도입 목적, 인프라ㆍ네트워크 환경, 정책 수립 고려해야 효과적

기업에서 NAC 구축 시 고려사항

국내에 NAC라는 솔루션이 소개되고 기업에서 제품을 도입하기 시작한지 벌써 6~7년이 지났다. 그동안 여러 전문가들이 NAC에 대해 이야기를 했었고 제품을 직접 도입해 사용해본 기업의 보안 담당자들이 NAC에 대한 현장 경험을 소개했다. 또한 NAC 제품을 한번이라도 검토한 기업의 담당자들이라면 여러 벤더들과의 미팅을 통하여 NAC 사용 경험과 효과에 대해 많은 부분을 파악했을 것이다. 그 중에서 제품의 도입과 운영에 관한 결정과 운영 계획에 있어서 중요한 고려사항에 대해 알아보자.

NAC가 국내에 소개되고 기업에서 제품을 도입하기 시작한지 6~7년이 지났다. 많은 전문가들이 NAC의 정의, 필요성, 주요 기능들에 대해 이미 여러 매체에 소개했고 제품을 도입한 기업의 담당자들이 NAC 제품을 직접 사용하면서 현장에서 체험한 내용을 기고한 Case Study들도 여럿 찾아볼 수 있다. 또 NAC 제품을 한번이라도 검토해본 기업의 담당자들이라면 여러 벤더들과의 미팅을 통하여 NAC 제품에 대한 전문가가 됐을 것으로 생각된다. 하지만 잘못 전달되고 바르게 이해되지 못한 부분이 약간 있는 것 같다. 그런 약간의 부분이 사소한 것이라 무시할 수 있는 부분도 있겠지만 제품 도입에 대한 결정 및 운영 계획을 작성하는데 있어 중요하게 고려되어야 할 사항일 수도 있다. 그 약간의 부분에 대해 이야기 하도록 하겠다.

도입 목적을 명확히 해라

우선 NAC 제품은 만능의 솔루션이 아니다. 많은 담당자들이 “알고 있다. 세상에 어떻게 만능의 솔루션이 있을 수 있겠느냐”고 이야기하지만 요구하는 기능들을 보면 실제로 만능 솔루션이 없다는 것을 알고 요구하는 것인지 의심스러울 때가 있다. 이런 오해는 NAC 제품의 다양성에 대한 이해의 부족에서 생기는 것으로 생각된다.

방화벽과 같은 제품들의 경우 역사가 오래되었고 제품들이 경쟁 제품의 장점들을 서로 모방하여 비슷한 형태를 갖추게 되어 ‘방화벽이란 이런 것이다’라는 정의가 확립되어 있다. 하지만 NAC 제품의 특성상 단말의 네트워크 진입에서부터 종료까지를 관장하게 되고 인증, 단말검사, 트래픽 모니터링, 단말 제어의 여러 영역에 거쳐 기능을 수행하게 되면서 1개의 제품이 전 영역의 기능을 완벽하게 수행하는 것이 사실상 힘들다.

현재 국내에 출시되어 있는 제품들의 경우에도 각 제품들마다의 특성이 있으며 이런 특성들이 1개의 기준으로 제품을 판단하는 것을 힘들게 만든다. 필자는 NAC 제품 구분을 Agent-less, Agent-base의 제품 구분 등의 일반적인 방식보다는 제품을 생산하는 업체의 성격으로 구분하는 것을 좋아한다. 이렇게 하면 제품이 가지는 특성 및 장점과 부족한 부분이 쉽게 설명될 수 있기 때문이다. 가령 유무선인증 업체의 제품, 백신 업체의 제품, 네트워크 업체의 제품, 네트워크 보안 업체의 제품, PMS 업체의 제품 등으로 구분하는 것이다. 쉽게 생각해도 유·무선 인증 업체가 생산한 제품과 네트워크 보안 업체가 생산한 제품이 서로 기능적으로 다를 것이며 가지는 독특한 장점에 차이가 있다는 것을 생각할 수 있다.

