VPN 실무 가이드: 터널링 원리부터 기업망 한계와 ZTNA까지
현장에서 랜 공사, 라우터 설치, 방화벽 교체, 기업 인터넷 개통을 하다 보면 고객이 자주 묻습니다. “VPN 장비도 설치할 수 있나요?”, “VPN은 정확히 장비인가요, 프로그램인가요?”, “VPN을 쓰면 왜 인터넷이 느려지나요?” 같은 질문입니다.
VPN이라는 단어는 익숙하지만 고객에게 짧고 정확하게 설명하기는 쉽지 않습니다. 결론부터 말하면 VPN은 특정 장비 하나가 아니라 공용 인터넷 위에 암호화된 사설 통로를 만드는 기술입니다. 이 기술은 방화벽, UTM, VPN 라우터 같은 하드웨어에 들어갈 수도 있고, PC와 스마트폰에 설치하는 클라이언트 프로그램으로 동작할 수도 있습니다.
현장 엔지니어에게 중요한 것은 VPN을 보안 용어로만 외우는 것이 아닙니다. 터널이 어디서 열리는지, 트래픽이 어느 장비를 거치는지, 병목이 어디서 생기는지, 고객의 사내망과 클라우드 사용 방식에 맞는지까지 설명할 수 있어야 합니다.
VPN이란 무엇인가요?
VPN은 Virtual Private Network의 약자로, 한국어로는 가상 사설망이라고 부릅니다. 전용선처럼 물리적으로 따로 포설한 회선은 아니지만, 공용 인터넷망 위에 논리적으로 분리된 보안 통로를 만들어 사설망처럼 쓰는 방식입니다.
공용 인터넷은 여러 사용자의 패킷이 함께 오가는 개방형 네트워크입니다. 그래서 평문 데이터, 취약한 인증, 노출된 서비스가 있으면 도청, 스니핑, 중간자 공격, 계정 탈취 위험이 커집니다. VPN은 이런 위험을 줄이기 위해 원본 패킷을 감싸고 암호화한 뒤, 상대 VPN 게이트웨이나 VPN 서버에서 다시 풀어 줍니다.
고객에게는 이렇게 설명하면 쉽습니다.
| 고객 질문 | 현장 답변 |
|---|---|
| VPN은 장비인가요? | 기술입니다. 다만 현장에서는 방화벽, UTM, VPN 라우터 같은 장비에 기능으로 들어가는 경우가 많습니다. |
| VPN은 프로그램인가요? | 원격 접속용 VPN은 PC나 스마트폰 앱으로 설치되는 경우가 많습니다. |
| 전용선과 뭐가 다른가요? | 전용선은 물리적으로 분리된 회선이고, VPN은 일반 인터넷 위에 암호화된 논리 터널을 만드는 방식입니다. |
| VPN을 쓰면 무조건 안전한가요? | 암호화와 인증은 강화되지만, 계정 탈취와 내부망 확산까지 자동으로 막아 주지는 않습니다. |
VPN은 터널링과 암호화로 작동합니다
VPN의 핵심은 두 가지입니다. 하나는 원본 패킷을 새 패킷 안에 넣는 터널링이고, 다른 하나는 터널 안의 데이터를 읽을 수 없게 만드는 암호화입니다.
터널링은 원본 패킷을 감싸는 과정입니다
일반 인터넷 통신에서는 출발지와 목적지 IP가 그대로 노출된 상태로 라우터를 지나갑니다. VPN은 원본 IP 패킷을 그대로 보내지 않고, 그 앞뒤에 VPN 프로토콜 헤더를 붙여 새로운 외부 패킷으로 감쌉니다. 이 과정을 캡슐화라고 부릅니다.
인터넷 중간의 라우터들은 외부 패킷의 목적지만 보고 전달합니다. 내부에 들어 있는 원본 데이터와 실제 사설망 목적지는 VPN 터널 끝단에 도착해 캡슐을 벗길 때까지 노출되지 않습니다. 그래서 본사와 지사, 재택근무자와 사내 서버가 공용 인터넷을 지나더라도 하나의 사설 통로처럼 통신할 수 있습니다.
암호화는 키 교환과 실제 데이터 보호로 나뉩니다
VPN 연결이 시작되면 양쪽 장비나 클라이언트는 먼저 서로를 인증하고 암호화 키를 협상합니다. 이 단계에서는 비대칭키 기반 인증서, 사전 공유 키, 사용자 계정, 2단계 인증 같은 요소가 쓰일 수 있습니다. 연결이 성립된 뒤에는 실제 대용량 트래픽을 빠르게 처리하기 위해 대칭키 암호화를 주로 사용합니다.
