7-2-1. VPN의 필요성

먼저 한가지 개념을 정리해 보자. 회사와 회사간의 연결하는 방법을 놓고 사설 네트워크와 공용네트워크로 나눠볼 수 있다. <그림7-32>의 예제에서 서울에 본사가 있고, 여수와 부산에 지사가 있고, 재택근무를 하는 클라이언트가 있는 회사가 있다고 가정하자. 서울에서는 ISP를 통해서 인터넷에 접근하도록 구성되어 있다. 서울과 여수, 서울과 부산을 각각 연결하는 방법으로는 2가지를 이용할 수 있는데, 첫번째 방법은 전용회선을 사용하는 것이다. 서울과 여수간에 전용회선을 사용하도록 네트워크가 구성되었다면 이 전용회선은 다른 회사와는 무관해진다. 두 지점간에만 전용으로(Dedicated, Leased) 할당된 회선을 사용하기 때문에 보다 안전하고 빠르다는 장점이 있다. 하지만 단점이라면 상대적으로 비싼 고정비용을 부담해야 한다는 것이다. 이러한 네트워크를 가리켜서 사설네트워크, 혹은 전용 네트워크라고 부른다.

본사와 지사를 연결할 수 있는 두번째 방법은 인터넷을 사용하는 것이다. 부산에 있는 지사의 환경이 부산에 있는 로컬 ISP를 통해서 인터넷으로의 연결이 가능한 상태라면, 인터넷을 통해서 서울의 본사로 연결이 가능하다. 이러한 네트워크는 ‘공용 네트워크’라고 부른다. 또한 재택근무를 하는 클라이언트 역시 인터넷을 사용할 수 있다. 데이콤, KT등의 사업자에게 전화접속을 통해서 인터넷에 접근할 수도 있을 것이고, ADSL, 케이블모뎀 등의 초고속인터넷망을 통해서 인터넷에 접근할 수도 있을 것이다. 클라이언트는 이 연결을 통해서 인터넷을 통한 서울본사와의 연결이 가능하다.

이렇듯 인터넷을 통해서 본지점간, 그리고 클라이언트들까지 회사의 모든 사용자들이 서로간에 데이터를 주고 받을 수 있도록 구성되었는데, 문제는 ‘보안’이다. 서울본사와 부산지사 그리고 재택근무 클라이언트들간의 통신은 인터넷을 통해서 이루어지기 때문에 회사의 중요한 데이터가 인터넷의 수 많은 위험요소에 노출된다는 것이다. 이 부분이 해결되지 못한다면 정보보안을 고려하는 회사에서는 부담이 되더라도 전체조직간에 개인네트워크를 구현할 수 밖에 없다.

회사의 조직들간에서만 데이터를 들여다 볼 수 있고, 인터넷의 제3자는 들여다 보지 못하게 하기 위한 방법이라면 그것은 ‘암호화’기능을 떠 올릴 수 있는데, VPN(Virtual Private Network)은 이름 그대로 ‘가상 개인(사설) 네트워크’를 지원한다. 실제로는 인터넷이라는 공용네트워크를 사용하고 있지만 이 공용네트워크에 가상의 사설 네트워크를 가지는것과 같은 네트워크 환경을 제공하겠다는 것이다. 그것은 바로 VPN연결을 통해 암호화된 터널을 제공함으로써 가능해진다.

<그림7-33>에서 보면 서울본사와 부산지사간에는 VPN디바이스들이 배치되어 있어서 이들 네트워크간의 트래픽을 VPN터널을 통해서 전송할 수 있도록 지원한다. 재택근무 클라이언트는 별도의 VPN디바이스를 가진 것이 아니라 다만 VPN클라이언트 소프트웨어를 통해서 VPN서버에 접속함으로써 인터넷에서 안전한 트래픽을 사용할 수 있도록 지원하고 있다.

실제로 많은 기업들이 도입하고 있고 구현이 되고 있는 방법들이다.

마이크로소프트는 Windows운영체제에서 VPN서버, 클라이언트 기능을 소프트웨어적으로 지원하고 있다. 이것은 VPN전용 하드웨어 장비들과도 호환성이 유지되는 만큼, 응용을 해 볼 만한 기능이다. Windows Server 2003과 Windows XP Professional을 이용해서 VPN서버와 클라이언트를 구현해 보도록 하자.

