• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

NAC, 엔드포인트 보호 솔루션과 통합해 활용하면 더 큰 효과 2009.11.26

NAC 시스템은 모든 기업 네트워크 필수 요소

NAC(Network Access Control, 네트워크접근제어)는 엔드포인트 디바이스가 네트워크에 접속하기 전에 해당 디바이스의 보안 상태를 점검하고 접속한 이후에도 지속적으로 보안 상태를 확인해주는 기술이다. 컴플라이언스를 준수하지 않았을 경우에는 NAC 시스템이 디바이스를 자동적으로 컴플라이언스 준수 상태로 만들며 이 작업이 불가능할 경우 네트워크 접근을 원천적으로 차단한다. 많은 기업들이 이러한 NAC 시스템의 필요성과 그 혜택을 이해하고 있지만 이를 효과적으로 활용하기 위해서는 먼저 몇 가지 고려해야 할 점이 있다.


IT 네트워크 환경이 데스크톱 및 서버를 넘어 노트북, PDA, 스마트폰에서부터 게스트 컴퓨터까지 그 범위가 확대됨에 따라 기업들은 내부 정보자원에 대한 접근을 어떻게 관리해야 할지 고심하고 있다. 본사, 원격 사무실 직원들뿐 아니라 임시 계약직원, 고객, 벤더, 파트너 등 다양한 사람들이 네트워크를 통해 사내 정보에 접근할 수 있기 때문이다.

 

그 어느 때보다 모바일 컴퓨팅, 원격 접속/근무, 무선 네트워크 등 다양한 네트워킹 기술이 활발하게 사용되고 있는 오늘날의 IT 환경은 기업 및 직원들에게 편리한 근무 환경을 제공하고 있지만 한편으로는 기업의 비즈니스를 위협하는 수단으로 악용될 여지 또한 높은 게 사실이다.

 

기업 입장에서는 모든 엔드포인트 디바이스들을 IT 환경의 통제권 내에 둘 수 없기 때문에 사용자들이 기업 보안 정책을 준수하고 있는지를 일일이 확인할 방법이 없고 기업 내부의 사용자 시스템이 어떤 상태인지 실시간으로 파악하는 것도 쉽지 않다. 더욱이 컴플라이언스를 준수하지 않은 디바이스가 불러올 수 있는 문제들도 고려해야 한다.

 

만약 보호되지 않은 컴플라이언스 미준수 디바이스가 기업 네트워크에 접속할 경우, 기업은 주요 정보 노출, 고비용의 네트워크 다운타임, 규제 미준수로 인한 벌금 징수 등 이로 인한 다양한 위험에 노출될 수 있다. 보안 및 컴플라이언스 거버넌스 정책을 마련했다고 하더라도 이는 항상 모든 디바이스에서 강제적으로 준수돼야만 그 의미가 있는 것이다.

 

따라서 기업들은 단순히 각 엔드포인트를 위한 보안 솔루션을 도입하는 것만으로는 부족하고 규제 준수를 충족시키면서 보안 및 네트워크 가용성을 확보할 수 있는 툴을 필요로 한다. 또한 각 엔드포인트에 도입한 솔루션이 제 역할을 하고 있는지 매니지드 및 언매니지드 디바이스에 모두 보안 정책이 제대로 강제되고 있는지를 네트워크에 접속하기 전에 파악할 필요가 있다.

 

NAC는 이처럼 엔드포인트 디바이스가 네트워크에 접속하기 전에 해당 디바이스의 보안 상태를 점검하고 접속한 이후에도 지속적으로 보안 상태를 확인해주는 기술이다.

 

컴플라이언스를 준수하지 않았을 경우에는 NAC 시스템이 디바이스를 자동적으로 컴플라이언스 준수 상태로 만들며 이 작업이 불가능할 경우 네트워크 접근을 원천적으로 차단한다.

 

또한 접속 중이라도 컴플라이언스 준수 상태가 바뀔 경우, 네트워크 접근 권한 역시 이에 맞춰 변경된다. 대부분의 NAC 시스템은 정책관리, 엔드포인트 평가, 그리고 네트워크 강제(Enforcement)라는 세 가지의 핵심 구성 요소로 구성되어 있으며 이 구성 요소들은 하나의 솔루션으로 함께 작동하고 대체적으로 외부 요소와는 독립적으로 운용된다.

 

많은 기업들이 NAC 시스템의 필요성과 그 혜택을 이해하고 있지만 이를 효과적으로 활용하기 위해서는 먼저 몇 가지 고려해야 할 점이 있다.

 

엔드포인트 보안과의 통합

지난 몇 년간 많은 기업들이 NAC 시스템을 성공적으로 도입해 자사의 LAN, 무선 네트워크나 원격 접속 서비스에 연결된 호스트 상에서 보안 정책이나 소프트웨어 설치를 실행하는 등 효과적으로 사용하고 있다. 또한 광범위한 네트워크 장비, 접근 방법 및 프로토콜 지원을 통해 특정 업체를 구속하지 않아 ROI도 극대화할 수 있었다.

 

그러나 이 NAC 시스템은 안티바이러스, 방화벽, 침입 탐지/보호 등을 포함한 엔드포인트 보호 솔루션과 함께 통합해 활용할 경우 더 큰 효과를 볼 수 있다.

엔드포인트 보호 솔루션과의 통합으로 기업은 규제 준수를 보장할 수 있을 뿐만 아니라 악성 코드의 확산을 최소화하고 컴플라이언스 미준수 엔드포인트를 치료한다. 더불어 네트워크 가용성을 높이고 지속적인 보안을 위해 네트워크를 모니터링 할 수 있게 된다.

