02Check Point VPN 소개Check Point VPN 소개
직원이 사무실 밖에서, 그것도 노트북·태블릿·휴대폰 같은 제각각의 기기로 회사 안의 민감한 정보에 접근하는 일은 이제 예외가 아니라 일상입니다. 관리자 입장에서 이 접근이 그 자체로 새로운 보안 구멍이 되지 않게 하는 것이 가장 큰 숙제입니다. Check Point VPN 은 이 숙제를 원격 사용자와 내부망 사이에 암호화된 터널을 세우는 방식으로 풉니다. 이 장은 그 토대가 되는 IPsec VPN, 원격 접속을 가능케 하는 연결 모드, VPN을 이루는 구성요소, 그리고 원격 사용자와 게이트웨이가 실제로 어떻게 연결을 맺는지 까지 큰 그림을 빠짐없이 잡습니다.
IPsec VPN
IPsec VPN 솔루션은 Security Gateway가 다른 게이트웨이·클라이언트와 주고받는 트래픽을 암호화·복호화 하게 해 줍니다. 게이트웨이 사이, 그리고 게이트웨이와 원격 기기 사이의 VPN 연결은 모두 SmartConsole 에서 손쉽게 구성합니다.
Site to Site Community에서는 VPN 네트워크를 Star(별형) 와 Mesh(그물형) 토폴로지로 짤 수 있고, 서드파티 게이트웨이도 함께 포함 할 수 있습니다.
VPN 터널은 다음 세 가지를 보장합니다.
| 보장 항목 | 뜻 |
|---|---|
| Authenticity(인증성) | 표준 인증 방법을 사용해 상대가 정말 그 상대가 맞는지 확인합니다. |
| Privacy(기밀성) | 모든 VPN 데이터를 암호화 해 도중에 엿보더라도 내용을 알 수 없게 합니다. |
| Integrity(무결성) | 업계 표준 무결성 보장 기법으로 전송 중 데이터가 변조되지 않았음 을 확인합니다. |
IKE와 IPsec
Check Point VPN 솔루션은 암호화 키를 관리하고 암호화된 패킷을 보내기 위해 두 가지 보안 프로토콜을 함께 씁니다.
- IKE(Internet Key Exchange) — VPN 터널을 만드는 데 쓰이는 표준 키 관리 프로토콜 입니다. 키를 어떻게 주고받을지를 협상해 터널의 토대를 세웁니다.
- IPsec — 사설망이든 공용망이든 그 위에서 인증되고 암호화된 안전한 IP 통신 을 지원하는 프로토콜입니다.
이 둘의 자세한 동작은 Site-to-Site VPN 가이드의 IPsec·IKE 장에서 더 깊이 다룹니다.
Remote Access VPN
직원이 여러 장소와 여러 기기에서 원격으로 민감한 정보에 접근 한다면, 관리자는 이 접근이 보안 취약점으로 변하지 않도록 반드시 챙겨야 합니다. Check Point의 Remote Access VPN 솔루션은 원격 사용자와 내부망 사이에 VPN 터널을 만들 어 이 문제를 해결합니다. 여기에 Mobile Access Software Blade 를 더하면 Remote Access 기능이 훨씬 더 많은 클라이언트와 배포 형태까지 넓어집니다.
VPN 연결 모드 (VPN Connectivity Modes)
원격 클라이언트는 그 위치와 네트워크 환경 때문에 연결 자체가 까다로운 경우가 많습니다. IPsec VPN Software Blade 는 방화벽이 이런 연결의 걸림돌을 넘게 해 주고, VPN 연결 모드 를 통해 원격 사용자가 어떤 상황에서도 VPN 터널에 붙을 수 있게 보장합니다. 대표적인 걸림돌은 다음과 같습니다.
- 원격 접속 클라이언트의 IP 주소를 미리 알 수 없는 경우.
- 클라이언트가 호텔 LAN처럼 내부(사설) IP 를 쓰는 환경 뒤에 있는 경우.
- 원격 클라이언트가 지원되지 않는 프로토콜 을 써야만 하는 경우.
이런 문제를 두 가지 연결 모드가 풀어 줍니다.