7-2-2. VPN서버, VPN클라이언트 구현

이미 우리는 VPN서버 구축에 대해서는 다루었다. 언제? 앞에서 전화접속서버를 구현하였다면 이미 VPN서버 구축도 완료되었다. 기본적으로 전화접속서버는 PPTP, L2TP 각각 5개씩의 포트를 활성화시켜서 클라이언트의 VPN접속을 허용하고 있다. VPN서버 전용으로 구현하고자 했다면 앞의 <그림7-4> 라우팅 및 원격액세스 서버 설치 마법사를 수행할 때 ‘일반구성’화면에서 ‘가상 사설망 액세스 및 NAT’를 선택하여 진행하면 된다. 그것은 전화접속 서버를 구성하는 것과 동일한 과정이지만 과정을 마치면 PPTP, L2TP 각각 128개씩의 VPN포트를 구성하게 된다.

VPN클라이언트 구성을 해보도록 하자. 예제의 환경은 Windows XP Professional에서 클라이언트를 구성한 화면이다.

<그림7-34. VPN 클라이언트 구성 1>	‘제어판’à'네트워크 연결’을 클릭했다. 바탕화면의 네트워크환경의 등록정보를 통해서 접근할 수도 있다. 새 연결 마법사를 실행한다.
<그림7-35. VPN 클라이언트 구성 2>	새 연결 마법사가 시작되었다.
<그림7-36. VPN 클라이언트 구성 3>	네트워크 연결형식 선택화면에서 ‘회사 네트워크에 연결’을 선택하고 [다음]으로 진행한다.
<그림7-37. VPN 클라이언트 구성 4>	이번에는 전화접속이 아니라 VPN접속을 하고자 하는 것이니 ‘가상 사설망 연결’을 선택하고 [다음]으로 진행한다.
<그림7-38. VPN 클라이언트 구성 5>	연결의 이름을 지정해 준다. 여러 개의 연결이 있을 때 구분할 수 있는 이름을 사용한다.
<그림7-39. VPN 클라이언트 구성 6>	현재 생성하고 있는 연결을 사용하기 전에 미리 필요한 연결이 있으면 지정한다. 예를 들어서 현재 클라이언트가 데이콤에 전화접속을 하고 나서 그 연결을 통해서 회사의 네트워크에 VPN을 이용한 접속을 하고자 하는 상황이라면 초기연결이 데이콤 접속이어야 한다.   ADSL, 케이블모뎀, 전용선 등의 연결이 이미 맺어져 있다면 필요없는 설정이다. ‘초기 연결을 사용 안함’을 선택했다.
<그림7-40. VPN 클라이언트 구성 7>	VPN서버의 IP address나 hostname을 입력해 준다. 예제에서는 VPN서버의 IP Address를 입력하였다. VPN서버가 유동적이라거나 여러대의 VPN서버가 구성되어 있다면 hostname을 입력하는 것이 좋다. 예를 들면 vpn.mscs.co.kr과 같은 형태를 의미한다.
<그림7-41. VPN 클라이언트 구성 8>	새 연결 마법사가 완료되었다.
<그림7-42. VPN 클라이언트 구성 9>	[마침]버튼을 누르면 <그림7-42>의 창이 열린다. 바로 vpn서버에 접속을 해 보자. VPN서버에 미리 만들어둔 wonsuk 계정을 사용하여 접근을 하였다. [속성]메뉴를 이용하여 클라이언트의 설정을 수정할 수도 있다. [연결]을 누르면 VPN서버에 접속할 수 있다.   이 과정은 앞에서 전화접속 서버에 연결했던 것과 별 차이가 없다.
한가지 고려할 사항이 있다. VPN클라이언트는 일단 VPN서버에 접속이 되고 나면 자신의 기존 TCP/IP설정의 기본 게이트웨이 경로 대신에 VPN서버로의 연결을 기본 게이트웨이로 설정하게 된다. 그 결과 자신의 로컬 네트워크를 제외한 모든 네트워크 트래픽을 VPN서버를 통해서 시도하게 된다.   VPN클라이언트가 VPN서버로 연결을 맺은 것은 특별한 이유가 있어서이다. 예를 들어 재택근무하는 클라이언트가 회사로 중요한 데이터를 전송하고 있다거나, 지사와 본사간에 안전한 데이터 전송을 위함이었는데, 사용자들의 웹서핑과 같은 일상적인 트래픽이 VPN서버로 보내질 필요는 없을 것이다. 이것을 해결하기 위해서는 한가지 설정을 바꿔줘야 한다.
<그림7-43. VPN 클라이언트 구성 10>	네트워크 연결을 열고 VPN접속을 위해서 만든 연결의 등록정보(속성)를 연다.
<그림7-44. VPN 클라이언트 구성 11>	[속성]의 네트워킹 탭의 TCP/IP등록정보를 열고, 고급옵션의 ‘일반’탭에서 ‘원격 네트워크에 기본 게이트웨이 사용’옵션을 해제한다.   이것은 VPN클라이언트가 VPN서버에 접속을 맺고 나서 인터넷 서핑과 같은 일상적인 트래픽은 자신의 네트워크를 사용하고, VPN서버가 있는 네트워크로 가는 트래픽만 VPN을 사용할 수 있도록 해 준다.

