| 네트워크에 접속하는 접속단말의 보안성 강제화 가능 | 2010.04.13 |
시장의 한계 극복하고 네트워크 통합 보안 솔루션으로 영역 확대 NAC(Network Access Control : 네트워크 접근제어) 솔루션은 네트워크에 접속하는 접속단말의 보안성을 강제화 할 수 있는 보안 인프라로 허가되지 않거나 웜·바이러스 등 악성코드에 감염된 PC 또는 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하며 적용된 보안 수준에 대한 컴플라이언스(Compliance)를 제공하는 내부망 보안 제품이다. 특히 보안 컴플라이언스 제공은 도입기관과 글로벌 표준 수준을 비교할 수 있는 중요한 도구로 평가 받고 있다. 이에 최근 네트워크 위협통제 솔루션으로 급속히 각광받고 있는 NAC 솔루션에 대해 네트워크 보안과 NAC, NAC 구축, NAC New Trend 등에 살펴보겠다. 인터넷과 네트워크가 발달함에 따라 많은 네트워크 보안 제품들이 등장했다. 가장 기본적인 네트워크 보안제품인 방화벽(Firewall)을 시작으로 IDS(Intrusion Detection System : 침입탐지시스템), IPS(Intrusion Prevention System : 침입방지시스템), TMS(Threat Management System : 위협관리시스템)뿐만 아니라 최근에는 한 차원 더 진화하여 확장된 UTM(Unified Threat Management : 통합위협관리), XTM(eXtensible Threat Management : 확장형위협관리)에 이르기까지 다양한 제품들로 네트워크 보안시스템을 구축할 수 있으며 네트워크 발전 환경에 맞추어 제품들의 기능도 빠르게 변화하고 있다.
여기에 무선 네트워크 인프라를 위해 WIPS(Wireless IPS : 무선침입방지), 무선 인증 시스템 등 무선 보안시스템도 지속적으로 보완되어 개선되어 지고 있다. 하지만 대부분의 유·무선 네트워크 보안 시스템들의 기능과 보안 Issue는 네트워크 외부로부터 해킹 등을 막기 위한 보안 목적을 가지고 있으며 현재 기가(Giga)급 이상의 네트워크 환경에서 내부 사용자단의 보안 요구사항에 완전한 해결 방안을 가지고 있지 않다. 특히 Worm, Virus로 인한 Internal Attack 등 내부 End-Point 관리에서는 많은 문제점들을 드러내고 있다.
NAC의 등장 및 필요성 지난 2003년 발생한 1.25대란이 발생한 이후로 내부 End-Point 보안의 필요성이 대두되었고 NAC(Network Access Control : 네트워크 접근제어)라는 새로운 네트워크 보안제품이 탄생하게 되었다. Gartner, IDC 등 전문기관에서 대규모 시장을 예측하였고 매년 꾸준한 성장으로 시장을 확대해 나가고 있다. 그림 1은 Gartner에서 정보보안 기술에 대한 성숙도와 도입시기의 현황을 표시한 하이프사이클 그래프이다.
네트워크접근제어(NAC) 솔루션은 네트워크에 접속하는 접속단말의 보안성을 강제화 할 수 있는 보안 인프라로 허가되지 않거나 웜/바이러스 등 악성코드에 감염된 PC 또는 노트북, 모바일 단말기 등이 회사 네트워크에 접속되는 것을 원천적으로 차단해 시스템 전체를 보호하며 적용된 보안 수준에 대한 컴플라이언스(Compliance)를 제공하는 내부망 보안 제품이다. 특히 보안 컴플라이언스 제공은 도입기관과 글로벌 표준 수준을 비교할 수 있는 중요한 도구로 평가 받고 있다.
NAC은 태동한지 6년의 시간이 흐르면서 제품의 구현 복잡성, 기존 솔루션과의 중복 문제 및 상대적 고비용 투자, 투자 대비 효과 문제(실효성), 설치의 복잡성, 표준화 난항, 구축기간 과다 등의 시장 한계 상황을 차츰 차츰 극복해 가고 있으며 네트워크 통합 보안 솔루션으로서 영역을 확대해 나가고 있다.
NAC 제품 분류 NAC 솔루션은 기능부분에서 언급하겠지만 장치 인증, 암호화, AD/Radius 인증, 격리/치료, 가상 방화벽, 행위기반 IPS, 자산관리, 컴플라이언스 제공 등 기술들을 포함하고 있다. 표준과 관련해서는 SNMP Community, IEEE 802.1x, Wi-Fi WPA/WPA2, EAP, Switch/Router Protocol 수용 등 많은 표준을 충족시켜야 할 요건들을 가지고 있다.
