고도화된 공격으로 인해 새로운 보안 패러다임의 변화가 진행되는 오늘날 NAC(Network Access Control)가 차지하는 자리는 크다. 네트워크에 접근하는 모든 사용자와 단말의 헬쓰체크를 수행해 악성코드에 감염된 기기를 차단함으로써 네트워크와 내부 정보를 보호한다는 개념의 NAC는 새로운 보안 패러다임을 반영하는 솔루션으로 커다란 주목을 받았다.

하지만 NAC는 지난 2~3년간 시장의 높은 관심에 미치지 못하는 성과를 냈던 것이 사실이다. 실적용 사례 확보가 과제로 제기됐기 때문이다. 접속 기기의 보안 상태를 점검, 보안이 의심스러운 기기의 접근을 차단해 네트워크의 보안성을 향상시킨다는 개념의 NAC는 높은 관심의 대상이 됐지만, 실제 적용사례가 부족해 폭발적 확산을 이뤄내기 어려웠던 것이다.

하지만 지난 몇 년간 조금씩 구축 사례를 넓혀나가면서 담당자들의 도입 부담을 완화시킨 NAC는 올해 대형 사이트에 잇단 공급사례를 일궈내면서 확산을 위한 기틀을 마련했다고 평가된다.

NAC 도입 ‘급물살’
이동사용자와 이들이 사용하는 노트북PC, PDA 등 모바일 기기의 활용이 확대되고 있는 오늘날 현실에서 기조 경계면 보안의 보완은 절실히 요구되던 것이 사실이다. NAC는 게이트웨이와 내외부 네트워크의 연결지점에만 집중됐던 기존 경계면 보안의 한계를 네트워크 전반으로 확대한다.

엔드포인트 기기의 보안 정책 준수를 이끌어 내 네트워크의 무결성을 유지하고, 궁극적으로 전사의 보안 수준 향상을 이루게 하는 NAC는 서서히 본격화의 길로 접어들고 있다. 시만텍코리아, 유넷시스템, 이노코아, 주니퍼코리아, 지니네트웍스 등 대다수 NAC 벤더들은 2008년에 비해 10~20% 성장을 이뤄낸 것으로 집계하고 있다. NAC는 점차 보안 시장의 주류로 올라서고 있다는 것이 업계의 공통적인 평가다.

무엇보다 금융, 통신 등 각 분야별로 대형 레퍼런스 구축에 성공했다는 점은 NAC의 확산을 더욱 용이하게 만들 것으로 예상하게 하는 요소가 된다. 통신권에서는 시만텍코리아가 SK텔레콤에 전사적인 NAC 환경을 구축했으며, 금융권에서는 유넷시스템이 신한은행과 국민은행에 이어 금호생명에 NAC 구축을 이뤄냈다. 또 지니네트웍스는 신한카드와 동양생명에, 주니퍼코리아는 금호아시아나 그룹에 NAC를 공급하는 성과를 달성해 NAC 확산의 지표가 될 대형 레퍼런스 사이트를 확보하는 데 성공했다.

용산구청, 중대병원 등이 지니네트웍스의 지니NAC를, 도로교통안전관리공단, 관세청, 국세청, 수자원공사, 충남대병원 등이 미라지NAC를 이용해 NAC를 구축하는 등 NAC의 확산이 올해 지속됐다. 또한 올해 NAC 시장 진출을 선언한 신생업체 포어사이트 역시 올해 최대 프로젝트로 관심을 모은 경찰청 등 약 10여 곳의 레퍼런스를 확보하는 등 NAC 시장의 확산은 뚜렷하게 나타나고 있다.

이와 관련, 이동범 지니네트웍스 사장은 “지난 2년 동안 NAC는 업계의 높은 기대에 비해 더딘 성장성을 보였지만, 이제 NAC 시장이 본격적으로 개화하고 있는 단계에 접어들었다”면서 “2009년도에는 보안시장의 대표 솔루션으로 성장을 확신한다”고 밝혔다.

