[특집]체계적인 네트워크 보안 관리를 위한 NAC

기능과 사용환경 정확히 파악한 구축 절차 수립이 중요

새로운 보안 위협이 점차 사용자 PC환경으로 전이되면서 NAC를 활용한 보안 정책이 더욱 중요해지고 있다. 특히 지난해 7.7 DDoS 대란은 사용자 PC의 보안 환경의 중요성을 다시 한 번 생각하게 하는 사건이었다. 그리고 이제 NAC가 단순히 PC의 네트워크 접근성에 대한 관리뿐만 아니라 보안 위협을 점검하고 대비하는 기술로 발전하고 있어 그 관심이 높아가고 있다. 특히 NAC는 내부 보안 정책의 수립을 통해 체계적인 PC보안 관리도 가능하게 하기 때문에 쓰임새가 점차 늘어나고 있다.

네트워크에 접속되는 보안 위협 원천적 차단

전체적인 시스템 보호와 보안 수준에 대한 컴플라이언스 제공

NAC(Network Access Control:네트워크 접근제어)솔루션은 네트워크에 접속하는 접속단말의 보안성을 강제화할 수 있는 보안 인프라로 허가되지 않거나 웜·바이러스 등 악성코드에 감염된 PC 또는 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하며 적용된 보안 수준에 대한 컴플라이언스(Compliance)를 제공하는 내부망 보안 제품이다.

NAC는 태동한지 7년 여의 시간이 흐르면서 제품의 구현 복잡성, 기존 솔루션과의 중복 문제 및 상대적 고비용 투자, 투자 대비 효과 문제, 설치의 복잡성, 표준화 난항, 구축기간 과다 등의 시장 한계 상황을 차츰 차츰 극복해 오고 있으며 네트워크 통합 보안 솔루션으로서 영역을 확대해 나가고 있다.

특히 네트워크에 접속하는 접속단말의 보안성을 강제화할 수 있는 보안 인프라로 허가되지 않거나 웜ㆍ바이러스 등 악성코드에 감염된 PC 또는 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하며 적용된 보안 수준에 대한 컴플라이언스(Compliance)를 제공하는 내부망 보안 솔루션이다. 보안 컴플라이언스의 제공은 도입기관과 글로벌 표준 수준을 비교할 수 있는 중요한 도구로 평가된다.

인터넷과 네트워크가 발달함에 따라 많은 네트워크 보안 제품들이 등장했다. 가장 기본적인 네트워크 보안제품인 방화벽(Firewall)을 시작으로 IDS(Intrusion Detection System : 침입탐지시스템), IPS(Intrusion Prevention System : 침입방지시스템), TMS(Threat Management System : 위협관리시스템)뿐만 아니라 최근에는 한 차원 더 진화하여 확장된 UTM(Unified Threat Management : 통합위협관리), XTM(eXtensible Threat Management : 확장형위협관리)에 이르기까지 다양한 제품들로 네트워크 보안시스템을 구축할 수 있으며 네트워크 발전 환경에 맞추어 제품들의 기능도 빠르게 변화하고 있다.

여기에 무선 네트워크 인프라를 위해 WIPS(Wireless IPS : 무선침입방지), 무선 인증 시스템 등 무선 보안시스템도 지속적으로 보완되어 개선되고 있다. 하지만 대부분의 유·무선 네트워크 보안 시스템들의 기능과 보안 이슈는 네트워크 외부로부터 해킹 등을 막기 위한 보안 목적을 가지고 있으나 현재 기가(Giga)급 이상의 네트워크 환경에서 내부 사용자단의 보안 요구사항에 완전한 해결 방안을 가지고 있지 않다. 특히 Worm, Virus로 인한 Internal Attack 등 내부 End-Point 관리에서는 많은 문제점들을 드러내고 있다.

내부망 보호에 중점 기능

박영철 포어사이트 상무는 “NAC 제품은 가장 중요하게 분류되는 Client 유무에 의한 분류와 Network 구성상 Out-of-Band/In-Line 방식에 의한 분류인데 이는 현재 시장에서 가장 많이 활용되고 있는 NAC 분류방식”이라고 설명했다.

