<정보보안을 조명한다>(2)VPN 구현시 고려 사항

　기업 네트워크를 전용선 위주에서 인터넷을 이용한 각 지점간 통신망 구축으로 전환하면서 이에 대한 접근 인증을 위해 가상사설망(VPN) 시스템을 도입하는 기업들이 늘어가고 있다.

　내외부간 정보 공유를 위한 사용자 인증의 방법으로 구현하는 VPN은 본질적으로 보안문제들을 다소간 해결해준다. 그러나 적용 과정에서 종종 다른 문제들을 야기하는 것 또한 사실이다.

　미국의 IT 실무자들도 VPN 게이트웨이를 제대로 구성하기 어렵다고 한다. 이를테면 NAT와 IPSec간의 충돌로 정상적인 패킷이 거부되거나 드롭되는 경우가 발생한다거나 원격지의 고객을 효과적으로 관리하기 위한 방법이 없다는 등 VPN을 도입한 후 많은 불만을 제기한다.

　지난 4월 ‘인포메이션 시큐리티’가 조사한 설문 결과를 참고해보면 조사 대상의 36% 이상이 ‘중앙집중관리의 어려움’을 꼽았고, 27%가 NAT·IPSec·PPTP 등에서의 호환성 문제를 지적했다.

　VPN은 새로운 개념도 아니고 지난 수년 동안 운영돼온 인터넷 표준인데 왜 이런 문제들이 VPN의 성공적인 활용을 방해할까. 복잡한 기술적 문제가 있는 경우 답이 쉽게 나오지 않는다. 이는 작은 문제들이 복합적인 형태로 나타날 수 있고, 어떤 경우에는 VPN 자체에 대한 문제, 다른 경우에는 좀더 큰 문제와 결합된 형태가 있을 수 있다.

　그것은 주로 VPN 자체의 결함보다는 VPN을 도입하는 기업들의 구현에 더 큰 원인이 있다.

　VPN 구축 및 활용 상 제기되는 가장 큰 이슈는 크게 세 가지로 나눌 수 있다.

　첫째, 불안정한 VPN 시스템에 대한 지속적인 개선안을 적용하지 못한다. 즉 VPN을 구현하는 데 필요한 기술·표준·구현방법에 대한 고민이 전혀 없는 상태에서 무작정 남들이 하니까 우리도 한다는 식으로 적용해놓고 완벽한 활용에 대한 시스템 개선 내용에는 무관심하다.

　둘째, 어떤 방법으로 구현할지에 대한 전개 시나리오를 선택하는 데 신중하지 않다. 기업간 시스템에는 큰 차이가 있음에도 전개의 어려움이나 고비용을 이유로 해당 기업에 딱 맞는 시스템 적용이 되지 않는 경우가 많다.

　셋째, VPN 제품을 선정하는 데 있어 고려해야 할 요소들, 예컨대 제품 유형, 구성·네트워크 배치 방식, 라우팅 방법, 접근통제 방식, 지원하는 프로토콜 및 인증 메커니즘, 트래픽 관리 방법, 모니터링·리포팅 방법, 관리 방법 및 전체 소요비용 등을 검토하고 적용하는 데 소극적이라는 것이다.

　이는 곧 체계적인 계획과 관리의 부재를 보이는 상황을 이끌어 낼 수밖에 없다.

　각 기업의 환경에 적합한 구현방법을 고민하고 비용과 관리의 효율성을 따져 시스템을 선정한 후 최적의 구현을 위한 지속적으로 시스템을 개선한 후에야 과연 VPN의 효율성을 따져도 늦지 않을 것이다.

<애덤 버나우 트루시큐어아시아 보안 애널리스트 abernau@trusecure.com>