IPv6와 정보보호

인터넷 사용이 급증하면서 현재의 인터넷 IPv4(Internet Protocol version 4)는 한계에 달했다는 의견이 높아지는 가운데, 그 대책으로 IPv6가 강력히 논의되고 있다. IPv6는 IPv4가 구조적으로 지니고 있는 인터넷 주소의 고갈문제, 품질보증 문제, 이동성 부족문제, 그리고 보안성 취약 등의 문제를 해결하고자 IETF에서 개발된 차세대 IP 표준이다. 이러한 IP 주소고갈 문제뿐만이 아니라 인터넷 자체의 응응환경 측면에서도 이제는 단순히 컴퓨터가 네트워크에 접속되던 것을 넘어 휴대폰, PDA, 심지어 가전제품에 이르기까지 다양하게 인터넷에 접속되고 있다. 유·무선이 통합되고 방송과 통신이 융합되어 사용자 중심의 다양한 고품질 통신 서비스를 안전하고 초고속으로 제공할 수 있는 차세대 환경구축에 대한 요구가 급증하고 있으며, 이에는 홈 네트워킹 기반의 정보가전 기기, 지능형 로봇, 텔레매틱스, 전자물류 실현을 위한 전자 태그(RFID), 센서 네트워킹 등 모든 사물이 상호 통신할 수 있는 유비쿼터스 네트워킹 환경도 포함하고 있다. 이러한 요구사항을 충족하는 차세대 인터넷 구축을 위해서는 새로운 인터넷 주소체계인 IPv6의 도입이 필수적이다. 여기에서는 IPv6 프로토콜에 대해 간단히 알아보고, IPv4에서 IPv6로 원활하게 전환하는데 필수적인 IPv6 적용 및 이전을 위한 필요기술을 살펴보고, IPv6에서 보안기능의 근간을 이루는 IPSec과 새롭게 표준화되고 있는 IKEv2를 소개한다. 그리고 IPv6를 사용해 가장 활성화 될 것으로 보이는 Mobile IPv6에 대해 살펴보고 IPv6 환경에서 VPN의 전망에 대해 고찰하기로 한다.
엄 봉 식 | 퓨쳐시스템 연구개발본부 차세대보안기술센터, 이사

IPv6 프로토콜

인터넷 주소의 고갈문제로 인해 IETF 주도로 표준화가 이루어지고 있는 IPv6는 기존 32비트 주소 체계로 표현되는 IPv4 주소를 128비트 주소 체계로 확장, 기존 인터넷이 안고 있는 근본적인 주소고갈 문제를 해결해 충분한 인터넷 주소공간을 제공할 뿐 아니라, IPv6 기본 헤더를 단순화해 패킷 처리의 성능을 개선했고, 확장 헤더의 정의를 통한 이동성 지원, 보안기능 제공, 서비스 품질기능 등이 개선될 수 있도록 설계된 프로토콜이다. 특히 주소 자동설정 기능을 통한 플러그 앤 플레이 기능을 제공함으로써 손쉽게 이용자의 단말을 네트워크에 접속시킬 수 있도록 디자인되어 있는 등 IPv4에 비해 구성 및 설치, 이용이 쉽고 안정화됨으로써 효율적인 네트워킹 환경을 구성할 수 있다는 특성을 지니고 있다. 

보안기능에 있어서도 IPv4의 경우 IP 보안기능을 별도로 설치해야 하지만, IPv6의 경우에는 추가 프로토콜을 설치할 필요없이 프로토콜 자체에 내재된 IP 계층의 보안기능인 IPSec을 사용할 수 있다.

또한, 노드 스스로 주소를 생성하는 상태 비보존형/상태 보존형 주소 자동설정(Stateless/Stateful Address Auto－configuration) 기능을 지니고 있어서 인터넷이 추구하는 플러그 & 플레이(Plug & Play) 방식의 자동 네트워킹과 향상된 보안성 및 서비스 품질보장 등 다양한 기능을 지원할 수 있다.

