네트워크접근제어(NAC)는 접근하는 모든 기기를 검사, 악성코드에 감염되거나 기업 보안정책에 따르지 않는 기기를 차단함으로써 네트워크의 안전을 담보하는 솔루션으로 정보보안의 새로운 패러다임으로 관심을 끌고 있다. 하지만 NAC의 복잡성은 여전히 기업 담당자를 괴롭히는 상황이다. 손쉬운 NAC에 대해 알아본다. <편집자>

 
이원규
미디어랜드 기획팀장
qlee66@medialand.net

NAC는 ‘입국심사’와 같은 간단하면서 필수적인 개념이며, 적재적소에 하나만 있으면 충분하고, 간단한 명령만으로도 스스로 잘 작동하게 해야 한다는 점이 핵심이다. 이번호에서는 ‘NAC 구축이 너무 복잡하고 어렵다’라는 인식의 전환을 돕기 위해 NAC 를 회사에 구축할 때 꼭 알아야 할 핵심 포인트에 대해 쉽게 이야기해 보고자 한다. 그리고 1주일이라는 설정 하에 도입에서부터 구축할 때까지 꼭 짚고 넘어가야 할 포인트들에 대해서 알아보겠다.

우선 NAC를 구축할 때 꼭 알고 있어야 하는 기준이 되는 개념이 있다. 이 개념들만 잘 숙지하고 있으면 설령 어려운 상황이 발생한다 하더라도 수월하게 올바른 판단을 내릴 수 있다. 나무 기둥이 튼튼하면 바람이 아무리 불어도 쓰러지지 않는 것과 같은 이치로 만약 이 핵심 개념을 잘 이해하지 못하고 NAC 구축을 진행한다면, 상사나 동료 또는 솔루션 업체들이 하는 한 마디 한 마디 말에 흔들리게 돼 더딘 구축 또는 최악의 경우 구축 실패까지 초래할 수 있다.

따라서 세 가지 핵심 포인트는 매우 중요하며, 이 세 가지 핵심 포인트만 알고 있으면 NAC를 구축할 준비가 됐다고 말할 수 있다. 세 가지 핵심 포인트는 첫째가 ‘정책은 간단해야 하고 통제는 강력해야 한다’이며 둘째는 ‘타깃이 정확해야 한다’다. 그리고 마지막 세 번째 핵심포인트는 ‘스마트하게 판단하고 강력하게 추진해야 한다’다.

간단한 정책, 강력한 통제
첫 번째 핵심 포인트는 ‘정책은 간단해야 하고 통제는 강력해야 한다’이다. 다양한 곳에서 사용되기에 정책이라는 단어가 포함하는 의미가 어렵게 느껴질 수 있겠지만 NAC에서 말하는 정책은 간단하다. 지난호에서 언급했던 인천국제공항의 입국 심사장으로 가보자. 입국심사에 적용되는 정책은 매우 간단해 대부분의 승객들이 이해하고 있다. 바로, 내가 누구인지를 검사하고 내가 어떤 소지품을 가지고 들어오려 하는지 심사해 아무 문제가 없을 경우에 입국을 허가한다는 것이다. 또 이것은 국가 및 국민을 보호하기 위한 필수 과정이라는 것이다.

정책이 모두 이해할 수 있을 정도로 간단하지 않고 복잡할 경우, 정책을 내리는 책임자와 정책 운영 담당자, 그리고 승객 모두 정책에 대한 이해가 어려워 각각의 접점에서 혼돈이 초래된다. 이의 결과는 입국 시간이 길어질 뿐만 아니라 국내를 방문하는 외국인으로부터 이미지가 실추될 수 있다. 이처럼 사람에게 직접 영향을 미치는 보안 정책은 그 목적 및 방법이 모두가 이해할 수 있을 만큼 쉬워야 한다.

NAC 정책도 마찬가지로 매우 간단해야 한다. 가장 큰 이유는 내부 외부 직원에게 직접적인 영향을 미치기 때문이며, 이에 보안 정책을 만드는 사람, 운영하는 사람, 영향을 받는 PC를 이용하는 직원 모두 그 정책의 목적 및 방법에 대해서 쉽게 인지할 수 있어야 하는 것이다. 물론 사람의 의견은 다양하기에 해당 정책에 공감 또는 이해하지 못하는 사람들이 있기 마련이겠지만 적어도 그 목적과 방법은 알기 쉬워야 한다.

