2005년부터 여러 벤더들에서NAC(Network Access Control) 제품을 선보이고 있다. 여러 벤더들이 사용하는 기술이 다르고, 현재 어떤 기능을 수행하는 것이 NAC라고 정의돼 있는 것은 없다. 우리나라에서도 여러 벤더들이 저마다의 기능을 가지고 NAC를 홍보하고 있으며, 자신들의 제품을 선택해야 한다는 당위성을 주장하고 있다.
필자가 본고를 통해 전하고자 하는 것도 모든 제품에 공동적으로 적용된다고는 볼 수 없으며, 보편적인 기준을 가지고 에이전트 리스(Agent-Less) NAC 제품이 가지는 특징 및 적용 사례, 적용 기술들에 대해 얘기하고자 한다. 그리고 본 글에서 이야기하는 NAC는 특정제품을 기준으로 하는 것이 아니라 NAC의 주요 기능이라 할 수 있는 진입제어, 모니터링, 차단 및 치료의 3가지 기능을 수행하는 일반적인 제품이 기준이라는 것을 밝혀둔다. <편집자>

박종필 //

미라지네트웍스코리아 마케팅팀 팀장
jppark@innocore.co.kr

연재순서
1. 에이전트 리스 NAC 의 장단점 (이번호)
2. 에이전트 리스 NAC 의 구동 방식 및 적용 기술

NAC는 기준의 차이는 있지만 에이전트(Agent) 설치를 기준으로 보면 크게 2가지로 나눌 수 있다. 에이전트 기반 제품과 에이전트 리스 제품으로 구분하는 방법이다. 각각의 제품이 나름대로의 강점을 가지고 있으며, 에이전트 리스 제품에 관해 얘기하면 가장 큰 장점은 에이전트를 설치하지 않는데 있다(여기서 에이전트는 NAC 기능을 수행하기 위해 단말에 인스톨해야 하는 별도의 프로그램을 말한다.)

각각의 상황에 따라 선택해야
다음의 제품비교표가 에이전트 리스 제품의 장점을 중심으로 작성된 것을 감안한다고 하더라도, 에이전트를 설치하지 않는 것은 상황에 따라 충분한 장점이 될 수 있다. 어떤 조직이 내부인 및 외부인으로 구성돼 있는 경우에 외부인에게 에이전트 설치를 강제한다는 것은 어려운 일이다.
그러나 네트워크는 에이전트 기반의 제품이 적당하다. 에이전트 리스 제품이 적당하다라고 단정져 얘기하기는 힘든 점이 있다. 각각의 제품이 지니는 장점들이 있고, 담당자가 구현하고자 하는 기능을 효과적으로 구현하는 제품들이 있기 때문이다. 이런 경우에는 2가지의 제품을 혼용해 사용하는 것도 방법이라고 할 수 있다. 물론 관리포인트가 이중화된다는 약점이 있지만, 특정 세그먼트의 관리를 위해 에이전트 베이스의 제품을 다른 세그먼트 위해 에이전트 리스 제품을 사용하는 것도 가능하다. 이런 모든 것의 결정기준은 담당자가 어떻게 네트워크를 관리하겠다는 정책에 기준한다.
다시 에이전트 리스 제품으로 돌아가서, 에이전트 리스 제품의 기능 및 구현 방식에 대해 설명한다. 우선 설치에 관해 살펴보면 대부분의 제품이 스위치의 미러링 포트를 이용하는 방식을 채택하고 있다. 별도의 에이전트를 설치하지 않기 때문에 네트워크의 트래픽을 모니터링 하려면 미러링 포트를 이용하는 방법 외에는 다른 별다른 방법이 없기 때문이다.
방화벽이나 IPS 제품처럼 외부와 내부를 연결하는 중간에 장비가 설치되지 않기 때문에 장비 설치를 위해 네트워크를 변경하거나, 장비의 장애로 인해 네트워크 서비스가 중단되는 문제는 없다. 다만, 최근 들어 미러링 포트를 이용하는 장비가 많고 상황에 따라 미러링 포트를 사용하는 것이 어려운 경우가 있는데, 이런 경우에는 TAP를 이용해 연결하면 된다. 별도의 에이전트를 설치하지 않기 때문에 미러링 포트에 연결만 하면 제품을 바로 사용이 가능하게 된다. 물론, 정책을 적용해 담당자가 원하는 형태의 서비스를 받기 위해서는 셋팅에 따른 시간이 소요된다. 하지만 에이전트 기반의 제품보다 설치 및 적용에 필요한 시간이 적고, 용이하다는 것은 분명하다.