여기에 IPv6는 네트워크 망에서 효율적인 패킷 라우팅을 위한 체계적인 네트워크 주소할당 기능을 지원해 망 운영 및 무선 멀티미디어 서비스 측면에서도 IPv4보다 양질의 서비스를 제공할 수 있도록 설계됐다.

IETF에서는 여러 가지 IPv6의 장점을 살리면서도 이동 사용자가 IPv6 서브넷을 이동하면서도 열어 놓은 통신 세션을 계속해 유지시킬 수 있는 모바일(Mobile) IPv6를 표준화하고 있다. 현재 거의 마무리 단계에 와 있는 모바일 IPv6 기술은 앞으로 인터넷 멀티미디어 통신기술을 지원하는 여러 가지 프로토콜들과 연동되어 기업 내 및 공중통신망 사용자들이 인터넷을 이용해 음성 및 화상 데이터 서비스를 포함한 다양한 형태의 실시간 멀티미디어 서비스를 제공할 수 있는 핵심기술로 부각되고 있다.

IPv6 표준화 동향
IPv6와 관련된 국제표준은 인터넷 관련 통신표준을 제정하는 IETF(Internet Engineering Task Force)에서 1992년부터 현재까지 계속해 표준화 작업을 진행하고 있다. IETF 내에는 현재 100여 개의 WG(Working Group)이 8개의 Area로 나뉘어 IPv6 관련 표준을 만들고 있다.

IPv6 표준화는 IPng과 NGTrans WG을 중심으로 진행되어 왔다. 우선 IPng WG은 IPv6 기본 프로토콜 구조에 관한 규격을 제정해 온 그룹으로, IPv6 기본 규격과 IPv6 주소 자동생성에 관한 표준을 제시했다. NGTrans(Next Generation Transition) WG은 IPv4망에서 IPv6 적용 및 IPv6로의 전환을 위한 기존 망과의 상호운용에 필요한 전환 메커니즘에 대한 표준화를 담당해 왔으며, 현재는 v6ops WG으로 명칭을 변경해 IPv6로의 전환 시나리오 작업과 IPv6 운용, 그리고 IPv6 응용개발에 대한 가이드라인을 표준화 하고 있다. 이 밖에 IPv6 관련 IETF WG으로는 IP계층의 트래픽 보안에 대한 구조정의나 보안 관련 관리와 인터넷상에서 암호화 키 설정에 관련된 표준 등을 연구하고 있는 IPSec WG과, IP 이동성 지원에 대한 표준화 활동을 전담하고 있는 Mobile IP WG 등이 있다.

이 WG들의 활동으로 이미 대부분의 IPv6 기본 표준들과 이전기술 등이 완성됐고, 현재는 순조로운 IPv6 적용을 돕기 위해 v6ops WG에서 다양한 적용 시나리오를 개발하고 있다.
전반적으로 IPv6 표준 중에서 가장 진전이 느린 분야는 보안과 성능문제에 관련된 부분이다. 현재 이러한 문제는 완전히 해결되지 않은 상태로, 별도의 작업 그룹에서 표준 갱신을 위한 작업을 진행하고 있다.

IPv6 적용 및 이전을 위한 필요기술
비록 IPv6가 많은 장점을 지니고 있기는 하지만, 이미 전세계적으로 널리 퍼져 있는 IPv4를 단시간 내에 완전히 대체하기 보다는 IPv4와 장기간 공존할 것으로 예상된다. 따라서 기존 IPv4를 사용하는 노드들과의 호환성 유지와 IPv6의 점진적인 보급에 따른 IPv4와의 공존방법 등의 자연스러운 이전(Transition) 기술이 함께 개발되어 왔다.