7-2-3. 네트워크간 VPN터널 구현 (Demand dial VPN Routing)

시나리오를 하나 생각해 보자. <그림7-45>에서 본사와 지사간의 네트워크는 인터넷을 통한 공용네트워크로 연결되어 있다. 지사에서는 중요한 데이터를 본사의 SQL Server에 업데이트하여야 한다. 인터넷상에서의 도청의 위험에서 벗어나 안전한 데이터 전송을 필요로 한다면 어떠한 솔루션을 제공할 수 있을까? 윈도우 서버에서 제공하는 VPN솔루션으로 해결책을 제시할 수 있다. 인터넷이라는 공용망에 VPN (Virtual Private Network)을 통하여 암호화된 트래픽을 전달할 수 있도록 구성하면 본사와 지사간에는 안전한 통신을 할 수가 있게 된다. 그렇다고 지사의 클라이언트가 본사와만 통신하는 것은 아니다. 사용자들의 인터넷 서핑같은 일반적인 트래픽의 경우는 그냥 통과시키고 본사로 전송되는 트래픽은 VPN을 통해서 전송하고자 한다.

이러한 경우에 Demand-dial 은 최상의 솔루션을 제공할 수 있다. 물론 대용량의 트래픽과 보다 안정적인 VPN솔루션을 원한다면 VPN전용장비를 이용하는 것이 바람직하겠으나 회사에서 추가로 비용을 들이지 않고 이미 존재하는 Windows기반의 파일서버나 기타 서비스를 하는 서버에 추가로 네트워크 어댑터 카드 하나만 추가해서 간단히 구현할 수 있는 방법이기에 가장 저렴하게 원하는 결과를 얻을 수 있다.

본사에서의 서버 설정과 지사에서의 서버설정을 차근차근 알아보도록 하자. 본, 지점 공히 Multi-homed (멀티홈드; 네트워크 어댑터 카드를 여러 개 가진 컴퓨터)로 구현된 Windows 서버 시스템을 필요로 한다.

7-2-3 –1. 본사의 VPN서버 설정

앞에서의 VPN서버 설정과 동일하다. 다만 VPN서버 구성의 마지막 작업으로 2가지 옵션을 체크한다. 먼저 라우팅 및 원격 액세스 관리콘솔의 왼쪽패널에서 서버이름을 마우스 오른쪽 클릭하여 등록정보로 접근한 다음, ‘LAN및 필요시 전화접속라우팅’이 선택되어야 한다.

포트의 등록정보를 확인하여 장치에서 [구성]을 선택하여 ‘필요시 전화접속 라우팅 연결(인바운드 및 아웃바운드)’가 선택되도록 설정한다.

본사의 VPN서버는 간단히 설정을 할 수 있다. 지사의 라우터를 구성하기에 앞서 본사의 서버가 설정이 제대로 되었는지, 지사에서 본사의 VPN라우터로 접근하는데 문제는 없는지 검증해 볼 필요가 있다. 이러한 작업이 번거로워 보이지만, 무턱대고 지사의 VPN서버를 구성했을 때 생길 수 있는 문제를 보다 손쉽게 해결할 수 있을 것이다. 항상 트러블슈팅을 할 때는 문제의 원인을 분석한후 문제의 원인이 될 수 있는 부분을 격리시키든지, 문제의 출발점이 되는 부분을 찾아나가는 것이 제대로 문제해결을 할 수 있는 방법이 된다.

앞에서 VPN클라이언트 설정을 하는 방법을 사용하여 본사의 VPN서버에 잘 접속되는지를 확인하고 이상이 없다면 이번에 지사의 RAS서버를 구현해 보자.