2009년 NAC를 더욱 기대하게 하는 것은 공공기관의 보안강화를 위한 망 분리 움직임 때문이다. NAC는 공공기관 망 분리에서 네트워크 무결성 확보를 위해 반드시 구현해야 하는 필수 솔루션으로 지정돼 시장 확산의 계기를 맞이하고 있다.

기업 보안 프로세스 ‘정립’
NAC에 대한 이러한 높은 관심은 바로 NAC가 기업의 보안 프로세스를 정립해주는 효과가 높기 때문이다. 기업 일선 보안 담당자들이 토로하는 어려움 중 하나는 사용상의 불편을 이유로 안티바이러스 프로그램 등 기본적인 엔드포인트 솔루션을 비활성화하거나 보안 업데이트를 실시하지 않는 사용자들이다. 이들을 일일이 검출하고, 보안 정책을 따르기에는 업무 부담이 너무나 커질 수밖에 없다.

하지만 이들을 통제하지 않는다면, 보안 정책 미준수로 인해 네트워크는 지속적으로 위협받게 된다. 특히 오늘날처럼 노트북PC 등 모바일 기기의 보급 활성화로 기업 내외부를 넘나드는 이용이 많아진 만큼 외부에서 사용된 노트북PC에 의해 묻어온 악성코드가 내부 네트워크를 한 순간 감염시킬 수 있다. 보안 정책에 따르지 않는 사용자들로 인해 보안 담당자들은 엔드포인트 관리와 같은 소모적 활동에 시간과 비용을 투자할 수밖에 없게 되는 것이다.

이러한 보안 관리자의 고민을 풀어줄 해답은 바로 NAC라고 할 수 있다. NAC는 보안 정책 위반 기기의 네트워크 접근을 불허하고, 위반 기기에 보안 정책 준수를 유도할 수 있다. 네트워크 접속을 위해 사용자들이 안티바이러스 프로그램의 최신 버전 유지와 같은 보안 정책을 충실히 이행할 수밖에 없게 되기 때문이다.

물론 NAC의 기능은 안티바이러스 프로그램을 유지하는 것만이 아니다. 안티바이러스 솔루션의 설치와 업데이트, 개인 PC의 ID/PW 설정과 같은 아주 기초적인 부문부터 IT 컴플라이언스 준수까지 다양한 보안정책을 수립해 엔드포인트 기기를 통제할 수 있다. 일단 보안 정책이 마련된다면, 업무에 필수적인 네트워크 접속을 통제함으로써 각각의 사용자들이 이를 준수하도록 강제화할 수 있는 것이다.

이와 관련 허광진 지니네트웍스 이사는 “NAC의 장점 중 하나는 바로 엔드포인트 기기가 필수적으로 갖고 있어야 할 보안 솔루션들이 설치되고, 최상의 상태로 유지되도록 하는 것”이라며 “이를 통해 일선 담당자들이 느끼는 애로사항을 상당부분 해소할 수 있게 한다”고 강조했다.

최근 기업보안은 프로세스의 정립이 화두가 되고 있다. 바이러스, 해킹 등으로 인한 악성 트래픽이 내부 네트워크로 침투하지 못하도록 방어하고, 침투한 악성 트래픽을 깨끗이 청소하는 방역을 수행하는 등 공격에 대응하는 것이 기존 보안의 주요 임무였다면, 최근의 보안은 내부 프로세스를 정립해 공격의 여지를 줄이는 측면으로 진행되고 있는 것이다.

이는 고도화된 공격으로 내부 프로세스의 정립 없이는 보안사고를 예방할 수 없다는 인식의 확산 때문이다. 또한 강화된 컴플라이언스 이슈는 기업 보안의 프로세스 정립을 요구하고 있기도 하다. NAC는 이러한 보안 프로세스의 준수를 강제화할 수 있는 기능을 갖추고 있다. 즉, NAC는 ‘프로세스로서의 보안’으로 변화하는 트렌드를 보여주는 솔루션인 동시에 프로세스 정립으로 나아가는 보안 트렌드를 이끌고 있는 것이다.