전 세계적으로 10여개 이상의 NAC 전문 업체들이 있으며 국내에서도 3~4개의 NAC 전문업체들이 제품을 개발하고 있다. NAC은 제품의 구현형태, Network Infra 구성형태, 제품간 융합에 따라 다양한 Type의 제품들이 출시되고 있으며 구체적인 분류는 아래와 같다.
여기에서는 모든 제품군들을 설명하기 보다는 NAC 제품에서 가장 중요하게 분류되는 Client 유무에 의한 분류와 Network 구성상 Out-of-Band/In-Line 방식에 의한 분류를 소개하고자 한다. 현재 시장에서 가장 많이 활용되고 있고 NAC 제품 분류시 가장 많이 활용되는 방식이기 때문이다.
Client/Clientless 방식을 다른 표현으로 하자면 Host-Based-NAC/Network-Based-NAC이다. 보안기능 강제화를 어느 포인트에서 하느냐를 Enforcement라고 하는데 최종 단말장치에서 수행하느냐 아니면 Network 장비에서 수행하느냐로 구분 할 수 있겠다. Client 기반은 좀 더 강력한 보안강제화를 수행할 수 있고 NAC 구성에 있어서 복잡하고 관리포인트, HelpDesk 비용이 많아진다는 특성이 있으며 Clientless 기반은 NAC 구성이 간단하며 관리가 쉬우며 Flexible한 정책구성이 가능하다.
Out-of-Band 방식과 In-Line 방식은 네트워크 구성에서의 차이점을 가지고 있다. Out of Band NAC의 경우는 네트워크의 구성 변경이 없이 스위치의 일반 Port 혹은 Mirroring Port를 통해서 NAC 제품을 연결하는 구성으로서 장비 장애시 네트워크에 큰 영향을 주지 않는다.
주로 백본 스위치에 NAC 장비를 연결하여 구성하는 방식이 일반적이며 In-Line에 비해 bypass할 수 있는 단점을 가지고 있다. 반면에 In-Line 방식은 네트워크 Access스위치와 Distribution Layer 사이에 라인 절췌를 통해 배치하며 Traffic Flow에 위치하기 때문에 장비의 고속 패킷 처리 능력이 사전에 검토가 되어야 한다. 네트워크 연결 라인 선상에 위치하므로 장비 장애시 네트워크 전체를 무력화 시킬 수 있는 단점을 가지고 있다.
NAC 주요 기능 NAC 솔루션은 방화벽이나 UTM 등 외부망 보호제품과 달리 내부망을 보호하는데 중점적인 기능을 두고 있다. 단말장비의 취약성은 네트워크 전체에 큰 영향을 줄 수 있다. 기본적으로 단말장치 보안으로 장치/사용자 인증 및 PC 무결성을 통한 End-Point 보안, Worm/Virus 유해 트래픽 차단을 통한 Zero-Day 공격 차단, 역할에 기반한 네트워크 접근제어, 백신 및 OS 패치 관리, USB기반 저장 매체 통제, 보안정책 위반에 대한 격리 및 차단, 취약성 평가 진단, Virtual Firewall(가상방화벽), Behavior based IPS(행위기반침입탐지및차단), Asset Portal(자산관리) 뿐만 아니라 최근에는 보안 컴플라이언스를 적용함으로써 정보보호 관리체계 통제 기능까지 제공하고 있다.
특히 보안 컴플라이언스는 NAC 도입기관의 보안수준을 국제적인 수준으로 개선할 수 있는 다양한 관리체계(PCI DSS, ISO 27001, SOX 등)를 제공함으로써 보안통제요건과 감사요건을 동시에 적용할 수 있다는 큰 장점을 가지고 있다. 그림 4는 NAC이 제공하는 주요 기능을 요약한 자료이다.
NAC에 대한 기초 개념자료는 여기까지 정리하며 다음 호에서는 NAC 구축 시 점검항목 및 구축 절자 등에 대해 정리해보겠다.
<글 : 박영철 포어사이트 Director(pyc@foresight.co.kr)> [월간 정보보호21c 통권 제111호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
또한 국내에서도 한국인터넷진흥원의 2008년 보안시장 동향보고서(그림 2)에 따르면 연평균 15% 이상의 성장율을 보인다고 예측하고 있다. 
