지사에서 본사 서버에 안전하게 접속하려면 어떻게 해야 할까요?
많은 기업들이 Site-to-Site VPN을 활용해 떨어진 네트워크를 하나로 연결하고 있습니다.
사무실이 여러 곳으로 나뉘어 있어도 하나의 내부망처럼 묶을 수 있다면, 업무 효율을 크게 향상시킬 수 있습니다. 이번 글에서는 자유롭고 안전한 업무 환경을 만드는 Site-to-Site VPN 기술을 소개할 예정입니다.
Site-to-Site VPN이란?
Site-to-Site VPN은 두 개 이상의 독립된 네트워크를 암호화된 터널로 직접 연결하는 방식의 VPN입니다. 이 기술을 활용하면 물리적으로 떨어져 있는 사무실 네트워크를 마치 하나의 내부망처럼 연결할 수 있죠. 따라서 전국에 지사를 운영하는 기업이나, 해외 사무실과 국내 본사 간 원격 네트워크 시스템을 구축하는 경우에 많이 사용하는 편이에요.
보안성이 높으면서도 구축 비용이 저렴하고, 별도의 VPN 클라이언트를 설치할 필요 없이 쉽게 데이터를 주고받을 수 있어 선호도가 높습니다.
Site-to-Site VPN은 어떻게 작동하나요?
Site-to-Site VPN은 서로 다른 두 네트워크의 게이트웨이 사이에 암호화된 VPN 터널을 통해 데이터 트래픽을 안전하게 주고 받는 방식으로 작동합니다. 이 때, 양쪽 게이트웨이는 IKE(Internet Key Exchange) 프로토콜을 이용해 암호화 키를 안전하게 교환하며, 이 키를 사용해 모든 트래픽을 암호화하고 복호화하는 과정을 거칩니다.
예를 들어, 지사에 있는 직원이 본사 서버에 저장된 데이터를 요청한다고 가정을 해볼게요. 그러면 지사 네트워크의 게이트웨이에서 요청이 암호화되어 VPN 터널을 통해 본사로 전달됩니다. 본사의 게이트웨이는 이를 복호화하여 요청을 확인하고, 시스템에서 찾은 데이터를 다시 암호화하여 지사로 응답을 보냅니다. 지사 게이트웨이는 받은 응답을 복호화하고, 마침내 직원의 컴퓨터에 정보를 전달합니다. 물리적으로 떨어져 있어도 마치 같은 본사 사무실에 있는 것 처럼 시스템을 사용할 수 있는 것입니다.
기업 인프라 시스템은 상황에 따라 온프레미스 서버만 사용하기도 하고, AWS와 같은 클라우드 서비스를 병용하기도 합니다. Site-to-Site VPN은 두 경우 모두에 유연하게 적용할 수 있습니다.
Site-to-Site VPN 의 장단점
Site-to-Site VPN은 기업 네트워크를 안전하게 확장할 수 있는 옵션이지만, 도입 전에 고려해야 할 장단점이 존재합니다. 아래에서 살펴볼게요.
장점
높은 데이터 보안
데이터 트래픽이 네트워크 사이의 암호화된 터널을 통해 전송되기 때문에, 외부 공격이나 데이터 유출로부터 안전합니다. 누군가 데이터를 가로채려고 해도, 이미 트래픽이 암호화되어 해독하기가 매우 어렵습니다.
VPN 클라이언트가 없음
네트워크 단위로 연결되기 때문에 별도의 VPN 클라이언트 설치나 접속 과정이 필요하지 않습니다. 관리자 입장에서도 사용자 지원 부담이 줄어들어 운영이 간편해집니다.
지사와 본사를 하나처럼 연결
직원들이 서로 떨어진 장소에 있더라도, 마치 동일한 LAN 환경에 있는 것 처럼 시스템에 접근할 수 있습니다. 심지어 해외에 사무실이 있어도 동일한 네트워크처럼 연결이 가능합니다. 그래서 쉽게 협업할 수 있고, 업무 효율성이 높아집니다.
저렴한 구성 비용
전용선을 쓰지 않고 기존 인터넷 회선을 그대로 활용하여 보안 네트워크를 구성할 수 있습니다. 인터넷 접속 방식이나 특정 인프라에 크게 구애받지 않으며, 소규모 지사 연결에도 적합합니다.
단점
복잡한 수동 설정 필요함
초기 구성 시 암호화 방식, 터널링 프로토콜, 라우팅 등을 수동으로 직접 설정해야 합니다. 따라서 네트워크에 대한 깊은 이해가 필요합니다. 지점 수가 많아질수록 당연히 설정이 더 복잡해 집니다.
