NAC 시장 확산 날개 ‘NAC 2.0’
상태바
NAC 시장 확산 날개 ‘NAC 2.0’
  • 데이터넷
  • 승인 2011.03.07 14:52
  • 댓글 0
이 기사를 공유합니다

즉시대응력 부족 등 보완 … 네트워크·보안 갈등 해소

허광진 상무지니네트웍스 인프라보안사업부kevin@geninetworks.com
NAC(Network Access Control)의 본격 성장이 이어지고 있는 가운데 기존 NAC의 문제점을 개선한 NAC 2.0이 부각되고 있다. 실제 현장에서 NAC 운영과정에서 드러난 한계점을 보완, 발전시킨 NAC 2.0은 NAC 확산에 날개를 달 수 있는 동인이다. NAC 2.0을 살핀다.

2010년 11월 28일 경북 안동에서 발생한 구제역이 전국으로 확산되며 축산농가들의 시름이 깊어지고 있다. 언론에서 발표한 이번 구제역 발생의 원인으로는 ▲분뇨 ▲사료운반차량(병균이동 매개체) ▲열악한 사육환경 ▲해외여행 및 외국인 근로자 입국 등이 꼽힌다. 구제역은 공기, 차량 및 인체의 접촉 등의 매개체를 통해서 무섭게 확산되고 여기에 불 붓듯이 AI(고병원성)까지 발발하면서 전체 살처분 두수가 130만마리, 추정피해액은 1조원을 상회하고 있다. 게다가 지자체별 지역축제개최가 불투명한 상황까지 겹쳐 그 피해액은 눈덩이처럼 커지고 있다.

일련의 구제역 현상을 보면 깨끗한 환경을 지킬 수 있는 노력이 얼마나 중요한가를 깨닫게 한다. 이를 기업의 보안 환경에 접목시켜보면, 멀웨어/바이러스/해킹 등의 위협으로부터 대응할 수 있는 IT인프라 환경과 이상 트래픽의 전파 방지를 위한 대책 마련이 얼마나 중요한 요소인가를 미뤄 짐작하게 한다. 다시 말해 수동적인 인프라 관리가 아닌 능동적 대처만이 깨끗한(Clean) 네트워크 인프라를 구현할 수 있고, 엔드포인트(End-Point)에 대한 강력하고 효율적인 보안대책이 회사 내부 보안사고의 위험에서 벗어나고, 장애로 인한 피해를 최소화 하는데 필수적인 것으로 인식된다.

NAC 1.0, 무엇이 문제였나
2006년부터 발전된 NAC 기능을 1.0이라 할 때, NAC 2.0 제품이 발전될 방향은 무엇이며 앞으로 어떻게 전개될 것인지 살펴보도록 하자. 내부자원 및 네트워크 인프라를 보호하기 위한 수단으로 NAC 기술을 적용하는 조직이 있다면, 초기 NAC 버전이 가지고 있었던 결점에 대한 인지는 반드시 선행돼야 한다.

일례로 모바일 환경의 대두를 들 수 있다. 모바일 환경은 끊임없이 변화하고 있고, 그리고 점점 진보하는 보안 위협환경은 새로운 NAC 모델을 필요로 하고 있다. 따라서 새로운 NAC 모델은 더 명확하고, 정확한 네트워크 접근제어 정책을 제공해야 하며, 차단의 민첩성과 함께 진보된 영역 즉, 네트워크, 데스크톱 그리고 컴플라이언스 운영이 요구된다.

하지만 기존 NAC 1.0의 기능은 다양한 조직환경에 따라 최적화된 접근제어 정책을 펼칠 수 있는 정책의 세밀성, 전문성 등을 제공하지 못하고 있으며, 급격히 증가하고 있는 모바일 환경(스마트폰, iPAD, 갤럭시탭 등)에 대한 대응도 하지 못하고 있는 것으로 파악된다. 이러한 환경변화에 대한 대응을 적시에 하지 못하는 NAC 1.0 제품군은 시장확대에 한계를 가질 수밖에 없는 것이다.

