있습니다. 하지만 두 프로토콜의 안전성은 최종적으로 VPN의 구성, 목표, 및 환경 설정과 VPN의 개발자에게 달려있다는 점을 꼭 인지하셔야 합니다.