예를 들면, ‘우리회사는 누가 회사 네트워크에 접속하는지를 모니터링하고 사내 네트워크를 사용자로부터 보호하기 위한 시스템을 운영합니다. 모든 직원은 사내망 접속시에 로그인을 해야 하며, PC보안 상태가 최적화돼 있지 않을 경우 사내 네트워크 사용이 불가능할 수 있습니다.’와 같은 정책이다. 회사 환경에 따라 약간 다를 수 있겠지만 NAC 정책은 이렇게 단순해야 모든 관계자가 같은 생각으로 NAC 구축에 동참할 수 있다.

하지만 사용방법이 쉽고 기능이 단순하다고 해서 구현 방법까지 쉬운 것은 아니다. 예를 들어 최근 몇 년 전 히트를 친 닌텐도 Wii나, 여전히 화두가 되고 있는 아이폰의 경우, 그 사용 방법은 누구나 이해할 수 있고 즐길 수 있을 정도로 간단하지만, 그 안에 녹아 들어가 있는 기술은 최첨단이다.

NAC의 경우도 마찬가지다. PC 사용자 입장에서 보면 웹메일이나 포털 서비스를 사용할 때 항상 하는 같은 로그인 절차처럼 보이지만, 그 안에는 IP 관리 기술, 데스크톱 관리 기술, 패치 관리 기술 등이 모두 유기적으로 녹아 있어야 한다. 대부분 보안 업체가 NAC의 컨셉에만 매료돼 자사가 보유한 특정 기술을 토대로 한 NAC를 제공하면서 제공 못하는 기술들은 제 3자 솔루션을 사용하면 된다고 한다. 하지만 다른 솔루션들을 연동할 때 유기적인 연동이 가능한지 잘 살펴봐야 한다. 실제로 아무리 대형 업체라 하더라도 써드파티 솔루션과 유기적인 연동을 제공하기는 쉽지 않은 까닭이다.

기구축된 솔루션과의 호환성도 고려해야 할 부분이다. 이미 많은 기업들이 DMS나 IPMS 같은 솔루션들을 도입해 사용하고 있다. NAC는 PC관리나 제어, 그리고 IP와 뗄 수 없는 깊은 연관이 있기에 기존에 구축돼 있는 이러한 시스템들을 잘 활용해야 한다. 스위치와 같은 네트워크 장비를 기반으로 하는 NAC의 경우, 기존에 구축된 네트워크 장비들을 이용화면 활용도가 높을 수 있지만, 지난호에서 언급했듯 스위치 호환 관련 문제나 성공 스토리를 잘 검토해 봐야 한다.

나아가 실제 도입을 검토하다 보면 PC 사용자의 편의성 문제도 고려하지 않을 수 없다. 대표적인 경우가 기존에 구축된 다른 목적의 기업 솔루션, 예를 들어 싱글사인온(SSO) 등이 이미 로그인을 요구하고 있을 수 있다는 점이다. A 솔루션 때문에 로그인 한 번 하고, B 솔루션 때문에 한 번 다시 하고, C솔루션 때문에 또 로그인해야 한다면, 그만큼 업무 효율성이 떨어질 수밖에 없다. 이러한 장애물 또한 NAC를 통해 유기적으로 해결돼야 할 부분이다.

다시 입국 심사장으로 돌아가서 통제 이야기를 해보자. 입국 심사는 정책은 매우 간단한 반면에 통제는 매우 강력하다. 문제가 있는 인물이거나 허가되지 않은 물품을 들어오려 하는 것이 감지됐을 경우 강력하게 입국을 차단하고, 재심사, 벌금 또는 추방해야 한다. 만약 통제가 허술하다면 입국 심사 자체의 존재 가치가 떨어질 것이며, 국민 또한 불안해 할 수밖에 없다. 만일 총기류나 마약과 같은 물품들이 강력하게 통제되지 않을 경우 많은 사회적 문제를 일으킬 수 있는 것이다.