에이전트 리스도 접근제어, 모니터링, 치료 및 진단 기능 수행
이제 제품들의 통상적인 기능 및 적용 기술에 대해 설명한다. 에이전트 리스 NAC도 일반적인 NAC의 주요 기능인 접근 제어, 모니터링, 치료 및 차단 기능을 수행한다. 우선, 접근 제어 기능에 대하여 설명을 하면, 장비 자체에 네트워크 스캐너를 내장하고 있는 경우가 많으며, 이 스캐너를 이용해 네트워크에 연결된 모든 장비의 IP 및 MAC 어드레스를 관리하게 된다.
기본적으로 이 IP 및 MAC 어드레스를 기반으로 신규 단말의 네트워크 접근을 제어하게 된다. 또한 OS 및 서비스 별로도 제어가 가능하다. 가령 일반사용자 세그먼트에는 리눅스 및 각종 데몬(HTTP Daemon, FTP Daemon 등) 프로그램을 사용하는 단말의 접근을 제어하고자 할 경우에 제어가 가능하다. 하지만, 에이전트 베이스의 제품(802.1x 를 사용하는 제품)에 비교해서는 접근 제어 기능이 약하다고 할 수 있다. 이런 약점을 보안하기 위해 래디우스 서버와의 연결 및 802.1x와의 연동 기능을 제공하고는 있지만, 자체적으로 인증 기능을 가지고 있는 제품은 많지 않다.
다음으로 모니터링(Threat Detection) 기능에 대해 설명하면, 별도의 에이전트를 설치하지 않기 때문에 어떻게 효과적으로 위협 요소(웜 바이러스 등)를 가지고 있는 단말을 검출하는가 하는 것이 에이전트 리스 NAC의 중요한 기술이라고 할 수 있다. 실제로 어떤 제품이 보다 빠르고 정확하게 위협 요소를 검출하는가 하는 것이 에이전트 리스 NAC 제품을 선택할 경우의 주요 판단 기준이 된다.
방화벽 및 IPS의 경우에는 외부에서 내부로 들어오는 모든 패킷을 검사하게 된다. 장비에 설치돼 있는 시그니처를 바탕으로 어떤 패킷이 시그니처와 일치하는 지를 검사한다. 정확하기는 하지만, 지속적으로 시그니처를 업데이트를 해야 하고 트래픽의 증가로 인한 장비의 성능 저하 및 제로데이 차단에 약점을 가지고 있다. 에이전트 리스 NAC의 경우 시그니처를 기반으로 하지 않고 구현하는 방식에는 차이가 있지만 대부분이 행동기반탐지기술(Behavioral Technology)을 사용하게 된다.
이 행동기반탐지기술 방식을 간단하게 설명하면, 위협요소(웜 바이러스 등)들이 네트워크에 유발하는 특정한 형태의 트래픽을 바탕으로 위협요소를 검출하는 방식이다. 예를 들면, 어떤 단말이 웜에 감염이 되면 네트워크에 연결된 타 단말에 웜을 전파(교차감염)하기 위해 네트워크에 연결된 단말 및 포트에 대해 스캔을 수행하게 된다. 이러한 스캐닝은 특정한 서비스를 제외하고는 일반적인 단말이 수행하는 행동은 아니다.
이런 스캐닝이 발생하는 경우에 NAC는 문제가 있는 단말로 판단을해, 단말을 차단하게 된다. 물론, 이것 한가지를 가지고서 문제가 있다 없다는 판단하기는 힘든 부분이 있다. 그래서 여러 가지 방식을 혼용해 사용하게 되며, 패킷을 샘플링(Sampling)해 직접 검사하는 방법도 사용하고 있다.

