NAC 시장 ‘고공비행’ 준비완료
기술진화 완성형 접근 … NAC 확산 발판 마련
차세대 보안 솔루션으로 주목받는 NAC(Network Access Control) 시장은 2007년 보다 기술적 진화는 물론, 시장적인 측면에서도 뚜렷한 성과를 나타내면서 시장 활성화를 위한 전환점을 마련했다고 평가된다.
지난해까지만 해도 NAC는 시장 확산을 위해서는 실적용 사례 확보가 과제로 제기됐다. 높은 관심에 비해 실제 적용사례가 부족하다는 점이 약점으로 지적되며 잠재 고객들이 참조할 수 있는 모범사례 구축이 요구됐던 것이다.
하지만, 올해는 각 기업별로 다양한 레퍼런스 사이트가 확보되면서 시장 활성화를 위한 기반을 마련했다고 평가된다. 전북대학교병원, 서울대학교 등 일부에서의 시범적용에 그쳤던 지난해와 달리 올해는 다양한 분야에서의 레퍼런스 확보로 확산이 가시화되고 있는 것. 특히 SK텔레콤과 신한은행의 사례는 최상위 시장이라 할 수 있는 금융, 통신 시장에서의 도입 물꼬를 트는 사건으로 더욱 주목된다.
다양한 산업군으로 레퍼런스 확대
SK텔레콤은 지난해 말부터 ‘시만텍 사이게이트 엔터프라이즈 프로텍션’을 기반으로 NAC 환경을 구축했다. SK텔레콤의 NAC는 서울 본사는 물론 부산, 광주, 제주 등 지방지사까지 아우르는 전사적 NAC 사례로 높은 관심을 받고 있다. 신한은행 유넷시스템의 ‘애니클릭NAC’를 이용해 역시 초기 테스트 성격에서 벗어나 보다 확장된 범위에서 NAC 환경을 구축했다. NAC 도입으로 보안성을 향상시키려는 다른 금융기관에서도 실질적인 금융권 NAC의 첫 사례라고 할 수 있는 신한은행의 도입 효과를 주목하고 있는 것으로 알려진다.
유넷시스템 심종헌 사장은 “지난해를 기점으로 NAC 도입이 시작됐다면, 올해는 그 움직임이 보다 뚜렷하게 나타나고 있다”며, “특히 보안사고 발생 시 피해가 큰 금융권에서 높은 관심을 나타내고 있어 올 연말과 내년 초에 걸쳐 제1금융권에서만 5곳 이상이 NAC를 도입할 것으로 예측된다”는 견해를 밝혔다.
대형 고객 확보와 더불어 NAC를 도입하는 레퍼런스는 한 산업군에 집중된 것이 아니라 공공, 금융, 대학, 병원은 물론 일반 기업에 이르기까지 전방위적으로 분포해 있어 더욱 시장 활성화를 기대하게 하는 요소가 되고 있다.
시만텍코리아는 SK텔레콤 외에도 송파구청을 포함해 5곳의 NAC 레퍼런스를 올해 추가했으며, 유넷시스템은 신한은행을 비롯해 14곳의 레퍼런스를 확보해 NAC 확산에 가속도를 붙이고 있다. 주니퍼코리아의 경우, 고양시청을 포함해 올해에만 5곳 이상의 NAC 레퍼런스를 추가 확보하고 있으며, 지난해 서울대학교, 서강대학교 등에서 NAC 사례를 확보했던 시스코코리아 또한 올해 교육시장에서 3곳의 레퍼런스 사이트를 추가한 것으로 알려진다.