이와 같이 NAC의 통제도 강력해야 한다. 문제가 있는 경우에도 통제가 안 되면 NAC의 도입 목적 자체가 무의미해진다. 따라서 인증되지 않은 사람이나 PC상태가 회사가 원하는 기본적인 보안 상태를 유지하고 있지 않다면, 강력하게 차단해야 한다.

물론 처음에는 불편할 수 있다. 해외로 출국하려 할 때 보안 검색대가 어떤 통제를 하는지 모르는 사람은 로션, 치약, 물과 같은 크게 문제되지도 않을 것 같은 액체 물품류를 갖고 갔다가 검색대에 가서야 보안요원들의 요구로 바로 버려야 하는 어처구니없는 경우를 경험하고 화가 날 수도 있다. 하지만 한 번 경험한 사람은 액체류는 큰 가방에 넣어 화물칸으로 보내거나 꼭 필요한 경우 검색대를 통과한 후 게이트 근처 터미널에서 구입 하는 방법 등으로 자체 대응해 문제없이 바로 통과할 수 있다. 또 검색대 통과를 기다리는 줄이 너무 길어서 탑승 시간을 놓치게 되어 여행 및 출장 일정을 망쳤다고 화를 내는 사람도 있을 수 있다. 하지만 출입국관리소는 이러한 사람들 때문에 검색대를 없애거나 검색 강도를 낮추지 않는다.

이와 마찬가지로 NAC 도입도 처음에는 이런 불만이 있을 것을 예상해야 한다. 그리고 이에 대처하는 의연하고 주관 있는 자세 또한 갖추고 있어야 한다. 자주 해외여행이나 출장을 가는 사람에게는 입국 심사 때 검색대 통과하는 장애 정도는 큰 문제가 되지 않는 것처럼 NAC에 대한 인식이 정착되면, 오히려 NAC를 도입하지 않고 사내망을 운영하는 회사들을 보게 되면 되려 걱정스런 눈으로 보게 될 것이다. 마치 옆 동료가 백신 없이 컴퓨터를 사용하는 것을 보면 걱정되듯 말이다.

정확한 타깃
두 번째 핵심요소는 ‘타깃이 정확해야 한다’는 점이다. 여기서 타깃은 사용자 PC를 지칭한다. 결론부터 말하면 사용자, PC, IP, MAC이 정확히 일치해야 한다. 이는 강력한 통제와 같은 맥락으로, 강력한 통제를 하려면 정확한 사용자와 그 PC를 파악하는 것이 전제조건이다. 특히 NAC는 네트워크 접근 차단이라는 수단을 이용해 통제하기에 타깃이 정확하지 않으면 엉뚱한 사람이 사내망을 통한 업무를 못하게 되는 결과를 초래할 수 있다.

예를 들어 A라는 협력사 직원이 사내망 네트워크를 접속하려 할 때 인가되지 않은 사용자라 판단해서 차단했는데 그 타깃 PC가 B라는 내부 직원의 것이라면, B라는 직원은 영문도 모른 채 갑자기 업무를 못하게 될 수 있다. 또 보안상 문제가 있는 A라는 PC가 발견돼 해당 PC에 매칭되는 IP주소가 X라는 것을 알고 차단했는데 결과적으로는 B라는 PC가 차단된다면 이 또한 엉뚱한 사람이 일을 못하게 되는 문제를 초래하게 된다.

IP관리 기술력 및 노하우가 타깃을 정확히 일치시키는데 큰 역할을 한다. 바로 정확한 장비 인증을 가능케 하기 때문이다. 수시로 변경되거나 변조될 수 있는 IP와 MAC 정보를 일치시킴과 동시에 로그인을 통한 PC 사용자 계정 정보 또한 일치시킴으로써 항상 타깃이 정확히 일치되도록 유지시켜준다. 간단해 보이는 기술이지만 정확한 타깃은 매우 중요한 요소이기에 실제 NAC 도입에 있어서는 이 분야에 오랜 시간 동안 여러 회사를 통해 그 전문성 및 안정성이 검증된 업체를 잘 판단하는 것도 큰 도움이 될 것이다.