시그니처 방식과 유사
<그림 1>에서 볼 수 있는 것과 같이 네트워크에서 사용하는 IP 대역에서 실질적으로 사용하고 있는 대역 외의 사용하지 않는 모든 IP(Dark IP Space)를 활성화한다. 여기서 활성화는 존재하지는 않지만 존재하고 있는 것처럼 응답을 한다는 의미이다.
이렇게 활성화된 다크 IP로 정상적인 단말들은 접속을 시도하지 않는다. 하지만 비정상적인 단말(감염 단말)들의 경우 교차 감염을 위해 접속을 시도한다. 이런 경우에 NAC 장비가 이상을 감지해 차단하게 된다.
또한 앞에서 말씀 설명한 것과 같이 패킷들을 샘플링해 검사한다. 이 방식은 시그니처 방식과 유사하다고 할 수 있다. 패킷을 검사해 이상 유무가 발견이 되면, 이 패킷을 생성한 단말을 확인하고 차단하게 된다.
문제가 있는 단말(감염된 단말)의 검출에 대해 설명을 했는데, 그런 단말들만 검출할 필요가 있는 것은 아니다. 네트워크 관리자가 네트워크 운영 정책을 수립할 경우 정책에 따라 여러 가지 형태의 단말을 검출할 필요가 있다. P2P 과다 사용자 검출, IM(Instant Massage) 과다 사용자 검출 등 정책에 따라 검출하고자 하는 바가 다를 수 있다. 이런 경우에도 NAC 장비를 통해 검출할 수 있다.
다음으로 차단 및 치료에 대해 설명하면, 차단은 NAC의 주요 기능이다. 문제를 검출하기만 하고 차단을 하지 않는다면, 문제는 이미 모든 네트워크로 확산돼 네트워크를 마비시키는 상황까지 도달하게 될 수 있다. 빠르게 문제를 검출하고, 빠르게 차단을 수행해 전 네트워크로의 확산을 방지해야 한다.

ARP 테이블 컨트롤 방식으로 차단
에이전트 리스 NAC 제품들은 별도의 에이전트를 설치하지 않기 때문에 대부분이 ARP 테이블을 컨트롤하는 방식으로 차단을 수행한다. 차단하고자 하는 단말이 정상적으로 가지고 있는 ARP 테이블을 컨트롤해 모든 IP에 대한 MAC 어드레스를 NAC 장비의 MAC으로 변경하는 방식이다.
이렇게 차단을 수행하고 나면 다음 문제는 사용자에게 차단 사유를 통보하는 것이다. 차단된 사유를 통보하지 않는 경우에는 사용자가 무조건 관리자에게 전화해 관리자는 그 응대에 많은 시간을 소모하게 될 것이다. 통보는 대부분 웹을 통한 방식을 이용한다. 우리가 유해사이트 차단 솔루션이 구축된 네트워크에서 유해사이트에 접속을 시도하는 경우에 받을 수 있는 것과 같은 안내화면을 NAC 장비도 차단된 사용자에게 보여준다. “이러저러한 문제로 인하여 차단이 되었습니다. 이러저러한 방법으로 치료하면 된다. 문제가 지속되면 관리자 누구누구에게 연락을 부탁 드립니다”와 같은 안내화면을 보여주게 되는 것이다.
차단 정책은 광범위하게 적용이 가능하다. 심각한 보안의 위협 외에 정책을 위반해 사용한 사용자에게도 차단 정책을 적용할 수 있다. 앞에서 설명했듯이 어떤 사용자가 과다하게 P2P를 사용하는 경우에 그 단말을 차단하고 안내를 할 수 있다. “정책을 위반한 과다한 P2P 사용으로 차단 되었습니다”등의 안내 화면을 사용자에게 보여줄 수 있다. 물론 이런 경우에는 차단의 시간을 조절하는 방식을 사용케 된다. 심각한 문제가 있는 단말의 경우 문제가 해결될 때까지 차단을 하지만, 이런 단말의 경우에는 60초, 120초 등 시간을 설정해 잠시 동안 차단이 가능하다.
다음은 치료다. 대부분의 제품들이 자체적으로 치료기능을 제공하지는 않는다. 백신 프로그램 등과 연동해 치료를 수행한다. ARP를 통해 백신 프로그램이 연동이 돼 있는 경우에 차단된 단말은 즉시 백신 프로그램을 자동으로 구동해 현재 가지고 있는 문제를 치료한다.
연동이 돼 있지 않은 경우에는 자신이 직접 백신을 구동해 치료하면 된다. 그럼 백신프로그램이 단말에 없는 경우에는 어떻게 하느냐 하는 문제가 있을 수도 있다. 이런 경우를 대비하여 NAC 제품은 특정한 서버로의 접속은 허용이 가능하게 셋팅할 수 있다. 차단이 되더라도 백신서버 및 PMS서버로의 접속은 허용을 가능케 해, 차단된 단말의 사용자는 차단안내에 따라 백신을 다운로드해 치료를 수행할 수 있다. 물론 차단안내화면에 백신서버 및 PMS서버를 링크해 두면 사용자는 더 편리하게 사용이 가능하다.
외부인 사용 많은 사이트, ‘에이전트 리스’ 도입이 정답
<그림 2>의 가상의 ‘A’라는 조직을 가지고 구현에 대해 설명하면, <그림 2>에서 보는 것과 같이 수시로 변하는 외부인의 사용이 많기 때문에 에이전트를 필요로 하는 장비의 도입은 어려운 상황이다. 그리고 관리자가 적어서 운영이 간편한 제품을 요구하고 있다. NAC의 도입은 초기에 웜 및 바이러스 문제로 검토를 하기 시작했다.
이 기업이 에이전트 리스 제품을 적용하는 순서는 이렇다. 네트워크가 복잡하지 않은 배본 스위치의 미러링 포트에 장비를 설치하게 된다. 그리고 기본적으로 모든 IP 및 MAC을 통제한다. 그래서 새로운 외부인원이 접근을 하면, 관리자에게 통보된다(접근이 차단된 단말에는 관리자의 허락을 구하라는 안내를 보여준다). 연구소 네트워크에는 무조건 새로운 단말의 접근을 통제한다. 허용되지 않은 공유기의 사용도 차단한다. 물론 기존에 문제가 되었던 웜 및 바이러스의 교차 감염을 차단 하고, 차단에 단말에 치료에 대한 안내한다.
문제가 되는 단말의 사용자는 차단의 횟수가 늘어나면서 보안에 대한 경각심을 가질 수 있다. 서버 네트워크로는 허용된 사용자(관리자)이외에는 특정한 서비스를 제외하고는 접근을 차단한다. 그리고 업무에 영향을 미치는 과도한 P2P 사용자를 검출해 간단한 주의 메시지를 보여주고, 60초간 차단 정책을 시행한다.