굴지의 보안 기업을 제치고 신생 벤처기업으로 가장 많은 레퍼런스를 구축해 화제가 됐던 지니네트웍스는 올해에도 대우증권, 스포츠조선, 고려아연 등 9곳의 레퍼런스 사이트를 추가해 NAC 시장에서 만만치 않은 저력을 과시했다. NAC 기능을 포괄하는 L2 스위치로 시큐어 스위치란 개념을 내세운 컨센트리는 국내 총판인 엑스퍼넷과 SP코리아를 통해 인제대학교를 비롯 4곳의 레퍼런스 사이트를 추가 확보했으며, 엔터라시스코리아는 3곳의 레퍼런스를 추가하는 등의 성과를 올렸다. 미라지네트워크의 NAC 솔루션을 공급하는 이노코아는 “기 확보했던 관세청, 천안-논산고속도로, 삼화페인트, 볼보코리아 외에도 현재 2~3개 고객사와 공급협상을 진행중으로 계약이 거의 막바지 단계에 있다”고 밝혔다.
특히 이러한 사례들은 특정 분야가 아닌 다양한 산업군에서 진행되고 있을 뿐 아니라 초기 검증을 위한 소규모 시범 도입에서 벗어나 전사적인 구축으로 이어지고 있다는 점에서 NAC 시장 활성화에 대한 기대를 높이고 있다.
완성형 NAC 솔루션 등장 ‘속속’
기술진화로 보다 완성형에 가까워진 NAC 솔루션이 등장하고 있다는 점도 시장 확산에 대한 기대치를 더욱 높이는 부문이다. 표준 부재와 더불어 고객의 모든 요청사항을 충족시킬 수 없는 기술적 한계는 그동안 NAC 도입을 더디게 만들었던 또다른 요인이라고 할 수 있다. 그러나 기술성숙과 더불어 고객의 요청사항에 보다 더 충실한 NAC 제품이 하반기부터 서서히 출시되면서 NAC 시장 도래의 기대를 더욱 높여주고 있는 것이다.
이와 관련 업계의 한 관계자는 “NAC에 대한 고객의 기대치를 충족시키기에는 기존 제품들이 일정한 한계를 지녔던 것이 사실”이라며 “하지만, 내년 상반기까지 각 NAC 벤더들이 보다 기능과 호환성을 강화시킨 업그레이드 버전을 준비하고 있어 기술적 한계에 의한 도입 지연은 사라지게 될 것”이라고 전망했다.
NAC 솔루션의 업그레이드를 단적으로 증명하는 사례가 지난 10월 출시된 ‘시만텍 엔터프라이즈프로텍션11.0’이다. SEP11.0은 안티바이러스/스파이웨어 기능은 물론, 방화벽과 IPS, 매체제어 등 엔드포인트 보안의 모든 기능을 하나의 솔루션으로 집대성한 시만텍의 야심작으로 NAC 에이전트 기능도 수행할 수 있다.
기보유한 안티바이러스 등 엔드포인트 보안 제품들과의 강력한 연계를 기반으로 한다는 점에서 경쟁사의 NAC 제품들과 차별화되던 시만텍은 SEP11.0에서 NAC 솔루션과 엔드포인트 솔루션을 하나로 융합, 이러한 차별성을 더욱 강화시킨 것. SEP11.0은 NAC 에이전트를 포함, 완벽한 통합을 이뤄냈지만, 폴리시 서버 등 네트워크 상에 설치돼야 하는 솔루션 때문에 선택모듈로 공급된다.
주니퍼 또한 10월 ‘주니퍼 UAC2.1’을 선보였다. UAC 2.1는 ID&P(IDS와 IPS) 제품과 연동해 L2~7에 이르는 애플리케이션 트래픽의 가시성을 제공하며, 레거시 래디우스와 EAP 인증기능을 통합해 확장서와 보안성을 모두 강화했다. 나아가 VoIP전화, 프린터 등 기존 보안 영역에서 소외됐던 기기 또한 MAC 인증을 통해 통제함으로써 보다 정교화된 보안을 제공한다.