미라지NAC를 공급하는 이노코아의 박종필 팀장은 “보안 정책 위배자에게 네트워크를 접근을 불허하기 때문에 NAC는 사용자들이 자발적으로 보안 정책을 따르게 할 수 있다”며 “NAC를 통해 보안정책 준수율을 100%까지 끌어올릴 수 있다”고 밝혔다.

NAC ‘퓨전하다’
NAC 솔루션 또한 등장 초기에 비해 큰 기술적 진화를 이뤄냈다는 점도 올해 NAC 확산의 배경이라고 할 수 있다. 표준 부재와 더불어 고객의 모든 요청사항을 충족시킬 수 없는 기술적 한계는 그동안 NAC 도입을 더디게 만들었던 또다른 요인이라고 할 수 있지만, 기술성숙과 더불어 완성도 높은 NAC 솔루션이 출시되면서 시장 도래의 기대를 더욱 높여주고 있는 것이다.

이와 함께 VPN, UTM 등과 퓨전하면서 고객의 요청사항에 보다 더 충실한 NAC 제품이 본격적으로 출시되고 있다는 점도 NAC 확산을 이끌어 내는 요소가 되고 있다. NAC 기능은 물론 방화벽, 호스트IPS, 콘텐츠 필터링 등 엔드포인트 보안과 관려된 다양한 기능을 한데 묶은 시만텍 SEP11.0은 통합을 통한 NAC의 발전을 증명하는 사례라고 할 수 있다. 또 주니퍼는 VoIP 전화, 프린터 등 기존 보안 영역에서 소외됐던 기기까지 포함하는 UAC2.1를 출시하고 있기도 하다.

지니네트웍스의 경우를 예로 들면, 국내 VPN 시장의 선두주자 중 하나인 넥스지와 협력, VPN과 NAC가 보다 긴밀하게 결합된 ‘V포스NAC’를 개발해 올해 초 V포스NAC를 동양생명에 공급하는 성과를 달성했다. 또 UTM의 선두주자인 포티넷은 NAC 기능까지 구현되는 UTM 솔루션인 포티게이트224B를 출시하고, 시장 공략을 강화하고 있기도 하다.

미라지NAC를 공급하는 이노코아는 에이전트와의 퓨전으로 시장 공략을 강화하고 있는 상황이다. 미라지NAC는 에이전트를 사용하지 않는 에이전트리스 방식을 특징으로 하지만, 보다 세밀한 정책 설정을 요청하는 기업의 요구를 수용하기 위해 기업이 사용하고 있는 안티바이러스 등 에이전트와의 연동을 이뤄내 NAC를 구축할 수 있도록 하고 있는 것이다.

이노코아 박종필 팀장은 “미라지가 에이전트 활용이 가능하도록 진화한 것처럼 다양한 NAC 솔루션들의 기술진화가 계속되고 있다”며 “다양한 요구사항을 수렴한 기술진화로 NAC는 더욱 더 고객의 높은 관심을 받고 있다”고 전했다.

또한 유넷시스템의 경우에는 MS NAP와 결합해 보안기능을 확장할 수 있도록 개발한 플러그인 제품인 유넷샤(UNETSHA)를 프린터복합기 업체인 리코에 공급하기도 했다.

---

NAC 전문가 기고
NAC로 보안장비간 시너지 ‘창출’
박종필 // 이코코아 팀장·jppark@innocore.co.kr

반드시 필요하다고 간주되는 보안 관련 솔루션들은 시간이 흐를수록 점점 늘어나고 있다. 매년 새로운 솔루션들이 시장에 등장하고 보안과 관련된 각종 법률들이 재정되면서 보안 담당자들도 감당하기에 벅찰 정도다. 이런 상황에서 필요한 것은 보안제품들간 시너지를 발휘할 수 있도록 하는 조직관리 능력이라고 할 수 있다.
새로운 보안 솔루션을 도입할 때 이 솔루션이 반드시 필요한지, 기존에 있는 솔루션이 그 기능을 대신할 수는 없는지, 기존의 제품이 수행하고 있던 기능의 일부를 새로운 솔루션이 수행하게 할 것인지, 기존의 솔루션과 어떤 식으로 연동해 그 솔루션을 보다 효과적으로 사용할 것인지 고려해야 한다.

