NAC 기술 동향

어떤 의미인지 들여다보면 USB나 VPN 장비에서의 네트워크 차단 기능을 NAC로 볼 수 있는가? 이것이 진짜 NAC인가? 하는 이슈들인 것이다.

NAC를 일반적인 네트워크 접속 통제 기술로 치부해 버리는 것도 의미는 있다. 하지만 이왕이면 신뢰할 수 있는 기관(Gartner 등)과 국제 표준화(IETF NEA, TCG TNC) 동향에서 ‘NAC라면 이러한 것을 준수하라’는 바를 준수하는 제품을 NAC라 부르는 것이 고객의 혼란과 시장의 혼란을 막는 하나의 방편은 되지 않을까? 신뢰할 수 있는 기관, 국제 표준화 기구에서 언급하는 NAC에 있어 가장 중요한 기술적 팩터(factor)를 정의하고 그 정의한 사항으로 제품의 기술 동향을 살펴보자.

인증, 정책점검, 격리·치료

인증은 “Gartner’s Network Access Control Model”에도 잘 표현되어 있듯이 네트워크에 단말이 접속하기 전에 “Who are you?”(IP가 아닌 사용자 인증) 하는 단계이다. 이 단계로 말미암아 NAC는 단순 네트워크 접속통제 기능이 아닌 기업 내 보안 인프라 구축(AD, LDAP 같은 Directory Service를 활용한 사용자 인증 시스템의 구현)에 대한 포석이 깔리게 되는 것이다.

NAC의 Pre-Connected Control은 인증기능에 의해 절반이 구현되며 나머지 절반은 정책 점검에 의해 구현된다. “PC 방화벽은 구동되어 있는지, Anti-virus/Anti-spyware 프로그램은 구동되었는지, 구동된 정보보호 시스템과 OS 등의 패치는 최신 버전인지, 기업 내에서 요구되어지는 SW는 설치되었는지 등이 정책 점검의 부분이며 미준수 시 네트워크에 접속을 못하게 된다.

이렇게 기업 보안 정책에 미준수된 단말들은 갱생 기간을 거치게 되는데 네트워크 접속 차단, 특정 네트워크 대역 또는 호스트로의 한정 접속(기업 보안 정책 준수를 위한 정보보호 시스템 설치 및 바이러스 치료(Remediation), 복구 목적)을 의미하는 네트워크 격리(Quarantine)가 정책 준수 단말로의 재탄생을 준비하는 기간인 셈이다.

기술적 강제화(Enforcement)

기술적 강제화(Enforcement) 단계는 격리·치료 단계와 혼란의 소지가 있을 수 있겠으나 이렇게 구분하면 명확하게 구분될 수 있겠다. “단말의 정책 점검 후, 정책 미준수 단말에 대한 격리·치료는 행위에 대한 결과이고 기술적 강제화는 행위에 대한 과정이자 도구이다.”

즉 기술적 강제화는 NAC의 Pre-Connected Control 기능의 기술적 구현 사항 중 하나이며 표준의 경우 IEEE 802.1X를 통해 Agent 기반 제품은 ACL Driver로서, Agentless 제품은 Dynamic VLAN 등의 Switch 구성 변경으로, Virtual in-line 방식과 in-line 방식 제품은  Firewall / IPS 기능을 이용하여 구현하게 된다.

사후 모니터링 및 대응방안

“Gartner’s Network Access Control Model”에는 NAC의 구현에 대한 참조 모델 성격의 내용을 언급한 문서인데 참조 모델 중 인증에 대한 내용뿐 아니라 앞서 언급된 정책 점검, 격리·치료, 사후 모니터링 및 대응방안에 대한 참조 모델의 정의하고 있다.

Gartner 참조 모델에서 언급된 사후 모니터링(‘Monitor’) 및 대응방안(‘Contain’)에 대한 이슈는 2007년 하반기부터 고객 요구사항으로 역으로 나오고 있다. 국내 메이저 사이트에서 도입된 NAC 제품의 구축은 IEEE 802.1X 인증과 기존의 유무선 통합 인증 시스템 구축과 연계하여 도입되는 추세를 보였는데, 아직은 표준의 미비 등으로 PC FW/Anti-virus/Anti-spyware/ PMS/유해 트래픽 탐지와 차단 시스템 등과의 유기적인 연동이 부족한 일면이 있었다.

이에 대한 고객의 요구사항이 바로 Gartner에서 언급한 Monitor/Contain 단계와 일치하고 있다. Monitor 단계에서는 이미 인증과 정책 준수 판단을 통하여 네트워크 접속이 허가된 단말의 상태변화(e.g. Anti-Virus SW의 운영 상태 중 최신 Update Pattern이 아닌 경우) 감지, Abnormally Detection 감지, 네트워크 행태 분석(NBA)을 통한 미지 웜(e.g. 치료 패턴이 업데이트 되지 않은 Zero-Day Attack Worm에 대한 감염 등)에 대한 탐지 등이 요구된다. Contain(억제) 단계에서는 Monitor단계에서 탐지된 대상 단말에 대한 Packet Filtering, Firewall Reconfiguration, ARP Modification 등을 통한 차단 등을 언급하고 있다.

즉, 웜 등의 유해트래픽에 대한 탐지와 차단을 기존의 정보보호 시스템 이상으로 기능을 구현할 것을 요구되고 있는 추세이다. 이에 대해서는 IPS 기술 기반의 NAC 제품에는 이미 구현되어 있는 기술을 활용하겠다는 추세며 Agent 기반의 제품에서는 HIPS 기능의 구현 또는 연동을 모색하고 있다. 또 다른 구축 모델로는 NAC 제품과 NBA 제품을 유기적으로 연동하는 모델을 들 수 있으며 현재는 모 그룹에서 예산 집행 단계까지 올라간 것으로 파악된다.

앞서 언급한 진짜와 가짜, 표준과 비표준, Agent와 Agentless, 기반 기술의 차이점에 대한 싸움은 어찌보면 NAC 업계에 있어서는 매우 중요할 듯 보이고 그 결과에 대한 영향도 고객에게 지대할 듯 보이기도 한다. 하지만 과연 고객에도 그러할까? 아마도 필자가 생각하기엔 상기 요소는 기업 담당자가 NAC 시스템을 도입 검토하기 위한 하나의 검토 사항일 뿐이라는 것이다. 올해 국내 NAC 시장은 300억 정도로 추정되면서 업계의 이전투구(泥田鬪狗)가 예상된다.

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>