이런 차이 때문에 많은 전문가들이 NAC 도입 전 먼저 고려해야 하는 것으로 NAC 도입의 목적을 이야기 한다. 도입 목적이라 함은 NAC 제품을 도입하여 얻고자 하는 기대 효과를 말한다. 어떤 사람이 컴퓨터를 사려고 할 때 사용 목적에 따라 컴퓨터에 대한 판단기준(이동성, CPU성능, 하드디스크 용량, 그래픽카드, 해상도 등)이 달라지는 것과 같이 NAC 제품의 선택은 담당자가 NAC 도입을 통해 얻고자 하는 목적에 따라 달라질 수 있다.

이 목적을 분명하게 한 후에 제품에 대한 비교자료를 만들고 제품들간의 장점을 비교하여 목적에 부합되는 장점을 지닌 제품을 선정해야 할 것이다. 목적이 불분명한 경우 제품의 비교는 기능의 숫자를 놓고 비교하는 누를 범하게 된다. 레이싱을 목적으로 하는 자동차에 화려한 인테리어는 오히려 해가 되는 것과 같이 오밀조밀한 다양한 기능을 제공한다고 하여 그 제품이 도입하려는 기업체에 적합한 제품이라 보기 힘든 것이다.

네트워크 환경과 보우 인프라 검토

제품의 도입 목적을 분명하게 한 후에 검토되어야 할 것이 기존 네트워크 환경 및 보유하고 있는 인프라이다. 대략적으로 NAC의 제품영역은 현재 출시되어 있는 제품과 비교하여 이야기를 하면 IP관리솔루션 영역, 사용자 인증 영역, PMS 영역, PC보안 영역, IDS 영역 등에 해당한다고 할 수 있다. 그리고 이 영역에 해당하는 제품을 이미 많은 기업체가 보유하고 있는 형편이다. 따라서 도입된 NAC 제품이 기존의 제품과 동일하게 수행하는 경우가 있으며 이런 경우 담당자는 두 제품간에 교통정리를 행해야 한다.

이런 정리가 행해지지 않은 상태에서 제품이 도입되는 경우 제품의 효과적인 사용이 힘들어 진다. 그 대표적인 것이 PMS 및 PC보안제품을 도입하여 사용하고 있는 기업에서 PMS 및 PC보안 기능에 초점을 맞추어 NAC 제품을 도입하는 경우이다. 앞에서 이야기한 것처럼 NAC 제품은 만능이 아니며 개별 단위 솔루션들이 행하는 기능에서 단위 솔루션들 보다 우위에 있다고 보기 힘들다. 물론 네트워크에 진입하는 단말들의 상태점검(Health Check)이 NAC의 주요 기능 중에 하나이지만 이 기능은 단위 솔루션들의 기능을 모두 포함해야 한다는 이야기는 아니다. 사실상 불가능한 이야기이다.

PMS 제품을 사용하고 있지 않은 기업이 어느 정도 PMS 기능을 수행하는 NAC 제품을 도입하는 것은 하나의 고려할 만한 방안이라고 볼 수 있다고 생각한다. 하지만 이런 경우에도 인지해야 하는 것이 NAC 제품이 제공하는 PMS 기능이 전문 PMS 업체에서 제공하는 기능과 동일한 것으로 생각해서는 안 된다는 것이다. PMS 제품을 생산하는 업체는 이미 오랜 기간 동안 PMS 기능 한 가지를 충실하게 수행하기 위해 제품을 발전시켜 왔다. 이런 전문 업체의 제품 기능을 동일하게 NAC 제품이 수행할 것으로 생각하는 것은 문제가 있다고 생각된다.

