Home > 전체기사
NAC, 지능형 자기방어 네트워크의 핵심
  |  입력 : 2010-10-17 10:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
내부 사용자 PC의 취약점을 공격하는 위협이 지속되는 한 엔드 포인트 보안은 정보보호의 중요한 트렌드가 될 것이며 NAC라는 네트워크 접근 통제 시스템이 기업의 보안 책임자와 네트워크관리 책임자에게 관리 포인트의 감소 및 보다 적극적인 사전대응의 변화를 가져올 것이라고 생각한다. 결국 NAC는 앞으로 지능형 자기방어 네트워크의 핵심이 될 중요한 기술이라 할 수 있다.


IT 환경이 급변하는 현재, 우리는 기존의 보안체계로는 최근 새롭게 증가하는 보안 위협을 효과적으로 대응할 수 없는 한계 상황에 와 있다. 많은 기업들이 Firewall, Virus Wall, IDS, IPS 등 다양한 보안 솔루션을 도입함에 따라 외부로부터 유입되는 웜이나 바이러스, 해킹 등의 위협 요인은 점차 감소되고 있다. 그러나 내부 사용자로부터 발생하는 보안 문제점이 상존하고 있기 때문에 기업의 IT 인프라가 최적의 안전 환경으로 구축됐다고는 할 수 없다.

 

따라서 내부 사용자의 보안 문제를 해결하기 위해 사후 대응보다는 사전 예방 및 자동 대응 체계에 중점을 두고 보안 전용 장비보다 네트워크에 융합된 보안 설계, 개별 사용자 인증 및 제어, 다양한 PC 자원들을 일괄적으로 관리할 수 있는 네트워크 방어 체계에 중점을 두고자 한다.


네트워크 제어 현황과 문제점

오늘날 네트워크에 대한 원격접속이 소개된 것은 십 수 년 전의 일이다. 기업환경에 원격접속을 지원하는 RAS (Remote Access Server)가 도입되면서 외부에서 회사 네트워크에 접속, 그룹웨어나 파일서버를 사용해 일상적인 업무를 처리할 수 있게 됐다. 이는 획기적인 기술임과 동시에 도입해야 할 필수 인프라 기술로 떠올랐으며 보안의 인식은 바이러스 백신 및 외부 위협에 대한 대응 중심에서 네트워크 차원으로 서서히 확대됐다.

 

원격접속은 기존의 네트워크 보안대책을 우회할 수 있다는 것 때문에 도입에 따른 편익과 보안 위협이 항상 논란이 돼 왔었다. 그래서 이를 보완하기 위한 Firewall, IDS, VPN, IPS 등 기능 개선된 보안솔루션이 소개됐으나 원격사용자나 노트북으로 대변되는 휴대형 단말기로 인한 보안상의 우회경로는 기업 보안전략 관점에서 해결 할 수 있는 방법이 없었으며 사용자 보안은 PC에 바이러스 백신을 설치하거나 만일의 사태에 대비한 주요 데이터에 대한 백업을 권고하는 수준이었다.

 

이러한 한계적 상황에서 PC 성능의 획기적인 발전과 웜의 공격적 진화(DDoS 공격, Codered와 Nimda 그리고 1.25사태를 주도했던 Slammer 웜)에 따른 피해를 겪으면서 통제되지 않는 소수의 감염된 PC가 전체 네트워크에 심각한 영향을 미칠 수 있다는 사실을 알게 됐고 자연스럽게 ‘엔드 포인트 보안(End Point Security)’의 중요성을 깨닫게 됐다.

 

과거 모리스가 네트워크 환경 속에서 자기 자신을 복제하며 네트워크를 통해서 전파되는 새로운 개념의 웜을 만든 지 20여년이 됐다. 그 동안 시스템 및 네트워크 기술이 변하고 발전해 세계는 이미 거대한 하나의 인터넷이라는 네트워크로 묶여 세계 어디에서도 쉽게 이 거대한 네트워크 안으로 접근이 가능하도록 환경이 변했으며 웜 또한 많은 이들의 노력으로 새로운 형태의 위협으로 발전하게 이르렀다.

 

인터넷 환경의 진화는 편의성과 함께 복잡한 위험이 도사리게 됐으며 어디선가 기업을 공격하고 개인의 컴퓨터에서 필요한 정보를 가져갈지도 모르는 상황이 됐다. 이런 사고를 방지하기 위해 방화벽을 구축하고 많은 보안 솔루션을 도입하고 있지만 우리는 아직도 윈도우 운영체제의 취약점을 이용해 공격하는 네트워크 웜의 피해를 계속해서 받고 있는 상태다.