● 사용환경에 따른 NAC 1.0의 한계
NAC 제품을 도입 후, 운영하려는 조직내부를 들여다 보면 좀더 명확한 해법이 등장한다. NAC 운영조직 내부를 들여다 보면 네트워크 운영, 데스크톱 관리팀, 컴플라이언스팀 등이 NAC 제품 운영에 관련된 조직이라 할 수 있다.

먼저 네트워크 운영팀 입장에서 보는 NAC 제품은 주로 임시 방문자에 대한 관리에 초점이 맞춰져 있으며, 네트워크 운영팀 입장에서의 NAC는 비 인가자에 대한 네트워크 접근을 차단하는 기능을 많이 필요로 한다. 또한 데스크톱 운영팀은 PC 자산관리 기능과 무결성을 확인하고 치료 및 강제화 할 수 있는 도구라는 관점에서 NAC를 바라봤다.

● 게스트 차단에만 초점
비인가자 혹은 게스트에 대한 접근제어는 NAC 1.0 제품 모두가 가지고 있는 기능이다. 특정 회의실 내에서만 접근을 허용하거나 외부망만 접근을 허용하고자 하는 내부 네트워크/업무 연속성에 초점을 맞추는 형태로 제공되고 있다. 하지만 마이크로소프트 AD(Active Directory)와 같은 ID 관리제품도 게스트에 대한 권한문제를 해결하지는 못하고 있는 점은 내부 네트워크에 접근하려는 조직의 보안적합성을 만족했을 때만 게스트 PC의 차단을 허용하는 형태로만 제공되는 너무 단순한 차단/허용 기능이라고 지적된다.

이에 더해 네트워크 운영팀이 필요로 하는 게스트 접근차단의 목표는 더욱더 커다란 문제를 일으키는데 그 문제는 잘못된 정책정의(특히 접근 예외정책)로 인해 데이터의 손실이나 유출문제를 야기하고 이 문제는 조직내부 보안정책에도 영향을 미치게 된다는 점도 문제다. 이런 예외 정책으로 인해 관제 범위에 오차가 발생하고 이로 인해 더욱더 커다란 위협에 직면하게 되는 우를 범하게 되는 것이다.


● 즉시 대응 능력의 부족 문제
1세대 NAC 제품은 끊임없이 변화하는 네트워크 위협, 즉 매일 새로운 취약점과 위협이 발생하는 환경에 대한 즉시대응 능력이 부족하다. 높아진 사이버 위협으로 인해 백신 벤더들은 새로운 위협에 대한 새로운 업데이트를 매일 발표하고 있으며, 운영체제(OS)나 애플리케이션 벤더들도 보안 패치이슈를 매일 릴리즈하고 있다. 그러나 많은 NAC 벤더들은 제품과 동시에 기동하는 자체 내장형 PMS(Patch Management Sys tem)를 보유하지 않고, 기존 PMS제품과의 연동을 통해 데스크톱 내에서 주기적인 실행을 통해서 해결하려 하고 있다. 이는 데스크톱 업데이트 기능 강화에 약점으로 대두된다.

NAC 관리자입장에서 백신 벤더들이 발표한 새로운 업데이트나 새로운 버전을 수동으로 전체 PC 자원에 대한 강제 업데이트하기란 상당히 어려운 문제다. 또 새로운 OS의 패치는 각각의 버전별, 유형별, 진행별로 각각의 업데이트 방법을 적용해야 하기에 상당히 복잡한 정책을 요구하며, 이는 패치실행에 상당한 애로사항으로 작용한다. 더불어 패치를 실행하더라도 실제로 업데이트가 됐는지, 패치를 실패했는지를 직접적으로 확인할 수 있는 뷰어가 그리 많이 제공되지는 않는 형편이라 정확한 관리포인트를 확인하지 못하는 문제도 존재한다.

● 개별적인 솔루션 접근방식에 따른 실패 
- IPS: 몇몇 제조사는 IPS를 기반으로 하는 NAC 제품을 출시한 바 있다. 이러한 유형의 특징은 비정상적인 트래픽에 대한 분석을 통해 NAC 기능을 구현했다는 점으로, 네트워크 내 창궐하는 웜이나 네트워크 행위 분석을 통한 위협 분석을 통한 NAC 기능 구현은 매우 유용한 기능이다. 그러나 최근의 위협은 행위기반 분석 제품인 IPS에서는 인지되지 못하는 문제가 발생하면서 위협을 효율적으로 대응하지 못하는 제약점이 존재한다.