IPv4/IPv6 전환기술을 크게 나누면 듀얼스택(Dual stack) 기술, 터널링(Tunneling) 기술, 변환(Translation) 기술 등 세가지로 분류할 수 있다. 듀얼스택 기술은 하나의 시스템(호스트 또는 라우터)에서 IPv4와 IPv6 프로토콜을 동시에 처리해주는 기술이다. 따라서 듀얼스택 기술을 지원하는 시스템은 물리적으로는 하나의 시스템이지만, 논리적으로 보면 IPv4와 IPv6를 지원하는 두 개의 시스템이 있는 것처럼 볼 수 있다. 터널링 기술은 기존 IPv4망을 전달망으로 사용해 아일랜드처럼 서로 떨어져 있는 IPv6 망들을 연결시켜주는 기술이다. 한편, 변환기술은 IPv4망과 IPv6 망 사이의 연동기술로 IPv6 클라이언트가 IPv4 서버에 접속할 때 또는 IPv4 클라이언트가 IPv6 서버에 접속할 때 사용된다.

▶ 터널링(Tunneling)
터널링은 전송하고자 하는 프로토콜의 정보가 다른 프로토콜 패킷 내에 캡슐화되어 전송되는 방식으로, 크게 IPv4 기반환경에서의 IPv6 터널링과 IPv6 기반환경에서의 IPv4 터널링으로 분류할 수 있다. IPv4 기반 IPv6 터널링은 IPv4 기반의 현 인터넷 환경 하에서 IPv6 단말이나 IPv6 지역망들의 연결을 지원하기 위한 터널링 방안으로 IPv6 전환초기와 중기까지 기존 망 환경에서의 점진적인 IPv6 전환을 위해서 널리 이용될 것으로 예상된다. 이러한 IPv4 기반 IPv6 터널링은 다시 설정 터널링(Configured Tunneling)과 자동 터널링(Automatic Tunneling) 방식으로 구분할 수 있다. 설정 터널링은 터널 종단 노드의 주소정보가 관리자에 의해서 설정되는 터널링 방식으로 6Bone이 대표적인 예가 된다. 이와 달리 자동 터널링에서는 수동설정 없이 IPv4-호환(IPv4－com patible) 주소를 이용해, IPv4 구간을 통과할 때 IPv4 호환주소에 내포되어 있는 IPv4 주소를 터널 종단점 주소로 해 자동으로 터널링 하게 된다. 최근에는 IPv4 호환주소를 이용한 자동 터널링 보다 6to4나 ISATAP과 같은 향상된 자동 터널링 방식을 더 선호한다.

▶ 변환 메커니즘(Translation)
터널링 메커니즘으로는 듀얼 스택을 지원하지 않는 IPv6 전용단말과 IPv4 단말사이의 통신을 지원할 수 없다. 이러한 이기종 프로토콜간 통신을 지원하기 위해서는 변환(Translation)에 기반한 메커니즘이 필요하다. 이러한 변환 메커니즘은 변환이 수행되는 계층에 따라 헤더 변환방식, 전송계층 릴레이 방식, 응용계층 게이트웨이 방식으로 분류할 수 있다. 헤더 변환방식의 메커니즘으로는 SIIT, NAT－PT가 있다. 헤더 변환은 IP 계층에서의 변환으로 IPv6 패킷 헤더와 IPv4 헤더 사이의 변환과 그에 따르는 체크섬의 조정을 가리킨다. 또한 ICMPv6와 ICMPv4 사이의 변환도 요구되며 이러한 변환규칙을 SIIT에서 정의하고 있다.

IPSec 프로토콜

IPSec(Internet Protocol Security)은 IP 프로토콜의 구조적인 결함을 극복하고 IP 수준에서 제공되는 보안 서비스를 표준화할 목적으로 IETF의 IPSec 위킹그룹에서 개발된 인터넷 보안표준으로, IP 패킷(packet)에 대해 기밀성과 무결성, 그리고 인증과 같은 보안 서비스를 제공하는 국제표준 프로토콜이다. IPSec은 AH(Authentication Header)와 ESP(Encapsulating Security Payload), 그리고 IKE(Internet Key Exchange)라는 세부 프로토콜들로 구성되어 있으며, 강한 암호학적 알고리즘과 프로토콜을 이용해 안전한 보안 서비스를 제공해주고 있다. IPSec은 공개된 네트워크상에서 VPN(Virtual Private Net work)을 구현하거나 종단간 보안(End－to－end securi ty)을 위한 솔루션에 응용되고 있으며, 네트워크 계층에서 전송되는 IP 패킷을 대상으로 하고 있기 때문에 운영체제나 애플리케이션에 독립적이고 현재의 IP 표준인 IPv4와 개발 중인 새로운 표준인 IPv6에도 적용이 가능하다는 특징을 가지고 있다.
현실적으로 IPSec VPN을 구성하기 위해서는 이러한 기본적인 프로토콜 이외에 많은 추가적인 요소들이 고려되어야 한다. 다음의 분야를 대표적인 분야로 볼 수 있다.