NAC 도입, 상호연동성 고려해야
새로운 보안 패러다임으로 주목받는 NAC(Network Access Control)의 도입에 있어서도 마찬가지다. 특히 NAC는 다른 보안 솔루션과 밀접한 연관을 갖기에 기존 솔루션 및 기타 시스템과의 연동이 반드시 검토돼야 한다.

IPS, 웹방화벽 등의 경계선 보안 제품들과는 달리 NAC는 내부 네트워크에 대한 사용자와 단말, 그리고 내부 트래픽 모니터링 등 관여하는 영역이 광범위하다. 따라서 기존 솔루션과의 기능 중복을 피하면서 가진 기능을 충분하게 사용하기 위해서 NAC는 기존 솔루션들과의 연동이 필수적이라고 할 수 있다.

초기에 NAC가 국내에 소개됐을 때는 NAC라는 것이 802.1x 인증을 통한 접근제어 솔루션으로 인식됐다. 하지만 현재 국제 표준화 기구에서 표준을 만들면서 정리한 내역을 보면 NAC는 크게 3가지의 기능을 수행한다. 진입 전 인증(Pre-Admission), 진입 후 인증(Post-Admission), 격리·차단이 바로 그것이다. 그리고 프리-어드미션 기능에서 세부적으로 사용자에 대한 인증과 단말에 대한 인증(Health Check) 등 2가지 기능을 포괄하고 있다.

프리-어드미션의 사용자 인증을 살펴보면, 내부 네트워크에 접근하는 사용자에 대한 인증이 주요 기능이다. 이 사용자가 내부 네트워크에 접근해 되는 사용자인지, 방문자인지 아니면 외부 직원인지를 확인하고 이런 인증의 결과에 따라 내부 네트워크를 사용하는데 한계(권한)를 규정하는 것이다.

이 과정에서 기존의 인증 솔루션들과의 연동은 물론 인사DB, 학사DB, 인트라넷 계정 DB와 같은 각종 DB와의 연동이 요구된다. 예를 들어 이미 인증솔루션을 도입해 사용하고 있는 조직의 경우에는 NAC가 수행하는 인증이 번거로운 2중 인증일 수 있다. 이런 경우에는 기존의 인증을 통과한 사용자에 대해서 NAC는 별도의 인증을 수행하지 않고 바로 네트워크 진입을 허용하는 것이 효과적일 것이다. 반대로 인증 솔루션이 없는 경우에는 별도의 인증DB를 새롭게 생성하지 않고 기존에 각종 시스템이 가지고 있는 인증과 관련된 DB와의 연동을 통해 사용하는 것이 도움이 된다.

하지만 프리-어드미션에서 수행하는 단말에 대한 인증 부분이 조금 복잡한 것은 사실이다. 단말에 대한 인증을 어디까지 할 것인지 조직마다 기준이 다르기 때문이다. 어떤 조직에서는 IP, MAC만 확인되면 네트워크 사용이 가능할 수 있을 것이고, 또 어떤 조직에서는 패치상태를 비롯한, 공유폴더 설정 유무, 화면보호기 설정 유무, 필수 소프트웨어 구동 유무까지 확인돼야 네트워크 사용이 가능하게 되는 경우도 있을 수 있다.

에이전트 연동, 보안성 업그레이드
현재 시장에 출시되고 있는 NAC 제품에 대한 분류기준이 여러 가지가 있지만 가장 흔하게 NAC를 구분하면, 에이전트 기반(Agent-base) 제품과 에이전트리스(Agent-less) 제품으로 구분된다. 에이전트리스 제품들은 탑재된 네트워크 스캐너를 이용해 IP/MAC, OS종류, 개방포트 등에 대한 정보는 확인이 가능하지만 위에서 언급한 세부적인 단말의 상태에 대한 점검은 에이전트가 설치되지 않으면 불가능하다.

