기업 뿐 아니라 공공기관, 개인에 이르기까지 정보보호는 중요한 과제가 됐다. 특히 공공기관에 있어 정보보호는 무엇보다 중요한 문제라고 할 수 있다. 공공기관의 성격상 국민의 중요 정보를 보유하고 있을 뿐만아니라 또한 신속한 대민업무 처리를 위해서는 정보시스템의 안정적 관리가 선행돼야 하기 때문이다. 이를 위해 송파구청(www.song pa.seoul.kr)은 지난해 말 정보유출방지시스템 구축사업을 진행, 시만텍 솔루션을 기반으로 NAC를 구현함으로써 보안 수준을 획기적으로 향상시키고, 안정적 정보시스템 구현을 위한 기반을 마련했다.
I글·오현식 기자·hyun@datanet.co.krI
I사진·김구룡 기자·photoi@datanet.co.krI
NAC(Network Access Control)는 보안 향상을 위한 가장 효과적인 솔루션 중 하나로 최근 주목받고 있는 새로운 솔루션이다. 네트워크에 접속하는 클라이언트의 보안 상태를 체크하고, 세밀한 보안 정책을 적용함으로써 클라이언트 기기를 통한 우회 공격을 사전 차단함은 물론 보안 정책을 일괄적으로 손쉽게 적용할 수 있다.
절대적인 관심을 모으고 있지만, 모범사례로 삼을 만한 NAC 도입 사례를 만나는 것은 쉽지 않은 일이다. 단순히 사용자의 네트워크 접속 허용/차단에 그치는 것이 아니라 세밀한 보안 정책 적용 등 포괄적인 의미에서의 제어(Control)를 NAC가 담고 있기 때문이다. 이에 혹자는 NAC를 “하나의 기술이나 솔루션을 지칭하는 것이 아닌 개념”이라고 정의하고 있기도 할 정도다.
전면적 NAC 적용 사례로 ‘주목’
NAC 도입 사례가 자체가 흔치 않고, NAC 사례라고 해도 전체 네트워크 적용이 아닌 일부 시범적용에 그치고 있는 상황에서 송파구청의 NAC 구축은 단연 눈에 띄는 사례다. 송파구청은 지난해 말 정보유출방지시스템 구축사업의 일환으로 ‘시만텍 사이게이트 엔터프라이즈 프로텍션(Symantec Sygate Enterprise Protection)’을 도입, 32개 부서와 관내 26개 동사무소, 1천700여대 PC 전반을 대상으로 NAC 환경을 구현했다. 민간기업들도 도입을 망설이는 가운데 공공기관이 먼저 전면적인 NAC 구축에 나선 것이다.
강동혁 송파구청 전산정보과 주임은 “공공기관의 보안성에 대해 의구심을 갖는 사람들도 있지만, 유출 시 큰 위험을 가져다 줄 수 있는 중요 정보들이 존재하기 때문에 공공기관은 정보 보호 이슈에 매우 민감한 조직”이라고 전하며, “공공기관이 먼저 NAC 도입을 선도하는 건 자연스러운 현상”이라고 밝혔다.
더불어 각 지역 동사무소로 분산된 네트워크, 정규직 공무원 외에도 공익근무요원 등 많은 수의 비정규 직원들이 근무할 뿐만 아니라 각종 민원 업무로 일반인의 출입이 자유로운 공공기관의 특성을 고려하면, NAC의 도입은 필연적인 결과로 볼 수 있다.
NAC 도입 이전 송파구청은 OS 미패치, 안티바이러스 미설치 등 보안 규정에 위배된 PC를 찾기 위해 각 부서와 동사무소를 일일이 찾아 다녀야 했다. 이러한 수작업 환경으로 인해 정확한 보안 관리가 현황 파악에 그쳤으며, 철저한 보안 관리는 불가능에 가까웠다. 또 청사 내부를 자유롭게 출입하는 비정규직원 및 일반인들에 의한 잠재적 보안 위험 요소도 간과할 수 없는 부분이었다. NAC는 허가된 PC와 사용자만이 네트워크에 접속하게 하고, 접속된 기기의 보안 수준을 관리할 수 있는 강력한 중앙통제를 구현함으로써 보안 수준 향상을 고민하는 송파구청의 가장 효과적인 대안이 됐던 것이다.
보안수준 향상·보안의식 고취 ‘효과만점’
송파구청은 지난해 12월부터 올해 3월까지 내부 정보자료의 외부유출 방지 및 위·변조 예방을 위한 정보유출방지시스템을 구축하면서, 네트워크 부문에서 가장 효과적으로 정보유출을 방지할 수 있는 방안으로 시만텍 사이게이트를 선택, NAC 환경을 구현했다. 시만텍 사이게이트 도입으로 인해 송파구청은 기존 수작업 환경을 자동화된 시스템으로 개선하고, 기존 보안시스템과의 연계를 통해 내부 네트워크의 보안성을 획기적으로 향상시키는 성과를 거두고 있다.