· NAT 통과(NAT Traversal)
· 원격접속 환경에서의 사용자 인증
· 원격접속 환경에서의 클라이언트 환경설정

하지만 VPN의 대표적인 기술로 자리 잡은 IPSec에 대한 크고 작은 문제점들은 끊임없이 제기되어 왔다. 특히 IPSec의 가장 큰 문제점은 전체적인 시스템의 복잡성이었다. IPSec의 지나친 복잡성은 시스템의 구현은 물론 구현된 시스템의 상호 호환을 어렵게 할뿐만 아니라, 구현과정에서 눈에 보이지 않는 보안상의 약점(Security hole)을 포함할 수 있다는 위험성을 내포하고 있다. 특히 대부분의 IPSec 표준의 복잡성은 IKE의 복잡성에 기인하며 IKE와 관련되어서는 시스템의 복잡성과 함께 DoS(Denial of   Service) 공격에 취약하다는 문제점을 비롯해 보다 향상된 안전성의 보장이 중요한 해결과제로 지적되고 있다.

이러한 문제점들을 개선하기 위한 노력으로 IETF의 IPSec WG은 2001년 8월 새로운 키 관리 프로토콜을 개발키로 했고, 이러한 노력으로 개발된 것이 IKEv2 프로토콜이다. IKEv2 프로토콜은 IETF의 IESG에 표준 초안으로 상정되어 있다.

IKEv2는 기존 RFC 2409 IKE 프로토콜의 설계개념을 계승하고 있지만, 그 기능은 훨씬 축약되어 설계됐다. 즉, 기존 IKE 프로토콜의 페이스 개념을 계승하고 있고 동일한 ISAKMP 메시지 포맷을 사용하고 있지만, 기본적으로 페이스 I에서 교환되어야 하는 기본 메시지 개수가 6개에서 4개로 줄어들었고 인증방식도 기존의 4가지 방식에서 2가지 방식(공개키 방식과 사전공유 비밀키 방식)으로 줄었다. 또 기존 표준이 여러 문서에 나뉘어 기술되었던 것에 비해 IKEv2는 하나의 문서에 통합 기술되고 있다.

IKEv2는 또한 서비스 거부공격(DoS attack)에 잘 견디도록 설계되었다. DoS 공격은 주로 응답자의 메모리 자원을 고갈시키기 위해 공격자가 IKE SA 요청 메시지를 대량 송신할 때 발생한다. IKEv2는 이 때 응답자로 하여금 상태정보 저장에 필요한 메모리를 할당하게 하는 대신 쿠키로 응답하게 하고, 이 쿠키에 정상적으로 반응할 수 있는 합법적인 개시자에 대해서만 자원을 할당하는 방식을 규정하고 있다.

