그동안 국내 VPN(Virtual Private Network) 업계의 관심사는 IPSec 또는 L2TP(Layer 2 Tunneling Protocol) 등을 지원하는 순수한 국산 VPN 장비를 만들 수 있느냐에 초점이 맞춰졌다. 이후 많은 업체들이 제품을 시장에 선보이면서 물리적 인증 기능, 암복호화 속도, 동시 접속 사용자 수, PKI(Public Key Infrastructure)와의 연동, 무선 기능 지원 등의 기능이 제대로 동작하는지에 관심이 집중됐다. 이제는 많은 사이트에서 VPN의 가능성이 하나둘 확인되고 있다. 대기업, 은행과 증권사 등에서 백업망 구축을 위한 VPN 시스템 테스트를 실시하고 있고, 사이트별로 강점을 나타내는 기능을 가진 VPN 제품이 입소문을 통해 전해지고 있다. 유선 VPN에서 모바일 VPN으로 이동올해 많은 사랑을 받았던 VPN은 점차 로드 밸런싱, HA(High Availability), 멀티 ISP, 무선 기능 등 한 단계 높은 시장의 요구 사항을 맞춰야하는 또다른 숙제를 안고 있다. 이 중에서 가장 시선을 모으는 것은 모바일 VPN(Mobile VPN). 국내에서 흔히 모바일 VPN이라고 하면 진정한 모바일이 아닌 ‘와이어리스 VPN’을 의미하는 경우가 많다. 원래 모바일 VPN은 모바일 IP를 지원해야 하지만, 아직까지 국내에서는 IMT-2000 등의 상용화 서비스가 이뤄지지 않고 있으며, 모바일 IP를 PDA 등에서 구현하는 것이 매우 어려운 상황이다. 따라서 제한적인 환경에서만 모바일 VPN이 이뤄진다.와이어리스 VPN에 대한 시장 요구 일반적인 유선 VPN 기술과 제품에 대한 시장에서의 요구 사항을 정리해 보면 다음과 같다.·고속 암복호화 속도 요구- 3DES 등 연산량이 많은 고급 암호화 알고리즘 사용시 유선 속도에 근접하는 속도 요구- 기가비트 이상의 대역폭을 수용할 수 있는 장비 요구가 점차 확대·다수의 동시 사용자 접속 허용- 1만명 이상의 사용자 접속을 1대의 VPN 게이트웨이로 수용- 터널의 안정성과 회선 속도 유지·네트워크 무정지를 위한 고가용성(HA) 확보·파이어월 제품과 원활한 연동- 체크포인트 등 유명 파이어월과 안정적인 연동·동일 프로토콜을 사용하는 타사제품과의 호환성 확보- IPSec 기반의 제품간 상호연동 기능 요구·다양한 네트워크 접속환경 지원(LAN-to-LAN, Remote Access)최근 들어 이런 6가지 요구사항 뿐만 아니라 무선 네트워크에서 유선 VPN으로 이뤄진 기업망에 접속하도록 하는 기술과 각종 모바일 VPN 단말기에 대한 요구가 급증하고 있다. 하지만 국내의 경우 무선 네트워크에서 전송되는 데이터의 보안에 대한 기술력이 미흡하고, 무선 단말기와 유선 호스트 사이의 엔드 투 엔드 보안이 이뤄지지 않아 기존의 유선 VPN과의 연동에 있어 여러 문제점을 갖고 있었다. 모바일 VPN의 기술적 요구사항과 문제점모바일 VPN은 유선 VPN이 어느 정도 정립된 상태에서 기술적인 검토가 이뤄지기 시작했기 때문에, 모바일 VPN 기술과 제품이 유선 VPN과 함께 시장에서 성공하기 위해서는 다음 조건들이 반드시 만족돼야 한다.① 무선 단말기용 VPN 클라이언트 소프트웨어가 반드시 있어야 한다② 유선 VPN 게이트웨이와 상호 동작할 수 있도록 국제 표준을 준수해야 한다③ 설치, 관리, 유지보수가 간편해야 한다④ 무선 단말기의 CPU 처리 능력, 메모리와 전력소모를 고려한 최적화된 하드웨어 플랫폼을 제공해야 한다⑤ 회사 규모에 맞는 확장성을 보장해야 한다⑥ 저렴한 비용에 구현이 가능해야 한다⑦ 다수의 무선 단말기와 현존하는 운영체제를 최대한 지원해야 한다이 7가지 조건 중에서 ①과 ②번 항목은 모바일 VPN이 반드시 갖춰야 하는 필수 조건이다. VPN 제품 공급업체 측면에서는 ③와 ④번 항목이 매우 중요하고, 모바일 VPN 제품을 준비하거나 아니면 이미 제품을 내놓은 업체들의 경우는 가장 고민하는 문제가 바로 ⑦번 항목이다. 