컴플라이언스 준수를 위한 기업 네트워크의 필수 요소
최근 새로운 보안 위협이 점차 사용자 PC 환경으로 전이되면서 각 기업과 기관 등에서는 NAC를 활용한 보안 정책이 더욱 중요해지고 있다. 특히 올해 전국을 들썩이게 했던 지난 7.7 DDoS 대란을 통해 사용자 PC 보안 환경의 중요성은 다시 한 번 강조되고 있다. 이러한 가운데 이제는 NAC가 단순히 PC의 네트워크 접근성에 대한 관리뿐만 아니라 PC의 보안 위협을 점검하고 대비하는 기술로 발전하고 있어 그 관심이 높아지고 있다. NAC는 내부 보안정책을 수립할 경우 체계적인 PC보안 관리도 가능하도록 관련 기술이 진화·발전하고 있어 전체적인 보안시스템에서 그 활용도가 점차 확대되어 각 기업과 기관의 보안담당자들의 관심도 높아지고 있다. 이러한 NAC 솔루션을 효과적으로 도입할 경우 기업은 네트워크 정보보안 표준을 준수하고 사용자, 애플리케이션 및 기기가 네트워크에서 어떻게 행동하는지에 대한 제어 능력을 확보하고 컴플라이언스 미준수 기기를 빠르게 교정해 네트워크 무결성을 지속적으로 보장할 수 있도록 한다. NAC는 이러한 장점을 가지고 있기 때문에 모든 기업 네트워크의 필수적 요소가 된다.

NAC, 기업 네트워크 정보보안
표준·컴플라이언스 제공
복잡한 기업 네트워크 환경 단순하고 편리하게 보안성 강화

인터넷과 네트워크가 발달함에 따라 많은 네트워크 보안 제품들이 등장했다. 가장 기본적인 네트워크 보안제품인 방화벽부터 확장형위협관리에 이르기까지 다양한 제품들로 네트워크 보안 시스템을 구축할 수 있으며 네트워크 발전 환경에 맞추어 제품들의 기능도 빠르게 진화하고 있다.
여기에 무선 네트워크 인프라를 위해 WIPS(Wireless IPS : 무선침입방지), 무선 인증 시스템 등 무선 보안시스템도 지속적으로 보완되어 개선되고 있다. 하지만 대부분의 유·무선 네트워크 보안 시스템들의 기능과 보안 이슈는 네트워크 외부로부터 해킹 등을 막기 위한 보안 목적을 가지고 있으며 현재 기가(Giga)급 이상의 네트워크 환경에서 내부 사용자단의 보안 요구사항에 완전한 해결 방안을 가지고 있지는 않다.
특히 웜, 바이러스로 인한 내부공격 등 내부 엔드포인트 관리에서는 많은 문제점들을 드러내고 있다.
지난 2003년 발생한 1.25대란이 발생한 이후로 내부 엔드포인트 보안의 필요성이 대두되었고 NAC(Network Access Control : 네트워크 접근제어)라는 새로운 네트워크 보안제품이 탄생하게 되었다. 당시에 Gartner, IDC 등 전문기관에서 대규모 시장을 예측했었고 매년 꾸준한 성장으로 시장은 점점 커지고 있다. 국내에서도 한국인터넷진흥원의 2008년 보안시장 동향보고서에 따르면 연평균 15% 이상 성장할 것으로 예측하고 있다.
네트워크접근제어(NAC) 솔루션은 네트워크에 접속하는 접속단말의 보안성을 강제화할 수 있는 보안 인프라로 허가되지 않거나 웜겧牡肩??등의 악성코드에 감염된 PC 또는 노트북, 모바일 단말기 등이 기업 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하며 적용된 보안수준에 대한 컴플라이언스(Compliance)를 제공하는 내부망 보안 시스템이다. 특히 보안 컴플라이언스 제공은 도입기관과 글로벌 표준 수준을 비교할 수 있는 중요한 도구로 평가 받고 있다.
NAC가 태동한지 6년의 시간이 흐르면서 제품의 구현 복잡성, 기존 솔루션과의 중복 문제 및 상대적 고비용 투자, 투자 대비 효과 문제(실효성), 설치의 복잡성, 표준화 난항, 구축기간 과다 등의 시장 한계 상황을 차츰 차츰 극복해 오고 있으며 네트워크 통합 보안 솔루션으로서 그 영역을 확대해 나가고 있다.
