IPSec vs. MPLS 기술 조명

올들어 큰 이슈가 되고 있는 VPN(Virtual Private Network)이란 기술에는 여러 가지가 있다. VPN이 출현한 가장 큰 이유는 사설망과 공중망에 대한 장점들을 통합한 효율적인 네트워크를 구성하기 위한 것이다.하지만 현재는 기업 네트워크를 어떻게 효율적으로 통합 관리하고 아웃소싱 서비스를 하느냐에 따라 그 개념은 상당히 광범위하게 사용되고 있다. VPN의 많은 정의와 기술 중에서 가장 부상하는 2가지 분명한 기술은 IPSec과 MPLS(MultiProtocol Label Switching)이다. 2가지 기술은 IETF에서 시작 당시 작업그룹에서 많은 차이를 보인다. IPSec의 작업그룹은 Security Area(www.ietf.org/html.charters/ipsec-charter.html)에 포함돼 있으며 MPLS의 작업그룹은 Sub-IP Area(www.ietf.org/html.charters/mpls-charter.html)에 포함돼 있다. 이 2가지 기술은 각각 나름대로 장점을 가지고 있으며 필요로 하는 네트워크 모델에 따라 차별 적용할 수 있다. 서로 대치되거나 경쟁적인 솔루션으로 볼 수 없고 상호보완적인 기술의 관점에서 봐야 한다. 전용 보안 장비로 발전한 IPSec먼저 기술에 대한 근본 개념부터 시작해 보자. IPSec은 일반 공중망의 데이터를 볼 때 IP 기반 플랫폼으로 모든 데이터를 동등하게 라우팅, 스위칭하는 망에서 특정 그룹의 데이터를 어떤 방법으로 감추어 전송할 수 있을까라는 필요성에서 출발했다. 이와 같은 시작으로 IPSec은 각각의 패킷을 특정 그룹으로 지정해 여러 보안 기술을 통합하고 IP헤더와 데이터를 암호화, 터널링, 압축으로 처리해 일반 데이터와는 다르게 처리하는 방식으로 발전돼 왔다. 이는 기존의 IP망 위에 또 다른 채널(터널링)들을 구성해 보다 유용하게 새로운 서비스를 가능하게 한 기술이라 볼 수 있다.이에 비하면 MPLS는 2계층의 기술과 IP 기반의 3계층 기술을 어떤 방법으로 혼합해 효율적이고 발전된 공중망을 구성할 수 있느냐에서 시작됐다. 이와 같은 시작으로 MPLS는 시스코의 태그 스위칭 기술을 기반으로 프레임릴레이(FR), ATM의 QoS(Quality of Service)와 기밀성, IP 기반의 유연성과 확장성, 트래픽 엔지니어링 기술까지 융합한 기존의 백본 네트워크에 새로운 서비스를 가능하게 한 기술이다. IPSec은 각 데이터의 보안을 위해 암호화와 키 관리 알고리즘을 사용하며, 성능 면에서는 터널헤더의 추가로 인한 데이터 크기 증가로 데이터 분열을 막기 위해 압축 방식을 사용한다. 또한 네트워크의 유연성을 위해 인트라넷, 엑스트라넷 구성시 터널링 메커니즘과 VPN 그룹 등으로 물리적인 네트워크 속에 여러 개의 논리적인 망을 구성함으로써 각각의 접속 권한을 따로 설정할 수 있다. IPSec 장비들은 좀더 발전해 현재 패킷 필터링 기능을 첨가한 파이어월 기능이 포함된 전용 보안 장비로 출시되며 라우팅 프로토콜 및 NAT(Network Address Translation), 원격 접속자를 위한 DHCP(Dynamic Host Configuration Protocol) 기능 등을 구현한 네트워크 장비로서의 기능을 갖추고 있다.또한 다양한 원격지 접속 사용자들에 대해 소프트웨어 프로그램으로 구현된 VPN 기능을 탑재, 원격 접속을 가능케 하고 있다. MPLS는 작은 고정 길이의 라벨(label)에 의해 IP 패킷 포워딩을 수행하도록 해 기존 라우터보다 처리 성능을 높이는 방안으로 제안된 기술이다. 즉 3계층의 라우팅 정보를 2계층 스위치의 라벨로 매핑시킴으로써 MPLS 네트워크 내에서는 IP 트래픽이 2계층 스위칭에 의해 전달되도록 한다. 백본 네트워크에서는 IP 라우팅 프로토콜과 LDP (Label Distribution Protocol)에 의해 IP 패킷 전달 경로를 설정하며 각각의 경로에 라벨을 할당, 전송하게 된다. 