 

이 네트워크 웜은 한발 앞서 변종이 되거나 공통적으로 사용하는 서비스를 사용해 IDS/IPS에서도 차단되지 않고 내부로 유입돼 내부의 다른 취약점을 가진 컴퓨터에 대해 공격을 시도해 전체 네트워크를 불능 사태까지 만든다. 이 문제에 대한 대답은 결국 엔드 포인트 보안 정책의 부재라고 할 수 있다.


사용자 보안 강화 방향

기업은 내부 네트워크와 인터넷 사이에 위치하고 있는 보안솔루션만으로는 모바일 환경이 급증하고 있는 현재 IT인프라의 보안적 허점을 보완하지는 못한다. 사용자 PC가 내부 네트워크에 접근하기 전에 기업의 보안 정책을 준수하고 있는지 여부를 확인하고 이 결과에 따라 사용자에게 네트워크 접속 권한을 부여하는 모델을 생각 할 수 있다. 이는 가트너 그룹에서 기능을 정의하고 모델을 제시하고 있다

  1. 어떤 경로를 통해 접속했는지에 관계없이 사용자에 대한 인증을 수행한다. 
  2. 사용자의 컴퓨터에 대한 무결성 검사를 수행한다.
  3. 인증과 무결성 검사 결과를 정책 관리서버에 설정된 정책과 비교한다.     
  4. 인증과 무결성 검사 결과를 바탕으로 사용자가 엑세스하는 대상과 장소에 대한 정책 결정을 수행한다. 
  5. 허용/거부/격리할 수 있는 일부 적용 장비 유형에 대한 네트워크 액세스 인증을 수행한다.      

이와 같은 사용자 보안 모델은 기업의 보안 담당자와 네트워크 담당자들에게 몇 가지의 커다란 변화를 겪게 할 것이다. 이로 인해 수많은 노트북 PC등의 외장형 장치 사용자에 대한 내부 네트워크 접근을 제어할 수 있으며 기업의 보안 정책에 위배되는 각종 장비들의 접근을 제한하거나 차단함으로써 보안 위협 요소를 근원적이며 획기적으로 줄일 수 있을 것이다. 이런 대안으로서 많은 기업들이 802.1x 표준 인증기술을 모태로 하고 있는 NAC(Network Access Control)를 염두하거나 채택하고 있다.


802.1x 표준 기반

제조사별(IETF, TCG, Cisco, MS 등) 유무선 인증 기술은 각 제조사별 고유 기술로서 기존의 IEEE 802.11 표준이 제공하는 보안기능인 WEP의 단점을 보완했지만 장비간의 상호 호환성을 보장하지 못했기 때문에 제조사와 사용자 모두에게 혼란을 초래했다. 이러한 점을 보완해 장비간의 상호 호환성을 보장하는 표준 기술들이 개발됐다. 그 중 하나가 IEEE 802.1x 이다.

 

IEEE 802.1x는 IEEE 802.1x 작업그룹이 작성해 2001년 6월에 승인 받은 표준 규격이며 사용자 인증을 위한 다양한 인증 프로토콜을 수용하면서 접속포트에 기반한 접근제어 기능을 정의하고 있다. 무선 LAN 시스템 에서도 이러한 포트기반 접근제어를 통해 사용자 인증을 수행할 수 있다.

 

포트기반 접근제어라 함은 인증자(Authenticator)가 인증요구단말(Supplicant)을 각각의 포트로 관리해 인증서버(Authentication Server)로부터 각 포트별로 접속허가 여부를 전달 받아서 인증요구단말의 네트워크에 접근을 제한한다. 무선 LAN 시스템에서는 액세스 포인트가 인증자 역할을 하게 된다.

 

또한 IEEE 802.1x 인증을 수행하기 위해서는 액세스 포인트를 관리하는 네트워크 관리자 영역에 인증요구단말에 대한 인증 정보를 가지고 있는 인증 서버가 존재하거나 액세스 포인트가 자체적으로 인증서버 기능을 내장하고 있어야 한다. 보다 더 설명하자면 IEEE 802.1x는 중앙 집중식 인증 및 동적 키 분배를 위한 프레임워크에 근거한 무선 LAN 보안의 대안이다.

 

IEEE 802.1x는 확장된 보안 기능을 제공하기 위해서 IEEE 802.11i 작업그룹의 802.1x와 EAP(Extensible Authentication Protocol)의 종단간(end-to-end) 프레임워크에 기반한다. 인증정보 교환은 논리적으로 인증요구단말과 인증서버 사이에서 일어나며 인증자는 브리지로서의 역할만 수행한다.