NAC 솔루션은 기능부분에서 장치 인증, 암호화, AD/Radius 인증, 격리/치료, 가상 방화벽, 행위기반 IPS, 자산관리, 컴플라이언스 제공 등의 기술들을 포함하고 있다. 표준과 관련해서는 SNMP Community, IEEE 802.1x, Wi-Fi WPA/WPA2, EAP, Switch/Router Protocol 수용 등 많은 표준을 충족시켜야 할 요건들을 가지고 있다.
전 세계적으로 10여개 이상의 NAC 전문 업체들이 있으며 국내에서도 3~4개의 NAC 전문 업체들이 제품을 개발해 내고 있다. NAC는 제품의 구현형태, Network Infra 구성형태, 제품간 융합에 따라 다양한 제품들이 출시되고 있다.
우선 Client/Clientless 방식으로 구분할 수 있는데 이를 다른 표현으로 하자면 Host-Based-NAC/Network-Based-NAC라 할 수 있다. 이는 보안기능 강제화를 어느 포인트에서 하느냐를 Enforcement라고 하는데 최종 단말장치에서 수행하느냐 아니면 네트워크 장비에서 수행하느냐로 구분 할 수 있겠다. Client 기반은 좀 더 강력한 보안강제화를 수행할 수 있고 NAC 구성에 있어서 복잡하고 관리포인트, HelpDesk 비용이 많아진다는 특징이 있으며 Clientless 기반은 NAC 구성이 간단하며 관리가 쉬우며 유연한 정책구성이 가능하다.
또한 Out-of-Band 방식과 In-Line 방식은 네트워크 구성에서의 차이점을 가지고 있다. Out-of-Band NAC의 경우는 네트워크의 구성 변경이 없이 스위치의 일반 Port 혹은 Mirroring Port를 통해서 NAC 제품을 연결하는 구성으로서 장비 장애시 네트워크에 큰 영향을 주지 않는다.
주로 백본 스위치에 NAC 장비를 연결하여 구성하는 방식이 일반적이며 In-Line에 비해 우회한다는 단점을 가지고 있다. 반면에 In-Line 방식은 네트워크 Access 스위치와 Distribution Layer 사이에 라인 절체를 통해 배치하며 Traffic Flow에 위치하기 때문에 장비의 고속 패킷 처리 능력이 사전에 검토가 되어야 한다. 네트워크 연결 라인 선상에 위치하므로 장비 장애시 네트워크 전체를 무력화 시킬 수 있는 단점을 가지고 있다.
NAC 솔루션은 방화벽이나 UTM 등 외부망 보호제품과 달리 내부망을 보호하는데 중점적인 기능을 두고 있다. 단말장비의 취약성은 네트워크 전체에 큰 영향을 줄 수 있다.
기본적으로 단말장치 보안으로 장치/사용자 인증 및 PC 무결성을 통한 End-Point 보안, 웜겧牡肩??유해 트래픽 차단을 통한 제로데이 공격 차단, 역할에 기반한 네트워크 접근제어, 백신 및 OS 패치 관리, USB기반 저장 매체 통제, 보안정책 위반에 대한 격리 및 차단, 취약성 평가 진단, Virtual Firewall(가상방화벽), Behavior based IPS(행위기반침입탐지및차단), Asset Portal(자산관리) 뿐만 아니라 최근에는 보안 컴플라이언스를 적용함으로써 정보보호 관리체계 통제 기능까지 제공하고 있다.
특히 보안 컴플라이언스는 NAC 도입기관의 보안수준을 국제적인 수준으로 개선할 수 있는 다양한 관리체계(PCI DSS, ISO 27001, SOX 등)를 제공함으로써 보안통제요건과 감사요건을 동시에 적용할 수 있다는 큰 장점을 가지고 있다.
복잡한 기업 네트워크 환경과 보안
최근의 IT 네트워크 환경은 데스크톱, 서버, 노트북, PDA, 스마트폰 등 그 범위가 크게 확대됐다. 이에 기업들은 본사, 고객, 파트너, 계약직, 원격 사무실 직원들의 다양해진 외부 디바이스 환경에서 내부 정보보호와 네트워크 접근 통제에 대한 문제를 어떻게 해결해야 할지 골치를 앓고 있다.
