BYOD는 직원 소유의 단말기를 업무에 활용해 스마트워크의 이상을 실현할 수 있는 방법으로 각광받고 있다. 그러나 BYOD는 직원들이 사용하는 단말기를 통제할 수 없기 때문에 그 자체로 보안 홀이 될 수 있다.
직원이 소유한 기기에 사적인 용도로 애플리케이션을 설치하는 것을 강제할 수 없는데, 보안이 취약한 애플리케이션을 통해 모바일 기기가 악성코드에 감염되고, 그대로 업무 시스템에 접속하면 시스템으로 악성코드가 전염될 수 있다. 모바일 악성코드를 조종하는 해커가 모바일 기기를 통해 시스템으로 침입해 시스템 파괴나 자료유출을 시도할 수 있다.
지난해 안드로이드 기반 악성코드가 급증하면서 모바일 보안이 민감한 보안이슈로 부상했다. 올해는 모바일 악성코드가 더욱 극성을 부려 대규모 DDoS에 모바일 기기가 가담하거나 악성코드가 삽입된 모바일앱이 대규모 유포되면서 대형 모바일 봇넷이 형성될 가능성도 높다.
BYOD의 보안 취약점을 낮추면서 직원들의 사생활을 보호하기 위해서는 기업/기관의 시스템에 접속할 때부터 빠져나갈 때 까지 보안 정책을 따르도록 하는 것이 이상적이다. 즉 사적인 용도로 사용하는 것은 제어하지 않지만, 업무 시스템에 접속하는 순간부터 강력한 통제가 이뤄지도록 하는 방식이다.
네트워크 접근제어(NAC)가 이러한 이상을 구현할 수 있는 보안 정책으로 꼽힌다. NAC는 네트워크에 접속하려는 단말기의 무결성을 검사해 보안정책을 준수하는 단말기만 네트워크에 접속하고, 단말기 소지자의 권한 내에서만 업무를 할 수 있도록 강제한다. 이를 통해 비인가 사용자 혹은 등록되지 않은 단말기가 네트워크에 무단으로 접속하는 것을 막으며, 단말기에 반드시 필요한 보안패치가 실행되고 있지 않으면 접속을 차단한다.
모바일 공격 성행하며 NAC 고성장 지속
NAC는 정보보안 시장의 대표적인 고성장 시장으로 꼽힌다. 초기 NAC는 공공, 특히 국방분야를 중심으로 성장해왔으며, 공공시장 의존도가 큰 편이었으나 내부보안 이슈가 불거지면서 금융권에서도 NAC 도입에 적극 나서고 있다.
한국인터넷진흥원(KISA)의 ‘2012 국내 지식정보 보안 산업 실태조사’ 중 NAC의 분야별 매출 현황을 살펴보면 공공 25.6%, 금융 29%, 제조 22.9%, 서비스 22.5%로 전 산업에서 고르게 수요가 발생한다. KISA 보고서에서는 NAC가 2016년까지 연평균 15.7% 성장할 것으로 예상하고 있다.
이러한 변화는 APT와 같은 지능형 타깃공격이 엔드포인트의 취약점을 집중적으로 노리고 있어 전 분야에서 단말기에 대한 철저한 보안관리 수요가 요구되고 있기 때문으로 분석된다. 지능형 타깃공격이 보안이 취약한 엔드포인트를 노리면서 시스템에 접속하는 단말기에 악성코드를 은밀하게 숨겨둔 후 목표한 시스템으로 교묘하게 우회해 접근하는 방식을 취하고 있어 단말기 보안이 더욱 중요한 시점이다.
처음 NAC가 소개됐을 때는 L2 기반 시스템 접근제어 기능을 제공하는 수준이었으나, 2세대로 진화하면서 802.1x 기반 무선 네트워크 접근제어와 ARP 기반의 유선 네트워크 접근제어 기능을 제공하게 됐다. 3세대에서는 유무선 통합 인증 시스템을 지원하는 단계로 발전하고 있으며, BYOD, 클라우드 지원을 위한 기능도 추가되고 있다. 나아가 BYOD 환경으로 진입하면서 모바일 디바이스 관리(MDM) 역할을 하면서 무선네트워크 침입탐지(WIDS) 기능과 통합돼 BYOD 플랫폼을 이루는 요소로 자리잡고 있다.
BYOD 환경에서의 NAC를 가장 강력하게 추진하는 곳은 지난해 ‘WNAC’ 전략을 발표한 지니네트웍스다. WNAC는 무선네트워크 침입탐지(WIDS) 역할을 하는 무선센서 ‘에어센트리’와 NAC 솔루션 ‘지니안NAC’를 결합시켜 무선침입방지시스템(WIPS) 역할을 수행한다.