그는 또 “Client/Clientless 방식을 다른 표현으로 하자면 Host-Based-NAC/Network-Based-NAC이다.

보안기능 강제화를 어느 포인트에서 하느냐를 Enforce ment라고 하는데 최종 단말장치에서 수행하느냐 아니면 네트워크 장비에서 수행하느냐로 구분할 수 있다”며 “Client 기반은 좀 더 강력한 보안강제화를 수행할 수 있고 NAC 구성에 있어서 복잡하고 관리포인트나 HelpDesk 비용이 많아진다는 특성이 있으며 Clientless 기반은 NAC 구성이 간단하며 관리가 쉬우며 Flexible한 정책구성이 가능하다”고 덧붙였다.

또한 그는 “Out-of-Band 방식과 In-Line 방식은 네트워크 구성에서의 차이점을 가지고 있다”며 “Out of Band NAC의 경우는 네트워크의 구성 변경이 없이 스위치의 일반 Port 혹은 Mirroring Port를 통해서 NAC 제품을 연결하는 구성으로서 장비 장애시 네트워크에 큰 영향을 주지 않는다. 주로 백본 스위치에 NAC 장비를 연결하여 구성하는 방식이 일반적이며 In-Line에 비해 bypass할 수 있는 단점을 가지고 있다”고 말했다.

그리고 그는 “반면에 In-Line 방식은 네트워크 Access스위치와 Distribution Layer 사이에 배치하며 Traffic Flow에 위치하기 때문에 장비의 고속 패킷 처리 능력이 사전에 검토가 되어야 한다”며 “네트워크 연결 라인 선상에 위치하므로 장비 장애시 네트워크 전체를 무력화 시킬 수 있는 단점을 가지고 있다”고 말했다.

NAC 솔루션은 방화벽이나 UTM 등 외부망 보호제품과 달리 내부망을 보호하는데 중점적인 기능을 두고 있다. 단말장비의 취약성은 네트워크 전체에 큰 영향을 줄 수 있다는 것. 기본적으로 단말장치 보안으로 장치/사용자 인증 및 PC 무결성을 통한 End-Point 보안, Worm/Virus 유해 트래픽 차단을 통한 Zero-Day 공격 차단, 역할에 기반한 네트워크 접근제어, 백신 및 OS 패치 관리, USB기반 저장 매체 통제, 보안정책 위반에 대한 격리 및 차단, 취약성 평가 진단, Virtual Firewall(가상방화벽), Behavior based IPS(행위기반침입탐지및차단), Asset Portal(자산관리) 뿐만 아니라 최근에는 보안 컴플라이언스를 적용함으로써 정보보호 관리체계 통제 기능까지 제공하고 있다.

특히 보안 컴플라이언스는 NAC 도입기관의 보안수준을 국제적인 수준으로 개선할 수 있는 다양한 관리체계(PCI DSS, ISO 27001, SOX 등)를 제공함으로써 보안통제요건과 감사요건을 동시에 적용 할 수 있다는 큰 장점을 가지고 있다.

최근 DDoS 공격 방지에 폭 넓게 활용

최근에는 NAC 자체가 트래픽 분석을 통해 DDoS를 유발하는 악성코드에 감염된 PC 등 단말기를 찾아 차단하거나 치료를 받게 하는 기능까지 포함돼 DDoS 공격을 방지하는 역할로도 이용되고 있다.

이에 따라 많은 기관에서 사용자를 제어하고 관리하는 NAC 도입을 서둘렀다. 아울러 기업들은 2008년에 가장 큰 이슈였던 개인정보보호나 내부정보유출 관리를 위해 NAC 도입에 적극적이었던 것도 시장에서 크게 작용한 것으로 평가되고 있다. 그리고 행안부나 서울 시청 등 대형 공공사업과 아울러 망분리 등으로 회자되면서 시장에서의 역할이 강화됐다.