7-2-3-2. 지사의 RAS서버 설정

지사의 RAS서버를 구성해 보자. 기본설정은 본사의 VPN서버와 유사하다.

개념은 간단하다. 지사의 RAS서버에서 VPN연결을 하나 만들고, 지사의 클라이언트가 본사로 가야하는 네트워크 트래픽을 발생시킬 때 이 VPN연결을 통해서 본사의 라우터까지 패킷을 전송할 수 있도록 구성하면 될 것이다. 라우팅 및 원격액세스 서비스는 수동 라우팅 테이블을 만들 수 있도록 지원하고 있다.

<그림7-48. Demand dial VPN Routing구현 3>	먼저 라우팅 및 원격액세스 관리콘솔의 왼쪽패널의 서버이름을 확장해서 보면 아래쪽에 '라우팅 인터페이스'를 찾을 수 있다. 마우스 오른쪽 클릭하여 '새 필요시 전화 접속 인터페이스'를 클릭한다.
<그림7-49. Demand dial VPN Routing구현 4>	마법사가 시작된다.
<그림7-50. Demand dial VPN Routing구현 5>	구성을 해 보자. 인터페이스 이름에는 구별하기 쉽도록 '본사VPN서버'라고 입력한 후 [다음]으로 진행한다.<그림7-50>
<그림7-51. Demand dial VPN Routing구현 6>	연결방법은 VPN을 선택했다. 왜?냐고 물어본다면 맨앞의 시나리오를 참고하라고 얘기해 줄 것이다.<그림7-51>
<그림7-52. Demand dial VPN Routing구현 7>	VPN에서 사용할 프로토콜을 선택한다. 자동 선택을 이용해도 좋다. 기본적으로 PPTP를 사용한다. IPSec을 통한 보안의 강화를 지원하고자 한다면 L2TP를 선택해야 할 것이다.<그림7-52>
<그림7-53. Demand dial VPN Routing구현 8>	VPN서버의 호스트이름 또는 IP주소를 입력한다. <그림7-53>
<그림7-54. Demand dial VPN Routing구현 9>	프로토콜 설정을 한다. 예제에서는 IP패킷만 라우트 하도록 구성을 하였다.<그림7-54>
<그림7-55. Demand dial VPN Routing구현 10>	지사의 라우터에서 본사의 라우터로 연결을 할 때 사용할 계정정보를 입력한다. 물론 이 계정에는 다이얼인 권한이 부여되어 있어야 한다.
<그림7-56. Demand dial VPN Routing구현 11>	인터페이스 설치가 완료되었다. [마침]을 눌러서 마법사를 마친다.
<그림7-57. Demand dial VPN Routing구현 12>	관리콘솔의 오른쪽 패널에 '본사VPN서버'가 추가된 것을 볼 수 있다. 연결상태를 확인해 보라. '연결끊김'으로 표시된 것을 확인할 수 있다. 필요할 때 연결이 만들어지는 Demana-dial 연결이다.
<그림7-58. Demand dial VPN Routing구현 13>	지사에서 본사로 가는 트래픽이 이 인터페이스를 이용하도록 구성을 해야 할 것이다. IP라우팅을 확장하고 '고정경로'를 선택한 수 마우스 오른쪽 클릭하면 '새 고정경로'를 추가할 수 있다.
<그림7-59. Demand dial VPN Routing구현 14>	인터페이스가 위에서 추가한 '본사VPN서버'가 됨을 상기하라. 대상에는 목적지 네트워크를 입력한다. <그림7-45>에서 지사에서 본사의 SQL서버에 데이터를 업데이트하고자 했다. SQL서버는 192.168.7.11을 사용하고 있고, 192.168.7.0 네트워크에 위치해 있다.

이제 작업이 완료되었다. 지사에서 본사로 가는 트래픽이 발생하면 이 지사의 VPN라우터는 본사의 VPN서버로 VPN접속을 한 다음 트래픽을 전달해 주게 된다.

윈도우 서버는 전화접속, VPN접속, 인터넷 연결공유, 라우터 등 다양한 기능의 연결서비스를 제공한다. 이번 장에서는 접속서버 기능과 정책, 인증서비스를 살펴보도록 한다. Windows Server 2003을 기준으로 설명하였지만Windows 2000 Server의 서비스와 기능이나 인터페이스 측면에서 큰 차이는 없다.