송파구청은 사용되는 모든 PC에 에이전트를 설치하고, 이 에이전트를 통해 정보보호 무결성 체크를 거친 후 통과된 PC에게만 사용권한을 주는 방식으로 NAC를 활용하고 있다. 설치된 NAC 에이전트는 윈도 보안패치 여부, 안티바이러스 소프트웨어 설치 및 최신 패치 업데이트 여부, 필수 소프트웨어 설치 여부 등에 대한 무결성 검사를 실시, 실패 시에는 업무용 네트워크에서 해당 기기를 격리하고, 설치유도화면으로 접근시켜 프로그램 설치/패치적용 후 네트워크 사용이 가능하도록 해 네트워크 무결성을 구현하는 중추적 역할을 수행하고 있다.
또한 기존 보안제품의 활용을 극대화하는 하는 점도 시만텍 사이게이트 도입의 성과로 볼 수 있다. 시만텍 사이게이트 도입 이전 송파구청은, 업무 시 이용하는 행정 포털에서 안티바이러스 등 보안 프로그램 설치를 강제화했지만 몇몇 이용자의 경우에는 여전히 안티바이러스와 같은 기본적 보안 프로그램을 설치하지 않고 네트워크에 접속하고 있었던 것이 사실이다.
하지만, 시만텍 사이게이트와 기존 보안 시스템과의 연계를 통해 보안 솔루션의 설치를 강제화함으로써 송파구청은 보유한 보안 솔루션이 100% 활용될 수 있는 환경 구현에 성공했다고 평가하고 있다. 시만텍 사이게이트 도입 이후 구청 내부 네트워크에서 안티바이러스 프로그램 설치가 100여건 이상 증가했는데, 이는 기존 환경에서 보안 프로그램을 설치하지 않고 네트워크에 접속, 취약 지점으로 작용할 수 있던 사용자의 수를 보여줌과 동시에 NAC 솔루션 도입으로 보안정책에 따르지 않는 기기가 철저히 차단되고 있음을 의미한다고 할 수 있다.
강동혁 주임은 “일부 사용자들이 기본적 보안 프로그램을 사용하지 않을 것이란 짐작은 있었지만, 사용자들이 보안 솔루션을 설치하게끔 하기 위해 여러 방법을 사용했기에 이처럼 높은 수준이라고는 생각지 못했다”면서 “사이게이트 솔루션 도입을 통해 과거와 같이 일일이 보안 규정 위해 PC를 일일이 찾아다니는 노력을 들이지 않고도 더 많은 PC가 보안 정책에 따르게 하는 효과를 얻고 있다”고 말했다.
즉, 송파구청은 시만텍 사이게이트 도입을 통해 보안 정책에 위배되는 기기에 대한 강력한 차단정책을 적용하고, 보안 프로그램 설치 및 업데이트를 강제 수행하게 함으로써 바이러스나 웜으로 인한 피해를 예방함은 물론, 내부정보자원의 유출과 불법 해킹을 효과적으로 방어할 수 있는 환경을 구현, 구청 및 산하 동사무소의 보안 수준을 크게 향상시키는 성과를 달성하고 있는 것이다.
이와 더불어 송파구청은 보안 없이는 네트워크 접속이 자체가 허용되지 않는 NAC 환경을 구현함으로써 내부 구성원들의 보안 의식을 제고시키는 부수적인 효과도 얻고 있다. 사용자가 먼저 자발적으로 보안 규정을 충족해야만 하는 환경을 구축함으로써 ‘귀찮은 것’으로 여겨졌던 생각을 ‘보안은 필수’라는 인식으로 전환시키고 있다고 말할 수 있다.
세밀한 보안 정책 적용 ‘만족’
NAC 도입에 있어 송파구청이 가장 중점을 둔 부문은 보안 정책 적용 부문이다. NAC의 기본적 기능이라 할 수 있는 접속 허용/차단 외에도 보안 정책에 따라 세밀한 정책 적용이 가능하기를 원했던 것. 송파구청의 NAC 솔루션 도입은 정보유출방지시스템 구축사업의 하나로 이뤄졌는데, 송파구청은 정보유출방지 솔루션 클라이언트 프로그램을 배포·운영하고, 내부자에 의한 정보유출 시 감사 자료로 활용될 수 있도록 접속 PC의 시간동기화를 구현하는 등 세밀한 보안 정책 구현·적용의 도구로써 에이전트를 활용하고 있다.
강동혁 주임은 “기존에는 구청 내 각 부서, 산하 동사무소 등에 산재돼 있는 PC들에 대한 보안성 점검에 많은 어려움이 있었지만, 시만텍 사이게이트 도입 이후에는 정보보안 부문의 중요한 포인트들을 종합적으로 관리, 통제할 수 있게 됐다”며 만족감을 표시했다. “운영적 관점에서 볼 때 에이전트리스(Agent-less) 방식에 비해 에이전트 방식이 다소 까다로운 측면이 있지만, 한 단계 더 업그레이드된 정보보안으로 인해 운영에 들이는 노력 이상의 만족을 느낀다”는 설명이다.