다양한 환경의 PC로부터 정확한 필수 소프트웨어 설치 정보를 추출할 수 있어야 한다. 보다 확실한 검역을 위해서는 어떠한 형태로든 PC에 소프트웨어가 설치돼야 하며, 이때 정확한 소프트웨어 및 하드웨어 정보를 추출해 낼 수 있는 안정적인 프로그램 솔루션이 필요하다. 조언한다면 고도의 기술력보다는 다양한 플랫폼의 PC를 안정적으로 자산관리해온 솔루션을 잘 검토해 보는 것이 장기적인 안목에서 도움이 될 것이다.

마지막으로 윈도우 패치 및 백신 패치의 설치 현황을 파악하고 업데이트 해주는 PMS 기술력 또한 중요 검증 포인트다. 패치 없이는 어제의 PC 보안 상태와 오늘의 보안 상태가 같다고 할 수 없다. 얼마나 자주 패치돼야 하느냐는 보안 담당자의 견해에 따라 다르겠지만, 최신의 패치가 업데이트돼야 함은 분명하다. 위의 기술력에 보태 PMS 기술력까지 갖춘 솔루션이라면 보다 안정적인 시스템 운영이 가능할 것이다.

‘스마트’한 판단과 강력한 추진력
어떤 솔루션이던 현명하게 선택해야 하겠지만, NAC의 경우는 보다 스마트하게 도입 여부와 방법을 판단해야 한다. 우선 경제적으로 이득이 되는지 잘 판단해야 한다. NAC는 네트워크 차단을 다루는 솔루션이기 때문에 PC를 사용하는 직원 입장에서 보면 업무상 불편이 따를 수 있기에 도입 자체가 조심스러운 것이 현실이다. 일 잘하는 것과 보안을 놓고 단순 비교하면다면, 이윤을 추구하는 기업이라는 주체의 특성상 당연히 일 잘 하는 것이 중요하다. 하지만 비용적인 측면을 세밀하게 따져 본다면 보면 이야기는 달라진다.

먼저 도입 비용을 생각해보자. 시스템 솔루션의 경우 잘만 도입하면 10년 이상 사용할 수 있다. 보수적으로 생각해서 3년 정도 사용한다고 했을 때의 예상 솔루션 구매비용을 우선 생각할 수 있다. 이에 더해 사내망 접속 시, 로그인 및 PC 보안 수준 미달로 네트워크 접속 차단됐을 때의 업무상 불편한 정도에 대한 비용도 포함시켜야 한다. 마지막으로 솔루션의 기술적 장애에 의한 네트워크 차단으로 인한 업무상 장애를 생각해 볼 수 있으며, 기타 회사 환경에 따른 추가 비용들도 고려해야 한다.

반대로 도입하지 않았을 때 비용을 생각해보자. 가장 눈에 보이는 큰 비용은 바로 기존 타 시스템의 운영 효율성 증대 효과를 포기하는 비용이다. NAC는 강력한 사용자 및 장비 인증으로 거의 100%에 가까운 자산관리를 가능케 한다. 비싼 비용을 들여 도입한 백신 또한 거의 완벽히 설치 및 운영시킬 수 있다. 큰 비용을 들여 도입했을 PMS 또한 거의 완벽하게 설치·운영할 수 있다. 필수 소프트웨어 및 불법 소프트웨어도 강력하게 관리할 수 있다. 큰 비용을 지불하고 도입했지만 PC단의 설치가 완벽하지 않아 보안 취약점으로 남아 있어 그 도입 효과가 의심될 수 있을 여러 솔루션의 가치를 살려 줄 수 있는 것이 바로 NAC로, 도입하지 않았을 때는 10~20% 정도의 백신, PMS, DMS 운영 효율성을 높일 수 있는 기회비용을 포기하는 것과 같다.

다음은 관리 비용을 생각해 볼 수 있다. ‘백신 끄면 안 됩니다’, ‘최신 업데이트 항상 하세요’, ‘관리자 허가받고 사내망을 써야 합니다’, ‘불법 소프트웨어 설치하면 안 됩니다’ 등등 관리자가 신경 쓰고 해야 할 직접 해야 할 인건비 및 같은 시간에 다른 더 중요한 일을 했을 때의 기회비용을 추가할 수 있겠다.