현장에서 봐야 할 포인트는 암호화 알고리즘 이름 하나가 아닙니다. 인증 방식, 키 교환 방식, 사용자 계정 관리, 장비 CPU 성능, 동시 접속자 수가 함께 맞아야 합니다. 암호화가 강해도 장비 성능이 부족하면 터널 처리량이 떨어지고, 인증 정책이 약하면 계정 탈취에 취약해집니다.
대표적인 VPN 프로토콜을 현장 기준으로 봅니다
VPN 프로토콜은 터널을 만드는 방식과 암호화 처리 방식, 방화벽 통과성, 재연결 특성에 영향을 줍니다. 고객 응대에서는 깊은 수학적 구조보다 어떤 환경에서 어떤 장단점이 있는지를 설명하는 편이 실무적입니다.
| 프로토콜 | 현장 적용 감각 | 장점 | 주의할 점 |
|---|---|---|---|
| IPsec | 기업 방화벽, UTM, 라우터 간 사이트 간 VPN에서 자주 쓰입니다. | 표준화가 잘 되어 있고 장비 간 연동 범위가 넓습니다. | NAT 환경, 정책 매칭, 사전 공유 키, 암호화 제안값이 맞지 않으면 터널이 안 열립니다. |
| IKEv2 | 모바일 기기와 기업 원격 접속에서 많이 쓰입니다. | 네트워크가 바뀌어도 재연결이 비교적 빠릅니다. | 인증서, 계정, 정책 설정을 정확히 맞춰야 합니다. |
| OpenVPN | 소프트웨어 기반 원격 접속 구성에서 널리 쓰입니다. | 방화벽 환경을 비교적 유연하게 통과하고 검증 사례가 많습니다. | 구성 파일, 인증서 관리, 클라이언트 배포 관리가 필요합니다. |
| WireGuard | 경량 구성과 빠른 처리 속도가 필요한 환경에서 주목받습니다. | 구조가 단순하고 성능 효율이 좋은 편입니다. | 키 관리와 운영 정책을 명확히 설계해야 하고, 기업 표준 장비 지원 여부를 확인해야 합니다. |
고객이 “어떤 프로토콜이 제일 좋나요?”라고 묻는다면 하나로 단정하지 않는 것이 좋습니다. 본사와 지사를 장비끼리 묶는다면 IPsec이 자연스럽고, 재택근무자 중심이라면 클라이언트 배포와 인증 방식이 더 중요합니다. 모바일 이동성이 크다면 IKEv2 계열이 유리할 수 있고, 성능과 단순성이 중요하면 WireGuard 계열을 검토할 수 있습니다.
기업은 VPN을 왜 도입하나요?
기업에서 VPN을 쓰는 이유는 크게 두 가지입니다. 첫째는 떨어진 사무실을 하나의 사내망처럼 묶는 것이고, 둘째는 외부 사용자가 사내 자원에 안전하게 접속하도록 하는 것입니다.
사이트 간 VPN은 본사와 지사를 묶습니다
사이트 간 VPN은 본사와 지사 양쪽에 있는 방화벽이나 VPN 라우터가 서로 터널을 여는 방식입니다. 예를 들어 서울 본사와 부산 지사가 각각 일반 인터넷 회선을 쓰더라도, 양쪽 장비가 IPsec 터널을 만들면 지사 PC가 본사 ERP, 파일 서버, 사내 DB에 접속할 수 있습니다.
이 방식의 가장 큰 장점은 비용입니다. 물리 전용선은 품질과 안정성이 좋지만 비용 부담이 큽니다. 사이트 간 VPN은 일반 기업 인터넷 회선을 활용하면서도 지사 업무망을 본사와 연결할 수 있어 중소 사업장, 프랜차이즈, 물류센터, 지역 사무실에서 많이 쓰입니다.
현장에서 확인할 항목은 명확합니다. 양쪽 공인 IP, NAT 구조, 내부 사설 IP 대역 중복 여부, 라우팅 정책, 방화벽 정책, 터널 암호화 제안값, 장비 시간 동기화, 회선 품질을 봐야 합니다. 특히 양쪽 내부망이 모두 192.168.0.0/24처럼 같은 대역이면 라우팅 충돌이 생깁니다.
원격 접속 VPN은 재택근무자와 출장자를 연결합니다
원격 접속 VPN은 직원의 PC나 스마트폰에 VPN 클라이언트를 설치하고, 회사의 VPN 게이트웨이에 접속하는 방식입니다. 외부 사용자는 인증을 통과한 뒤 사내 파일 서버, 그룹웨어, 원격 데스크톱, 개발 서버, NAS 같은 내부 자원에 접근합니다.