기존 인프라와 NAC 제품과의 교통정리에서 제품간의 연동을 고려해야 한다. NAC 제품이 가진 다른 제품에는 없는 가장 큰 특징은 단말의 제어(Enforcement)에 있다. 문제가 되는 단말의 접근을 네트워크 접점에서 차단하여 진입을 방지하고 정상적으로 진입된 단말에 이상이 발견된 경우 네트워크 사용을 차단하여 관리자가 원하는 수준의 보안 요건을 준수할 수 있도록 정책을 강제할 수 있는 것이 NAC 제품이 가진 가장 큰 특징이다. 그리고 이 Enforcement 기능을 수행하는 방법이 어떻게 되느냐가 각 NAC 제품들의 특성을 결정짓는 요인중의 하나이다.

NAC제품에서 연동이라 함은 대부분이 Enforcement 기능을 연동하는 것을 의미한다. DB접근제어와 연동하는 경우 DB로 허용되지 않은 접근을 행한 단말을 차단하고 차단에 따른 안내메시지를 전송하게 된다. ESM 등과 연동하는 경우 ESM에서 문제가 되는 단말을 발견하면 문제가 되는 단말을 네트워크로부터 격리하는 기능을 NAC가 수행하는 형태로 연동이 이루어진다.

보안 제품들이 지속적으로 발전을 하고 보안이라는 것도 소위 트렌드라는 것이 있어 새로운 제품이 등장하여 기존 제품의 자리를 차지하겠지만 단말에 정책을 강제하는 Enforcement 기능은 향후에도 반드시 필요한 기능이기 때문에 NAC가 그 기능을 효과적으로 수행한다고 하면 당분간 NAC를 도입하는 것은, 그러니까 단말을 제어(Control)할 수 있는 제품의 필요성은 있다고 할 수 있다.

앞에서 잠깐 언급한 것과 같이 이 차단 기능이 제품마다 동일한 것은 아니다. 단말을 제어할 수 있는 기술은 현재 Switch를 이용하는 방법, ARP를 이용하는 방법, NIC(Network Interface Card)사용을 중지하는 방법 등 다양하다. NAC 제품들은 이들 방법 중에서 어느 한 가지를 사용하게 되며 담당자는 어떤 방법이 가장 기업체의 네트워크에 적합한지 고려해야 한다. 가령 Switch를 사용하여 Death of VLAN(차단 VLAN)을 이용하거나 Switch Port를 차단하는 방법의 경우 어떤 Switch를 사용하느냐에 따라 구현이 불가능한 경우도 발생할 수 있다.

NAC 정책 수립도 중요

마지막으로 NAC 제품을 도입하면서 고려하여야 할 부분은 NAC 정책을 어떻게 수립할 것이냐 하는 것이다. 이 부분은 사실 모든 제품에 해당하는 이야기가 될 것 같다. 제품의 도입이 능사가 아니라 효율적인 운영이 더 중요한 것은 NAC도 예외일 수 없다. 앞에서 언급한 기존 제품과의 교통정리 연동 부분도 소위 정책이라는 것이 확고하게 수립된 후에 가능하다고 할 것이다.

초기 정책은 너무 세부적으로 세우기보다는 진입 전 정책(단말 및 사용자가 네트워크에 진입하는 단계에서 필요한 정책)과 진입 후 정책(단말 및 사용자가 정상적으로 네트워크 진입 후 네트워크에서 행하는 행위들에 대한 모니터링 정책)으로 나누어서 수립하고 내부사용자와 외부사용자에 대한 정책을 별도로 수립하는 형태로 작성하는 것이 좋다.

이렇게 큰 그림을 작성한 후에 세부적인 부서별 정책, 사용자별 정책, 네트워크별 정책을 수립하고 연동할 제품들과 기능적으로 어느 부분에서 연동할 것인지를 결정하여 나가면서 NAC 정책 Table을 완성하고 거기에 따라 제품을 선정하고 구현할 기능을 결정하면 좀 더 효과적으로 제품 도입 및 운영이 가능할 것이다.

<글 : 박종필 이노코아 팀장(jppark@innocore.co.kr)>

[월간 정보보호21c 통권 제122호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)