VPN이 뭔데.. 그거 써야하나? (feat. wireguard)

일해라 핫산

라즈베리파이 4 8GB 모델... 3B에서 여기까지 왔다

어쩌다보니 여러 서버를 가지고 있는데 그중에 NAS가 제일 오래됐고, 그만큼 잘 쓰고 있다

그냥 클라우드처럼 필요한 것들 업로드 해놓고 편하게 쓴다

근데 이제 슬슬 여러가지를 공부하면서.. 얼마나 허술한지 보이게 되는 것이죠...

 

보안을 챙겨야할 것 같은데 Fail2Ban 설치하기 전에 VPN이 대체 무슨 이점이 있길래 쓰나

이점이 있다고 하면 나에겐 그게 메리트가 있나? 궁금해져서 한시간 동안 열심히 공부해봤음

 

어디 블로그 or GPT 복붙 내용이 아니라 내가 이해한 바를 기준으로 아래와 같은 내용으로 구성했고, 필요한 정보만 모아보았다

1. VPN이란?
2. VPN을 적용하면 무슨 이점이?
3. 서버 IP는 결국 노출되는 것 아닌가?
4. 그럼 왜 쓰는가?
5. 그럼 나는 적용할 것인가?
6. SSH, VPN 둘 다 똑같이 포트 하나씩 열어두는데 왜 VPN이 더 안전한가?

---

1. VPN이란?

일단 VPN은 Virtual Private Network의 약자다

한마디로 내 인터넷 연결은 암호화해서 보안성 챙기고, 다른 IP인척 둔갑해서 내보인다는 것

나는 현재 A장소에 있지만, A장소에서 비밀스런 통로를 통해 B장소로 나와 세상에 접근하는 방식이랄까

나는 A에 있지만, B에 있는 척을 하는 것! 그것이 VPN이다

---

2. VPN을 적용하면 무슨 이점이?

A에 있지만, B에 있는 척을 통해서 얻을 수 있는 이점이란 결국 나의 존재를 일부 가릴 수 있다는 것이다

상용화된, 누군가가 운용하는, 서비스로써 제공하고 있는 VPN 서버라면 나는 한국 IP를 가지고 있지만 해당 서비스에 접근함으로써 다른 국가, 다른 지역에 있는 '척'을 할 수 있는 것이다

물론 해당 VPN이 믿을만한 곳이 아니라면 역추적해서 내가 어디에 있는지, 내 IP가 무엇인지 다 딸 수 있겠지만 말이다

---

3. 홈서버에 설치하면, 서버 IP는 결국 노출되는 것 아닌가?

오늘의 포스팅을 쓴 이유이자 핵심이다

내 서버에 VPN을 적용해서, 외부에서 내 서버의 VPN에 접속하면?

당연히 내 서버의 IP는 노출된다

즉, 타 지역에 있는 내 IP는 가릴 수 있겠지만, 경유한, VPN이 설치되어있고 내가 사용한 IP인 내 서버 IP는 노출된다

 

홈서버로 VPN을 운영하는 것은 결과적으로 내 익명성을 위한 서비스로는 의미가 없다

홈서버가 털린 시점부터 내가 누구인지 특정하기 쉬워졌을테니까 말이다

---

4. 그럼 왜 쓰는가?

내 '홈서버'에 VPN을 설치하고 이용하는 이유라면 2가지 정도를 들 수 있을 것 같다

1) 현재 내가 접속한 공간이 외부라면 보안성을 챙길 수 있다

이 말인 즉, 예를들어 외부 공간이 공용 공간이라면, 카페 wifi 같은 환경이라면, VPN을 통한 접속은 암호화, 복호화 과정을 거치니까 보안성을 챙길 수 있다

2) VPN을 통해 접속하면 내부망처럼 쓸 수 있다

무슨 말이냐면 VPN이 적용된 홈서버와 같은 로컬 네트워크에 NAS가 4종류가 있고, 모두 공유기랑 물려있다고 가정하자

 

NAS들이 외부에서 접속할 수 있게 포트를 열어둔 것이 아니라면?