현존하는 무선 단말기는 휴대전화, PDA, 노트북, 포켓 PC, 스마트폰 등이 있고, 운영체제로는 팜 OS, 윈도우 CE, 임베디드 리눅스 등이 있다. 그리고 무선 데이터 통신 기술로는 CDMA(Code Division Multiple Access), GSM(Global System for Mobile telecommunication), CDPD(Cellular Digital Packet Data) 등이 있다. ⑦번 항목이 문제가 되는 것은 바로 이와 같이 수많은 단말기와 다양한 통신 기술, 그리고 운영체제가 난립하기 때문에 시장을 끌어갈 사실상의 표준이 없다는 데 있다.특히 시장 점유율이 가장 높은 팜 OS와 가장 쉬운 인터페이스를 갖고 있는 윈도우 CE의 기술적 차이에서 비롯되는 많은 장단점 때문에, 모바일 VPN을 설계/개발/생산/판매/서비스하는 각종 업체들이 설계에서 서비스까지 모든 단계에서 쉽게 선택하지 못하고 있다. 간략히 차이를 설명하면 팜 OS는 운영체제의 크기가 작고, PIMS(Personal Information Management Software)와 같은 기본 기능에 강하지만 멀티미디어 기능이 미흡하며 시스템 메모리가 작다. 또 윈도우 CE는 멀티미디어 기능과 통신 기능이 우수하지만, 고사양 장비를 요구한다.유선 환경에서는 윈도우 계열의 운영체제가 전체 시장의 90% 이상을 장악하고 있기 때문에 손쉽게 제품 개발에 들어갈 수 있다. 그러나 무선 환경에서는 아직까지 시장을 장악하는 운영체제가 없기 때문에 모바일 VPN 업체는 IT 경기의 위축, PDA 시장 활성화, 윈도우 XP 출시, 미국 테러 사건 등 시장 진입에 앞서 국내외 시장의 상황에 상당히 민감하게 반응하고 있다. 국내 환경에서는 기술 개발 수준과 시장 상황을 고려해 볼 때, ⑦번 항목의 문제점만 해결된다면 빠른 시일내에 모바일 VPN 시장을 형성할 수 있을 것으로 예상된다.⑦번 항목의 문제점을 해결하는 가장 손쉬운 방법은 기존의 무선 통신 사업자, 특히 유무선 네트워크 환경을 동시에 보유한 한국통신이나 SK텔레콤과 같은 기존 통신 사업자, LG텔레콤 등이 와이어리스 VPN용 전용 단말기를 개발, 또는 지원하는 것이다. 이 과정에서 통해 운영체제를 선정해 개인이 아닌 일반 기업과 군, 그리고 공공기관과 금융권을 중심으로 모바일 VPN 마케팅을 펼치면서 시장을 형성시키는 것이 가장 빠르고 확실하게 ⑦번 항목의 문제점을 해결하는 방법 중 하나일 것이다.VPN 기술을 구현하기 위해서 반드시 충족시켜야 하는 요구사항은 ‘안정성’과 ‘보안’이다. 그리고 VPN을 구성하는 모든 지점에 위치한 하드웨어와 소프트웨어간의 상호 연동이 중요한 이슈가 된다. 이런 요구 조건을 만족시키기 위해서 IETF(Internet Engineering Task Force)는 IPSec이라는 프로토콜을 규정했고, 이것은 TCP/IP로 구성된 네트워크 환경에서 안전한 통신을 가능케 해주는 핵심이 됐다. 모바일 VPN과 유선 VPN의 차이IPSec이 기존의 보안 프로토콜에 비해 많은 관심을 받게 된 이유는 3계층에서 동작하고, 공개 표준이며 기밀성, 데이터 무결성, 데이터 근원지에 대한 인증 등 네트워크 보안에서 필요로 하는 각종 요소를 모두 구비하고 있기 때문이다. 때문에 유선 VPN에서 IPSec은 가장 많은 회사와 기술자들이 선택한 프로토콜이다. 무엇보다도 이기종 기기간의 상호연동성을 보장하고 인증 메커니즘, 암호 알고리즘과 보안 정책 등을 수립하는데 있어서 많은 유연성을 갖고 있는 것이 IPSec의 최대 강점이라고 할 수 있다. IPSec을 구성하는 3대 요소는 다음과 같다.·AH(Authentication Header - 인증 헤더)·ESP(Encapsulation Security Payload - 데이터 암호화)·IKE(Internet Key Exchange - 인터넷 키 교환)AH, ESP, IKE는 서로 유기적으로 동작하면서 네트워크 데이터를 안전하게 보호해 준다. 