Office Mode
원격 사용자는 로컬 ISP로부터 다른 사용자와 겹치거나 라우팅이 안 되는(non-routable) IP 를 받을 수 있는데, 이러면 트래픽을 제대로 보낼 수가 없습니다. Office Mode 는 이 라우팅 문제를 풀어 줍니다. 내부망에서 쓸 수 있는 IP 주소 하나를 골라 IP 패킷을 그 주소로 캡슐화 해 주기 때문에, 원격 사용자는 마치 사무실 안에 앉아 있는 것처럼 트래픽을 보내며 VPN 라우팅 문제를 겪지 않습니다. 자세한 내용은 Office Mode 장에서 다룹니다.
Visitor Mode
원격 사용자가 머무는 곳에서 HTTP와 HTTPS 트래픽만 허용 되는 경우가 있습니다(공용 Wi-Fi나 까다로운 방화벽 뒤가 그렇습니다). Visitor Mode 는 이런 사용자가 모든 프로토콜을 443 포트의 평범한 TCP 연결 하나로 터널링 하게 해 줍니다. 즉, 겉보기에는 그저 HTTPS 트래픽처럼 보이게 만들어 막힌 환경을 통과합니다.
Remote Access VPN 구성 흐름 예시
처음부터 끝까지 원격 접속 VPN을 세우는 전형적인 순서는 다음과 같습니다. SmartDashboard 로 Security Gateway에서 원격 접속 VPN 연결을 활성화하고 구성 하는 데서 시작합니다. 이어 원격 사용자 정보를 Security Management Server에 추가하는데, LDAP Account Unit 을 만들어 연결하거나, SmartDashboard의 사용자 데이터베이스에 직접 입력 하는 두 갈래가 있습니다. 또한 방화벽이 원격 사용자를 인증하도록 설정합니다. 그다음 방화벽의 접근 제어 규칙과 암호화 규칙 을 정의하고, 방화벽 규칙에 쓸 LDAP 그룹 또는 사용자 그룹 객체 를 만듭니다. 끝으로 VPN Community 객체의 암호화 설정을 만들어 구성 하고, VPN 트래픽이 내부망으로 흐를 수 있도록 방화벽 Rule Base에 접근 규칙을 추가 합니다.
정리하면 이런 단계로 이어집니다.
- 원격 접속 VPN 을 활성화한다.
- 사용자를 어떻게 관리할지 정한다 — LDAP 인가, SmartConsole 사용자 DB인가.
- LDAP을 쓰면 → LDAP을 구성하고, Account Unit 에 사용자를 구성한다.
- SmartConsole을 쓰면 → SmartConsole에 사용자를 구성한다.
- 사용자 인증(user authentication) 을 구성한다.
- 방화벽 규칙에 쓸 LDAP 사용자 그룹 객체 또는 사용자 그룹 객체 를 만든다.
- VPN Community 를 만든다.
- 방화벽 Rule Base 에 VPN 접근 규칙을 구성한다.
- 정책을 Install(설치) 한다.
VPN 구성요소 (VPN Components)
VPN은 다음 세 부류로 이루어집니다.
- VPN 엔드포인트(endpoints) — VPN을 통해 통신하는 양 끝단 입니다. Security Gateway, Security Gateway 클러스터, 또는 노트북·휴대폰 같은 원격 클라이언트가 여기에 해당합니다.
- VPN 신뢰 주체(trust entities) — Check Point Internal Certificate Authority(ICA) 같은 인증 기관입니다. ICA는 Check Point 제품군의 일부로, Security Gateway 사이의 SIC 신뢰 연결을 만들고, 관리자와 서드파티 서버를 인증 하는 데 쓰입니다. 또한 내부 Security Gateway와, VPN 링크를 협상하는 원격 접속 클라이언트에 인증서를 발급 합니다.
- VPN 관리 도구(Management tools) — Security Management Server와 SmartConsole입니다. SmartConsole로 조직은 인트라넷 VPN과 원격 접속 VPN을 정의하고 배포 합니다.
