웜·바이러스 차단 근본 대안 … NAC 솔루션 속속 출시
최 용/ 한국트렌드마이크로 컨설턴트 / choi_yong@trendmicro.co.kr
1. NAC란
2. NAC와 안티 바이러스 연동 제어 및 업계 동향(이번호)
지난호에서는 네트워크 접근제어 솔루션(NAC)이란 무엇이며 기술의 배경과 시장성, 그리고 NAC의 중요성 등에 대해 알아봤다. 이번호에서는 NAC를 통한 바이러스 제어는 어떤 방법으로 구현할 수 있는지, NAC 관련 기술을 가진 업체들의 동향은 어떠한지 알아본다. <편집자>
과거 모리스가 네트워크 환경 속에서 자기 자신을 복제하며 네트워크를 통해서 전파되는 새로운 개념의 윔을 만든지 벌써 20년이 다 되어간다. 그동안 많은 것이 변하고 발전했다. 세계는 이미 거대한 하나의 인터넷이라는 네트워크의 연결고리로 묶여 있으며 세계 어디에서도 쉽게 이 거대한 네트워크 안으로 접근이 가능하도록 환경이 변했다. 모리스가 탄생시킨 윔 또한 많은 이들의 수고와 노력(?)으로 인해 새로운 형태의 위협으로 발전하게 이르렀다. 이런 거대하고 복합적인 인터넷 환경 속에는 다양하고 복잡한 위협이 도사리고 있다.
우리 반대 편 어디선가에서는 기업을 공격하기 위한 시도가 지금도 이뤄지고 있으며, 바로 옆에서는 당신의 컴퓨터에서 필요한 정보를 가로채기 위한 공격 또한 이뤄지고 있을 수도 있다.
이런 다양하고 복합적인 위협적인 환경 속에서 기업들은 네트워크의 보안과 보호를 위해서 기본적으로 기업의 최전방에 방화벽(Firewall)을 도입했고 나아가서는 IDS, IPS, 바이러스 월 등의 수많은 게이트웨이용 솔루션을 도입하고 있다. 과거 그리고 현재까지도 많은 기업들이 게이트웨이 단의 보안 솔루션을 강화하고 있는 추세다.
게이트웨이 보안에서 엔드포인트 보안으로
게이트웨이는 기업의 최전방 네트워크의 시작이며 전부라고 할 수도 있다. 따라서 게이트웨이에 대한 보안을 강화하는 것이 무엇보다도 중요하며 이를 강화함으로써 다양한 외부의 위협적인 공격을 차단하고 내부 네트워크를 보호할 수 있다. 사실 게이트웨이 솔루션은 이미 대부분의 기업에서 도입했으며 기업의 게이트웨이 보안과 강화에 있어서는 어느 정도 효과를 거두고 있다. 하지만 역설적이게도 게이트웨이단의 보안을 아무리 강화한다 하더라도 기업의 피해는 여전히 지속됐다.
특히 새로운 유형의 네트워크 바이러스의 피해로부터 자유롭지 못했다. 아직도 윈도 운영체제의 보안취약점을 이용해 공격하는 새로운 형태의 네트워크 윔의 피해는 많은 기업에서 발생하고 있으며, 그 어떤 기업도 이런 형태의 바이러스로부터 절대 자유롭지 않은 상태다.
<그림 1>에서 알 수 있듯이 새로운 형태의 네크워크 웜은 공통적으로 사용하는 서비스 포트(80, 139, 1434 등)를 사용해 유입/공격되므로 방화벽이나 IDS/IPS에서 차단되지 않고 내부로 쉽게 유입될 수 있으며 한번 내부로 유입된 네트워크 윔은 내부의 다른 취약점을 가진 컴퓨터로 감염/공격을 시도하여 결국 전체 네트워크를 불능 사태까지 빠뜨린다.