 

●연결성(Connectivity)

NAC 시스템을 기업의 네트워크 내에서 효과적으로 사용하기 위해서는 우선적으로 이 시스템의 연결 형태나 기업 보안 수준에 따라 네트워크 전반에서 무리 없이 실행될 수 있는 환경을 조성해야 한다.

간단한 예로 인프라 스트럭처의 보안 상태가 최신일 경우에 엔드 유저는 LAN 및 무선 네트워크 연결을 위해 802.1x 표준 기반 네트워크접근제어 방식을 선택해야 한다. 스위치가 최신형이 아닐 경우에는 다양한 종류의 사용자 및 접근 포인트를 포용하기 위해 다른 옵션들을 마련할 필요가 있다. 

 

유연성(Flexibility)

기업 내에서 부서별 또는 개인별 담당하는 업무에 따라 각각 다른 보안 툴을 필요로 하게 된다. 기업은 이러한 모든 사용자 그룹과 환경을 포괄하는 표준 기반 보호를 구현해 NAC 시스템을 구축해야 한다. 그리고 기업이 추가 자원이나 관리 인력 없이도 표준을 생성하고 전체 기업 내부 사용자에 대한 관리 작업을 수행할 수 있어야 하는 것 역시 중요하게 고려해 두어야 한다. 

 

오픈 표준(Open Standard)

기업은 개별 솔루션 제공자에게 얽매이거나 하나의 오류로 인해 전체 시스템이 마비되는 가능성에 대해 고려해야 한다. 단일 벤더의 솔루션만을 사용하는 기업은 한 번 놓친 침입 행위를 다시 잡아낼 수 있는 안전망이 없어 공격에 취약하다. 이를 방지하기 위해 기업은 오픈 표준 솔루션과 보안에 다계층적 접근 방식을 도입하고 핵심 인프라 스트럭처의 업그레이드로 인한 비용이나 도입 부담 없이 NAC 시스템 도입 혜택을 누릴 수 있다.

 

균형(Balance)

효과적인 NAC 시스템에서는 모든 네트워크 정보 표준이 어떠한 예외도 없이 실행되어야 하기 때문에 보안과 사용자 생산성 사이의 균형을 잡는 것이 매우 중요한 과제라고 할 수 있다. 파트너, 컨설턴트, 고객 등을 포함한 사용자 별 특정 요구 역시 반영돼야 하고 또한 보안 표준을 고려해 적절하게 균형을 유지해야 한다.

 

교정(Remediation)

우수한 NAC 시스템은 신속하게 자동으로 컴플라이언스 미준수 기기를 신뢰할 수 있는 수준으로 복구해 기업 네트워크에 접근이 허용되기 전에 컴플라이언스가 100% 준수되고 있음을 보장해야 한다. 컴플라이언스를 준수하지 않은 기기를 자동으로 교정하는 기능은 사용자의 생산성을 유지하고 지원 팀의 업무 증가나 IT 부서의 개입을 최소화하는데 필수적인 요소 중 하나다.

 

NAC 시스템, 기업 보안의 필수

NAC 시스템은 모든 기업 네트워크의 필수적인 요소이다. 효과적으로 도입될 경우 NAC 시스템은 기업이 네트워크 정보 보안 표준을 준수하고 사용자, 애플리케이션 및 기기가 네트워크에서 어떻게 행동하는지에 대한 제어 능력을 확보하고 컴플라이언스 미준수 기기를 빠르게 교정해 네트워크 무결성을 지속적으로 보장할 수 있도록 한다. 

 

따라서 NAC 시스템을 사용하는 기업들은 엔드유저, 엔드포인트가 기업 네트워크에 접근할 때 컴플라이언스를 준수하고 있다는 것을 확신할 수 있고 이를 통해 기업은 생산성을 희생시키지 않고도 정보의 무결성을 보장할 수 있다. 따라서 기업의 보안은 오히려 ‘아무것도 하지 않는 것’보다도 더 단순하고 편리해지는 것이다.

 

특히 엔드포인트 보호 시스템과 통합해 사용하게 되면 네트워크접근제어 툴은 악성 코드의 확산을 막는 것은 물론 매니지드 및 언매니지드 엔드포인트에 대한 제어 능력을 높여 기업의 리스크 노출 수준을 최소화할 수 있다. 더욱 향상된 네트워크 가용성, 지속적이고 유연한 서비스를 구현하고 실시간 엔드포인트 컴플라이언스 데이터를 통해 기업 컴플라이언스 준수 내용을 증명할 수도 있게 한다. 또한 기업은 네트워크 접근제어 시스템으로 인해 엔터프라이즈 급의 중앙 집중화된 관리 아키텍처를 이용, IT 총 소유비용을 최소화할 수 있다.

 

NAC 시스템을 이용하면 기업들은 보안 및 컴플라이언스 거버넌스 정책이 엔드포인트가 네트워크 접근을 시도한 바로 그 시점부터 지속적으로 실행되고 있다는 신뢰를 가질 수 있다. 이는 기업의 핵심 정보나 지적 자산을 보호해야 하는 IT 부서의 과제를 해결하며 규제 미준수로 인한 벌금이나 형사적 책임으로부터 자유로워지는 것은 물론 브랜드 가치를 장기적으로 지킬 수 있도록 해준다.

<글 : 월간 정보보호 21c 편집팀(is21@boannews.com)>


[월간 정보보호21c 통권 제112호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>