사설 네트워크 ? 공용 네트워크 ? (Private Network vs. Public Network)

주변에서 많이들 듣는 용어일 것이다. 뚜렷하게 이들 용어를 구분짓기는 어려운 일일지도 모른다. 하지만 각각의 어떠한 상황에서, 어떠한 구조에서 쓰이는 용어인지는 알아두어야 한다. 당신이 운영하는 네트워크가 어떠한 모습인지도 모르고 있다면, 그리고 현재 구현하고자 하는 것이 어떠한 네트워크 환경인지를 모른다면 안될 말이다.

이들 용어는 다분히 주관적이기도 하고, 조금은 혼돈되어 사용되기도 한다. 필자가 생각하는 이들 네트워크의 분류에 대해서 설명하고자 한다. 사설네트워크와 공용네트워크를 2가지 분류로 구분해 볼 수 있다.

먼저 첫번째 분류는 회사와 회사간의 연결하는 방법을 놓고 사설 네트워크와 공용네트워크로 나눠볼 수 있다. 서울에 본사가 있고, 여수와 부산에 지사를 둔 회사가 있다고 가정하자. 서울에서는 ISP를 통해서 인터넷에 접근하도록 구성되어 있다. 서울과 여수, 서울과 부산을 각각 연결하는 방법으로는 2가지를 이용할 수 있는데, 첫번째 방법은 전용회선을 사용하는 것이다. 서울과 여수간에 전용회선을 사용하도록 네트워크가 구성되었다면 이 전용회선은 다른 회사와는 무관해진다. 두 지점간에만 전용으로(Dedicated, Leased) 할당된 회선을 사용하기 때문에 보다 안전하고, 보다 빠르다는 장점이 있다. 하지만 단점이라면 상대적으로 비싼 고정비용을 부담해야 한다는 것이다. 이러한 네트워크를 가리켜서 사설네트워크, 혹은 전용 네트워크라고 부른다.

본사와 지사를 연결할 수 있는 두번째 방법은 인터넷을 사용하는 것이다. 부산에 있는 지사의 환경이 부산에 있는 로컬 ISP를 통해서 인터넷으로의 연결이 가능한 상태라면, 인터넷을 통해서 서울의 본사로 연결이 가능하다. 이러한 네트워크는 ‘공용 네트워크’라고 부른다.

두번째 분류는, 비슷하지만 다른 측면으로의 접근이다.  단순히 생각하면 “TCP/IP기반의 모든 컴퓨터들은 IP Address라는 것으로써 구분을 하게 되는데 이때 네트워크ID를 사설 네트워크를 위해 예약된 네트워크 ID[1]를 사용하면 사설네트워크이고, 그 밖의 네트워크ID를 사용하면 공용(공인) 네트워크이다.”라고 정리할 수도 있다.

이것은 대부분의 경우는 올바른 답이라고 할 수도 있다. 그렇지만 어떤 컴퓨터가 공용IP주소를 사용하고 있다고 해서 그것이 반드시 공용네트워크에 있는 컴퓨터라고 볼 수는 없다. 보다 명확히 정리할 필요가 있다. 그것은 사용자 입장에서 봤을 때 자신의 컴퓨터와 인터넷 사이에 있는 중간 매개체 (라우터 등) 의 역할에 따라서 달라질 수 있다. 즉, ‘사용자가 인터넷에 접근하기 위해서 거치는 중간 인터페이스에 해당하는 장비에서 어떤 작업을 해 주는가?’ 이것이 바로 사설(개인) 네트워크와 공용네트워크를 구분지을 수 있는 기준점이라고 보는 것이다.

사용자들은 인터넷에 접근하기 위하여 로컬 라우터를 통과해야 한다. 라우터가 하는 일중 ‘라우팅’은 사용자로부터 받은 패킷을 목적지 컴퓨터가 있는 곳으로 갈 수 있는 네트워크로 포워딩하는 일이다. IP패킷의 흐름에 대해서는 이 책의 1장.TCP/IP <그림1-16>과 관련된 설명을 참고하라. 거기서 MAC Address는 계속 변하지만 원본 컴퓨터가 목적지 컴퓨터를 찾아가지 위해 생성한 IP Packet의 목적지, 원본 IP Address 부분은 라우터를 거치는 동안에 변화가 없었음을 알아야 한다.

<그림8-2>를 보면서 설명한다. 예를 들어서 211.234.93.250 IP의 클라이언트가 211.232.71.131을 사용하는 외부의 웹서버와 통신을 하고자 한다. 클라이언트 컴퓨터는 211.232.71.131를 목적지로 하는 IP패킷을 생성하고 전송할 것이다. 이때 기본게이트웨이로 설정된 211.234.93.1을 경유하게 되고 결국 211.232.71.131 웹서버까지 패킷은 도달하게 된다. 웹서버는 클라이언트의 요청에 응답을 해야 할 것인데, 그때 웹서버는 거꾸로 211.234.93.250을 목적지로 하는 IP패킷을 생성하여 인터넷을 통해 전달을 하게 된다. 이러한 통신은 잘 이루어진다. 이 경우 211.234.93.250 IP의 클라이언트는 ‘공용 네트워크’에 있다고 할 수 있다.

