“NAC는 기술이 아니라 패러다임이자 개념”
“NAC는 기술이 아니라 패러다임이자 개념”
  • 김건우 기자
  • 승인 2014.12.02 10:42
  • 댓글 0
이 기사를 공유합니다

미디어랜드, NAC를 말하다...사용자·기기 인증 통해 네트워크 다중방어해야

[아이티비즈] 네트워크접근제어(NAC; Network Access Control)는 내부에 들어가기 위해서 철저한 검증을 통해 출입 여부를 판단해 허가하는 방식이다. 내부망으로 들어가는 길목에서부터 문제가 생길 수 있는 가능성을 원천봉쇄하는 역할을 하는 게 NAC다.

NAC는 최근 몇 년 동안 네트워크에 접속할 수 있는 다양한 방식과 기기가 늘어남에 따라 ‘네트워크 접근’에 대한 보안과 통제를 해결하기 위해 관심의 대상으로 떠올랐다. 이는 IT환경 변화에 따른 필연적 보안 패러다임의 변화이고 보안과 통제에 있어 ‘네트워크 방어전’은 가장 중요한 시대이자 환경으로 변했다는 뜻이기도 하다.

NAC, 즉 네트워크 방어전을 위한 네트워크 방어 체계 구축의 핵심은 엔드포인트(단말기)의 보안 기술을 기존 네트워크 보안체계와 결합해 기업 전체 네트워크에 통합보안 체계를 구현하는 것이다. 네트워크에 접근할 수 있는 엔드포인트가 늘어나면서 엔드포인트에 대한 접근과 통제를 통한 ‘안전한 네트워크’를 구축하는 것은 최우선 과제가 됐다.

허가를 받지 않거나 보안이 허술한 엔드포인트는 웜이나 바이러스 등 악성코드에 감염돼 있어 네트워크를 공격할 수 있는 매개체가 되기 때문에 엔드포인트에 대한 통제와 보안은 중요성이 매우 커졌다. PC나 노트북, 스마트폰을 비롯한 모바일 엔드포인트 등이 회사 네트워크에 접속되는 것을 원천적으로 차단하지 않으면 시스템 전체를 보호하기 어려워졌기 때문이다.

더구나 IT 분야는 물론 물리적 보안 시스템까지 네트워크를 기반으로 한 환경으로 급격하게 바뀌면서 네트워크를 통한 침입과 정보 유출은 갈수록 심각해지고 있다. 이에 대응하기 위한 방안이 바로 NAC다.

네트워크에 연결된 모든 엔드포인트는 NAC로 통제한다

네트워크 접근을 잘 관리해야 하는 이유는 간단하다. 과거와 달리 오늘날의 네트워크 환경은 경계선이 명료하지 않아 붕괴됐다고 보는 것이 자연스럽다. 경계선 보안의 한계 때문에 생긴 현상이다. 최근에는 네트워크가 매우 많아졌고 경계선도 늘었다. 그런 만큼 특정 경계선을 지키는 것만으로는 보안을 유지하기 어려워졌다는 의미다.

이 같은 보안의 한계는 외부 직원이나 업무 때문에 방문한 사람이 내부 네트워크에 접속해 작업을 하는 과정이 많아지면서 문제점이 드러나기 시작했다. 네트워크에 문제가 있다는 것을 알면서도 정확한 경로를 확인하기 어렵다. 이는 안전하다고 판단해 접근을 허용했으나 엔드포인트에 악성 코드 등이 들어 있어 전체 네트워크가 보안 위협에 노출되는 좋지 않은 결과를 낳은 경우다.

기존의 IT 패러다임과 환경은 내부망으로 들어오는 위협만 차단하면 된다는 게 일반적이었다. 그러나 지금은 경계선 자체에 대한 보안은 물론 경계선을 침입하려는 위협에도 대응해야 하는 환경으로 변했다. 이와 같은 보안 위협 문제를 해결하기 위한 게 NAC고, NAC는 출입국관리를 담당하는 것처럼 입국할 때부터 문제가 있는지, 안전한 상황인지를 확인하는 방식이다. 이렇게 보면 NAC는 ‘모든 길은 로마로 통한다’는 말처럼 ‘모든 네트워크는 NAC로 통제한다’는 표현이 가능해진다.

사용자와 엔드포인트 인증으로 네트워크 통제 강화

NAC가 접근제어를 위하여 사용하는 방법은 인증이다. 사용자에 대한 인증, 단말에 대한 인증, 트래픽에 대한 인증을 NAC 솔루션이 하게 된다.

NAC는 엔드포인트가 네트워크에 접근했을 때 네트워크에 있는 엔트포인트가 새로운 엔트포인트에 의해 보안 위협에 빠지지 않도록 해준다. 또한 정책을 강화하는 역할도 하는데, 엔드포인트의 종류, 사용자의 네트워크 허용 방침, 네트워크 중간 장비들의 정책 강화 등이 가능해진다. 아울러 IP 중심의 통제가 아니라 사용자를 기준으로 네트워크를 통제할 수 있도록 해준다.

NAC 솔루션은 사용자 인증과 엔드포인트 인증을 통해 네트워크를 항상 감시하는 역할을 한다. 이 과정에서 새로운 엔드포인트가 접근하려고 할 경우 차단을 함과 동시에 사용자에게 인증을 요구한다.

