What is VPN (Virtual Private Network)?

What is VPN (Virtual Private Network)? 

VPN (가상사설망)이란 내부 사용자들이 사설망 내부 혹은 외부에서 서로 안전하게 통신할 수 있는 채널을 형성 접근제어 기능을 제공해주는 솔루션으로써, 다음과 같은 기능을 기본적으로 제공한다.

-사용자인 증 기능: 외부 사용자의 인증 기능 지원

-주소관리: 사설망 주소의 비공개성

-암호화 기 능: 데이터 보호 및 네트워크 침입의 차단하기 위한 암호화 기능

-키 관리 기능: 암호화 키 생성 및 갱신

-프로토콜 호환성: 공중망에서 제공되는 프로토콜간의 호환성 확보

-VPN 프로 토콜의 기본 기능을 수행하기 위한 기술적 측면으로 Tunneling 기술과 암호화 기술로 크게 분류할 수 있 다.

-Tunneling 기술: 데이터 전송 시 패킷을 캡슐화하여 첨부된 헤더의 정보에 포함된 라우팅 정 보를 이용하여 논리적 경로를 이용한 패킷 송수신이 가능하도록 하는 기술

-암호화 기술: 터널링 기술에 암호화 기술을 추가하여 보안성 확보

◆VPN 보안 사고 및 취약성

- VPN프로토콜의 약점

-방화벽 정책: 많은 기관에서 방화벽의 보안정책상에 VPN 프로토콜과 관련 된 외부에서 유입되는 패킷의 유입을 허용하도록 설정된 점

-보안 의식 결여: 사설망 접근에 대하 여 기존의 공중망보다 월등한 안정성으로 인한 잠재적인 침해에 대한 사용자들의 보안 의식이 결여 및 허 술한 네트워크 망 구성 관리 운영상의 문제

-VPN 솔루션도 취약성이 존재함: 2002 년 9월 VPN 솔루션과 관련된 많은 버그가 발표되었으며, VPN 도 악의를 가진 사용자에게는 100% 안전할 수 없 음.

<사례 1>

VPN 프로토콜은 일반적으로 터널 프로토콜을 사용하기 전 Key 교환 및 SA (Security Association) 개설을 위하여 ISAKMP 프로토콜을 사용하며, 2002년 9월 ISAKMP 프로토콜 의 패킷 처리시 특정한 제품에서 ISAKMP 헤더 정보를 이용하여ISAKMP 메시지의 길이를 계산함으로 인 한 서비스 거부 공격에 취약함이 보고되었다.(참고: CAN-2002-1103)

이 취약성은 악의를 가진 사 용자가 ISAKMP 프로토콜과 같은 VPN 서비스를 위한 여러 프로토콜을 이용한 공격을 통하여 시스템에 임 의의 코드를 수행할 수 있는 가능성을 내포한다.

<사례 2>

VPN 통신상에서도 Sequence 번호 예측이 가능한 점을 이용한 고전적인 공격 기법 중 하나인 spoofing공격에 취약함이 보고 되었다. (참고: CAN-2002-1107)

이 취약성은 공격자가 전송되는 자료의 위-변조를 통한 전송되 는 데이터의 신뢰성을 파괴 할 뿐만 아니라 Hijacking 혹은 사회 공학적인 공격 (심리를 이용한 공격)을 통 하여 해당 네트워크 망의 보안에 큰 문제를 야기할 수도 있다.