 

EAP는 인증자에 의해서 챌린지를 넘겨주고 응답을 주고받을 때 사용된다. 이와 같이 IEEE 802.1x는 표준기반 솔루션으로서 EAP-TLS, EAP-TTLS 등의 다양한 인증 방식과 동적 WEP 키를 사용하며 인증서버를 이용한 중앙 집중화된 정책제어를 통해 유연한 확장성과 높은 보안성을 확보할 수 있다.

 

이런 NAC 프레임워크를 응용해 여러 기업들은 사용자 보안을 강화하기 위해서 네트워크 접근제어 구축 시 접근통제 정책, 보호하고자 하는 접근 방식, 기존 인프라와 통합 방법을 충분히 고민해 대응 전략을 수립해야 할 것이다.


사용자 보안 강화 이행 시 고려 사항

사용자 보안 강화 방안으로서 필자의 NAC (Network Access Control) 시스템 구축 및 운영 경험을 토대로 문제점이나 사전에 고려해야 할 사항을 검토하고자 한다.

  1. 802.1x 인증 방식을 따르는 Switch 호환성 문제점(Switch의 802.1x 기능 구현 완성도)
  2. 802.1x 인증 방식에서 PC Health Check
  3. 인증 방법 중에 컴퓨터 이름을 한글(2Byte) 적용 시 인증 문제 
  4. 바이러스 감염된 PC에 대한 격리 및 치료 방안
  5. 프로그램 호환 문제(기존 PC에서 운영 중인 Anti 스파이웨어와의 충돌 등)
  6. 사용자 PC에 NAC Agent 설치 시 NAC 인증에 맞는 조건 설정(기존 PC에서 사용 중인 필수 S/W점검, 최신 보안취약점 패치 여부 점검 등 무결성 점검 방안 연동 등)

NAC 시스템을 구축하기 전 사용자의 네트워크 무단 사용 시 격리/치료 프로세스를 정의하고 이 프로세스를 기반으로 사용자 PC의 환경을 분석한 무결성 점검 정책 등과 물리적인 장비 환경의 시범 구성 및 테스트 등 사전 준비(Pilot 시스템 등)가 필수적으로 요구된다.

 

또한 중요한 것은 NAC를 통해 얻고자 하는 목적을 분명히 하는 것이다. 좋은 기술 이상으로 중요한 것은 기술에 대한 충분한 이해라고 생각한다. 좋은 기술이 그냥 기술로 끝나는 것이 아니라 그 기술의 가장 이상적인 구현 모델을 고민해 나가야 할 것이다. 그러기 위해서는 현재의 네트워크 인프라와 보안 현안들을 도입 이전에 꼼꼼히 분석해 보는 것이 무엇보다 중요한 포인트가 될 것이다.


기대 효과 및 전망

지금까지 사용자 보안 강화 방안, 이를 이행하기 위한 NAC 시스템의 소개 및 고려사항에 대해서 언급했다. 사용자 보안 강화 측면에서 최대의 효과를 내는 최적의 시스템이 NAC 시스템 밖에 없다고는 할 수 없다. 그러나 현재까지 나와있는 통합적 기술로는 최선의 선택이라고 말하고 싶다. NAC의 근원적인 문제점을 사전에 제거하는 효과가 있기 때문이다.

 

가트너에서 분석한 정보보호 Hype Cycle을 보면 2006년에는 NAC의 시스템적 구현은 ‘한창 기대가 부풀려진’ 최정점에 위치하고 있어 실효성이나 향후 발전성이 불투명했다. 그러나 시간이 지나면서 정보보호 기술로서 안착되는 모습을 볼 수 있다. 필자의 경험으로도 비춰볼 때 NAC 시스템은 향후에도 지속적인 발전이 예상되며 많은 기업에서도 채택할 것으로 생각한다.

 

또한 가트너가 정보보안 기술에 대한 성숙도와 도입 시기 그리고 비즈니스 애플리케이션 현황을 표현한 Hype Cycle그래프는 2006년을 최정점으로 향후 2~5년 시장에 안착할 것으로 예상하고 있다. 하지만 어느 정도의 단계가 됐을 때 NAC모델을 도입해야 할지는 기업의 전산, 보안 담당자가 공감하고 결정해야 할 몫으로 남아 있다.

<글 : 박상민 인포섹 전략OS 사업본부 전략OS운영팀 차장(smpark@skinfosec.co.kr)>


[월간 정보보호21c 통권 제122호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)