DoS 공격은 기존 IKE 프로토콜이 제정된 1998년 이후 심각하게 대두된 보안 공격으로 기존 IKE 프로토콜에는 이에 대한 대응책이 포함되지 않았었다. 그리고 IKEv2는 원격접속의 경우(예, VPN 클라이언트가 자사 VPN에 원격 접속하는 경우), 사용자 인증과 원격 호스트 설정을 위한 메커니즘을 포함하고 있다. 원격접속 또한 기존 IKE 프로토콜이 제정된 이후 급증하게 된 요구사항으로, 기존 IKE 프로토콜에서는 고려되지 않았던 이슈였다. 특히, 원격 사용자 인증에 있어서는 공개키 방식이 아닌 현재 널리 사용되고 있는 여러 기존 인증방식도 사용될 수 있도록 IKEv2의 메시지 교환이 확장될 수 있다. 아울러, 원격지의 클라이언트를 VPN 내부에 존재하는 것처럼 동작할 수 있도록, 원격 호스트의 네트워크 변수(IP 주소, 마스크 등)를 VPN 내부 서브넷의 환경으로 설정해 주는 클라이언트 설정 메커니즘도 IKEv2에 포함되어 있다. IKEv2는 또한 최근 많이 사용되고 있는 NAT 장비와도 잘 호환해 동작하도록 설계됐다. 즉, IKE 통신 양단 간에 NAT가 존재하는 경우, 이를 통과해 IPSec 통신이 일어나도록 모든 IKE 메시지와 IPSec 패킷을 UDP 캡슐화하는 메커니즘이 포함되어 있다. NAT 장비는 주로 IPSec 호스트와 호스트 간 통신에서나, 위에서 언급한 원격접속의 경우 원격 호스트 쪽에 존재할 수 있다.

Mobile IPv6

Mobile IPv6는 차세대 무선인터넷에 대한 이동성 기술로서 이동 에이전트를 통해 이동 단말에 대한 유연한 IP 이동성(Seamless IP mobility) 제공하는 것이다.

IPv6 이동 노드(Mobile Node)가 홈 네트워크를 벗어나 다른 네트워크에 접속되면 해당 노드는 방문한 네트워크에서 사용할 임시주소인 CoA(Care of Address)를 얻게 되며, 이 주소를 자신의 홈 네트워크상에 위치한 홈 에이전트에게 등록한다. CoA를 홈 에이전트에 등록한 후에 이동노드의 홈 주소를 목적지로 가지는 패킷이 전달되면 홈 에이전트가 이동 노드를 대신해 패킷을 수신한다. 홈 에이전트는 수신한 패킷을 CoA를 목적지로 터널링해 이동 노드가 위치한 네트워크로 전달하며, 이동 노드는 터널링 헤더를 제거하고 원래 패킷을 얻어낸다. 반대로 이동 노드가 상대 노드(Correspondent Node)로 패킷을 전송할 경우에 최초의 패킷 전송은 홈 에이전트로의 역터널링을 거쳐서 상대 노드로 전달된다. 이때 상대 노드는 RR(Return Routability)라는 방식을 통해 이동 노드의 CoA를 등록하며, 상대 노드에 CoA가 등록된 이후에는 두 노드가 홈 에이전트를 거치지 않고 직접 통신을 수행할 수 있다. 다음 그림은 Mobile IPv6의 동작을 개략적으로 보여주고 있다.

현재 Mobile IPv6에서는 이동성으로 발생하는 문제점을 극복하기 위해 홈 에이전트와 이동노드 사이의 보안 프로토콜로써 IPSec을 사용하고 있다. IPSec은 이동 노드와 홈 도메인의 홈 에이전트 사이에 설정된 SA를 통해 메시지를 인증할 수 있다. 이동 노드와 홈 에이전트 사이에 제어 트래픽에 대한 보안 메커니즘이 적용되지 않는다면, 이동 노드와 대응 노드는 Man－in－the－Middle, Hijacking, Confidentiality, Impersonation, DoS 공격에 취약할 것이다. 이러한 공격을 피하기 위해 이동 IPv6 문서는 홈 에이전트와 이동 노드 사이의 제어 트래픽을 보호하기 위해 IPSec을 사용한다.

이동 노드가 바인딩 업데이트 메시지를 전달할 때 홈 에이전트로는 IPSec ESP를 사용해 패킷을 보호하고, 상대 노드로 바인딩 업데이트 메시지를 전송할 때에는 보안을 위한 기본 메커니즘으로 RR을 이용해 HoA와 CoA가 도달 가능한지를 확인한 후 메시지를 전송하는 방식을 적용하고 있다. RR 프로토콜은 이동 노드와 상대 노드 사이에서 바인딩 갱신 및 바인딩 응답 메시지를 인증하기 위해 사용되는 SA를 생성한다.