NAS에는 오로지 해당 로컬 네트워크에서 유선 LAN이나 wifi 환경을 통해서만 접근 가능하다

 

그런데 VPN을 통해 해당 로컬 네트워크에 접속한다면?

이 4종류의 NAS들에 접근할 수 있게 되는 것이다

---

5. 그럼 나는 적용할 것인가?

일단 내 실제 IP를 숨긴다는 취지에선 나는 쓸모가 없다

내 홈서버 IP 찍힐텐데 그게 무슨 의미...?

 

그러나 로컬 네트워크처럼 사용할 수 있다는 것은 NAS에 접근할 수 있는 방법이 VPN 딱 하나가 된다는 의미다

VPN을 쓰지 않으면 각자의 환경에 따라 SMB, FTP, SSH, SFTP 등 다양한 포트를 열게 될텐데 이러면 공격자 입장에선 시도할 방법과 도구가 많아지는 셈이다

 

나는 지금 SFTP만을 사용하고, 22번마저 다른 포트로 돌려뒀기 때문에 나름의 보안은 챙긴 편이지만...

(SFTP는 FTP + SSH이다. 이 말인 즉, SSH 덕분에 데이터, 인증정보 모두 암호화돼서 중간에서 가로채는 건 거의 불가능하단 의미)

VPN을 쓰면 더 안전해질 수 있다는 측면에서는 긍정적이다

---

6. SSH, VPN 둘 다 똑같이 포트 하나씩 열어두는데 왜 VPN이 더 안전한가?

둘 다 암호화에 서비스를 위한 포트는 결국 열어놔야하는데 왜 VPN이 더 안전한가?에 대한 의문이 끊임없이 들었음

 

더 파보니 22번은 이미 누구나 아는 '서비스를 하고 있음'이 명확한 포트이기 때문에 이런 저런 해킹시도를 해보기 좋다는 것

그리고 VPN은 이미 ID/PW가 필요없이 키 기반 인증만을 허용한다

 

이게 뭔소리냐면, wireguard는 키로 접근을 해야만, 내가 서비스하는 중이었어! 라고 알려준다는 것

키가 없으면 그 포트로 뭐가 들어오건 말건 개무시하고 서비스하는 중인 척도 안한다는 것

반면에 22번 포트였으면 일단 ID/PW 뭐게? 하고 묻는 창이 뜰 것이라는 것

이런 차이가 보안에 차이를 가져온다

쉽게 말하면 22번 포트는 잠겨 있는 문의 형태가 또렷이 보인다는 것이고,

VPN은 해리포터의 '필요의 방'처럼 필요한 것이 갖춰졌을 때만, 문의 형태가 나타나는, 숨겨진 문인 셈이다

---

정리하며

홈서버 VPN으로 익명성을 챙기고 싶으면 VPN 체이닝이라는 것을 고려할 수 있다고 한다

내 홈서버를 VPN으로 두고, 외부 사용화 되어있는 VPN에 또 묶는 것이다

관리할게 늘어나지만 VPN은 이중으로 들어가니 익명성 챙기긴 좋다 

특히 홈서버가 아니라면, 오라클, 아마존 서버라면 더 안전하겠다

 

나는 NAS의 보안을 위해 VPN을 적용할 것도 같다

다만 22번는 다른 포트로 돌려두고 쓰고있고, 또 당장에 저것부터 하기엔 크리틱한 이슈는 아니기에 우선순위는 조금 낮을 것 같다

 

가장 큰 이유로는 하고싶은게 너무 많아서 ㅠ

그래도 개인적인 궁금증은 많이 풀렸고 찾아보는 동안 정말 재밌었음

해보고 싶은게, 포스팅 해야할게 80개쯤 되는데 그 중 일부..