이와 같이 다양해진 네트워킹 기술이 활발하게 사용되고 있는 현재의 IT 환경은 기업 및 직원들에게 편리한 근무 환경을 제공하고 있지만 한편으로는 기업의 비즈니스를 위협하는 수단이 될 수 있다. 특히 엔드포인트 디바이스들을 IT 환경의 통제하에 둘 수 없기 때문에 사용자들이 보안정책을 준수하고 있는지, 또 기업 내부의 사용자 시스템이 어떤 상태인지 파악하기는 힘들다.
이러한 상황과 관련, 윤광택 시만텍 이사는 “만약 보호되지 않은 컴플라이언스 미준수 디바이스가 기업 네트워크에 접속할 경우, 기업은 주요 정보노출, 고비용의 네트워크 다운타임, 규제 미준수로 인한 벌금 징수 등 이로 인한 다양한 위험에 노출될 수 있다”며 “보안 및 컴플라이언스 거버넌스 정책을 마련했다고 하더라도 이는 항상 모든 디바이스에서 강제적으로 준수돼야만 그 의미가 있는 것”이라고 설명했다.
이와 같이 NAC 시스템은 모든 기업 네트워크의 필수적인 요소라 할 수 있다. NAC가 효과적으로 도입될 경우 NAC 시스템은 기업이 네트워크 정보보안 표준을 준수하고 사용자, 애플리케이션 및 기기가 네트워크에서 어떻게 행동하는지에 대한 제어 능력을 확보하고 컴플라이언스 미준수 기기를 빠르게 교정해 네트워크 무결성을 지속적으로 보장할 수 있도록 한다. 
윤광택 이사는 “NAC 시스템을 사용하는 기업들은 엔드유저, 엔드포인트가 기업 네트워크에 접근할 때 컴플라이언스를 준수하고 있다는 것을 확신할 수 있고 이를 통해 기업은 생산성을 희생시키지 않고도 정보의 무결성을 보장할 수 있다. 따라서 기업의 보안은 오히려 ‘아무것도 하지 않는 것’보다도 더 단순하고 편리해지는 것”이라고 강조했다.
NAC를 활용한 보안 정책 중요
새로운 보안 위협이 점차 사용자 PC 환경으로 전이되면서 NAC를 활용한 보안 정책이 점차 중요해지고 있다. 특히 전국을 들썩이게 했던 7.7 DDoS 대란을 통해 사용자 PC 보안 환경의 중요성은 다시 한 번 강조된 가운데 NAC를 활용해 내부 보안정책을 적용하거나 사용자 PC 보안을 하는 등, NAC가 점차 통합보안 영역으로 확대되고 있다.
이와 관련해서 남인우 유넷시스템 이사는 행안부 발주 프로젝트인 ‘공무원 PC 해킹 탐지 시스템 구축’을 예로 내부 보안정책을 적용해 공공기관이나 기업의 PC를 효율적으로 관리해 해킹과 같은 위협에 대비할 수 있는 방안을 설명했다.
남 이사는 “공무원 PC 해킹 탐지 시스템은 16개 기관과 25개 부처의 공무원 PC를 대상으로 구축되는 프로젝트로서 애니클릭 NAC의 도입으로 조직 내 PC를 내부 보안정책을 효율적으로 적용하고 각 PC의 네트워크 사용에서 보안 위협을 최소화 할 수 있도록 해준다”고 말했다.
이어서 그는 “특히 에이전트 기반의 NAC의 활용을 통해 바이러스 백신이나 PMS, IP/MAC, 윈도우 보안업데이트 및 방화벽, 필수 보안 프로그램 사용 여부 등을 체크해 각 PC가 최적화된 보안 환경이 구축될 수 있도록 하고 있다”며 “그리고 네트워크 트래픽을 감시하고 프로토콜(SYN, TCP, UDP, ICMP) 분류별로 임계치를 설정할 수 있어 비정상 트래픽을 중앙에서 통제할 수 있도록 하고 있다. 이를 통해 아직 정식 보안패치가 활성화 되지 않은 제로데이(Zero-day) 공격 상황에서도 대비할 수 있다는 장점을 가지고 있다”고 덧붙였다.

또한 한유석 에어큐브 이사는 NAC 솔루션을 이용해 DDoS 공격을 억제하는 방법에 대해서 “DDoS 공격은 일반 PC에 악성코드를 감염시켜 여러 분산된 PC의 네트워크 트래픽을 지정된 타깃에 집중시켜 공격을 시도하기 때문에 조직 내에서 비정상적인 네트워크 트래픽을 검출해 감염된 좀비PC를 찾아내고 이를 격리한 후 치료함으로써 DDoS 공격의 위력을 감소시킬 수 있다”고 말했다.