영국의 시큐리티 조사기관인 NSS 그룹의 자료에 따르면, 이런 침입 피해는 기업의 약 66%가 경험했다. 이중 방화벽을 가지고 있는 회사는 78%임에도 불구하고 이런 침입피해를 입고 있다.
그렇다면 왜 이러한 일이 일어나는 것일까? 그리고 네트워크 윔(바이러스)이 무엇이길래 작금의 결과를 가져오고 있는 것일까 그리고 이에 대한 대비책은 없는 것일까?
엔드 포인트 보안의 중요성
이 모든 문제에 대한 대답은 결국 엔드 포인트 보안 정책의 부재라고 할 수 있다. 해커 혹은 바이러스 제작자는 이미 기업의 대부분이 게이트웨이 솔루션을 도입했으며 이 솔루션이 적절한 역할을 하고 있다는 것을 잘 알고 있다. 따라서 새로운 공격의 대상은 취약점을 가지고 있으며 보안에 구멍이 있는 컴퓨터(end-point)로 옮겨가고 있는 것이다. 결국 적절한 보안 정책이 이뤄지지 않은 컴퓨터, 예를 들어 윈도 운영체제 보안패치 미 적용 혹은 컴퓨터 바이러스 미설치 컴퓨터들이 이런 네트워크 윔의 공격대상이 되며 공격당한 내부 컴퓨터(자원)는 바이러스를 유포하는 숙주가 돼 내부 컴퓨터를 공격, 감염시키며 나아가서는 내부 네트워크 전체를 위협하는 존재가 되고 있는 것이다.
만약 적절하지 못한 내부 자원이 감염돼 내부의 컴퓨터에 대해 공격 및 감염을 시도하고 있으며 나아가 전체 네트워크에 대해 위험을 가하고 있다고 가정해 보자, 그렇다면 지금 당장 보안 관리자가 내부자원들에 대해서 취할 수 있는 방법은 무엇일까? 안타깝게도 내부자원(컴퓨터)에 대해서는 전적으로 해당 컴퓨터의 적절한 보안 조치는 운영체제 보안 패치 적용과 백신프로그램에 의존할 수밖에 없다.
물론 만약 설치된 백신이 환경에 따라 제 역할을 하지 못 할 경우 결국엔 관리자가 직접 찾아가 해당 컴퓨터에 대해 적절한 조치를 취해 주어야 한다. 다시 말해서, 외부에 존재하고 있는 위협이 내부의 보안 정책이 이뤄지고 있지 않은 적정하지 못한 내부 자원(컴퓨터)을 통해 유입돼 전체를 위협에 빠트리고 있다. 해결책 또한 해당 자원에 대한 적절한 조치(운영체제 보안 패치와 백신 프로그램)를 통해서만 해결된다. 결국 관리자는 게이트웨이 보안을 강화함과 동시에 엔드포인트 보안에 대해서 관심을 가지고 이에 대한 대비책을 반드시 세워야 하는 시점이 된 것이다.
엔드포인트 보안에 대한 고민과 NAC의 탄생
결국 NAC(Network Admission Control)는 위에서 이야기한 엔드포인트 사용자 보안에 대한 고민에서 시작됐다. 엔드포인트 사용자 보안에 대한 고민이란 부적합 컴퓨터에 대한 네트워크 접근제어와 감염 컴퓨터에 대한 적절한 교정 작업을 어떻게 현재의 기업이 가지고 있는 통합된 환경(네트워크와 솔루션) 속에서 구현할 수 있을까 하는 고민으로부터 비롯됐다.
본 칼럼에서는 거대 네트워크 솔루션 기업인 시스코의 NAC를 통해 구현할 수 있는 NAC 솔루션에 대해 살펴보겠다.
먼저 시스코 NAC(Phase 2)를 통해 구현할 수 있는 5가지를 나열해 보도록 하겠다.