모바일 VPN에서는 마찬가지로 IPSec이 국제적인 표준이라고 볼 수 있다. 유선 VPN과 환경상의 차이점은 다음과 같다.① 원격 접속이 데스크톱이 아닌, IP 기반의 휴대전화, PDA 등에 의해 이뤄진다② VPN용 무선 단말기에 사용되는 운영체제가 다양하다③ 접속 옵션이 다양하다(유선모뎀에 무선 단말기를 연결해 접속, 전용 무선 모뎀을 이용한 접속, 무선 데이터 통신이 가능한 휴대전화 이용 등)④ 무선 단말기의 이동시에 셀간의 핸드 오버가 존재한다⑤ 네트워크 통신 속도가 상대적으로 느리다⑥ 무선 단말기의 성능상 RSA 알고리즘 구현에 문제가 있다⑦ 무선 서비스 제공업체가 지원할 수 있는 지역에 제한이 있다⑧ 무선 서비스 제공업체간 로밍이 존재할 수 있다이 중 ④, ⑥, ⑧번 등이 모바일 VPN 제품 개발시 가장 해결하기 힘든 문제라고 할 수 있다. 모바일 VPN 클라이언트 소프트웨어 개발에 성공한 서티컴이 내놓은 MovianVPN이라는 무선 단말기용 소프트웨어의 성능 시험 결과를 보면 왜 ⑥번 항목이 모바일 VPN의 구현에 있어서 걸림돌이 되는지 잘 알 수 있다. MovianVPN은 240KB의 메모리를 클라이언트 프로그램과 보안 정책을 위한 데이터베이스용으로, 60KB 메모리를 암호화 엔진용으로 사용한다. 이 제품은 빠른 IKE(Internet Key Exchange)를 위해서 163비트 ECDH(Elliptic Curve Diffie-Hellman) 알고리즘을 구현하며 768비트, 1024비트의 DH(Diffie-Hellman) 알고리즘도 구현할 수 있다. 최근 한 성능 테스트 기관이 실시한 16MHz의 팜 OS로 동작하는 드래곤볼 CPU 테스트에서 ECDH에 0.55초가, DH에 39초 정도가 걸리는 것으로 결과가 나왔다. 일반적으로 사용하는 DH 알고리즘을 PDA와 같은 무선 단말기에서 사용하려면 처리 속도가 빠른 고사양 제품을 사용하거나, 속도가 빠른 암호화 알고리즘을 사용해야 한다. 처리 속도가 낮은 CPU를 사용하는 PDA에서 RSA 알고리즘을 구현하는데는 문제가 있기 때문이다. 또한 DH 알고리즘을 사용할 경우, 키 생성 과정을 기다리는 도중에 유선 VPN 게이트웨이가 끊어질 수 있다. 무선 단말기의 느린 처리 속도도 문제지만 기존의 유선 VPN 게이트웨이들이 대부분 DH 알고리즘을 사용하기 때문에 ECDH를 사용할 경우 유선 게이트웨이와의 연동이 쉽지 않다는 것도 문제가 된다. 뿐만 아니라 ECDH 알고리즘의 보안에 의문을 갖는 사용자가 상당수 존재한다. 그러나 실제로 768비트의 DH보다는 163비트의 ECDH가 보안과 속도 측면에서 훨씬 우수하다.이 문제를 해결하는 방법은 아직까지는 현실성이 다소 없어 보이지만 유선 VPN 게이트웨이가 ECDH 알고리즘을 지원하도록 하는 방법과 하드웨어 개발에 드는 비용이 고가인 무선 단말기에 하드웨어 암호 가속 기능을 이용해 DH 알고리즘을 처리하는 방법으로 나눠 볼 수 있다. CDMA 1G~3G간의 모바일 VPN 구현이런 모바일 VPN을 한창 관심을 받고 있는 CDMA 3G에서 구현하기 위해서는 해결해야 할 몇가지 점들이 있다. 우선 모바일 VPN이 CDMA 3G에서 구현이 가능한지 알아보기 위해 일반 무선 인터넷 환경에 대해서 살펴보자. 무선 단말기로 유선 인터넷을 접속해 데이터를 송수신하기 위해서는 단말기 내에 화면으로 표시해주는 전용 브라우저 소프트웨어인 운영체제가 필요하며, 무선 단말기에서 통신 속도나 화면 표시 등의 제약이 있으므로 인터넷 표준 언어가 아닌 무선 단말기에 적합한 별도의 무선 인터넷 언어가 필요하다. 무선 단말기와 BTS(Base Transeiver System)간의 데이터 전송방식인 운영 시스템에 따라 CDPD(Cellular Digital Packet Data), 패킷 전송, 회선 전송 등으로 구분할 수 있다. 또한 무선 단말기와 유선 인터넷 접속을 위해 상호 변환을 위한 게이트웨이 프로토콜이 필요하다.