기관이나 기업에서 이용하는 PC가 좀비PC로 이용될 경우 피해자가 되는 동시 가해자가 될 수 있기 때문에 해당 조직은 이에 대한 준비가 필요한 상황이다. 내부적으로 좀비PC를 검출하기 위해서는 좀비PC의 행동을 파악하고 네트워크상에서 제한할 수 있는 체계가 필요하다. 이를 위해서는 네트워크 관리자가 단일 IP를 소스로 해 공격 대상이 되는 사이트의 주소(URL)에 대해 초당 수십~수백 회 조회하는 단말을 검출하고 제어하는 방법이 요구된다.
따라서 한 이사는 “에이전트 기반 NAC 솔루션을 통해 공격성 트래픽을 효율적으로 검출하고 검출된 좀비PC를 내부 정책에 따라 격리 또는 치유할 수 있다”고 덧붙였다.
이와 같은 기술들은 NAC가 단순히 PC의 네트워크 접근성에 대한 관리 뿐 아니라 PC의 보안 위협을 점검하고 대비하는 기술로 발전하고 있다는 것을 보여준다. 아울러 내부 보안 정책을 수립할 경우 체계적인 PC보안 관리도 가능하게 해주고 있어 그 쓰임새가 점차 늘고 있다.
NAC 도입시 고려사항
우선 Wished List의 작성이 첫 번째 프로젝트의 시작이다. NAC 제품은 매우 다양한 레이어에서 다양한 형태의 기능을 제공한다. 이런 모든 기능을 사용하고 적용하는 것이 최선은 아니다.
자신과 IT 운영팀, 보안팀의 네트워크 위험을 줄이기 위해서라도 반드시 정의돼야 할 부분이 NAC의 기능이다.
또한 분명히 스스로 만든 Wished List와 다양한 제품의 기능을 비교해보면 분명히 100%는 아니지만 90% 이상의 요구사항을 만족하는 솔루션이 반드시 있을 것이다. 분명 명심해야 할 것은 Must-Have가 많아지면 비용과 복잡도가 증가한다는 사실을 명심하길 바란다. 다음은 Wished List의 일례를 들어 설명한 것이다.
그리고 두 번째는 투자비용 대비 보안기능 확보 문제를 검토해야 한다. 먼저 투자비용이라고 하는 부분에서 우리가 이해해야 할 것은 도입비용 이외에도 운영비용, Help Desk 비용 등을 모두 고려하는 것이 순서라 생각된다.
통상적으로 NAC 솔루션은 단일 보안 솔루션에 비해 고가이다. 또한 Enfor cement 형태에 따라 네트워크를 재구성 혹은 업그레이드해야 하는 비용도 발생하며 제조사에 따라서는 옵션 품목들이 많이 있는 부분이 있다.
예를 들면 In-Line NAC 제품의 경우는 Edge쪽으로 내려갈수록 구매해야 하는 수량이 증가하여 도입 비용이 증가하지만 반대로 보안의 강도는 또 그만큼 강해지는 Trade Off가 있기 때문이다.
운영비용 및 사용자 교육비용 측면에서 검토해보면 도입(구축)비용에 비해 산술적으로 측정하기 어려운 항목이지만(투입인력 및 기간에 대한 산정이 어려움) 반드시 산정해보고 고려해봐야 할 항목이다.
또한 전사적인 보안정책 적용을 위해서 사용자 교육비용 및 사용자 보안정책 적용으로 인한 업무 생산성 하강 문제 등도 판단해 보아야 할 내용이기도 하다.
또 Enforcement 형태 중에서 Network Infra NAC의 경우는 교육과 Help Desk 비용이 적게 소요되는 반면에 Host-based NAC의 경우 구축비용은 상대적으로 적고 교육과 Help Desk 비용이 많이 소요되며 이는 보안정책강제화(Compliance Check)와 정책의 세밀함에 따라서도 운영비용이 차이가 날 수 있다.
또한 제품별로 위반시에 사용자 안내 방법에 따라서 전체 단말 3,000개의 사용자가 전화가 끊임없이 오는 경우라면 Help Desk 비용도 증가한다고 보아야 할 것이다. 그리고 마지막 세 번째는 제품의 시현이다.
<글 : 월간 정보보호 21c 편집팀(is21@boannews.com)>

[월간 정보보호21c 통권 제112호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>