- 사용자 인증(802.1x)을 통해서 내부 네트워크에 접근하는 컴퓨터에 대한 내부 구성원 유무를 판별하고 각 그룹에 따른 적절한 정책 할당.
- 윈도 운영체제에 대한 보안 패치 적용 여부를 판별하고 이에 대한 적절한 조치
- 백신 프로그램 설치 유무와 최신 엔진/패턴의 적용 여부 판별하고 적절한 조치
- 패치매니지먼트(PMS) 프로그램 설치 유무와 각종 패치 상태 점검 및 적절한 초지
- 내부 네트워크에서 감염 컴퓨터발생시 이에 대한 적절한 조치(치료/격리)
위의 개념과 NAC의 대표적인 5가지 기능으로 볼 때 네트워크에 접근하는 내부 자원에 대해 먼저 사용자 인증을 하고 운영체제 보안패치에 대한 분석과 감사 그리고 최신 바이러스에 대응하기 위한 최신 안티바이러스 프로그램/엔진/패턴에 대한 감사가 이뤄진다. 다시 말해 무결성이 입증된 내부 자원에 대해서만 내부 네트워크로의 접근을 허용한다는 것이다. 한발 나아가서 감염된 자원이 발생 한다면 이 자원에 대해서는 격리/치료 와 같은 적절한 교정 작업까지 유도할 수 있다.
NAC는 현재 기업들이 가장 많이 가지고 있는 그리고 현재 가장 이슈가 되고 있는 사용자 보안 즉 엔드포인트 보안을 위한 가장 적절한 솔루션이라 할 수 있다. 하지만 이런 NAC를 구성하기에는 몇 가지 이슈를 가지고 있다. 지난 편에서 말했듯이 NAC는 단순한 독립된 솔루션이 아니라 엔드포인트 보안의 커다란 개념이며 이 전체적인 개념과 솔루션을 구현하기 위해서는 시스코 스위치, 안티바이러스, PMS 등 기업 내에 존재하는 여러 솔루션들의 유기적인 협업을 필요로 한다. 더군다나, 가장 기본적인 시스코 NAC의 구현을 위한 가장 기본적인 전제 조건으로 모든 대상 자원에 대해 시스코 CTA(Cisco Trust Agent)를 설치해야 한다. 아래는 시스코 NAC의 구현을 위해 필수적으로 발생하는 이슈다.
시스코 NAC 구성을 위한 이슈
- CTA(Cisco Trust Agent) 배포 이슈
- 안티바이러스 프로그램(Trend Micro OfficeScan) 제어 이슈
<그림 3>은 시스코 NAC의 구성도와 기본적인 흐름을 보여주고 있다.
CTA(Cisco Trust Agent) 배포 이슈
NAC은 위에서 보듯이 크게 4개의 단계로 구분될 수 있다.
- 해당 컴퓨터에 설치돼 있는 CTA(Cisco Trust Agent)를 통해 필요한 정보를 수집하는 사용자 접근 단계
- 이를 처리해 주는 시스코의 스위치/라우터의 NAD (Network Admission Device) 단계
- 해당 컴퓨터의 정보를 비교하고 해당 정책을 설정/저장할 수 있는 ACS(Admission Control Server) 단계
- 외부 정책 서버(Optional Server 다른 표현으로 External Policy Server)와의 연동
즉, CTA에 의해서 필요한 정보(OS, 안티바이러스, 패치 정보 등)가 수집되고, 이 정보는 NAD를 거쳐 ACS와 그 외 다른 부분과 연동되고 있는 것이다. 만일 CTA가 설치되지 않는다면 어떻게 될까? 이와 같은 경우에는 알 수 없음(Un-known)으로 처리돼 따로 격리되는 설정을 통해서 CTA설치를 유도할 수 있다. 결국 CTA가 설치되지 않는다면 NAC에 참여하지 못하는 것이다.