용어 이해하기 (Understanding the Terminology)
VPN을 다룰 때 자주 등장하는 핵심 용어들을 정리합니다.
| 용어 | 뜻 |
|---|---|
| VPN | Virtual Private Network. 공용 인프라 위에서 네트워크와 원격 클라이언트를 잇는 안전한 암호화 연결 로, 인증된 원격 사용자·사이트에게 조직의 네트워크와 자원에 대한 보안 접근을 제공합니다. |
| VPN Domain | 하나의 VPN 게이트웨이가 책임지는, VPN 터널에 연결된 컴퓨터·네트워크의 묶음 입니다. 그 게이트웨이가 암호화를 처리하고 도메인 구성원을 보호합니다. |
| VPN Community | 이름이 붙은 VPN 도메인들의 모음 으로, 각 도메인은 저마다 VPN 게이트웨이가 보호합니다. |
| VPN Security Gateway | VPN Domain 구성원 사이의 트래픽을 암호화·복호화 하는 게이트웨이입니다. Remote Access VPN에서는 보통 한쪽 끝 에, Site to Site VPN에서는 양쪽 끝 에 놓입니다. |
| Site to Site VPN | 보통 서로 다른 지리적 사이트에 있는 두 게이트웨이 사이 의 암호화 터널입니다. |
| Remote Access VPN | Security Gateway와 Endpoint Security VPN 같은 원격 접속 클라이언트(및 커뮤니티) 사이 의 암호화 터널입니다. |
| Remote Access Community | 물리적으로 멀리 떨어진 곳에서 인증과 암호화를 거쳐 내부 보호망에 접근 하는 컴퓨터·어플라이언스·기기의 그룹입니다. |
| IKE (Internet Key Exchange) | IPsec에 기능·유연성·구성 편의를 더하는 암호화 키 관리 프로토콜 입니다. |
| IPsec | 암호화 키와 암호화된 패킷 트래픽을 관리 해 인증·암호화 서비스의 표준을 만드는 보안 VPN 프로토콜 집합입니다. |
원격 사용자와 Security Gateway 사이의 연결 수립
사용자가 Security Gateway 뒤에 보호된 네트워크 자원에 접근하려고 하면, VPN 터널 수립 과정 이 시작됩니다. 먼저 양쪽(peer) 사이에 IKE 협상 이 일어납니다.
IKE 협상 동안에는 양쪽의 신원을 서로 인증 합니다. Security Gateway는 사용자의 신원을 확인하고, 클라이언트는 Security Gateway의 신원을 확인합니다. 인증에는 여러 방법을 쓸 수 있는데, Internal Certificate Authority(ICA)가 발급한 디지털 인증서 가 대표적이며, 서드파티 PKI 솔루션이나 사전 공유 비밀(pre-shared secret) 로도 인증할 수 있습니다.
IKE 협상이 성공적으로 끝나면 클라이언트와 Security Gateway 사이에 안전한 연결, 곧 VPN 터널 이 세워집니다. 이후 클라이언트와 Security Gateway VPN 도메인(게이트웨이 뒤의 LAN) 사이의 모든 연결은 이 터널 안에서 IPsec 표준으로 암호화 됩니다. 사용자가 어떤 식으로든 인증을 요구받는 순간을 빼면, 이 VPN 수립 과정은 사용자에게 거의 보이지 않게 투명 하게 진행됩니다.

위 그림의 각 구성요소는 다음과 같습니다.
| 번호 | 설명 |
|---|---|
| 1 | Host 1. VPN Site 1의 일부입니다. |
| 2 | VPN Gateway 1. VPN Site 1의 일부입니다. |
| 3 | 인터넷(Internet) |
| 4 | 원격 클라이언트(Remote Client) |
| 5 | VPN Gateway 2. VPN Site 2의 일부입니다. |
| 6 | LDAP 서버. VPN Site 2의 일부입니다. |
그림 속 흐름을 순서대로 따라가면 이렇습니다.
- 원격 사용자가 Security Gateway 1 에 연결을 시작합니다.
- 사용자 관리는 VPN 데이터베이스가 아니라, VPN Site 2에 속한 LDAP 서버 가 맡습니다.
- 인증은 IKE 협상 중 에 이루어집니다.
- Security Gateway 1은 Security Gateway 2 뒤의 LDAP 서버에 질의 해 사용자가 존재하는지 확인합니다.
- 사용자의 존재가 확인되면, Security Gateway는 예컨대 사용자의 인증서를 검증 하는 식으로 사용자를 인증합니다.
- IKE가 성공적으로 끝나면 터널이 만들어지고, 원격 클라이언트가 Host 1에 연결 됩니다.
- 만약 클라이언트가 이미 Security Gateway 뒤에 있다면 (예: 사용자가 회사 사무실에서 사내 LAN에 접근하는 경우), 같은 LAN Security Gateway 뒤의 목적지로 가는 연결은 암호화되지 않 습니다.
실제 구성 절차는 시작하기 장에서 이어집니다.