▶ SEND(Secure Neighbor Discovery)
이웃 탐색 프로토콜(Neighbor Discovery Protocol, 이하 ND)은 로컬 링크상에서 IPv6 노드가 자신의 디폴트 라우터를 찾거나, IPv6 주소를 링크 계층의 주소로 변환하는 등의 일을 할 수 있게 하는 기본 프로토콜이다. 또한, 이웃 탐색의 설계요소 중에는 Zero Configuration을 가능하게 하는 것도 포함되어 있다.

이동 노드가 노드 초기구성 시(Bootstrapping) 현재 링크 상에 존재하는 노드를 발견하는 절차를 시작하는데, 이 때 공격자에 의해 거짓 노드 정보를 수신할 수 있다. 또한 라우터 발견을 통한 Stateless 방식의 주소 구성 시 라우터와 노드 간에 설정된 SA가 없으므로 거짓 라우터 정보를 수신하고 잘못된 주소를 구성하거나 주소 중복검사(DAD; Duplicate Address Detection)에서 실패하도록 만듦으로써 DoS 공격위협이 높다. 따라서 메시지 송수신자 간에는 반드시 인증절차가 필요하고 무결성이 보장되어야 한다.

IETF 표준문서 2461(RFC 2461)에서는 이웃 탐색 프로토콜의 시그널링의 보안을 위해 IPSec의 AH를 사용하도록 하고 있지만, 구체적인 방법은 언급하지 않고 있다. 그러나 IPSec AH는 키 관리 문제로 인해 실제로 적용하기 어렵다. ND 프로토콜이 사용되는 환경에서 가능한 위협을 해결하기 위해 제안된 방법은 다음과 같다.

· ABKs(Address Based Keys)를 사용하는 방안
· CGA(Cryptographically Generated Addresses)를 사용하는 방안
· IPSec을 사용하는 방안

현재 CGA를 사용하는 방안으로 표준화가 진행 중에 있다. CGA는 RSA 알고리즘을 사용해 암호화된 IPv6 주소를 생성하는 방법이다.

▶ 초기구동 절차(Bootstrapping)
Mobile IP에서 이동 노드는 항상 자신의 홈 주소를 유지하고 홈 에이전트 주소를 정확히 알고 있으며, 홈 에이전트와 사전에 IPSec SA를 맺고 있다는 가정 하에 이동성 제공을 위한 바인딩 등록을 수행하고 있다.

초기구동은 이동 노드가 외부 로밍 중에 홈 주소, 홈 에이전트 주소 또는 IPSec SA을 분실하거나 유효하지 않은 정보를 가지게 되는 경우 자동으로 이동 컨텍스트를 동기화해야 한다. 이동 컨텍스트는 이동 노드의 홈 주소, 홈 에이전트 주소 및 이동 노드와 홈 에이전트간에 사전에 설정된 IPSec SA 정보를 포함한다.초기구동(Bootstrapping) 절차에서 가장 큰 문제점은 보안에 관한 것이다. 이동 컨텍스트 동기화 작업요소 각각에 대해 보안위협이 존재하며, 위협에 노출되는 경우 치명적인 손상을 입을 수 있기 때문이다.

보안상의 문제점들을 해결하기 방안들은 인프라 사용여부에 따라 크게 두가지로 나뉘어 진다. 인프라를 사용한 방법으로는 AAA(Authentication, Authorization Account), PKI(Public Key Infrastructure), PANA(Protocol carrying for Authentication for Network Access)등이 존재하고 IPSec 매뉴얼 키, IKEv1, CGA(Cryptographic Generated Address) 등은 인프라 없이 동작하는 방법에 해당한다. IPSec 매뉴얼 키 입력방식은 앞에서 언급한 바와 같이 사실상의 관리가 불가능하며, IKEv1의 사용은 이동 노드의 홈 주소를 이미 알고 있다는 가정 하에 실행되기 때문에 초기 구동절차의 보안 문제점에 대해서는 완전한 해결방법을 제공하지 못한다. 