- 네트워크 어플라이언스: 특정 NAC벤더의 솔루션은 하드웨어 기반의 어플라이언스에 구현돼 제공된다. 이러한 방식의 가장 큰 단점은 제품 적용의 유연성이다. 네트워크 환경은 디자인이 새롭게 돼 그 구조가 변하기도 하고, 새로운 환경으로 인해 어플라이언스 제품을 추가해야 하는 문제도 있으며, 네트워크 트래픽에 영향을 미칠수 있는 잠재성이 내재돼 있다. 또한 이들 제품은 네트워크에 접속하지 않은 단말에 대한 접근제어 수단을 제공하지 못하는 제약점이 있다.

- 네트워크 장비(Network Equipment): 네트워크 벤더의 경우에는 최신기능 구현을 목표로 영업력을 전력투구했다. 하지만 이런 행태는 완벽한 NAC 기능 구현을 어렵게 하고 특히 무결성 통제 문제에 대해서는 완벽한 대응책을 제공하지 못했다. 이로 인해 네트워크 벤더들이 제공하는 NAC 기능은 재택근무자나 여러 개의 네트워크를 넘나들어야 하는 사용자에 대한 접근제어 기능을 제공하지 못하는 문제가 발생하기도 했다. 무엇보다 가장 큰 문제는 단말 무결성에 대한 근원적 해결책이 되지 못했다는 점이다.

- PC 에이전트: PC 에이전트 제품군은 앞선 언급한 제품들의 경계보안과는 제어 포인트가 다른 단말(PC)에 집중하고 있다. 에이전트를 기반으로 하는 제품들은 단말을 이용하는 네트워크의 구조적 출발점을 제어하는 방식이기 때문에 근본적이며, 섬세한 제어를 할 수 있다는 장점이 있지만, 네트워크 경계단에 위치하는 제품보다 제어 포인트가 많아지며, 다양한 단말의 환경에 대응하기 위한 어려움을 안고 있다. 예를 들면, PC의 가용성 문제, 드라이버 충돌문제, 그리고 에이전트를 고의로 설치하지 않거나, 일부 네트워크만 사용해 에이전트 설치를 회피함으로써 보안 홀 발생이라는 또 다른 큰 문제점이 야기되는 것이다.

신성장 원동력 ‘NAC 2.0’
초창기 마이크로소프트 NAP 진영이나 시스코 NAC 진영, TNC(Trusted Network Connect) 진영은 상호 운용성의 기본적인 틀을 완성했다. 하지만 여러 제품의 상호 연동성을 제공하면서도 모든 제품이 하나의 제품처럼 동작하지는 못하게 하는 문제와 정책적용, 업데이트, 감사기능 정의 등에 대해서는 여전히 숙제로 남아 있는 상태이다. 백신의 예를 들면, 백신 벤더는 바이러스 자체에 대한 보고서만을 제공하기 때문에 업데이트에 실패로 인해 악성코드를 차단하지 못하는 결과를 초래하기도 한다. 또한 원하지도 않거나 비허가 소프트웨어의 양산으로 인해 신뢰할 수 없는 모델로 전략되고 있다.

다시 한 번 구제역과 비교해 되짚어 보면 바로 면역체계, 차단 방법, 보안정책 확인 후 해제 등의 검증방법이 부족하게 되면서 하나의 씨앗이 재앙으로 발전하는 모습이라 할 수 있을 것이다. 그렇다면 구제역 예방과 동일하게 좀 더 면밀한 NAC 2.0 제품은 무엇이며, 어떤 모습이어야 할 것인가?