이는 마치 출입국관리를 하듯이 사용자와 엔트포인트에 대한 인증을 요구하게 된다. 엔트포인트의 경우 운영체제, 백신, 업데이트, 스파이웨어 여부, 방화벽 등이 제대로 돼 있는지 살피게 된다. 물론 인증을 마친 후에도 허용 범위 안에서만 사용할 수 있다. 사용 범위는 사용자 인증 과정에서 미리 정해질 수도 있으며, 진입한 후에 정해질 수도 있다.

이원규 미디어랜드 기획팀장은 “출입국 관리소는 적재적소의 길목에서 제 기능을 완벽하게 해야 한다”며 “모든 입구를 막을 필요 없이 꼭 필요한 적재적소에 통제소를 배치하면 된다”고 말했다. 이 팀장은 “밖으로 나가려면 어차피 지나가야 하는 게 터미널이고 이 터미널 출구 이전 길목에서 한 번에 검사하고 통제하는 게 투자비나 운용비용의 측면에서 훨씬 효율적인 방법”이라는 설명이다.

NAC가 지금 꼭 필요한 이유는 ------------------------------------------------

“안전한 네트워크 보안은 밖보다 안이 더 중요”

오늘날의 네트워크 위협은 네트워크보다는 취약한 사용자에게 있다. 웜, 바이러스 등 침입을 막기 위한 네트워크 보안 방식은 내부와 외부의 네트워크 경계선에서 바이러스 백신, 방화벽과 침입탐지시스템(IDS), 침입방지시스템(IPS)과 같은 솔루션을 이용하는 방식이었다.

그러나 IT 환경이 바뀌면서 유선과 무선을 포함한 네트워크는 크게 늘어났고 엔드포인트를 통한 접근은 갈수록 늘어나고 있다. 네트워크를 공격하는 기존의 위협을 막는 것도 중요하지만 사용자가 네트워크에 접속하는 비중은 더욱 빠르게 늘고 있다. 이에 따라 이 같은 보안 위협을 차단하고 감염, 침입 경로 등을 파악하는 것은 IT 및 보안 담당자에게 최대의 이슈가 됐다.

문제는 보안을 위협하는 방식이 서버나 네트워크를 공격하는 방식이 직접 방식에서 벗어나 사용자의 PC, 스마트 기기 등을 이용하고 있다는 점이다. 보안이 취약한 사용자와 사용자가 사용하는 기기를 공격하고 그 기기를 네트워크 공격 무기로 활용한다는 점이다.

네트워크 공격 유형이 이와 같은 형태로 변한 배경은 무엇보다 모바일 환경의 일반화됐다는 점에서 찾을 수 있다. 회사 내부 작업은 물론 외부에서 접속해 작업을 하는 비중이 높아질수록 내부 네트워크에 대한 보안이 위협을 받지 않도록 해야 한다. 수작업을 통한 접근통제는 현실적으로 무리가 많아 권장할 수 있는 방식이 아니다. 또한 접속 기기의 다양화다. 노트북은 물론 스마트폰, 태블릿에 이르기까지 다양한 접속이 가능해 네트워크 접속을 통한 보안 위협은 아주 빠르게 늘고 있다.

이는 곧 새로운 보안시스템을 마련해야 한다는 말과 같다. 밖에서 뚫고 네트워크로 들어오려는 보안 위협보다는 안에서 네트워크를 공격하는 방식으로 변했기 때문에 ‘성 안에 또 하나의 성을 쌓는 방식’이 필요하다.

서버에서 엔트포인트로, 보안관리에서 보안통제로, 개별관리에서 통합관리로, 백신에서 네트워크 통제 정책으로 보안의 개념을 바꿔야 한다는 것이다. NAC는 이 같은 새로운 보안시스템 개념에 잘 어울리는 솔루션으로 볼 수 있다. 인증과 검역, 감사, 권한, 인가 등의 개념을 엔트포인트에 적용함으로써 네트워크 보안은 물론 관리·운영·비용·유지보수 등 여러 가지 기대효과도 동시에 얻을 수 있게 해주기 때문이다.

NAC는 ‘나쁜 사람들’을 차단하기 위한 효과적인 솔루션이다. 현재 대부분의 시스템은 보안 패치가 발표된 후 전사적 차원으로 패치를 하기 전까지 테스트를 거치고 난 후 적용하기 때문에 시간이 걸린다. 하지만 시스템을 공격하려는 나쁜 사람들에게 테스트와 적용에 걸리는 시간은 공격하기에 충분할 만큼 긴 시간이다.

검증을 거치지 않고 외부에서 내부 네트워크로 접근하는 것은 결국 튼튼한 외부 보안을 갖추고도 내부에 ‘나쁜 사람들’을 들어오게 해주는 역설적인 상황을 낳게 된다. 그렇기 때문에 피해를 줄이려면 인증과 검역을 마친 사용자와 기기의 접속만 허용하고 오염된 기기는 내부망과 분리해줄 수 있어야 한다. NAC는 오염된 기기의 내부 접근을 막아 내부망을 안전하게 지키는 역할을 한다.





댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.