마지막으로, 가장 예측하기 어렵지만 파장이 적지 않은, 백신 및 필수 소프트웨어/패치 미설치로 인한 잦은 장애 비용도 생각할 수 있다. 이런 장애 발생시 PC 사용자의 업무 지연은 물론 IT담당자의 시간 비용이 발생한다. 나아가 누가 사내망에 접속하는지 관리가 안 됨으로써 핵심정보가 유출될 경우의 수도 고려해야 한다. 내부 사용자PC 관리 부주의로 인한 보안 사고가 전체 보안 사고의 20% 이상인 점도 고려 요소다. 물론 NAC 도입만으로 내부 정보 유출을 방지할 수는 없다. 하지만 회사 대문 또는 뒷문이 잠겨있을 때와 열려 있을 때의 도둑이 침입할 확률 정도를 계산해 보면 답은 쉽게 나온다.

경제적인 판단 후에는 기술적으로도 NAC의 역할에 대해 정확히 판단해야 한다. NAC는 다양한 관리 솔루션들과 밀접한 관련이 있다. IPMS, DMS, PMS 등의 관리 솔루션, 백신과 SSO같은 시스템과도 연관이 있다. 따라서 종종 관리자들은 통합이라는 이름 하에 모두 한꺼번에 되는 솔루션을 찾기도 한다. 하지만 각각의 전문성을 가진 솔루션들을 하나의 콘솔 또는 하나의 시스템으로 운영 또는 도입하는 것은 무리가 있을 수도 있고 전문성이 현저히 떨어질 수도 있으므로 주의해야 한다.

예를 들어, 직장인들이 가장 많이 사용하는 마이크로소프트 워드, 엑셀, 파워포인트의 경우 각각의 전문적인 기능이 있는 소프트웨어다. 하지만 누군가 업무용 프로그램들은 하나로 ‘통합’돼야 한다고 하고 각각 프로그램들을 따로따로 실행하는 것이 번거로워 하나의 콘솔 프로그램으로 돼야 한다고 어떨까. 전문 프로그램간의 유기적 연동이 더 중요하며, 잘못된 통합은 피해야 할 것이다.

‘스마트’한 ROI 분석으로 도입이 결정됐다면 도입 추진은 강력해야 한다. 중소기업의 경우, 적은 규모의 인력들이 NAC 운영을 함께 맡아서 하겠지만 큰 회사의 경우 네트워크팀, 보안팀, PC 관리팀 등으로 세분화돼 있을 수 있다. 이런 경우 각 부서의 이해관계 때문에 전체적인 효과를 보지 못해 NAC 구축에 실패할 가능성이 있다. 그러나 일단 그 효용성에 대해 최고 책임자가 판단이 섰다면 각 부서 및 이해 관계자들을 잘 설득해서 강력하게 추진해야 한다. 최고 책임자의 강력한 의지 없이 진행될 경우에는 구축 후에도 작은 불만 하나 둘에 어렵게 도입한 솔루션 운영이 쉽게 포기되거나 무너질 수 있다. NAC 구축은 반드시 해야 하는 시스템이라는 인식이 확고할 때 성공할 수 있다.

1주일 만에 NAC 구축하기
지금까지 NAC 구축에 앞서서 꼭 알고 있어야 할 핵심 포인트 세가지에 대해 알아보았다. 이번에는 약 1주일을 기준으로 구축에 필요한 팁들에 대해 알아보도록 하겠다.

1단계(약2일) - 구축 시나리오 구상
구축이 결정되면 어떻게 구축을 진행할 것인지 구상해야 한다. 네트워크 현황을 재점검하고 어떤 순서로 진행을 할 것인지 일정 점검을 한다. 다음은 보안 정책 점검을 확실히 해야 한다. NAC를 사용하는 기본 개념은 비슷하겠지만 회사마다 어떤 소프트웨어들을 필수 소프트웨어로 사용할 것인지, 꼭 설치시킬 것인지 아닌지, 백신의 최신 버전을 얼마나 강력히 설치시킬 것인지 등등을 확립한다.

