🔐

VPN

인프라인터넷 위에 암호화된 사설 네트워크 터널

VPN(Virtual Private Network)은 공개 인터넷 위에 암호화된 가상 터널을 만들어 두 사용자나 네트워크를 사설 연결처럼 이어줍니다. 원격 근무자의 사내 접속, 지사 간 네트워크 연결, 온프레미스와 클라우드 연결에 쓰입니다.

▶아키텍처 다이어그램

🔍 구조 다이어그램

🏢HQ Network

📡VPN Gateway

🌐Internet

🔐IPsec Tunnel

📡Branch Gateway

🏬Branch Network

👤Remote Worker

점선 애니메이션은 데이터 또는 요청의 흐름 방향을 나타냅니다

왜 필요한가요?

직원이 사무실 밖에서 내부 시스템에 접속해야 하거나, 두 사설 네트워크를 인터넷 너머로 이어야 할 때 단순히 포트를 인터넷에 열어 두는 방식은 너무 위험합니다. 그렇다고 방화벽으로 모두 막아 버리면 필요한 업무 자체가 불가능해집니다. 문제의 핵심은 공개 인터넷 위를 지나더라도 내부망처럼 신뢰할 수 있는 통신 경로를 만들 수 있느냐입니다. 원격 사용자는 안전하게 들어와야 하고, 외부 공격자는 같은 경로를 이용하지 못해야 합니다. VPN은 인터넷 위에 암호화된 사설 터널을 만들어 이 둘을 구분합니다.

왜 이런 방식이 등장했나요?

기업 시스템이 사무실 건물 안에 있을 때는 물리적 위치 자체가 하나의 보안 경계 역할을 했습니다. 하지만 지사, 재택근무, 클라우드, 외주 협업이 늘어나면서 더 이상 '사무실 안'이라는 조건만으로 신뢰를 설명할 수 없게 됐습니다. 그 전환기에 가장 현실적인 해결책은 공개 인터넷을 그대로 쓰되, 그 위에 사설망처럼 보이는 암호화 터널을 덧씌우는 것이었습니다. VPN이 널리 쓰이게 된 배경에는 원격 접근의 폭발적 증가와 기존 네트워크 구조를 크게 바꾸지 않고도 적용할 수 있다는 실용성이 있습니다. 최근 제로 트러스트 논의가 커지는 것도 VPN이 불필요해져서라기보다, VPN이 해결하지 못하는 내부 확산 위험이 더 눈에 띄기 시작했기 때문입니다.

지금은 어떻게 읽어야 하나요?

지금도 VPN은 재택 근무, 지사 연결, 온프레미스-클라우드 연동에서 널리 쓰입니다. 다만 제로 트러스트 관점에서는 VPN이 내부를 신뢰로 바꿔 주는 장치가 아니라, 이미 통제된 경로를 하나 더 만드는 수단입니다. 접속 가능성과 신뢰 범위는 분리해서 읽어야 합니다.

내부적으로 어떻게 동작하나요?

VPN 연결은 보통 사용자나 장비가 게이트웨이에 자신을 증명하는 과정으로 시작합니다. 인증이 끝나면 IPsec이나 TLS 기반의 암호화 터널이 수립되고, 그 뒤의 트래픽은 터널 안에서 보호된 채 이동합니다. 목적지 내부 시스템은 이 요청을 무작정 외부에서 온 것으로 보지 않고, 허가된 게이트웨이나 할당된 내부 주소 범위에서 온 것처럼 다룰 수 있습니다. Site-to-Site VPN이라면 두 네트워크의 게이트웨이가 서로 터널을 유지하고, 원격 접속 VPN이라면 개별 사용자 기기가 그 터널에 참여합니다. 어떤 대역을 터널로 보내고 어떤 대역은 로컬 인터넷으로 직접 보낼지 라우팅 정책(Split Tunneling)도 함께 설계해야 실제 운영이 안정됩니다.

경계와 구분

VPN과 TLS는 둘 다 암호화를 사용하지만 보호하는 범위가 다릅니다. TLS는 하나의 애플리케이션 연결 단위로 보안을 제공하므로 브라우저와 웹 서버, 애플리케이션과 데이터베이스 사이 같은 개별 대화에 붙습니다. VPN은 네트워크 레벨에서 더 넓은 터널을 만들기 때문에, 그 터널을 지나는 여러 종류의 트래픽을 한꺼번에 감쌀 수 있습니다. 웹 서비스나 API처럼 특정 서비스 연결을 보호할 때는 TLS가 자연스럽고, 원격 근무자나 지사 연결처럼 네트워크 자체를 안전하게 잇는 문제에는 VPN이 더 어울립니다. VPN과 방화벽은 둘 다 경계 보안에 등장하지만 역할이 다릅니다. VPN은 신뢰된 사용자를 내부망으로 연결하는 암호화 터널이고, 방화벽은 어떤 트래픽을 허용할지 차단 정책을 집행합니다. VPN 터널로 들어온 사용자가 어떤 리소스에 접근할 수 있는지는 방화벽 규칙이 결정합니다. 둘은 함께 설계해야 보안이 완성됩니다. VPN과 SSH 터널링은 둘 다 암호화 경로를 만들지만, VPN은 네트워크 전체를 하나의 사설망처럼 연결하고 SSH는 단일 서버 접속과 특정 포트 포워딩에 가볍게 쓰입니다. 재택근무자나 지사 전체 네트워크 연결이 필요하면 VPN, 단일 서버나 임시 터널이면 SSH가 더 단순합니다.

트레이드오프

VPN은 기존 내부망을 큰 구조 변경 없이 원격까지 확장할 수 있다는 점이 가장 큰 이점입니다. 반대로 터널 안으로 들어온 사용자의 접근 범위를 넓게 두면 계정 침해 시 위험도 함께 확대됩니다. 원격 연결성이 급한 환경이라면 VPN이 현실적이지만, 접속 성공만으로 신뢰를 부여하지 않도록 세분화된 접근 제어를 함께 설계해야 합니다.

언제 쓰나요?

VPN은 재택근무자가 사내 시스템에 접속해야 할 때, 지사와 본사를 하나의 사설망처럼 이어야 할 때, 온프레미스와 클라우드 네트워크를 안전하게 연결해야 할 때 여전히 강력한 선택지입니다. 기존 내부 시스템이 IP 기반 사설망을 전제로 만들어져 있다면, VPN은 큰 구조 변경 없이 연결성을 확보해 줍니다. 사용자가 많아질수록 게이트웨이 용량과 인증 운영이 병목이 될 수 있고, 모든 트래픽을 터널로 보내는 방식은 체감 성능 저하를 유발할 수 있습니다. 접속을 허가했다는 이유만으로 내부 전역 접근을 넓게 열어 두면 보안 리스크가 커집니다. VPN은 편리한 원격 연결 수단이지만, 터널 범위와 접근 권한을 함께 설계할 때 가장 안전하게 작동합니다.

원격 근무Site-to-Site VPN지사 연결규정 준수