정책 기반 네트워크 구축이 목적
에이전트 리스 NAC의 가장 큰 장점은 에이전트를 설치하지 않는다는 데 있다. 에이전트를 강제하기 어려운 상황 및 에이전트의 설치 및 운영이 부담스러운 상황 등의 조건이 있는 네트워크에서 효율적이다. 설치의 편리성 및 운영, 유지보수의 편리성도 있다. 주요 기능인 접근제어, 모니터링, 차단/치료를 이용해 사용자는 네트워크 운영 정책을 설정하고, 그 정책에 따라 네트워크 운영이 가능하다.
끝으로 본 내용과는 조금 어긋날 수 있지만 각종 네트워크 보안 제품과 PC 보안 제품과 NAC의 차이에 대해 언급하면(고객들이 가장 많이 하는 질문 중 하나), 각 제품이 목적으로 하는 것을 가지고 설명이 가능할 것이다. 우선 방화벽 및 IPS는 여러 가지 목적이 있겠지만 주요 목적은 ‘외부로부터의 위협으로부터 내부 네트워크 보호’에 있다.
PMS 제품의 주요 목적은 ‘단말을 항상 최신의 패치가 완료된 상태로 유지해 단말을 보호하는 것’이다. IP관리솔루션은 ‘네트워크에 존재하는 각종 장비들의 IP 관리’에 그 목적이 있다. 그럼 NAC의 주요 목적은 무엇인가? ‘접근을 제어하고, 네트워크의 위협 요소를 검출하고 차단 및 치료를 수행해 정책 기반의 네트워크 구축’이 목적이라 할 수 있다.
그런데 여기에 문제가 있다. 수행하는 기능이 많은데 그 문제가 있다고 생각된다. 그리고 각 기능들이 기존의 솔루션들과 중첩되는 부분(인증솔루션, IDS 등)이 상당해 고객들의 혼동을 초례하고 있다. 하지만 목적하는 바는 기존 솔루션들과 분명이 다르다고 할 수 있다.
그렇다고 NAC가 만능의 솔루션이라고 말하는 것은 아니다. 그리고 NAC 솔루션을 도입해야지만 NAC를 구현할 수 있다고 얘기하는 것도 아니다. NAC를 솔루션(제품)으로 보지 않고 구현하고자 하는 어떤 것으로 보는 경우에 반드시 NAC 제품을 통해야만 NAC를 구현할 수 있다고 말할 수는 없다. 기존의 여러 가지 솔루션들을 적절하게 활용해 목적하는 NAC의 구현이 가능할 수도 있다. 하지만 기존의 솔루션들이 NAC로 확대 적용되는 것에도 문제가 있다는 생각이다. 전체적인 솔루션의 변경 없이 기존의 솔루션에 약간의 기능 등을 추가해 NAC 솔루션으로 사용되기에는 약간의 무리가 따른다고 할 수 있다.

데이터넷 관리자