하지만 그렇다고 해서 단말인증을 수행하기 위해 에이전트 기반 제품을 반드시 구매해야 하는 것은 아니다. 이미 많이 조직들이 단말의 상태를 확인할 수 있는 솔루션들을 가지고 있기 때문이다. 대부분의 조직들은 이미 PMS(Patch Management System)나 DMS(Desktop Management System), 혹은 PC보안 솔루션을 보유하고 있으며, 에이전트리스 제품들은 에이전트를 갖고 있는 기존 보안 솔루션과 연동을 통해 필요한 경우 단말 인증 기능을 수행 하도록 진화하고 있다.

오늘날 단말에 설치되는 에이전트의 종류가 많아지면서 관리자들은 기존에 설치된 에이전트 외에 새로운 에이전트 설치를 부담스러워하고 있다. 이에 예전에 각각 존재하던 패치관리, 자산관리, 데이터 유출 방지, 매체제어 솔루션들의 에이전트는 점차 통합되고 있는 상황이다. 이런 상황에서 기능이 중복되는 새로운 에이전트는 반드시 필요한 경우를 제외하고는 관리자에게 부담만 가중시키는 결과를 가져오게 됨은 자명하다.

앞에서 언급한 것과 같이 에이전트리스 NAC 제품과 기존 에이전트와의 연동을 통한 단말 인증은 필요한 기능의 중복을 피하고 각각의 고유 솔루션들이 가진 기능을 최대한 활용하는 측면에서 효과적이다. NAC 솔루션에 따라 차이가 있지만, 연동은 비교적 간단하게 이뤄질 수 있다.

단말에 설치된 기존 에이전트가 NAC로 상태 정보를 전달하는 것만으로 연동이 완료될 수 있는 것이다. 이때 단말 에이전트가 보내는 상태정보는 IP/MAC 정보와 함께 단말이 최신패치가 아닌 것을 나타내는 A, 혹은 단말에 백신이 설치돼 있지 않다는 것을 의미하는 B와 같이 방식으로 미리 약속된 특정한 메시지 정보면 충분하다.

메시지를 전달받은 NAC는 전달받은 메시지에 따라 단말을 차단하고 단말 차단에 따른 안내 메시지를 전송하게 된다. 백신이 없는 경우에는 백신을 설치가 필요하다는 메시지를 전송하는 한편, 다른 네트워크 경로는 모두 차단하고 백신 서버에만 접속을 허용하는 차단정책을 적용하며, 외부 사용자에게는 인터넷 사용만 허용하고 내부네트워크로의 접근은 차단하는 차단 정책을 적용할 수 있는 것이다.

포스트-어드미션, 제로데이 공격 대응
이제 포스트-어드미션과 차단 기능을 살펴보자. 포스트-어드미션이 담당자들이 골치 아파하는 문제들을 해결하는데 실질적 도움을 줄 수 있음에도 NAC 도입에 있어 많이 간과되고 있는 것이 바로 포스트-어드미션 기능이다.
포스트-어드미션에 강점이 있는 NAC 제품들의 경우 미러링을 통해 내부에서 흐르는 모든 트래픽을 모니터링 할 수 있다. 이런 모니터링을 통해 포스트-어드미션 솔루션은 설치된 백도어(Back-door)로 인해 외부의 공격자와 통신하거나 ARP스푸핑, 악성코드에 의한 내부 주요서버들에 대한 해킹 등을 탐지할 수 있다.

다시 말해 포스트-어드미션 방식의 NAC 솔루션을 통해 예전 IDS를 도입하면서 기대했던 기능을 구현 할 수 있다. 행동기반으로 탐지하고 사용하지 않는 IP를 이용해 가상의 단말을 생성하는 기능을 가지고 있어 포스트-어드미션 방식의 솔루션은 제로데이 공격에도 대응할 수 있다.