다시 말해 시스코 NAC을 구현하기 위한 가장 기본적인 전제조건으로 보호할(정책설정 및 감사대상) 내부의 모든 자원에 대해 CTA를 설치해야 한다는 것이다. 만일 NAC에 포함시킬 대상 자원이 천여대 혹은 1만여대를 가진 대기업일 경우 이를 어떻게 처리할 수 있을까?
내부에 가지고 있는 어떤 솔루션으로 CTA 배포 문제를 해결한다면 좋겠지만 그렇지 못한 경우에는 이는 시스코 NAC 구현에 정말로 심각한 장애일 수밖에 없다. 트렌드마이크로에서는 이를 위해서는 트렌드마이크로 오피스스캔 클라이언트(OfficeScan Client)가 설치될 때 CTA를 함께 배포할 수 있도록 지원하고 있다.
만일 이미 트렌드마이크로 오피스 스캔 클라이언트를 쓰고 있는 고객이라면 기존에 설치돼 있는 오피스스캔 서버를 이용해 CTA를 오피스스캔 클라이언트가 설치된 내부 자원으로 배포할 수 있다.
안티바이러스 프로그램 제어 이슈
그렇다면 이 NAC의 흐름 속에서 가장 핵심이라 할 수 있는 안티바이러스 프로그램이 어떻게 처리되는지 한번 살펴보도록 하겠다. 먼저 접근하는 해당 컴퓨터가 사용자 인증을 통과하고 CTA에 의해 수집된 백신(프로그램/엔진/패턴) 정보가 NAD(스위치/라우터)를 통해 ACS에 전달이 된다.
물론 전제 조건은 CTA와 상호 연동이 가능한 백신(트렌드마이크로, 시만텍, 맥아피)이어야 한다. ACS에 전달된 백신 정보는 자신이 가지고 있는 백신의 정보와 비교해 해당 정보가 최신인지 아닌지를 판별하고 해당 값에 따른 적절한 교정작업을 지시해야 한다. 시스코에서는 이를 위해서 ACS내에서 내부 정책서버를 지원하며 이 내부 정책 서버 내에 백신의 정보를 입력하도록 해 CTA에 의해서 전달된 백신정보와 비교한 후 결과값에 따라 정책을 결정하게 된다.
예를 들어 전달된 백신 정보(프로그램/엔진/패턴)가 ACS내에 내부 정책 서버(Internal Policy Server)의 저장된 백신 정보보다 낮으면 해당 구성요소를 업데이트하도록 교정 작업을 수행하도록 요청을 한다. 그럼 교정 작업을 수행한 해당 컴퓨터가 다시 사용자 접근과 NAD를 통과해 ACS의 내부 정책 서버로부터 최신 상태 점검을 끝내고 최종적으로 내부 네트워크로의 접근을 마칠 수 있다.
이론상으로는 아무런 문제가 없어 보이지만 여기서 전제조건이 발생한다. ACS의 내부 정책서버에는 항상 최신의 백신 정보가 입력돼 있어야 한다는 전제 조건이 필요하다. 그래야만 CTA에 의해서 수집된 백신 정보 값과 비교해 최신이 아닐 경우 교정 작업을 수행할 수 있기 때문이다. 그런데 ACS에서 지원되는 내부 정책 서버의 경우 최신 백신정보 값을 외부로부터 가져와 자동으로 업데이트하는 방법이 지원되고 있지 않는다는 것이다.
다시 말해서 사용 중인 백신의 정보(프로그램/엔진/패턴)가 업데이트될 때마다 관리자가 ACS의 내부 정책 서버에 해당 백신의 최신 정보를 수동으로 직접 입력해 줘야 한다는 것이다. 이는 NAC의 바이러스 제어부분에 있어서 참으로 불편한 부분이라 할 수 있다.
그렇다면 트렌드마이크로 솔루션을 통해서 이런 불편함을 어떻게 해결하고 있는지 한번 살펴보겠다. 트렌드마이크로에서는 백신 제어를 위해서 NAC의 4번째 단계인 ACS와 연동이 가능한 외부 정책 서버를 지원한다.