이 구성에서는 사용자 인증이 핵심입니다. 단순 ID와 비밀번호만으로 운영하면 계정 탈취 위험이 큽니다. 기업 환경에서는 AD, LDAP, RADIUS, OTP, MFA 같은 인증 체계와 연동해 사용자의 신원과 권한을 확인합니다. 단말 보안 상태, 백신 설치 여부, OS 업데이트 여부를 함께 보는 정책을 적용하는 곳도 있습니다.
현장에서는 VPN 접속 실패를 회선 문제로만 보면 안 됩니다. 계정 잠김, 인증서 만료, MFA 실패, 클라이언트 버전 불일치, 사내 방화벽 정책, DNS 설정, 분할 터널 정책까지 함께 확인해야 합니다.
VPN 장애와 속도 저하는 구조에서 시작됩니다
VPN은 유용하지만 모든 기업망 문제를 해결하는 만능 도구는 아닙니다. 특히 클라우드 사용량이 늘고 원격근무자가 많아지면 기존 VPN 구조의 한계가 분명해집니다.
풀 터널링은 보안은 강하지만 병목이 생깁니다
풀 터널링은 사용자의 모든 트래픽을 VPN으로 보내는 방식입니다. 사내 서버 접속뿐 아니라 웹서핑, 클라우드 서비스, 동영상 회의, 파일 다운로드까지 본사 VPN 장비를 거칩니다.
보안 관점에서는 관리가 쉽습니다. 모든 트래픽을 본사 방화벽과 보안 장비에서 검사할 수 있기 때문입니다. 하지만 원격 사용자가 많아지면 본사 회선과 VPN 장비가 병목 지점이 됩니다. 외부 클라우드 서비스로 바로 가도 되는 트래픽이 본사를 들렀다가 다시 인터넷으로 나가는 백홀링이 생기고, 고객은 “VPN만 켜면 인터넷이 너무 느리다”고 느낍니다.
현장에서는 이 불만을 단순 회선 속도 문제로만 보지 않아야 합니다. VPN 장비의 처리량, 동시 접속자 수, 암호화 부하, 본사 인터넷 업로드 대역폭, 보안 장비 검사 정책, 클라우드 서비스 사용량을 함께 봐야 합니다.
스플릿 터널링은 빠르지만 보안 구멍이 생길 수 있습니다
스플릿 터널링은 사내 업무망 트래픽만 VPN으로 보내고, 일반 인터넷 트래픽은 사용자의 집이나 외부 네트워크에서 바로 나가게 하는 방식입니다. 속도는 좋아집니다. 동영상 회의나 SaaS 서비스가 본사 장비를 거치지 않으므로 체감 성능이 나아질 수 있습니다.
문제는 단말이 두 네트워크에 동시에 걸친다는 점입니다. 사용자의 가정용 공유기나 외부 와이파이가 취약하고, 단말이 악성코드에 감염된 상태라면 열린 VPN 터널을 통해 사내망으로 들어가는 통로가 될 수 있습니다. 그래서 스플릿 터널링을 적용할 때는 단말 보안, EDR, DNS 보안, MFA, 접근 권한 제한, 로그 모니터링을 함께 설계해야 합니다.
VPN은 한 번 들어온 사용자를 과하게 믿을 수 있습니다
기존 VPN의 가장 큰 한계는 경계 기반 보안입니다. 게이트웨이에서 한 번 인증을 통과하면 내부 사설망의 넓은 영역에 접근할 수 있는 구조가 많습니다. 계정이 탈취되거나 감염된 노트북이 VPN에 붙으면 내부 서버를 스캔하고 이동하는 수평 이동 위험이 커집니다.
이 문제는 NIST의 제로 트러스트 아키텍처 자료에서도 강조하는 흐름과 맞닿아 있습니다. 기업 자산은 온프레미스, 클라우드, 원격 사용자, BYOD 환경으로 분산됐고, 더 이상 회사 내부망이라는 위치만으로 신뢰를 부여하기 어렵습니다.
최신 흐름은 ZTNA와 제로 트러스트 접근 제어입니다
VPN의 한계를 보완하기 위해 최근 기업 보안은 제로 트러스트 방향으로 이동하고 있습니다. 제로 트러스트는 “내부망에 있으니 믿는다”는 전제를 버리고, 사용자, 기기, 애플리케이션, 세션, 정책을 계속 확인하는 접근 방식입니다.
ZTNA는 이 원칙을 네트워크 접속에 적용한 모델로 이해하면 됩니다. VPN처럼 사설 IP 대역 전체를 열어 주기보다, 사용자가 권한을 가진 특정 애플리케이션이나 서비스에만 접속하게 합니다.
