네트워크 접근제어 NAC의 진화 어디까지?

기존 NAC 솔루션의 단점...기능적으로 진화·발전

유·무선 통합, BYOD 대응, 개인정보보호 기능 강화 추세

[보안뉴스 김태형] NAC(Network Access Control : 네트워크 접근제어)는 네트워크에 접속하는 모든 접속 단말의 보안성을 강제화할 수 있는 보안 인프라로 인식되고 있다.

즉, 허가되지 않거나 웜·바이러스 등 악성코드에 감염된 PC 또는 노트북, 모바일 디바이스 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 보안수준을 높여주는 것이다.

최근엔 BYOD와 관련한 다양한 스마트기기에 대한 접근관리와 통제, 각종 단말의 정보수집, 자산관리, 보안정책 적용 및 조치에 이르기까지 효과적인 네트워크 보호 기능을 수행하는 실질적 기반의 보안 솔루션으로 자리잡고 있다.

이처럼 NAC는 시스템 전체를 보호하는 내부망 보안 솔루션으로 유선과 무선에 대한 모든 위협을 통합 탐지하는 추세로 그 기능이 점차 진화하고 있다.

최근 NAC 솔루션의 진화와 관련해 양승용 닉스테크 기술연구소 이사는 “닉스테크의 Anyclick NAC의 경우 OS의 식별이 핵심이다. 즉 단말에 IP 부여 시 OS를 식별해 관리자에게 OS 정보를 제공한다. BYOD 시대에서 단말의 OS 식별과 관리는 매우 중요한 부분”이라고 설명했다.

덧붙여 그는 “스마트 기기에 대한 접근통제 기능도 중요한데, 이는 컨트롤러를 이용해 스마트기기의 네트워크 접근을 허용대역과 허용하지 않는 대역으로 분리하는 방법으로 제어하는 것”이라고 말했다.

그는 또한 “이 외에도 개인정보보호 기능도 진화·발전된 기능이다. 개인정보 스캐너 기능을 포함해서 하나의 관리포인트를 이용해 개인정보를 관리하고 개인정보 관리지침 위반자에 대한 네트워크 격리 기능을 제공한다”고 덧붙였다.

이 외에도 강력한 단말 행위 추적 기능으로 로그인 시간, OS 정보, 스위치 포트, 네트워크 사용량, IP 등을 통합적으로 제공하며, 하드웨어 암호화 가속기, 즉 RSA 암호화 가속기 탑재가 가능해 획기적인 인증 성능 향상을 꾀했다는게 닉스테크 측의 설명이다.

또한, 유선 802.1x를 지원하는 유일한 제품으로 윈도우 7 에서도 다양한 EAP 인증 프로토콜 지원과 함께 인증, DHCP를 이용한 IP 관리, 단말 무결성 정책 관리 등을 토합적으로 가능한 All in one 서버 방식, 보안성이 우수한 Inline Controller 기반이 장점이다.

NAC 솔루션 분야의 후발업체인 넷맨의 마정우 전략기획부 부장은 “넷맨의 SMART NAC는 ARP 기반의 유선 네트워크에서의 네트워크 접근제어 기능과 802.1x 기반의 무선 네트워크에서의 네트워크 접근제어 기능을 제공한다. 이로 인해 유·무선 통합망에서의 별도 기능 없이 네트워크 접근제어가 가능하다”고 설명했다.

다양한 특허 기반 기술로 개발된 SMART NAC는 이동 및 접근이 용이해 최근 급증하고 있는 무선랜 환경에서는 물론 별도의 접속인증 체계가 없는 유선랜 환경에서도 Client 기반의 무선랜 보안 인증 방식과 Clientless 기반의 웹 인증 방식을 모두 지원하는 통합 네트워크 접근제어 솔루션이라고 할 수 있다.

또한, 사용자의 네트워크 접근 이력 정보 및 시스템의 네트워크 접근이력 정보를 알 수 있고, 모든 네트워크 영역에서의 IP 통제와 DHCP(Dynamic Host Configuration Protocol)를 지원한다.

또 내부망 접속을 위해 AP에 접속한 스마트 디바이스들은 각각의 MAC, IP, OS, 기타 단말기 정보 등을 통해서 관리되기 때문에 별도의 DHCP서버를 운영할 필요가 없다. Smart NAC이 DHCP 모듈은 기본적인 DHCP 기능에 IP 할당과 관련된 정책기능이 포함되어 있다.

신해준 넷맨 기술이사는 “Smart NAC는 802.1x 기반의 무선보안과 ARP 기반의 유선 보안의 통합 지원과 차세대 인터넷(IPv6)에서 NAC 기능을 완벽하게 지원한다는 점이 가장 스마트한 기능이라 할 수 있다”고 설명했다.

또한, 그는 “윈도우7을 위한 관리 기능은 구현이 완료되어 문제없이 사용되고 있다. 그리고 유선에서 802.1x를 지원하기 위해서는 전체 네트워크를 변경해야 하며 구축하더라도 정책 수립 등 관리적인 부분에 어려움이 많다. 하지만 Smart NAC은 vInfra 기술을 활용해 네트워크의 변경 없이 유선에서도 802.1x와 같은 수준의 보안관리 기능을 제공한다”고 덧붙였다.

아울러 기존 IP 기반 NAC의 경우 ARP 공격으로 우회가 가능한 취약점을 차단하는데 어려움을 겪었던 게 사실이다. 이와 관련 넷맨의 신 이사는 “이러한 ARP 스푸핑 공격은 MAC 또는 IP 주소의 변조를 통해 이뤄진다. 하지만 Smart NAC에는 이러한 기본적인 정보 이외에 정책기반의 다양한 정보를 활용해 관리하므로 ARP 스푸핑으로 인한 우회를 사전 차단할 수 있다”고 밝혔다.

특히, Smart NAC에는 넷맨에서 특허로 등록한 “‘ARP 스푸핑 차단 및 방어방법(특허10-2011-0136425)’ 기술이 제품에 탑재되어 있어 ARP를 통한 우회 공격을 차단한다”고 강조했다.

또 다른 NAC 솔루션 전문 기업 지니네트웍스의 ‘Genian NAC Suite’는 기존 제품에서 업그레이드된 신제품으로 효과적인 네트워크 접근제어, 정확하고 자동화된 유무선 단말의 탐지, 보안정책 적용, 강력한 조치 등의 통합 프레임워크를 제공한다.

지니네트웍스 측은 “Genian NAC Suite는 강력한 인증을 통해 자산 및 사용자를 식별하고 네트워크 접근권한 등을 차등 부여해 특정 단말 및 IP/서브넷/VLAN 등의 사용자 접속권한을 제어한다. 이와 함게 사용자의 단말 보안 상태를 점검 조치해 네트워크를 청정하게 유지하며, BYOD 환경에서 유·무선을 아우르는 내부보안 관리 체계를 제공한다”고 밝혔다.

또한, 이 제품은 유선과 무선에 대한 모든 위협을 통합 탐지하고 다양한 기기에 대한 접근을 관리해준다.

이처럼 NAC 솔루션은 기반 기술에 따라 제품도 다양하고 그 기능에도 차이가 있다. 그러나 대부분의 NAC 업체들이 최근 들어 변화되는 IT 환경에 맞춰 스마트 또는 차세대란 수식어와 함께 한층 발전된 기능을 앞세우고 있는 상황이다. 이러한 기능적 발전과 함께 안정성 향상을 위한 끊임없는 노력을 통해 NAC 솔루션이 차세대 보안 솔루션으로 한 단계 더 업그레이드될 수 있기를 기대해본다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)