<그림 4>에서 볼 수 있듯이 CTA가 수집해 온 해당 컴퓨터의 트렌드마이크로 백신(OfficeScan Client)의 정보를 ACS에 저장하고 이 값을 트렌드마이크로에서 제공하는 외부 정책 서버와 해당 값에 대한 정보를 비교한다. 그리고 트렌드마이크로에서 제공하는 외부 정책 서버(External Policy Server)에서는 단순히 백신의 비교 값만 저장 및 전달하는 것이 아니라 한걸음 앞으로 나아가 각 해당 값에 따른 정책(교정작업)을 설정 및 저장하고 있어 해당 값에 따른 정책을 ACS로 보내 주게 된다.
그리고 트렌드마이크로 외부 정책 서버는 트렌드마이크로 오피스스캔 서버와의 동기화를 통해서 항상 백신(OfficeScan Client)의 최신 값을 유지할 수 있다. 따라서 시스코 ACS는 사용자의 인증과 CTA로부터의 수집된 백신의 정보 값만 저장하면 되고 나머지 백신에 대한 정보 및 정책들은 트렌드마이크로에서 제공하는 외부 정책(External Policy) 서버로부터 처리하면 된다. 이는 시스코 NAC를 위해 지원될 수 있는 이상적인 분업과 협업이라 할 수 있다.
NAC 현황과 전망
서두에서 언급했듯이 운영체제의 취약점을 공격하는 네트워크 윔의 공격이 지속되는 한 당분간은 엔드포인트 보안이 대세가 될 것이다. 하지만 이는 과거와 같은 독립형태의 단순한 엔드포인트 보안의 강화가 아닌 네트워크 영역과 관련 프로그램들 사이의 협업을 통한 중앙 집중 제어형태가 대세가 될 것이다.
이런 컨셉은 시스코 NAC 외 쓰리콤 등의 다른 네트워크 벤더들이 참여하는 트러스트컴퓨팅그룹의 TNC 그리고 마이크로소프트의 NAP까지 몇 가지 개념들이 서로 다른 이름으로 소개되고 있다. 하지만 결국 네트워크 접근 제어와 엔드포인트 보안 강화, 그리고 한걸음 더 나아가 제로데이 공격(Zero-day attack)에 대한 적절한 대비책으로 소개하고 있다.
특히 시스코는 2004년부터 조금씩 NAC의 개념을 설명하고 홍보해옴으로써 현재 NAC 개념 및 도입의 첫 번째 솔루션으로 언급되고 있다. 하지만 시스코 NAC를 구성하기 위해서는 네트워크의 모든 제품을 시스코로 교체해야 하는 부담을 안고 있다. 이와 반대로 주니퍼의 경우에는 비영리 단체인 TCG의 개방형 NAC솔루션 기술인 TNC를 채택해 어느 스위치에서도 구현이 가능한 개방형 컨셉을 제시할 예정에 있다.
또한 IPS, 라우터 스위치 등의 네트워크 장비들과 보안 프로그램들과의 연동이라는 보다 큰개념의 네트워크 통합형 제품이 부담되는 고객을 위해서 비슷한 개념의 어플라이언스 형태의 독립형 제품도 시스코를 비롯해 많은 벤더에서 출시했거나 혹은 로드맵을 제공하고 있다. 시만텍, 맥아피 그리고 트렌드마이크로 등의 솔루션이 에지 네트워크에 위치해 NAC를 구현하는 독립형 제품을 제공하는 업체들이다.
이미 국내에서도 엔드포인트 보안을 가장 필요로 하는 학교와 병원 등지에서 NAC 솔루션 도입이 이뤄지고 있으며 앞으로도 통합형이나 독립형의 NAC 솔루션 도입은 더욱 더 증가할 것으로 예상된다.