ZTNA는 네트워크보다 리소스를 중심에 둡니다
전통적인 VPN은 사용자가 사내망에 들어오는 것을 목표로 합니다. 반면 ZTNA는 사용자가 어떤 애플리케이션에 접근할 수 있는지를 중심으로 판단합니다. 파일 서버, ERP, 업무 포털, 개발 시스템처럼 리소스 단위로 정책을 세우고, 사용자와 기기 상태가 조건을 만족할 때만 접근을 허용합니다.
이 방식은 내부망 전체 노출을 줄입니다. 사용자가 권한이 없는 서버는 IP가 보이지 않거나 접근 경로가 열리지 않습니다. 그래서 계정 하나가 탈취되더라도 내부망 전체를 훑는 위험을 줄일 수 있습니다.
검증은 접속 시점 한 번으로 끝나지 않습니다
제로 트러스트에서는 사용자 계정, 단말 상태, 위치, 접속 시간, 인증 강도, 위험 신호를 계속 평가합니다. 예를 들어 평소 국내 사무실에서 접속하던 계정이 갑자기 다른 국가에서 접속하거나, 관리되지 않는 단말에서 민감 시스템에 접근하려고 하면 추가 인증이나 차단 정책을 적용할 수 있습니다.
현장 기사 입장에서는 ZTNA를 직접 구축하지 않더라도 고객에게 방향성을 설명할 수 있어야 합니다. “VPN이 없어지는 것이 아니라, 사내망 전체를 열어 주는 방식에서 애플리케이션 단위로 더 좁고 지속적으로 검증하는 방식으로 바뀌고 있습니다.”라고 말하면 충분합니다.
현장에서 VPN 문제를 볼 때 확인할 순서
VPN 장애는 회선, 장비, 인증, 정책이 섞여 있어 원인을 잘못 잡기 쉽습니다. 아래 순서대로 보면 불필요한 장비 교체를 줄일 수 있습니다.
- 인터넷 회선의 기본 속도와 지연을 VPN 미사용 상태에서 먼저 확인합니다.
- VPN 사용 시 지연, 손실, 속도 저하가 얼마나 달라지는지 비교합니다.
- 풀 터널링인지 스플릿 터널링인지 확인합니다.
- VPN 게이트웨이의 CPU, 메모리, 동시 접속자 수, 터널 처리량을 확인합니다.
- 본사 인터넷 회선의 업로드 대역폭과 보안 장비 검사 정책을 확인합니다.
- 사용자 인증 실패라면 계정, MFA, 인증서, 클라이언트 버전을 확인합니다.
- 사이트 간 VPN이라면 양쪽 내부 IP 대역 중복, NAT, 라우팅, 방화벽 정책을 확인합니다.
- DNS가 내부 주소와 외부 주소를 올바르게 해석하는지 확인합니다.
- 특정 애플리케이션만 느리면 VPN 전체가 아니라 해당 서버, 경로, 보안 검사 정책을 분리해서 봅니다.
VPN을 켜면 모든 트래픽이 느리다면 병목 가능성이 큽니다. 특정 사내 시스템만 안 열린다면 라우팅, ACL, DNS, 권한 문제일 가능성이 큽니다. 로그인 자체가 실패한다면 회선보다 인증 계층을 먼저 봐야 합니다.
고객에게 설명할 핵심 브리핑
현장에서 고객에게 VPN을 설명할 때는 기술 용어보다 구조를 먼저 말하는 것이 좋습니다.
VPN은 공용 인터넷 위에 만드는 암호화된 사설 터널입니다. 장비로 구축할 수도 있고 프로그램으로 접속할 수도 있습니다. 본사와 지사를 묶거나, 재택근무자가 회사 서버에 접속할 때 사용합니다.
VPN 속도가 느린 경우에는 회선 자체보다 트래픽 경로를 먼저 봐야 합니다. 모든 트래픽이 본사 VPN 장비로 몰리는 풀 터널링이면 병목이 생길 수 있습니다. 반대로 스플릿 터널링은 속도는 좋아질 수 있지만 단말 보안과 권한 통제가 약하면 위험이 커질 수 있습니다.
보안이 중요한 고객이라면 VPN만으로 끝내기보다 제로 트러스트와 ZTNA 방향도 함께 설명할 수 있습니다. 내부망 전체를 열어 주는 방식이 아니라, 사용자와 기기 상태를 확인하고 허가된 애플리케이션에만 접근시키는 방식이 기업 보안의 중요한 흐름입니다.
결국 VPN 현장 대응의 핵심은 장비 설치가 아니라 경로 판단입니다. 터널이 어디서 시작해 어디서 끝나는지, 어떤 트래픽이 본사를 거치는지, 인증은 어디서 이뤄지는지, 내부망 접근 권한이 어디까지 열리는지 확인해야 정확한 장애 처리와 고객 안내가 가능합니다.