시스코코리아는 CNAC3.0(Cisco NAC 3.0)으로 알려진 NAC 제품을 출시할 계획임을 밝히고 있다. 확장성과 호환성을 강화한 CNAC 3.0 버전은 것으로 알려진다. 802.1x를 사용하지 않은 시스템의 통합인증 지원, 이기종 스위치 및 액세스포인트 환경 지원 등이 주요 골자로, 특히 마이크로소프트 NAP와의 상호호환성 확보에 역점을 뒀다는 것이 시스코코리아 측의 설명이다.
최우형 시스코코리아 차장은 “마이크로소프트 NAP 베타 버전으로 NAC 환경을 구축하고 있는 사이트 중 하나가 바로 시스코”라며, “많은 벤더가 NAP 연동을 말하고 있지만, 윈도 서버 2008이 공식 출시됐을 때 이와의 100% 연동을 실제 제공할 수 있는 벤더는 시스코가 유일할 것”이라고 전망했다.
이 외에도 엔터라시스는 기존 산재해 있던 NAC 라인업을 정리해 ENAC(Enterasys NAC)로 발표하면서 접속 시 사전 체크 뿐 아니라 네트워크 접속 후에도 단말의 활동영역을 감시·차단할 수 있도록 기능을 강화시켰다. 한국형 NAC 기업의 대표주자라고 할 수 있는 유넷시스템과 지니네트웍스도 지속적으로 NAC 기술을 진화·발전시키고 있다.
유넷시스템은 최근 802.1x 외에도 DHCP 등 다양한 인증을 지원하는 ‘애니클릭 NAC 콘트롤러’ 제품군을 출시했으며, 지니네트웍스는 국내 VPN 전문벤더인 넥스지와 협력, VPN 센서로 활용될 수 있는 지니안NAC를 선보여 VPN 접속까지도 NAC에 입각한 보호를 제공할 수 있도록 하고 있다.
시장 개화, 본격 경쟁 ‘점화’
NAC 시장이 개화가 기대되면서 NAC 시장 참여 또한 줄 잇고 있다. NAC 솔루션을 갖고 있었지만 그동안 국내 NAC 시장 개척에 적극적이지 않았던 맥아피, 체크포인트 등이 내년 시장 개화와 더불어 이 시장 공략에 보다 적극적인 움직임을 보일 태세다.
이와 관련, 한국맥아피 손형만 사장은 “NAC 시장 미성숙, 커스터마이징 등의 문제로 시장을 예의 주시하고 있었지만, 내년 상반기 맥아피 NAC 솔루션인 ‘ToPS’의 커스터마이징이 완료될 예정”이라며 “커스터마이징이 완료되면 보다 공격적인 시장 접근정책을 펼칠 것”이라고 밝혔다.
아울러 UTM 기반의 NAC 솔루션인 ‘포티게이트224B’를 발표한 포티넷처럼 새롭게 NAC 시장에 뛰어드는 기업도 증가할 추세로 NAC 시장 주도권을 둘러싼 경쟁은 더욱 치열해질 것으로 예측된다. 스콥은 IP관리시스템 ‘IP스캔(IP Scan)’의 핵심기술을 활용한 NAC 솔루션 개발에 매진해 올 연말 경 출시가 예상되고 있으며, LG-노텔도 기존 보유한 시큐어스위치에 NAC 기능을 추가시키는 방향으로 NAC 시장 진출을 검토하고 있는 것으로 알려졌다.
기술이 성숙되고, 시장 경쟁이 치열해지는 만큼 NAC 관련 기술의 진화는 더욱 빠르게 가속화될 것으로 전망되고 있는 가운데 내년 NAC는 본격적인 비상의 날갯짓을 펼칠 것으로 기대되고 있다. <오현식 기자·hyun@datanet.co.kr>
전문가기고
“NAC의 불은 꺼지지 않는다”
미인지 공격 방어하는 차세대 플랫폼 … 고객 니즈 충족 위해 NBA 등 기능 추가 필요
장성일 // 유넷시스템 정보보호연구소 차장·sijang7@unetsystem.co.kr
NAC라는 용어는 2003년 하반기 시스코가 ‘Network Admission Control’이란 기술을 발표하면서 알려지기 시작했다. 이어 2004년 6월에는 마이크로소프트가 유사한 개념의 ‘NAP(Network Access Protection)’를 천명하면서 보안 시장에서 점차 이슈화되기 시작했다.