초기 시장 제품들의 문제점을 개선하고 또한 실제 사용 및 운영하는 조직에서 발생하는 문제점을 해결할 수 있어야 하고 즉각적인 대응을 할 수 있는 제품 및 기능을 탑재한 것이 바로 NAC 2.0이다. 우선 NAC 2.0은 제품 운영의 세부 조직별로 더 효율적인 목표를 제공하는 데 목적이 있다. 즉 NAC 1.0이 제공하는 네트워크 운영팀의 요구사항 뿐만 아니라 데스크톱 관리팀의 요구사항도 해결하고, 동시에 컴플라이언스팀의 요구사항도 포함할 수 있는 방안을 강구하는 것이 바로 NAC 2.0인 것이다.

● 네트워크 운영팀에서의 NAC
네트워크팀은 접근제어에 대한 고유권한을 가지고 있고  이는 실제 NAC 제품에서 아래와 같은 기술에 대해서는 탁월한 기술 운영력을 가져야 한다.

- 스위칭 기술
- VLAN 운영 및 관리
- 라우팅 기술
- IP 관리(신청, 반납, 허용, 통제 등)
- 사용자 인증
- 유해트래픽 인지 및 차단 , 치료 기능
- IPS, ESM, 종합분석시스템, 좀비PC 탐지시스템등과의 연동기술

네트워크 운영팀은 네트워크 생존력을 극대화하고 효율적인 운영의 책임을 지고 있다. 이 책임은 네트워크 단에 접속한 단말에 대한 무결성, 차단, 복원, 치료 또는 단말 자체의 장애에 대한 문제는 관심자체가 없는 것이다. 단말의 접속성 면에서 볼 때 보안상태와 그 단말의 접근역할 및 접근 관련된 적정한 권한만을 제공하면 되는 것이다.

네트워크팀은 네트워크 보안성, 가용성, 효용성에 영향을 주는 단말·안전하지 않은 접근이거나 인지하지 못한 단말의 접근을 통제하는 책임이 있고 네트워크팀은 NAC의 제어 기능을 통해서(ACL 이나 VLAN, ARP 기술등을 이용한) 단말 보안정책 준수 여부를 기준으로, 차단하거나 치료를 유도할 수 있어야 한다. 또 이는 운영자의 개입에 의해서가 아니라 사용자 스스로가 해결할 수 있는 프로세스도 지원해야 한다.


● 데스크톱 관리팀에서의 NAC
네트워크에 접속돼 있든, 혹은 그렇지 않든 모든 단말에 대한 전반적인 관리가 데스크톱 관리팀의 관심이다. 이 팀은 PC 자산관리 문제, OS 운영장애, 패치관리 및 업데이트 등을 관리하고 데스크톱 방화벽이나 최신 백신 업데이트 관리를 하며, 데스크톱 패치 관리와 PC보안 정책의 가장 적합한 운영과 구현을 담당한다. 데스크톱 관리팀은 NAC을 통해서 네트워크 내 어디에 접속돼 있든 PC에 대한 관리를 효율적으로 할 수 있으며 NAC을 통해서 최신 패치관리 및 최신백신 업데이트, PC 보안 정책 관리 등을 가능하게 할 수 있다.

● 컴플라이언스팀에서의 NAC
컴플라이언스팀은 회사의 PC 보안감사 및 보안준수 여부의 확인에 대한 책임을 진다. 나아가 조직 전반에 대한 회사 보안정책이 완벽하게 준수되고 있는지 확인, 감사한다. 예를 들면 개인정보보호 분야, BS7799/ISO27002 등의 보안 정책 규제에 대한 준수가 PC를 통해서 실행되고 있는지를 모니터링 한다. 컴플라이언스팀은 NAC를 통해서 안전하지 않은 단말이나, 인지되지 않은 단말, 내부 보안 규정을 준수 하지 않은 단말을 확인한다. 이러한 데이터는 사용자/그룹별 보안수준에 대한 통계/리포트 자료로써 유용하게 활용될 수 있다. 또한 NAC는 컴플라이언스팀이 규정하고 있는 보안 컴플라이언스를 모니터링할 수 있는 수단이 되는 것이다.


NAC 2.0, 운영목표 달성 도구
NAC 2.0은 내부 네트워크를 사용하는 모든 사람들(내부 사용자, 계약직, 방문자 등)에게 천편일률적으로 보안정책을 적용하는 것이 아닌 그들의 업무 목표에 맞게 역할별 접근제어 기능이 요구된다.