에어센트리를 이용해 인가되지 않은 무선 액세스 포인트(AP)를 찾아내고, NAC 에이전트가 해당 AP로 접속하지 못하도록 해 무선보안을 강화한다. 지니네트웍스는 WNAC가 지난해 공공기관 파일럿 프로젝트에 적용됐으며, 올해 이 성공사례를 바탕으로 본격적인 영업전략을 드라이브할 계획이다.
또한 VM웨어 기반 데스크톱 가상화(VDI)를 지원하는 ‘지니안 NAC 스위트 브이센트리’와 관리서버 ‘지니안 NAC 스위트 브이센터’를 추가로 출시했다. 이 제품은 가상 어플라이언스 형태로 제공되며, 가상PC가 구동되는 서버에서 가상PC에 대한 NAC 기능을 제공한다. 지니안NAC스위트에서 모바일 에이전트를 제공해 다양한 모바일 단말기의 네트워크 접근제어 기술을 제공하고 있으며, 지니안클라우드 센터를 통해 단말정보를 수집해 새로운 단말을 인식·분류할 수 있다.
주력 솔루션인 지니안 NAC 스위트는 대검찰청, 정부통합전산센터, 국군기무사령부, 금융결제원, 한국은행, 현대기아자동차 등 다양한 산업군의 300개 이상의 레퍼런스를 확보하고 있다.
IP 관리 기업 NAC 진출 러시
NAC 시장의 후발주자 중 무서운 속도로 성장하고 있는 넷맨의 ‘스마트NAC’는 v인프라(vInfra) 기술을 기반으로, 네트워크 망 구성을 변경하지 않고, 접근하는 단말에 대해 ARP를 이용한 가상의 격리/차단 정책을 수행한다. 네트워크 장비에 종속되지 않으며, NAC 시스템 장애가 네트워크 장애로 확대되지 않도록 한다. 클라이언트와 클라이언트리스 방식을 동시에 구현할 수 있으며, NMS, PMS, DHCP, 유·무선통합 서플리컨트 등을 지원한다.
스위치 포트별로 pps/bps 임계치를 지정해 임계치를 초과하는 트래픽이 발생하면 관리자에게 알려 전체 네트워크로 유해 트래픽 확산을 방지할 수 있다. IPv6 지원 기능을 갖고 있어 해외수출을 확대하고 있으며, 국내에서는 방위사업청, 현대모비스, 포스텍, 포항성모병원 등 공공·민간기업에 공급됐다.
NAC 시장에 나타나는 중요한 변화 중 하나가 IP 관리 솔루션 기업들이 경쟁적으로 진출하고 있다는 점이다. 넷맨이 IP 관리 솔루션 ‘IP 플러스’ 기술을 적용해 IP 기반 단말 접근제어 환경을 구현할 수 있도록 하며, IP 통제 뿐 아니라 IP 할당도 가능하다. PC, 서버, 네트워크 등 IP를 가진 모든 장비를 제어할 수 있으며, 단말이 접속한 네트워크의 물리적 위치를 추적해 장애나 공격지점을 빠르게 알 수 있다.
IP 관리 솔루션 업계가 NAC 시장 진출을 재촉하는 것은 사이버 공격이 L2/3 레벨에서도 일어나기 때문이다. 게이트웨이 중심의 방화벽, VPN, IPS, 바이러스월 등 네트워크 보안 솔루션은 L4~L7 수준의 보호를 제공하며, 외부 공격을 방어하는데 최적화돼 있어 내부 네트워크 공격을 통제하는데 한계가 있다. 기존 NAC L3 이상 레벨에서 게이트웨이 기반 보호정책을 펼치는데, L2의 데이터 링크 부분을 보호하지 못했다.
IP 관리 솔루션 전문기업 아이앤아이맥스가 출시한 에이전트리스 방식의 NAC ‘랜키퍼(LANKeeper)’는 네트워크에 진입하는 사용자와 단말기를 인증하며, L3 이상 레이어에 대해서도 보호할 수 있다. 경남도청, 마산시청, 경기도청 등 공공시장에서 강점을 갖고 있다.
이 제품은 L2 레벨에서 MAC 정보로 제어해 특정한 단말이나 논리적 그룹간 네트워크 차단, 외부 네트워크 차단이 가능하다. IP 충돌이나 IP 도용, 불법자원 공유 방지 기능을 제공한다. 사용자 인증과 역할, 정책기반의 내외부 통신을 차단한다. L3~L4에서는 MAC과 IP, 사용자 정보를 기반으로 제어하며, 운영 시스템 내의 서버와 주변기기, 단말 등에 대한 보안정책을 제공한다. IP 관리 솔루션 ‘IP키퍼’와 함께 구축하면 네트워크를 보다 효율적으로 사용할 수 있다.