용어적인 측면에서 볼 때 NAC는 ‘Network Access Control’의 약자라는 것이 일반적이며, ‘엔드포인트 단의 통제를 강화하기 위한 기술로서, 안전성이 검증된 단말만이 네트워크에 접속할 수 있도록 허가하는 일련의 보안정책을 수행하는 보안 기술’로 정의할 수 있으며, 향후 2~5년 사이에 보안 주류로 진입할 수 있는 기술로 분석되고 있다.
네트워크 통제, NAC 구축 ‘동인’
정보보호 분야에 있어 구축 동기는 매우 중요하다. 정보보호 시스템의 구축 동기는 기업의 보안이슈와 맞물리며 도입 타당성의 중요한 근거를 제공하기 때문이다. 또 최근의 정보보호 시스템의 홍수 속에 정확한 기술적 근거와 사내 보안이슈를 가지고 상사에게 도입 필요의 절대성을 설명해야 한다는 점도 구축 동기의 중요성을 더하는 부문이다. 이 때 키포인트는 기존의 여타 웜 방지 솔루션과의 차별화, 또는 비교 우위에 대한 근거일 것이다. <그림 1>은 디인포프로(TheInfoPro)란 마케팅 조사 전문 기관에서 기업의 NAC 구축동기를 조사한 결과다.
디인포프로의 조사결과를 분석해보면 단말 단에 대한 보안 요구 사항이 77%, 네트워크 통제에 대한 요구 사항은 무려 90%에 달한다. 이는 우리나라 기업들에서 종종 요구되는 특정 보안위협에 대한 방어와는 큰 차이가 있다. 이는 특정 보안 위협에 대한 대처가 아닌 미지의 위협에 대처할 수 있는 차세대 네트워크 플랫폼의 필요에 의해 발생해 이슈화되는 보안 기술이 NAC임을 보여주는 반증이라고 할 수 있다.
NAC 구축의 표준 참조 모델격인 가트너의 NAC 구축 모델은 <그림 2>에서 볼 수 있다. 가트너의 NAC 구축 모델은 접속 단말에 대한 보안 평가, 보안문제에 대한 대응, 네트워크 접근 허용, 보안정책 준수에 대한 지속적인 모니터링 및 대응에 대한 업무 순환 절차 등에 대하여 표현한 것으로 주요 골자는 다음의 여섯 단계로 정리할 수 있다.
①장비·유저에 대한 인증 정책과 시스템 헬스(Health) 체크 정책 수립 ②수립된 정책을 기반으로 한 접속 단말에 대한 보안 평가 실시 ③평가결과에 의한 접근통제 실시 ④격리 단말의 치료를 위한 패치 및 백신업데이트 조치 ⑤단말 상태 변화에 대한 세팅과 네트워크 허용 ⑥지속적인 모니터링 및 대응 등이 가트너가 제시하고 있는 NAC의 기능이다. NAC 솔루션은 이 여섯 단계의 업무 순환 절차를 반복하면서, 기업 보안을 향상시킬 수 있어야 한다.
기반기술·구현방식별 특성 상이
NAC 솔루션은 일반적으로 암호화, AAA(RADIUS), OS 커널 핸들링 기술, 격리/치료 기술 등을 포함하고 있다. 표준과 관련해서는 IEEE 802.1x, IEEE 802.11i, Wi-Fi WPA/WPA2, IETF RFC 2284/3748(EAP) 등 30여개 이상의 표준을 만족해야 하는 큰 규모의 보안제품이 바로 NAC 솔루션이다.