VPN 호환 라우터 또는 방화벽 필요
Site-to-Site VPN 구성을 위해서는 VPN 기능을 지원하는 라우터 또는 방화벽 장비가 필요합니다. 또한 원격 네트워크와 서로 일치하는 프로토콜을 사용해야 하고, 설정 방식도 호환되어야만 터널이 정상적으로 연결됩니다.
네트워크 성능이 저하될 수 있음
암복호화, 그리고 라우팅 구조에 따라 네트워크 성능이 저하되기 쉽습니다. 특히 본사를 중심으로 트래픽이 모이는 허브 앤 스포크(Hub-and-spoke) 방식을 사용하면 불필요한 지연이나 병목 현상이 발생할 수 있습니다.
Site-to-Site VPN 연결을 구성하는 방법
Site-to-Site VPN 연결 방식은 네트워크 인프라 구성에 따라 크게 두가지로 나눌 수 있습니다. 일반적으로는 온프레미스 서버끼리 직접 연결하는 방식을 가장 많이 사용합니다. 최근에는 AWS 클라우드에 신규 서비스를 구축하고, 기존 온프레미스 환경과 VPN으로 연동하는 방식도 널리 사용되고 있습니다.
온프레미스와 온프레미스 연결
온프레미스 네트워크를 상호 연결하기 위해서는 양측 모두 VPN 기능이 있는 라우터나 방화벽 장비를 갖추고 있어야 하며, 설정도 양측 대칭적으로 해야 합니다.
- VPN 연결용 장비 준비
Site-to-Site VPN을 구성하기 위해서는 양쪽 사무실(또는 데이터센터) 모두에 공인 IP를 가진 VPN 라우터나 방화벽이 필요합니다. 장비는 IPsec을 지원해야 하며, 대부분 Cisco, Mikrotik, pfSense, Fortinet 등을 사용합니다. - VPN 터널 설정 정보 입력
서로의 공인 IP 주소, 사설 네트워크 대역(CIDR), 암호화 방식, 인증키(PSK) 등을 맞춰서 입력합니다. 두 장비의 설정이 정확히 일치해야 VPN 터널 연결이 성립됩니다. - VPN 터널 연결 상태 테스트
설정이 완료되면 각 장비에서 터널이 제대로 연결되었는지 확인합니다. 대부분의 장비에서는 ‘IKE 상태’, ‘IPsec 터널 상태’ 등의 정보를 통해 실시간 연결 상태를 확인할 수 있습니다. - 라우팅 경로 설정
VPN 트래픽이 터널을 통과하도록 각 라우터에 경로를 지정합니다. 보통은 정적 라우팅을 사용하는데 일부는 BGP 라우팅을 사용하기도 합니다. - 방화벽 및 NAT 규칙 조정
방화벽에서 관련 포트를 열어주고, VPN 트래픽이 차단되지 않도록 NAT 예외처리를 해줍니다.
온프레미스와 클라우드(AWS) 연결
AWS는 ‘AWS Site-to-Site VPN’라는 표준 IPsec VPN 서비스를 공식적으로 제공하고 있습니다. 온프레미스 네트워크와 AWS 양쪽을 모두 설정하여, Site-to-Site VPN 연결을 할 수 있습니다.
- 가상 프라이빗 게이트웨이(Virtual Private Gateway)를 생성하여 VPC에 연결
먼저 AWS 안에 Site-to-Site VPN 연결을 위해 가상 프라이빗 게이트웨이(Virtual Private Gateway)를 만듭니다. 이 게이트웨이는 AWS에서 VPN 터널을 받아들이는 입구 역할을 하는데, 이를 Amazon VPC(아마존 가상 프라이빗 클라우드)에 연결해야 합니다. - 고객 게이트웨이(Customer Gateway) 생성
온프레미스 네트워크의 라우터 정보(공인 IP 주소, BGP 라우팅 정보 등)를 입력하여 고객 게이트웨이(Customer Gateway)를 만듭니다. 이렇게 하면 AWS가 어떤 외부 네트워크와 VPN을 연결할 지 알 수 있습니다. - Site-to-Site VPN 연결 생성
앞서 만든 두 게이트웨이(가상 프라이빗 게이트웨이, 고객 게이트웨이)를 연결해 Site-to-Site VPN 터널을 구성합니다. 기본적으로 두 개의 IPsec 터널이 자동으로 생성되어 장애 상황에도 안정적인 연결이 유지됩니다. - 온프레미스 장비에 AWS 구성 파일 적용
이제 온프레미스 네트워크로 넘어와서, AWS에서 제공하는 설정 파일을 적용합니다. AWS는 다양한 장비(Cisco, pfSense 등)에 맞춘 설정 파일을 제공하고 있습니다. 이를 적용하면 VPN 터널이 실제로 연결됩니다. - 양쪽에서 라우팅 설정 완료
마지막으로 AWS의 라우팅 테이블과 온프레미스 네트워크의 라우터에 각자의 IP 대역 정보를 입력하면 트래픽이 VPN을 통해 오갈 수 있습니다.