CGA를 이용하는 경우 제공되는 보안강도가 높고 절차가 간단하지만, 각 이동 노드에서 처리해야 하는 암호학적 연산의 양은 많아지므로 일반적으로 이동단말의 낮은 성능을 고려할 때 적용이 어렵다. 인프라를 이용한 방법들도 각각 문제점을 지니고 있으며, 따라서 이를 수정 보완하는 방향으로 연구가 진행되고 있으며, 대표적인 것이 DIAMETER 기반의 AAA 인증구조다.

IPv6에서의 VPN 전망

VPN은 업무상 통신을 필요로 하는 기업들의 본점과 지점 또는 협력업체 등을 서로 연결할 때 인터넷과 같은 일반 공중망을 통해서 안전하게 연결시켜 주는 가상의 사설망을 구성하는 것이라고 할 수 있다. 이러한 VPN을 구성하는 방법으로 IP 프로토콜상의 터널링 기법을 사용하거나 라우팅 과정에서의 통신분리 방식을 사용하게 된다. 이러한 VPN에서는 공개된 네트워크를 사용하므로 QoS(Quality of Service)와 동시에 Privacy를 제공해야 한다.

다양한 고객의 요구조건에 따라서 여러 가지 VPN 서비스 모델이 제안됐는데, 크게 고객 중심의 CE－based VPN과 서비스 제공자 중심의 Network－based VPN으로 나뉘어 진다.

IPv4 환경에서 IPSec 프로토콜을 사용하는 VPN은 기존의 인터넷 망이나 PSTN, ISDN 등의 공중망을 그대로 사용하면서 단지 Layer 3에서의 IP 터널링 기법을 사용해 가상적인 망을 분리시키고 암호화 등의 방법을 사용해 안전성을 보장하는 방식이다. 따라서 전용선을 사용하는 대신에 기존에 쉽게 사용할 수 있는 공중 네트워크 인프라를 그대로 사용해 마치 하나의 기업 사설망으로 활용할 수 있기 때문에, 기업의 전산환경을 통합하고 망 구축과 유지관리 비용을 크게 절감할 수 있다는 커다란 현실적인 장점이 있어 비교적 빠른 시기부터 기술적으로 개발되기 시작했고 제품과 시장 측면에서도 급격히 성장했다고 할 수 있다.

하지만 IPSec VPN에서는 고객이 직접 VPN 장비를 설치하고 이를 관리해야 하는 관리상의 문제가 야기됐다. 소규모 기업의 경우에는 VPN 서비스를 관리할 전문인력이 없다는 문제가 발생할 수 있으며, 전국에 사업장이 흩어져 있는 대규모 기업의 경우에는 다소 복잡한 VPN 서비스를 관리한다는 것 자체가 부담이 될 수 있다. 이러한 이유로 VPN 장비는 고객 측에 위치하지만 그 관리를 전적으로 네트워크 사업자가 담당하는 Provider provisioned CE－based VPN이 출현하게 됐다.

또한 IPSec VPN의 경우에는 가상적인 터널에 대한 암호화를 통해 뛰어난 안전성을 제공하지만, 본질적으로 CoS(Class of Service)나 QoS(Quality of Service)를 효과적으로 제공할 수 없다는 한계가 있다. 즉, 인터넷을 사용하기 때문에 기본적으로 서비스에 대한 품질보장이 이루어 지지 않으며, 더욱이 음성이나 동영상과 같이 Latency에 민감한 트래픽에 대해서는 쉽게 문제가 발생한다. 이러한 문제를 개선하기 위해 최근에 관심을 끌고 있는 기술이 Network－based VPN 방식의 MPLS VPN 기술이다.