현재 NAC 시장은 보안(인증·바이러스·침입방지), OS, 네트워크 기반 기술의 우위를 가진 업체와 독립적인(Out of Band) NAC 기술을 가진 벤더들이 난립하고 있는 상황이다. 현재 시장에 존재하는 대표적인 NAC 벤더들은 기반기술 측면에서 다음과 같이 분류할 수 있다.
●인증기술 기반 : 유넷시스템
●OS기술 기반 : 마이크로소프트
●네트워크기술 기반 : 시스코, 엔터라시스
●보안기술 기반 : 포티넷, 컨센트리(IPS 기반), 시만텍(호스트 기반), 맥아피, 트렌드마이크로(안티바이러스 기반)
●아웃오브밴드(out-of-band) 기술 기반 : 미라지, 지니네트웍스, 포어스카우트
●복합 기술 및 기타 : 주니퍼, 쓰리콤, 체크포인트 등
NAC 제품의 중요한 분류 방법 중의 또 다른 하나는 에이전트 유무에 의한 분류이다. 에이전트 유무에 따라 지원할 수 있는 기능에서 많은 차이를 보이기 때문이다. <표>는 에이전트에 따른 기술을 분류한 것이지만, 이는 일반적인 구분으로 모든 NAC 제품의 기술 특성이 이 분류 기준에 100% 만족하지는 않는다는 점은 반드시 고려해야 한다.
예를 들어, 구축/관리 측면에서 에이전트 기반이 비/경량 에이전트 기반 보다 다소 복잡하다는 특성이 있지만, 비/경량 에이전트 기반의 경우에도 네트워크 구축 방식에 따라 다소 복잡할 수 있는 개연성이 높다. <표>에서 비에이전트의 구축/관리 부문을 ‘다소 복잡 또는 상대적으로 단순’으로 명기한 이유는 이 때문이다.
다양한 NAC 제품 중 어떤 시스템을 선택할 것인가. 여기에서의 핵심은 ▲기업 내 NAC 구축 사유와 일반적인 NAC 구축 동기와의 일치 여부 ▲일반적인 NAC 구축 모델을 준수 여부 ▲NAC 구현 범위 ▲구축비용 및 관리 비용 ▲고객 요구 사항 커스터마이징 등 다섯 가지 사항 정도로 압축될 수 있으며, 이들 요소를 충분히 고려한 후 NAC를 구축할 때 의도한 도입효과를 충분히 살릴 수 있을 것이다.
NBA·호스트프로파일링 기능 접목 필요
유수의 보안업체와 OS벤더, 네트워크 벤더들이 열을 올리며 NAC 제품을 개발하는 이유는 NAC가 단일 포인트 보안 솔루션이 아닌 기존의 여타 보안 솔루션들을 아우를 수 있는 네트워크 보안 플랫폼 기술인 까닭이다. 즉, NAC는 특별한 보안 기술 이슈가 아닌 기본 인프라스트럭처 기능 중의 하나로 존재할 것으로 전망되며, 다양한 벤더의 경쟁은 향후 기본 인프라스트럭처 기능 중의 하나로 존재할 NAC에 대한 선점 경쟁으로 볼 수 있다.
현 NAC 제품은 단지 네트워크 보안 플랫폼으로서 인증, 무결성 정책 적용 기능과 여타 기 존재한 정보보호제품과의 연동으로서 미검증 단말에 대한 격리/치료 기능만이 NAC의 특성을 구분 짓는다고 할 수 있다. 하지만, 이는 플랫폼 기술로서의 의의는 충분하다 하더라도 기업 보안의 중추적 역할을 담당할만한 기능적 보강을 요구하는 고객의 니즈를 충족시키기에는 부족하다. 이러한 고객의 요구를 충족시키기 위해서는 행태분석(Behavioral Analysis)을 통한 웜 감지/차단 기능, IEEE 802.1x 미지원 단말의 자동 검출이 가능한 호스트 프로파일링(Host Profiling) 기능, 인하우스 애플리케이션(In house Application) 통제 기능 등이 NAC에 추가돼야 할 것이다.