점검이 끝나면, 기존 시스템과 연동할 필요가 있는 것들이 어떤 것이 있는지 결정해야 한다. 로그인에 필요한 인사 DB 및 직원에 대한 정보는 어디에서 연결해 쓸 것인지, ID/PW는 어디서 가져다 쓸 것인지, 또는 새로 생성할 것인지 등을 잘 판단해야 한다. 기존에 이미 도입하고 사용하고 있는 SSO, 백신, PMS, DMS, 매체제어 등의 솔루션이 있다면 그 효과를 증대시키기 위해 유기적으로 연동시키는 방안에 대해서도 점검할 필요가 있다. 더불어 구축전 사용자에게 미리 공지 및 홍보를 충분히 해 구축시 발생되는 사용자 불편을 최소화해야 한다. 공지시에는 혹시 발생할 수 있는 장애 상황일 경우에 어떻게 사용자가 직접 대처할 수 있는지도 잘 안내해야 한다.

2단계(약2일) - 구축 시작 및 단계별 적용
구축에 있어 가장 먼저 해야 할 작업은 타깃을 정확하게 일치시키는 작업이다. 우선 부서별 혹은 영역별로 가장 먼저 적용할 곳과 순차적으로 적용할 곳을 선정한다. 가장 먼저 적용할 곳부터 장비를 통해 IP 정보를 스캔, 타깃과 비타깃을 구분짓는 것이 우선이다. 타깃이 정해지면 설치유도를 통한 에이전트 설치로 PC자산정보와 IP정보를 정확하게 매칭시킨다. 다음은 패치관리 솔루션 설치 또는 연동을 통해 패치가 가능하게 한다.

첫 부서의 설치가 완료되면 정책을 적용시켜 본다. 내부 직원, 공용PC, 외부 방문객 PC 등 각 사용자 타입별로 미리 컨설팅 단계에서 정한 시나리오대로 사용자 인증이 잘 되는지 테스트를 해본다. 다음은 네트워크가 차단된 상태에서 검역이 잘 되는지를 확인하는 단계다. 백신, 윈도우 패치, 필수 소프트웨어 등의 설치 또는 미설치 상황이 잘 나타나는지와 검역이 끝난 PC의 경우, 정상적으로 네트워크 사용을 승인받았는지를 확인하면 우선 NAC의 기본 기능은 잘 되는 것임을 알 수 있다. 부수적으로 부서별, 직급별 권한 관리 기능을 적용할 수 있겠지만 이것은 회사 환경마다 많은 차이가 있어 세부적 조정이 필요하다. 정책이 잘 적용되는 것이 확인된다면 다음 부서에 같은 순서로 작업해 전사적용이 될 때까지 진행한다.

3단계(약2일) - 모니터링 및 완료
NAC 구축이 완성 된 후에는 전체적으로 이상이 없는지 확인한다. 우선 콘솔상에 나타나는 통계, 보고서상에 이상이 없는지 점검한다. 하루 동안 모니터링하고 큰 이상이 없으면 구축 완성 결과를 책임자에게 보고한다.

현실적으로는 테스트 과정은 적어도 1주 이상 잘 지켜봐야 한다. 본편에서는 이해를 돕기 위해 1주라는 가상의 시나리오로 이야기했지만 회사 환경 및 새 시스템을 도입하는 업무 처리 문화에 따라 다양한 시간이 걸릴 수 있다.

이번 편에서는 NAC 구축에 있어서 꼭 알아야 할 핵심 포인트 세 가지에 대하 알아보고 간단하게 구축 과정에 대해 알아보았다. ▲정책은 간단하고 통제는 강력해야 한다 ▲타깃은 정확해야 한다 ▲도입 검토는 ‘스마트’하게 판단하고 추진은 강력해야 한다 등이 바로 NAC 구축의 세 가지 핵심 포인트다. 다음호에서는 보안 제품 도입시의 가장 큰 고민인 ‘비용’을 최대한 줄일 수 있는 방법에 대해 알아 보겠다. 어떻게 하면 최소 비용으로 NAC 구축/운영을 할 수 있는지에 대한 정보를 통해 많은 보안/네트워크 담당자에게 도움이 되기를 기대해 본다.