가상의 윈도우XP, 리눅스 등으로 위장해 악성코드에 의한 공격을 자신에게 유도하고, 미러링된 데이터 중 특별하게 확인하고자 하는 부분에 대해서는 별도의 정책을 추가해 탐지함으로써 제로데이 공격에도 유연한 대응이 가능하다. 또 허용되지 않은 사용자들의 DB서버, 주요 서버에 대한 접근 등이 탐지를 수행할 수 있기도 하다. 물론 이렇게 탐지가 된 단말은 바로 네트워크로부터 격리가 되어 교차감염이 차단되는 한편, 적절한 안내메시지가 전송돼 문제를 해결하도록 한다.

물론 NAC에서 이런 포스트-어드미션 기능의 필요성에 대한 문제제기가 있을 수 있다.  이미 기업은 네트워크에 진입 후 각 단말의 행동을 감지할 수 있는 시스템을 갖고 있기 때문이다. 경계선 보안 제품의 경우에도 내부에서 외부로 이상한 트래픽을 전송하는 단말에 대한 탐지가 가능하고, 트래픽 관리 솔루션의 경우 인터넷 트래픽을 과다하게 사용하는 단말에 대한 탐지가 가능하다. 또 특정 서버에 대한 접근제어 솔루션의 경우에는 허용되지 않은 단말의 접근여부를 파악할 수 있다.

하지만 기존 솔루션들은 악성 트래픽과 접근을 차단할 수 있지만, 악성 트래픽을 유발한 원인과 접근 단말 자체를 차단할 수는 없다. 이런 경우 NAC와 연동을 통해 단말 자체에 대한 차단을 수행하는 것이 최선의 방법이며, NAC와의 연동은 단말에 적절한 안내 메시지 전송을 통해 단말 이용자 스스로 문제를 해결할 수 있도록 유도할 수 있다. 이런 조치들은 단말의 사용자가 의도하였건, 의도하지 않았건 문제 단말 사용자에게 문제가 있다는 사실을 알려주게 됨으로써 재발방지에 효과적이다.

앞으로의 보안 시장을 예측하는 많은 전문가들이 향후에는 물리적 보안 및 논리적 보안의 통합이 가속화될 것으로 생각하고 있으며, 기존의 제품들간의 통합과 연동, 그리고 ESM(Enterprise Security Management) 시장이 성장할 것으로 예상하고 있다. 조직의 입장에서 효과적인 NAC 도입은 기존의 솔루션들이 하지 못하는 기능을 상당부분 해결할 수 있으며, 향후 도입될 솔루션과도 통합·연동함으로써 기업 보안에 효자 노릇을 할 수 있을 것이다.

---

NAC 전문가 기고
표준 기반 NAC 구축이 중요하다
황인각 // 주니퍼 수석엔지니어·ingack@juniper.net

확장이나 통합을 위해 새로운 네트워크를 구축하는 경우, 오늘날 기업이 가장 고민하는 부분은 바로 보안이다. 보안을 강화하면 사용자의 접근성이 어렵게 되고, 접근성을 쉽게 하면 문제가 발생하게 되는 보안의 양면성 때문이다. 하지만 대부분의 기업은 접근의 어려움에도 불구하고 자산 보호와 서비스의 연속성을 위해 보안을 선택하게 된다.

기존의 보안 장비와 클라이언트 소프트웨어는 개별적으로 동작하기 때문에 문제가 발생했을 경우 유기적인 상호 연동을 통한 빠르고 자동적인 조치를 하지 못하게 되는 단점이 있다. NAC(Network Access Control)는 이러한 어렵고 복잡한 문제를 해결한다. NAC는 개별적인 보안 장비와 클라이언트 소프트웨어가 유기적인 연동을 통해 문제 발생 시 자동적인 조치를 가능하게 하는데 중심이 되며, 이는 표준을 통해서만 구현될 수 있다.