송파구청을 NAC 도입의 모범사례로 삼으려는 기업 및 기관을 위해 강동혁 주임은 보안 수준 향상이란 NAC 도입 목적을 이루기 위해서는 세밀한 보안 정책 설정을 살펴야 한다는 조언과 함께 다른 솔루션들과의 호환성 여부에 대해서도 강조했다.
“NAC는 다른 솔루션과의 연계가 중요한 솔루션으로 특정 환경 대한 제약이 많은 솔루션은 향후 네트워크 장비나 보안 솔루션 도입에 있어 선택의 폭을 제한하는 걸림돌이 될 수 있다. 따라서 보안성 확보만큼이나 다른 솔루션과의 연계를 통한 확장성도 중요하게 살펴야 할 부문으로 생각한다.”
송파구청은 NAC 도입을 통해 네트워크 운영의 안정적 기틀을 마련한 만큼, 당분간은 NAC의 안정화와 정교화에 주력할 예정이다. 특히 ID 관리부문을 강화해 내부 자료의 불법 유출 방지 기능을 더욱 강화할 계획으로, 이를 위해 다양한 솔루션을 검토하고 있다. 시만텍 사이게이트의 경우, 특별한 제약 사항없이 다른 회사의 솔루션과 쉽게 연동될 수 있는 장점이 있어 선택의 폭을 넓혀주고 있다.
인터뷰
강동혁 | 송파구청 전산정보과 주임
“NAC는 정보보안 위한 가장 효과적인 방안”
NAC 솔루션을 도입하게 된 배경은.
행정기관이란 송파구청의 성격상 보유 데이터의 유출 시 많은 사회적 문제가 야기될 수 있어 정보보안은 가장 중요하게 요구되는 부문이다. 내부 정보자료의 외부 유출 및 위·변조 방지를 위해 지난해 정보유출방지시스템 구축사업을 진행했는데, 이 때 네트워크 부문에서 가장 효과적으로 정보유출을 방지할 수 있는 시스템이 NAC라고 판단해 추진하게 됐다. 구축사례가 많지 않다는 점이 다소 우려되는 부분이었지만, 보안강화를 위해서 NAC는 반드시 가야할 방향이기에 전체 네트워크에 NAC를 도입했다.
NAC 솔루션 선택에서 중요하게 고려한 점은.
다양한 보안 솔루션은 물론 네트워크와 연계되는 포괄적 개념의 솔루션이란 점을 고려해 특정 환경 대한 제약이 없어야 한다는 점을 중점적으로 살폈다. 송파구청의 경우에도 여러 제조사의 스위치가 존재하고 있어 특정 스위치만 동작하는 NAC를 도입하기에는 무리가 있었다. 나아가 NAC 솔루션이 특정 환경에 의존적일 경우 향후 네트워크 장비와 보안 솔루션, 다른 애플리케이션 선택의 제약 사항이 될 수 있기에 개방성과 확장성을 중심에 두고 살폈다. 더불어 NAC 도입이 활성화되지는 않았지만, NAC를 적용한 다른 사이트의 사례도 면밀하게 살폈다. 이러한 과정을 통해 시만텍 사이게이트를 송파구청의 NAC 솔루션으로 선정하고, 행정정보시스템 등 사용중인 다른 업무 프로그램과의 연동 시험을 거쳐 도입했다.
NAC 솔루션으로 도입된 시만텍 사이게이트를 평가한다면.
기존 사용하던 다른 보안 솔루션, 업무 프로그램과도 문제없이 연동할 수 있었을 뿐만 아니라 시만텍 사이게이트는 에이전트를 통해 세밀한 부문까지도 관리할 수 있는 강력한 중앙관리 기능을 제공한다는 점이 마음에 든다. NAC 도입 단계 시부터 보안 관리 수준 향상을 최우선 과제로 삼아 세밀한 보안 정책을 설정하고, 적용할 수 있는 기능을 요구했는데, 시만텍 사이게이트는 이러한 요구를 무리없이 수용하고 있다. 현재 NAC 솔루션과 함께 도입된 정보유출방지시스템 또한 시만텍 사이게이트 에이전트와 연계해 운영·관리될 정도로 사이게이트의 에이전트가 적극 활용되고 있다. 에이전트리스 방식에 비해 에이전트 방식이 더 많은 관리가 필요하지만, 보다 세밀한 정책 적용을 통해 실질적인 보안 향상 효과를 얻을 수 있기에 매우 만족스럽다.
향후 솔루션 도입 계획은.
우선 NAC 솔루션의 안정화에 주력하는 한편, ID 관리 부문을 보다 더 강화할 계획이다. NAC 도입으로 기기의 무결성을 확보할 수 있었기에 사용자 인증 문제를 보완하면, 정보의 불법유출을 더욱 철저하게 방지할 수 있을 것으로 생각한다. 앞선 행정·복지 서비스 제공을 위해 신속한 대민서비스의 기반이 될 정보시스템의 안정적 관리에 보다 만전을 기할 방침이다.
