IPSecVPN (IP Security Protocol VPN) 이란?

IPSec은 이전 포스팅에서도 간단히 살펴본대로, 네트워크 계층의 보안을 위한 프로토콜로 VPN에 널리 쓰이고 있다. 그리고 이 IPSec 프로토콜을 사용한 VPN을 IPSecVPN이라고 한다.사실 IPSec은 VPN을 구현하기 위해 만들어진 VPN 프로토콜이기 때문에 그냥 IPSec과 IPSecVPN을 동의어로 봐도 될 것이다.

 

IPSec은 진짜 간단히 정리하자면 그냥 'IP 프로토콜에 보안성(암호+인증)을 입혀 사설망과 같은 보안 효과를 갖지만 가상 사설망이기 때문에 비용은 저렴한 방식'이라고 설명할 수 있겠다. 또한 IPSec은 IP 프로토콜이 3계층이기 때문에 당연하게도 3계층 터널링 프로토콜이다. 따라서 암호화 인증은 네트워크계층 상에서 IP 패킷 단위로 이루어진다.

 

3계층에서 보안성이 이루어진다면 어플리케이션 종속적이지 않게된다. 이게 무슨 뜻이냐면, 예를 들어 특정 어플리케이션을 위한 보안 솔루션이 만들어졌다고 해보자. 그러면 해당 보안 솔루션은 어플리케이션을 설치하는 시스템마다 전부 설치되어야하고, 어플리케이션이 업그레이드 혹은 패치라도되면 그에 맞게 보안 솔루션도 변경해야 하게 되는 것이다.

 

또한, 한가지 알아두어야 할 것이 IPv6에서는 IPSec이 디폴트라는 것이다. 그럼 이제, 아래에서 IPSec의 두가지 모드에 대해 알아보자.

 

 

IPSec의 두가지 모드

IPSec은 '전송 모드(transport mode)'와 '터널 모드(tunnel mode)' 두 가지 모드를 지원한다. 전송 모드는 IP 패킷 전체가 아닌 페이로드만을 보호하고 터널 모드는 IP 패킷 전체를 보호한다. 아래 설명과 그림을 함께 보며 좀 더 자세히 이해해보자.

 

전송 모드 (Transport Mode)

전송 모드는 IP 헤더를 제외한 IP 패킷 페이로드만을 보호하는 방식이다. 즉, IP 계층의 상위 프로토콜인 전송 계층의 데이터(좀 더 자세히는 TCP/UDP 헤더 + 데이터)만을 보호하는 것이다. 전송 모드의 패킷 모양과 본래 IP 패킷 모양을 비교해보면 IPSec 헤더가 추가되어 있는 것을 볼 수 있다.

 

그리고 당연히도 IP 페이로드를 구성하는 요소에 IPSec 헤더도 들어가게 된다. 사실 이 헤더가 추가됐다는 것만으로 IP 페이로드를 보호한다는 것은 당연히 아니다. 어떠한 보안 프로토콜을 통해 보안성이 입혀지고난 후 (아래에서 자세히 살펴볼 예정) 관련 정보를 표시해야하기 때문에 이 정보를 헤더에 담는 것이다.

 

어쨌든 IPSec 헤더가 감싸는 구성에 IP 헤더는 포함되지 않으므로 전송 모드는 IP 헤더를 제외한 IP 페이로드만을 보호하는 방식이라고 하는 것이다.

 

 

 

IP 패킷과 IPSec 전송 모드 IP 패킷 비교

 

터널 모드 (Tunnel Mode)

전송 모드와는 달리 터널 모드는 IP 패킷 전체를 보호한다. 아래 그림을 보면, 위에서 살펴본 전송 모드와 패킷 구성이 어떻게 다른지 한눈에 알 수 있다. 터널 모드에서는 IPSec 헤더가 IP 패킷 전체인 IP 헤더 + IP 페이로드 앞에 위치해 있다. 게다가 새로운 IP 헤더가 IPSec 헤더 앞에 추가되어 있다.

 

새로운 IP 헤더가 추가된건 본래의 IP 헤더가 IPSec 헤더 뒤에 위치하게 됐으니 이대로 패킷을 구성하게 되면, 라우팅 정보가 없게 되므로 패킷이 원하는 목적지에 도달할 수가 없다. 따라서 라우팅 정보 추가를 위해 본래의 IP 패킷은 보호하면서도 새로운 IP 헤더를 추가하는 것이다. 이렇게 되면, 전송 모드와는 다르게 트래픽 정보 노출을 방지할 수 있게 된다.

 

 

 

IPSec 터널 모드 IP 패킷

 

터널 모드(Tunnel Mode) : 터널 게이트웨이 사이에서 터널이 생성되며 사설 IP 주소를 사용할 수 있고 IP 헤더를 포함한 전체 패킷에 대해서 암호화되어 전송되는 모드이다.

전송 모드(Transport Mode) : 최종 단말 사이에서 터널이 생성되며, 출발지와 도착지 주소를 기반으로 QoS를 제공할 수 있고, IP 헤더를 제외한 Payload를 암호화하여 전송하는 모드이다.