표준, NAC 도입시 ‘0순위’ 고려사항
NAC를 도입함에 있어서 가장 중요한 고려 사항은 표준이다. 그 이유는 현재 사용하고 있는 네트워크 장비와 클라이언트 소프트웨어에 대한 연동뿐만 아니라, 향후에 추가될 새로운 장비와 클라이언트 소프트웨어에 대한 연동 부분도 염두에 둬야 하기 때문이다.

스위치/AP 등의 네트워크 장비와의 연동을 위해서는 ▲802.1x 표준 인증 프로토콜을 이용한 사용자 인증 및 VLAN/ACL/대역폭 할당 ▲표준 래디우스 인증을 통한 IP폰, 프린터 등의 무인 단말 접근 제어 ▲SNMP, Syslog, sflow 표준 프로토콜을 이용한 중앙 모니터링이 구현돼 있어야 한다.

또한 클라이언트와의 연동을 위해 ▲윈도우, 리눅스, 맥OS 등에 대한 인증/무결성 점검/차단/격리/치료 기능 연동 ▲TCG/TNC 프로토콜을 이용한 다양한 안티바이러스/스파이웨어/PC방화벽 등의 클라이언트 보안 소프트웨어에 대한 설치/동작에 대한 점검 및 강제 업데이트 기능 연동 ▲MS SOH 프로토콜을 이용한 윈도우XP SP3나 비스타의 NAP 클라이언트를 이용, 에이전트 설치없이 인증/무결성 점검 등의 제어 기능 연동 ▲HTTPS 표준을 이용한 사용자 인증 정보 교환이 이뤄져야 한다.

인증 서버와의 연동을 위해서는 ▲액티브 디렉토리, LDAP, 래디우스, OTP, PKI 등을 통한 다양한 인증 서버와 사용자 인증 및 그룹 정책 연동이 필요하며, 보안장비와의 연동을 위해 ▲TNC 2.0 프로토콜을 이용한 방화벽, IPSec/SSL VPN, IPS 등의 보안 장비와의 연동과 제어 ▲SNMP, Syslog, sflow 표준 프로토콜을 이용한 중앙 모니터링이 구현돼야 한다.

환경별 접근제어 구현해야
한 건물에 약 500명의 직원이 근무하고 있는 정보통신 기업의 예를 통해 표준의 이점을 살펴보자. 이 기업은 L2 스위치와 백본은 시스코 제품을 사용하고 있으며, 직원들의 이동성 및 협력업체의 회의를 고려해 모든 층에 무선랜을 구축했다.

이 기업의 문제점은 무선랜 보안이 취약한 WEP 방식의 암호화를 사용하고 있으며, 일부 협력사에서 WEP 키를 알고 있는 상황이란 점이다. 하지만 대부분의 직원들이 무선랜을 사용하기 때문에 주기적으로 WEP 키를 변경하는 것이 쉽지 않았다. 또 그룹웨어 접속 등 대부분의 업무는 무선랜을 통해 처리하고 있었는데, 간헐적으로 무선랜 속도가 느려지는 문제가 발생했으며, 노트북에 설치된 안티바이러스가 사용자의 무관심으로 업데이트가 되지 않는 경우가 다수 존재했다.

이 기업의 요구사항은 WEP 키를 변경하지 않고 직원과 허용된 협력사만 무선랜을 사용할 수 있도록 하고, 협력사는 인터넷 사용만 허용하고 그 외의 네트워크 접근은 모두 차단해야 한다는 것. 더불어 안티바이러스가 설치되어 있지 않거나 최신업데이트가 되어 있지 않은 사용자는 무선랜 사용을 제한하고 안티바이러스 설치 및 최신업데이트를 할 수 있도록 만들어야 했다.