원격 접속 VPN vs Site-to-Site VPN
많은 사람들은 기업 시스템에서 VPN을 사용한다고 하면, 원격 접속 VPN(Remote Access VPN)을 먼저 떠올립니다. 회사 밖에서 개인 노트북을 펼치고, VPN 클라이언트에 로그인하여 사내 시스템에 접속하는 과정, 여러분도 해보셨나요? 원격 접속 VPN은 외부에서 회사 내부 시스템에 연결할 수 있도록 하는 목적으로, 재택근무나 외근이 많은 업무 환경에서 널리 사용됩니다.
그러나 Site-to-Site VPN은 원격 접속 VPN과는 다른 특징을 가지고 있으며, 서로 떨어진 지사 간의 네트워크를 상호 연결하는 데 사용할 목적으로 만들어졌습니다. 아래에서 원격 접속 VPN과 Site-to-Site VPN의 구체적인 차이점을 한눈에 표로 알아볼게요.
|
구분
|
원격 액세스 VPN
|
Site-to-Site VPN
|
|
용도
|
재택근무자, 외근 직원들이 사내 시스템에 접근
|
본사-지사, 또는 지사-지사를 연결하기 위함
|
|
연결 방식
|
사용자 기기에 VPN 클라이언트를 설치하여 기업 네트워크에 접속
|
각 지점의 게이트웨이 장비를 통해 네트워크 간 자동 연결
|
|
설정 난이도
|
낮음 (VPN 클라이언트 설치)
|
높음 (장비 설정 필요)
|
|
보안
|
사용자 인증과 기기 보안을 기반으로 높은 수준의 보안성 유지
|
암호화 VPN 터널 부분은 안전하지만, 각 지점에 추가적 보안장치 필요
|
|
확장성
|
사용자 수가 많아져도 유연함
|
지점 수 증가시 복잡함
|
|
관리 방식
|
사용자 기기, 접속 등 개별 관리 필요
|
네트워크 단위로 중앙 집중식 관리
|
참고로 우리가 흔히 생각하는 상용 VPN들은 모두 원격 접속 VPN입니다. 사용자는 VPN 클라이언트를 설치하고, 원하는 서버에 접속하여 인터넷 트래픽을 암호화하고 IP 주소를 마스킹할 수 있습니다.
Surfshark는 간단한 설치만으로 개인 사용자가 쉽게 온라인 상에서 자신을 보호할 수 있도록 도와줍니다. 또한 다양한 서버 위치, 고급 암호화 기술로 보안성과 프라이버시를 보장합니다.
자주 묻는 질문
Site-to-Site VPN은 속도가 빠른가요?
Site-to-Site VPN의 속도는 네트워크 구성, 장비 성능, 암호화 방식 등에 따라 달라집니다. 그러나 일반적으로 고성능 라우터와 안정적인 회선을 사용할 경우 큰 속도 저하 없이 안정적으로 구성할 수 있습니다. 최신 VPN 프로토콜을 사용할 경우 속도를 더 향상시킬 수 있습니다.
어떤 프로토콜이 Site-to-Site VPN에 가장 적합한가요?
현재 Site-to-Site VPN에는 IPsec 프로토콜이 가장 널리 사용되고 있습니다. 그러나 WireGuard나 OpenVPN과 같은 최신 프로토콜도 고려해 볼 수 있습니다. 네트워크 구성과 요구사항에 따라 원하는 프로토콜을 선택하시면 됩니다.
개인 사용자에게도 Site-to-Site VPN 사용이 권장되나요?
아니요. Site-to-Site VPN은 기업 환경에서 사용되는 기술로, 개인 사용자에게는 불필요합니다. 일반적인 인터넷 보안이나 위치 변경이 목적이라면 Surfshark와 같은 상용 VPN 서비스를 사용하면 됩니다.
