Special Report

현재의 가장 큰 문제는 아직까지 NAC에 대한 명확한 개념이 정리되지 않은데 있다는 것이다. 이노코아 박종필 부장은 “이런 문제로 NAC를 구축하려는 기관에서는 자신의 네트워크에 적합한지 여부와 기존 솔루션들과의 통합 등은 고려하지 않고 단순하게 NAC 솔루션을 도입하고 있으며 장기적인 계획을 가지고 구축하기 보다는 단순 제품의 구매에 치우치고 있다”며 “이러한 문제는 앞으로 기존의 솔루션들과의 통합과 NAC의 표준화를 통해 해결돼야 한다”고 말했다.

시스코 김용호 과장은 “NAC 솔루션은 단말장치, 특히 일반 사용자에게 적용되는 솔루션이므로 다양한 PC환경을 가질 수 있고 보안 솔루션에 대한 사용자의 직접 운용 및 관리자의 간섭이 상당 부분 수반되고 있다”며 “따라서 향후에는 지속적으로 사용자나 관리자의 간섭을 최소화할 수 있는 Touch-less 형태의 솔루션으로 발전해 나가야 한다”고 밝혔다.

또 지니네트웍스 한형권 과장은 “Dynamic NAC는 단말을 통제하면서도 해당 단말이 접속되어있는 네트웍 구성을 건드리지 않고 In Line Mode의 단점(장애포인트 증가, 설치되는 시스템의 성능 문제)을 극복하는 것이 가장 중요한 포인트”라며 “여기에서도 문제는 단말의 보안성(무결성) 검사를 확인할 수 있는 방법이 강구되어야 하며 네트워크를 사용하는 사람이 누구인지, 정말 그 사람인지, 어떤 신분을 가지고 있는지, 유해한 트래픽을 유발할 가능성은 없는지, 단말의 종류(PC, 서버, 네트웍 프린터 및 장비, AP, 스위치 등) 및 단말에서 불필요한 서비스를 하고 있는지(DHCP, DNS, TELNET 등) 등을 판단할 수 있어야 한다”고 강조했다.

또한 그는 내부 단말의 다양한 환경에 맞게 예외 처리 능력이나 역할기반의 네트웍 접근 정책을 적용할 수 있는지도 판단할 수 있어야 하며 이를 통해 내부 보안 정책을 구성하고 유연하면서도 강력한 보안정책이 사전에 정의되어 이를 준수 및 강제화할 수 있는 기반이 제공되어야 한다고 말했다.

아울러 내부정보 유출방지를 위한 PC 보안 기능인 매체제어 기능, 네트워크 우회 경로 파악, 비인가 네트워크 장비의 사용, 내부 위험과 관련한 위험의 종류 및 그 행위분석, 그리고 알려지지 않은 위험의 존재여부 등이 네트워크 관리자나 보안관리자를 위해서 사전에 인지될 수 있도록 해야 한다고 덧붙였다. “특히 매체제어 통제는 공공기관의 보안 USB 필수 사용 정책과 맞물려서 필요한 사항이며 보안USB 이외에 비보안 USB의 사용에 대한 대비책도 같이 강구되어야 한다”고 설명했다.

NAC의 보안기능 영역은 크게 두 가지 분야로 나눌 수 있다. 단말기가 네트워크에 연결되기 전에 사용자 인증과 패치 등 기관에서 요구하는 보안정책을 준수하고 있는지 점검하는 영역(Pre-connect)과 연결 이후의 이상 징후 탐지와 비정상 행위를 감시하는 영역(Post-connect)이다.

현재 대부분의 NAC 솔루션들은 Pre-connect 부분에 집중되어 다양한 기능을 제공하고 있는 반면 상대적으로 Post-connect 부분과 관련되어 제공되는 기능들은 제한적인 범위에서 제공될 뿐이다. 그러나 실제로 보안패치가 설치되어 있고 바이러스 백신 엔진도 최신으로 업데이트되어 있는 등 요구되는 보안정책을 준수하고 있음에도 악성 트래픽이 유발되어 내부망 가용성을 침해하는 경우가 발생되기도 한다.

한 과장은 “NAC를 도입하려는 기업에서는 위와 같은 내부망 Zero-day 공격 위협을 탐지하고 제거할 할 수 있는 도구로도 NAC를 활용하고자 하는 기대치가 높은데 반해 현재 NAC 솔루션들이 제공하는 내부망 악성트래픽 차단 부분의 기능은 제한적이다”며 “앞으로 NAC 기술들은 NBA(Network Behavior analysis) 등의 신규 보안 기술과 접목되어 내부 네트워크내의 행위 분석을 통해 악성 트래픽을 탐지하고 그 근원지를 찾아 제거함으로써 내부 네트워크 가용성 확보라는 궁극적 목표를 달성할 수 있도록 지속적인 발전을 해나갈 것”으로 전망했다.     

한편 트렌드마이크로의 박 지사장은 “NAC는 앞으로 지능형 자기방어 네트워크의 핵심이 될 중요한 기술이라 할 수 있다”며 “이미 국내에서도 NAC지원 네트워크/보안 솔루션이 많이 발표되고 있지만 중요한 것은 NAC를 통해 얻고자 하는 목적을 분명히 하는 것”이라고 말했다.

좋은 기술 이상으로 중요한 것은 고객의 기술에 대한 충분한 이해다. 좋은 기술이 그냥 기술로 끝나지 않기 위해선 업체와 고객이 공동으로 그 기술의 가장 이상적인 도입모델을 고민해 나가야만 한다. NAC 또한 예외가 아니어서 성공적인 도입모델을 위해선 현재의 네트워크 인프라와 보안 현안들을 도입이전에 꼼꼼히 분석해 보는 것이 무엇보다 중요하다.

인포메틱스 리서치 결과 향후 예상되는 NAC 시장 구분

● 네트워크 통합 NAC 적용 장치 : 일반적으로 802.1x 인증을 지원하고 NAC 클라이언트 및 정책/인증 서버와 통신을 주고받은 다음 NAC 아키텍처 내 정책 적용 지점의 역할을 수행하는 스위치, 라우터 및 여타 보안 장비

● NAC 적용 어플라이언스 : NAC 아키텍처를 위한 정책 적용 지점의 역할을 수행하는 독립형 네트워크 장치. 또한 일부 NAC 적용 어플라이언스도 방화벽, IDS/IPS 및 AV 기능을 수행. 이들 어플라이언스는 전용 NAC 아키텍처에서는 물론, 타 벤더의 아키텍처, TCG의 TNC와 같은 제안 표준 및 규격과도 호환됨

● NAC 적용을 위한 SSL VPN : 내부 및 원격 액세스 사용자들이 인증을 받고 무결성 검사를 수행한 다음 인증 및 무결성 검사 결과를 기초로 자원에 대한 액세스가 허용 또는 거부되는 NAC 유형의 아키텍처를 위한 정책 적용 지점으로 사용되는 SSL VPN 게이트웨이 등

[김태형 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>