이를 위해 802.1x 표준을 사용한 무선랜 AP와의 액티브 디렉토리 인증, 사용자의 그룹 정보에 따른 접근 권한 적용하고, TCG/TNC 프로토콜을 사용한 안티바이러스가 미설치 사용자에 대한 설치 유도를 수행하고, 최신업데이트 미적용 사용자에 대한 강제 최신업데이트 수행하는 환경을 UAC를 통해 구성했다.

또한 디렉토리를 이용한 사용자 인증 및 AD그룹 정보를 이용한 접근 권한 제어 환경을 구축, 사용자와 방문객의 인증은 모두 액티브 디렉토리를 사용하도록 강제하는 한편, 인증되지 않은 모든 사용자를 차단하고, 안티바이러스가 동작하고 최신업데이트가 된 사용자에 대해서만 네트워크 사용을 허용했다.

또 TCG/TNC 프로토콜 2.0을 지원하는 인포서를 이용해 ICMP/UDP/TCP 등 플루딩 공격 차단과 웜/바이러스 등 유해트래픽 실시간 차단하는 환경도 구현해 DoS/DDoS 트래픽에 대한 실시간 제어도 구현했다. 더불어 웹기반의 HTTPS 표준 프로토콜을 이용한 방문객의 인증, 무결성 점검 후 네트워크 접근 허용하는 방법을 통해 인증되지 않은 사용자에 의한 감염 문제를 원천차단하도록 했다.

온라인 서비스를 제공하는 기업으로 협력업체가 24시간 데이터센터에 있는 담당 서버에 접속하는 환경의 기업은 협력사에서 데이터센터로 접근 시 NAT가 되어 접속하므로 협력사 직원 전체가 데이터센터에 접속이 가능하다는 문제점을 갖는 것이 보통이다. 또한 이때 데이터센터 서버로 암호화되지 않은 데이터를 전송하므로 인터넷 구간에서 중요 데이터의 유출 가능성도 존재하며, 인터넷을 통해 협력사에서 데이터센터로 접속하기 때문에 유해트래픽이나 웜/바이러스의 유입의 위험도 존재한다.

따라서 협력사에서 데이터센터로 접근 시 ID와 MAC을 동시에 확인하고, 윈도우 업데이트가 최신인 사용자에 대해서만  데이터센터의 서버로 접근 가능하도록 해 정보유출과 감염을 원천 차단하는 것이 요구됐다. 데이터센터 접근 시 에이전트 자동 설치 및 암호화를 통해 데이터가 외부에 노출되는 것을 방지하는 한편, 데이터센터로 접속하는 협력사에 대해 웜/바이러스/스파이웨어 등의 유해 트래픽을 차단해야 한 것이다. 또한 보안사고시 원인규명을 위해 협력사의 IP 및 서버의 접속 기록을 모니터링할 수 있는 환경 구현도 요구됐다.

이를 해결하기 위해서는 협력사에서 사용하는 윈도우와 맥OS에 대해 ID와 MAC 주소 일치시 데이터 센터 접근을 허용하는 정책 설정이 필수적이다. 더불어 TCG/TNC 프로토콜을 이용한 다양한 안티바이러스/스파이웨어/PC방화벽 등의 클라이언트 보안 소프트웨어에 대한 설치/동작에 대한 점검 및 강제 업데이트 적용하고, 데이터 암호화 표준인 IPSec 프로토콜을 이용한 데이터센터 접속 구간의 암호화 적용함으로써 정보 유출을 방지해야 한다. 협력사의 IP 및 서버의 접속 기록을 모니터링할 수 있는 환경 구현을 위해서는 로그 데이터 전송 표준인 Syslog를 이용한 접속 정보에 대한 모니터링도 필요하다.

NAC의 효율적인 적용을 위해서는 네트워크, 보안, 클라이언트 환경뿐만 아니라, 향후의 네트워크, 보안, 클라이언트 환경까지도 고려돼야 하며, 이러한 복합적인 환경에서 네트워크에 존재하고 있는 개별 요소들과 유기적으로 동작하기 위해서는 반드시 표준 기반의 NAC가 구현돼야 한다.