또한 목적지별로, 작게는 각 응용별로 데이터의 흐름을 정의해 라벨을 할당, QoS 서비스를 하며 IP 터널을 제공해 많은 수의 VPN 그룹을 지원할 수 있고 논리적으로 각 그룹을 분리해 서비스를 할 수 있다. MPLS는 본래 추구했던 고속성보다 트래픽 엔지니어링, VPN, QoS 및 확장성에 좀 더 강점을 가지고 있다고 할 수 있다. 2계층과 3계층 기술을 혼합한 MPLS2가지의 기술을 서비스에 접목시킨 관점에서 생각해 보자. IPSec은 IP-VPN 서비스로 시작했고 현재 보안 업체, NI 업체, ISP에서 서비스를 하고 있다. 지난 98년부터 시작된 IPSec VPN은 오랜 표준화 기간을 거쳐 안정화된 기술을 바탕으로 매니지드 서비스로 발전돼 왔다. CPE(Customer Premises Equipment) 기반 VPN 서비스가 주류를 이루고 있으며 이러한 서비스는 기업 네트워크의 기본적인 컨설팅 요소를 많이 요구하고 있는데 구성과 향후 통합 관리 대행으로 MSP(Management Service Provider) 서비스의 한 부류로 발전되고 있다. 국내 보안 전문 회사들도 많은 수의 개발 장비들을 시장에 발표한 상태이고 ISP, IDC에서도 외산, 국산 장비를 이용해 매니지드 서비스를 하고 있다. MPLS는 국내에서 ISP를 중심으로 발전되고 있으며 올 여름부터 서비스를 개시하고 있다. 몰론 기업 네트워크 변화 없이 ISP 백본 네트워크에서 MPLS 그룹을 지정함으로써 서비스가 진행되고 있다. 현 시점에서는 표준화 문제와 아직까지 구현 시점이 초기 단계라는 문제점을 지적할 수 있다. VPN 기능과 QoS 기능을 주로 사용중에 있으며 아직까지는 공중망보다는 기존 사설망에 적용하고 있는 상태다. 점차 공중망으로 적용 범위를 늘릴 계획에 있으며 매니지드 MPLS VPN 서비스로서 발전될 전망이다. 그렇다면 이러한 기술을 지원하는 벤더의 입장에선 어떤 방법을 제시하고 있는가? IPSec 장비 벤더들은 주 기능인 데이터의 보안과 그에 따른 성능 부분을 많은 사람들이 이미 인식하고 있다고 생각하고 있으며 좀더 많은 데이터를 처리할 수 있는 기가비트 장비 개발과 보안 장비로서 좀더 많은 기능을 추가, 혼용해 사용될 수 있도록 개발하고 있다. CPE 기반의 IP-VPN을 많이 제시하고 있으며 ISP에겐 에지 기반의 IPSec VPN도 제시하고 있으나 국내에는 아직 적용하는 ISP가 없는 상황이다. MPLS의 경우 국내에선 올해 3분기부터 적용하고 있기 때문에 서비스의 안정화가 가장 우선시되고 있으며 좀더 많은 장점들을 통합적 사용할 수 있게 지원하고 있는 현실이다. 이러한 안정화 기간과 공중망에 대한 적용, QoS에 대한 신뢰성을 가지게 되는 것이 일단 목표이며, 원격 접속에 대한 부분은 IPSec에 의존, 혼용하는 네트워크를 제시하고 있다. 향후 가장 좋은 솔루션으로 제공되는 것은 IPSec과 MPLS가 혼용되는 네트워크를 사용하는 것이다. 원격 접속시 IPSec 기술로, 일반 LAN-to-LAN의 경우는 ISP 백본 네트워크의 MPLS로 사용되거나 백본 네트워크와 기업 네트워크에 동시에 MPLS와 IPSec이 사용되는 골드 서비스가 제공될 것이다.그렇다면 어떠한 경우에 IPSec과 MPLS를 사용하는 것이 적합한가? 분명히 기업 네트워크에서는 우선시되는 요소를 분석해야 하며 원하는 부분에 대해서 제공되는 점을 파악해야 한다. IPSec과 MPLS는 VPN을 구축할 수 있는 기술이다. 하지만 앞서 설명한 것과 같이 특징이 다르기 때문에 기업의 네트워크가 어떤 목적으로 VPN을 구축해야 하느냐에 따라 네트워크는 다르게 구성될 수 있다. 이와 같이 2개의 기술은 근본적으로 차이가 있으며 어느 것이 좋다고 평가할 수 없는 보완적인 기술임이 분명하다. 또한 이러한 기술의 혼합 발전으로 공중망에 대한 지능화가 좀더 이뤄질 것이며 발전된 솔루션으로 기업 네트워크에게 제시될 것이다. 하지만 역시 비용면에서 가장 근본적인 관점으로 돌아가곤 하지만 기업 네트워크에 대한 계속적인 투자는 발전된 기업의 전산화를 위한 초석이 될 것이 분명하다. @