MPLS VPN은 MPLS LSP(Label Switched Path)를 사용해 고객의 여러 노드들을 연결함으로써 VPN 서비스를 제공하게 된다. MPLS VPN은 MPLS 트래픽 엔지니어링 기능을 사용해 서비스 품질의 차별적인 제공이 가능하고, LSP를 공유할 수 있으므로 확장성도 보장할 수 있다. 또한, 서비스 사업자가 서비스를 운용관리함으로써 고객입장에서는 별도의 관리의 부담 없이 서비스를 아웃 소싱할 수 있으며, 서비스 사업자의 경우에는 여러 가지 부가 서비스와 운용관리를 통합 지원함으로써 현재보다 고 부가가치의 서비스를 제공할 수 있게 된다.

IPv6 환경에서의 VPN도 현재의 IPv4에서의 VPN과 크게 다르지 않을 것으로 예상된다. 기본적으로 안전한 연결을 원하는 VPN에 대한 요구는 동일하며, IPv4에서 IPSec을 사용해 VPN을 구성하는 방식이 그대로 IPv6에 적용될 수 있기 때문이다. IPv6에서는 모든 솔루션이 기본적으로 IPSec을 지원해야 하므로 상대적으로 VPN을 구성하기가 용이하고, 또한 IPSec을 적용함으로써 발생하는 오버헤드가 전반적으로 감소한다는 장점이 있다.

IKEv2에서는 원격 사용자를 위한 사용자 인증과 호스트 설정을 규정하고 있으며, 원활한 핸드오프와 보안상의 문제 등 여전히 남아 있는 이슈에도 불구하고 IPv6에서는 Mobile IP를 원활하게 지원할 수 있을 것으로 보인다. 이러한 IPv6의 특성으로 IPSec을 사용해 원격접속 VPN을 구성하기가 보다 더 원활해 질 것이다.

IPv4 IPSec VPN이 지니는 커다란 단점중의 하나는 QoS 문제다. 그러나 IPv6에서는 본격적인 QoS 기능을 제공하므로 IPSec VPN에서도 본격적인 QoS가 제공될 수 있을 것으로 보인다.

하지만 IPSec을 사용하는 경우에는 복잡한 환경설정과 암호키의 설정 문제가 대규모의 VPN을 적용하는데 장애가 될 것이다. IKE를 사용하는데 공유키 방식은 기본적으로 대규모 환경에 적합하지 않고 PKI 인증서를 사용하는 경우에는 IKE에서의 사용하는 방식이 불분명하며, IPSec 시스템과 PKI 시스템간의 인증서를 발급, 유지, 취소하는 인증서 관리기능이 간단하지 않고, 대규모 시스템에 적합하지 않도록 규정되어 있다는데 문제가 있다. 이를 해결하기 위해 IETF에서는 PKI4IPSEC 워킹그룹을 만들어 관련된 표준화 작업을 하고 있다. 그러나 현재 IPSec을 위한 PKI 표준은 개발 초기상태에 머물러 있다.

이상과 같은 점들을 고려해 볼 때, IPSec VPN은 비교적 작은 규모의 환경과 이동 사용자를 포함한 원격접속 VPN을 구성하기 위해 주로 사용될 것이며, 대규모 환경에서는 관리의 편의성을 고려할 때 서비스 사업자가 제공하는 Network-based VPN 또는 Provider provisioned CE－based VPN이 점차 확대될 것으로 보인다. 또한 Network－based VPN을 사용하는 경우에도 강력한 사용자 인증과 데이터 보호를 필요로 하는 경우에는 IPSec이 동시에 사용될 것이다.

IPv6 세부적 보완 필요할 듯

최근 IPv6 는 표준화 및 기술개발의 진전과 더불어 각국 정부의 적극적인 도입 추진으로 가시화되고 있다. 이상과 같이 IPv6에 대한 주요 현황 및 기술에 대해 살펴보았고, 특히 보안측면에서 현재의 표준화 동향을 살펴보았다. 그러나 IPv6가 전반적인 인프라 구조로서 안전성을 모두 갖추기에는 아직 세세한 기술보안 측면에서 해결해야 할 사항이 많이 남이 있다고 할 수 있다.