IT 기술에서 PC는 회사 내부 업무를 수행하는 가장 중요한 도구다. 그런데 이전의 개별 보안 솔루션, 그리고 NAC 1.0에서는 차단하거나 소프트웨어를 설치하라고만 하지 사용자에게 어떤 이유에서든지 우리의 업무 목표를 이루는데 있어 불편, 지연 등의 영향을 미칠 수 있다는 것에 대해 설명이 부족하다. 분명 보안이라는 것은 업무가 잘 되게끔 보장을 해야 하는데 오히려 사용자들에게 가용성이나 편의성을 침해하는 문제들을 유발하게 되고 결국 보안 프로젝트가 실패하게 되는 것이다. NAC 1.0에서도 마찬가지였다.

많은 벤더들이 차단 및 강제화만 강조한 나머지 업무 목표 달성을 위한 내부 자산의 안전한 액세스를 보장하지 않은 것이다.  NAC 2.0은 차단도 중요하겠지만 사용자 보호 및 내부 자산/자원의 안전한 사용을 보증하는 것에 초점을 맞춘다.

회사 내부 자원에 대한 효율적인 접근정책에 대해서 많은 IT 부서들이 많은 고민하고 있다. 이러한 접근정책의 결정과정에서 제일 중요한 요점은 접근제어 정책의 정확성이며, 이는 역할과 사용자 신분확인을 단순화하고 장비별, 접근위치별, 접근 방법별, 접근시간제한별, 무결성의 범위 등을 확인하는 것이다. NAC 2.0은 이러한 다이나믹하며 유연한 보안 정책을 제공한다.

2세대 NAC 제품이 가지는 가장 큰 특징은 유연성을 겸비한 보안 체계라는 점이다. NAC 1.0이 네트워크 차단 아니면 허용이라는 단순하고, 고정된 형태의 접근방식이였다면 NAC 2.0은 사용자에게 한걸음 더 다가간 진보화된 체계인 것이다.

네트워크/데스크톱/컴플라이언스팀에서는 업무 목표 달성을 위해 보안 이슈를 개별적인 제품으로 해결하기 보다는 여러 보안제품들을 통해 얻을 수 있는 정보를 바탕으로 내부 보안 프로세스를 정리/체계화하는 노력이 필요하다.

NAC 2.0은 이러한 내부 보안의 체계를 위한 솔루션으로 나아갈 것이며, 보다 포용력 있게 회사에 기 도입된 보안 솔루션들과 조화를 이끌어냄으로써 회사의 내부보안의 완성을 위한 도구로써 자리매김할 것이다. 더불어 다양한 모바일 기기들이 점차 데스크톱과 유사한 형태로 기업의 내부업무 영역으로까지 확대 적용되고 있다. 테스크톱에서의 보안무결성 검사 수준과 동일한 모바일 기기 내 백신의 설치 여부, 초기 암호화 설정, 시스템정보(펌웨어 버전, 소프트웨어 정보)에 따른 접근 차단 등 모바일 기기 자체에 대한 보안강화와 함께 분실과 관련해 모바일 기기에 대한 관리 강화으로 분실시 초기화, 분실기기의 내부 네트워크 접근 차단까지 NAC 2.0에서는 고려돼야 한다.

서두에서 밝혔듯 구제역 파문은 단순히 축산농민의 위험지역 방문이후의 정확한 검역절차를 거치지 않은 문제에서 발생했다. 또 구제역 신고 후 검역당국의 늑장 대응이 불러온 인재라고도 지적된다. 이에 올해 국회에서는 축산농민의 해외 여행이후 반드시 신고하고 검역해야 하는 규정을 신설한다고 한다.

NAC의 가장 큰 목표는 내부 네트워크의 안전한 운영이다. 적극적인 대응방법으로써 NAC 2.0을 운영하면서 반드시 사용자의 불편함을 초래하는 검역정책, 접근 정책이라면 NAC 1.0 세대로의 회귀하는 것과 다를 바가 없다. 효율적인 보안정책을 운영하려면 내부의 정확한 보안 프로세스를 정의하고 이를 운영, 확인하기 위한 NAC 2.0으로의 전이가 반드시 필요하다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.