에이전트리스, 네트워크·단말기 제한 없어
에이전트리스 NAC 솔루션 중 포어사이트의 ‘카운터액트(CounterACT)’는 공공, 금융, 제조, 연구기관 등 150여 고객사를 확보했다. 단일 어플라이언스에서 정책관리와 단말기 정보수집·제어 등을 제공해 관리 편의성이 높고 경제적이다.
CC EAL4+ 인증을 획득했으며, 내부 네트워크로 접근하는 모든 IP 기반 장치를 제어한다. PC는 물론이고 스마트기기와 무선AP, 프린터 등 단말기의 종류에 상관없이 네트워크 접근을 통제할 수 있으며, IT 자산관리와 사용자 인증, PC무결성, 위협방지/대응, 필수 소프트웨어 사용 강제화 등을 수행한다.
2012년 카운터액트는 하이브리드 802.1x, 택티컬 MAP(Tactical MAP), IPv6 호환, BOYD 통제 기능 강화, 빌트인 모바일 통제 기능 등을 추가했다. 카운터액트는 센서 장비가 필요하지 않으며, 단일장비로 NAC 기능을 제공하며, 스마트폰·태블릿PC 등 모바일 기기를 제어할 수 있다.
이노코아가 국내에 공급하는 트러스트웨이브의 ‘미라지NAC’도 에이전트리스 NAC 시장에서 의미있는 성과를 보이고 있다. 미라지NAC는 관세청, 하이닉스, SBS, 쌍방울 등 다양한 분야 고객을 확보하고 있으며, 행위기반 탐지기법을 활용해 사용자의 네트워크 인프라에 상관없이 모든 네트워크를 모니터링할 수 있다.
트러스트웨이브는 컴플라이언스 분야에서 강세를 보이고 있는 기업으로, 이노코아는 개인정보보호법, 무선 네트워크 보안 등의 시장에서 많은 기회를 잡고 있다고 강조한다. 또한 기존의 공공·국방·연구소 고객을 기반으로 의료·교육 시장으로 확산하겠다는 계획을 밝혔다.
NAC 업계의 또 다른 강자인 스콥정보통신의 ‘트루NAC’는 비용부담 없이 NAC를 활용할 수 있다는 점을 강조한다. IPv6 지원기능이 있는 트루NAC는 경찰청, 삼성, 국민은행 등 다양한 고객군을 확보하고 있으며, 일본, 미국 등에서도 가시적인 성과를 보이고 있다
한편 유넷시스템의 NAC 사업부를 인수한 닉스테크는 통합 엔드포인트 보호 전략의 일환으로 NAC에 접근한다. 닉스테크는 NAC의 궁극적인 목적은 ‘단말기가 보안정책을 위반하지 않도록 하는 것’이라고 강조하며 엔드포인트 보안의 관점에서 NAC를 봐야 한다고 주장한다.
‘애니클릭NAC’는 사용자가 네트워크에 접근하려는 순간부터 인증-탐지-통제-치료의 보안절차를 주기적으로 수행해 정책에 부합된 단말만 네트워크를 사용하게 하며, 안티바이러스, 패치관리, 자산관리, PC보안관리 등의 단위 보안 솔루션을 정책적으로 설치를 강제화하고, 통합·관리할 수 있다.
무선 네트워크를 통한 접근 통제를 위해 802.1x 표준 기반 기술을 제공하며, 비 802.1X 환경 및 방문객 네트워크 등의 관리되지 않은 네트워크를 위한 컨트롤러를 지원한다.
IT 전체 가시성 확보할 수 있어야
NAC 시장에 다양한 기술기업들이 진출하면서 경쟁을 치열하게 만들고 있으며, 특히 금융권의 높은 성장이 기대된다. 전자금융감독규정이 개정되면서 IT 인프라 특히 보안과 보안전담 인력에 대한 투자가 의무화돼 단말과 정책에 대한 관리 요구가 높아져 NAC 시장의 성장을 견인할 것으로 보인다.
급속히 변하는 환경에서 네트워크와 단말기를 완벽하게 보호·관리하기 위해서는 IT 전체에 대한 가시성을 확보할 수 있는 솔루션인지 살펴봐야 한다. 유무선 네트워크에 대한 통합관리와 다양한 모바일 환경 지원, 가상화·클라우드·빅데이터 환경에서의 네트워크와 단말기 관리가 가능한 제품인지 살펴봐야 하며, 환경변화에 따라 유연하게 구성변경이 가능한 제품을 선택하는 것도 중요하다.