다른 경우를 들여다 보자. 이번에는 클라이언트의 IP Address를 192.168.0.2로 할당해 보았다.<그림8-3>

예제의 그림에서는 192.168.0.2 IP의 클라이언트가 211.232.71.131을 사용하는 외부의 웹서버와 통신을 하고자 한다. 클라이언트 컴퓨터는 211.232.71.131를 목적지로 하는 IP패킷을 생성하고 전송할 것이다. 이때 기본게이트웨이로 설정된 192.168.0.1을 경유하게 되고 결국 218.55.9.37 웹서버까지 패킷은 도달하게 된다. 웹서버는 클라이언트의 요청에 응답을 해야 할 것인데, 그때 웹서버는 거꾸로 192.168.0.2를 목적지로 하는 IP패킷을 생성하여 인터넷을 통해 전달을 하려는 시도를 할 것이다. 이 때 웹서버로부터의 응답이 클라이언트에게까지 전달될 수 있을까?

이것은 통신실패라는 결과를 가져온다. 192.168.0.1이라는 호스트가 어디에 있는지를 인터넷에서는 알지 못한다. 다시 말하면 인터넷상의 라우터의 라우팅 테이블에서는 192.168.0.0, 이러한 개인네트워크를 위해 예약된 IP Address들은 라우팅 경로에서 찾아볼 수 없다. 결국 개인네트워크에 해당하는 IP Address를 가지고서는 인터넷의 공용네트워크에 있는 컴퓨터들과의 통신이 이루어지지 않는다는 것을 의미한다.

그렇다면 어떻게 해야 할까? 이 경우 클라이언트가 속한 네트워크에서 외부 인터넷으로의 접근을 위해서는 중간에 NAT(Network Address Translation, 네트워크 주소 변환)작업이 필요하다. 클라이언트는 처음에 송신자(192.168.0.1), 수신자(211.232.71.131)를 담은 IP패킷을 생성하지만 인터넷으로 나가기 전에 다시 NAT의 외부 인터페이스, 즉 211.234.94.1의 IP주소로 주소변환이 된다. 송신자(211.234.94.1), 수신자(211.232.71.131)의 형태로 IP주소가 변환되어 웹서버에게 패킷이 전송되는 것이다. 요청을 받은 웹서버는 실제 송신자인 192.168.0.2로 패킷을 보내는 것이 아니라, 211.234.94.1을 목적지로 하는 IP패킷을 생성하여 응답하기 때문에 인터넷에서 통신이 잘 이루어 진다.

회사에서 외부 인터넷과는 격리되는 자신들의 개인 네트워크를 만들게 되면 보안의 수준은 한층 올라갈 수 있게 된다. 하지만 모든 클라이언트들은 여전히 인터넷에 접근하기를 원한다. 사실 현 시점에서 하루종일 인터넷에 접근을 하지 못하도록 통제를 한다면 업무의 상당부분은 차질을 빚을 수 밖에 없을 것이다. 결국 인터넷과 분리된 개인 네트워크의 사용자라고 하더라도 사용자들의 인터넷 접근은 제공해 줄 수 있어야 한다는 것이다.

또 한가지 측면은 선택이 아니라 필수적으로 제공해야 하는 경우도 있다. 회사의 직원들이 50명인데 공인 IP는 10개밖에 할당받지 못했다면 어떻게 할까? 또, ADSL모뎀이나 케이블모뎀등의 서비스를 이용해서 하나의 공인IP를 사용할 수 있는데 그 IP Address 하나를 이용해서 내부의 다른 사용자들까지 인터넷을 쓸 방법이 없을까? 더 간단한 경우는 집에서 컴퓨터는 2대인데 하나의 외부라인을 가지고 둘다 인터넷을 쓰고 싶을 때는 어떻게 할까? 이런 상황에서 Windows 2000, 2003에서 제공하는 기능들을 이용하여 효과적인 인터넷 환경을 구현해 볼 수 있다.

개인 네트워크를 구현하고자 하는 이유는 크게 두가지가 있다. 첫번째는 공용 IP Address를 절약하면서 여러대의 컴퓨터들이 동시에 인터넷에 접속하고자 할때이고, 두번째는 네트워크의 보안을 향상시키기 위한 방법으로 개인네트워크를 구성하는 것이다. 네트워크의 안전을 고려한다면 이제 개인네트워크는 IP부족으로 인한 ‘어쩔수 없는 선택’이라는 측면보다는, 회사 네트워크와 컴퓨터들의 안전 나아가서는 정보의 보호를 위해서 ‘필수적인 선택’이라는 생각으로 개인(사설) 네트워크의 도입을 검토해 보아야 한다.

시나리오를 통해서 개인네트워크를 구성해 보도록 하자.

<그림8-4>에서 보는 바와 같이 192.168.0.0 네트워크 ID를 사용하는 개인 네트워크가 있고, 개인네트워크에는 1대의 웹서버와 2대의 클라이언트 컴퓨터가 있다. 이 컴퓨터들을 인터넷에 연결할 수 있게 하기 위하여 공인IP 하나를 받았고, 이 하나의 공인IP를 통하여 개인네트워크의 모든 컴퓨터들이 인터넷을 사용하기를 원한다. 당신은 Windows Server 2003을 한 대 설치하고 네트워크 어댑터 카드 2장을 설치했다. 한 장의 카드에는 공인IP를 할당하고, 다른 한 장의 카드에는 개인네트워크에 연결되기 위한 192.168.0.1 의 IP Address를 할당했다. 이제 기본구성은 되었다. 남은 것은 이 서버가 개인네트워크에 있는 클라이언트의 요청을 외부 인터넷으로 연결될 수 있도록 구성해 주면 되는 것이다.