우리나라 NAC 시장의 경향을 살펴보면 에이전트 기반 NAC와 네트워크 기반 NAC가 시장을 양분하고 있다. 이 두 NAC는 기술적인 차이와 별개로 사업 진행도 차이가 나타나고 있다. 2009년의 경우 에이전트 기반 NAC는 공공시장과 교육청 및 병원 시장을 타깃으로 좋은 성과를 보였지만 네트워크 기반 NAC는 군납품과 기업을 중심으로 좋은 성과를 나타냈다.

박영철 상무는 “올해에는 NAC 사업자들이 서로 상대가 강점으로 가져가던 시장을 타깃으로 삼고 있어 본격적으로 경쟁을 하고 있다”며 “특히 DDoS 공격 차단 시장은 양 진영이 공동으로 목표로 하고 제품군을 출시하고 있어 경쟁의 정점에 이를 것으로 전망된다”고 말했다.

또한 시범 정도로 들어갔던 공공 시장이 행안부와 시청 등의 레퍼런스를 기반으로 지방 자치단체까지 확산될 것으로 보여 공공시장의 수요가 두 배 이상 증가할 것으로 예상된다. 따라서 공공시장에서의 경쟁도 치열하게 진행될 것으로 전망된다. 네트워크 기반 NAC는 신속한 인프라 구축을 강점으로 내세우고 에이전트 기반 NAC는 스마트폰의 활성화에 따라 유무선을 아우르는 관리의 유연성을 강점으로 내세워 시장에서의 위치를 강화할 전망이다.

NAC 도입시 고려사항

기업에서 NAC를 도입하기 위해 먼저 해야 할 것은 Wished List의 작성이다. NAC는 매우 다양한 레이어에서 다양한 형태의 기능을 제공하지만 모든 기능을 다 사용하고 적용하는 것이 최선은 아니다.

IT 운영팀, 보안팀의 네트워크 위험을 줄이기 위해서라도 NAC 기능은 반드시 정의해야 할 부분이다. 또한 작성한 Wished List와 다양한 제품의 기능을 비교해보면 분명히 100%는 아니지만 90% 이상의 요구사항을 만족하는 솔루션이 반드시 있을 것이다. 명심해야 할 것은 Must Have가 많아지면 비용과 복잡도가 증가한다는 것.

그리고 두 번째는 투자비용 대비 보안기능 확보의 문제를 검토해야 한다. 먼저 투자비용이라고 하는 부분에서 우리가 이해해야 할 것은 도입비용 이외에도 운영비용, Help Desk 비용 등을 모두 고려하는 것이다.

통상적으로 NAC 솔루션은 단일 보안 솔루션에 비해 고가이다. 또한 Enforcement 형태에 따라 네트워크를 재구성 혹은 업그레이드해야 하는 비용도 발생하며 제조사에 따라서는 옵션 품목들이 많이 있는 부분이 있다.

예를 들면 In Line NAC 제품의 경우는 Edge쪽으로 내려갈수록 구매해야 하는 수량이 증가하여 도입 비용이 증가하지만 반대로 보안의 강도는 또 그만큼 강해지는 Trade Off가 있기 때문이다. 운영비용 및 사용자 교육비용 측면에서 검토해보면 도입(구축)비용에 비해 산술적으로 측정하기 어려운 항목이지만(투입인력 및 기간에 대한 산정이 어려움) 반드시 산정해보고 고려해봐야 할 항목이다.

또한 전사적인 보안정책 적용을 위해서 사용자 교육비용 및 사용자 보안정책 적용으로 인한 업무 생산성 하강 문제 등도 판단해 보아야 할 내용이기도 하다.

또 Enforcement 형태 중에서 Network Infra NAC의 경우는 교육과 Help Desk 비용이 적게 소요되는 반면에 Host based NAC의 경우 구축비용은 상대적으로 적고 교육과 Help Desk 비용이 많이 소요되며 이는 보안정책강제화(Compliance Check)와 정책의 세밀함에 따라서도 운영비용이 차이가 날 수 있다.

제품별로 위반시에 사용자 안내 방법에 따라서 전체 단말 3,000개의 사용자가 전화가 끊임없이 오는 경우라면 Help Desk 비용도 증가한다고 보아야 할 것이다. 그리고 마지막 세 번째는 제품의 시연이다.

<글 : 김태형 기자(is21@boannews.com)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)