보안 솔루션의 역할보다는 단말단의 보안 인프라 강화에 중점

“IT기술 도입에도 트렌드가 있다.” 믿으십니까? NAC(Network Access Control)도 방화벽, IDS처럼 기업에 반드시 도입해야 하는 IT보안시스템 도입의 최신 트렌드이다. 하지만 패션 트렌드가 ‘스키니 진’이라고 해서 외근을 주로 하는 영업사원이 ‘스키니 진’을 입고 영업을 나갈 수 없듯이 NAC이란 패션 분석 없이 기업에 무조건 도입하여 적용할 수는 없다. 최신 패션 의상을 입을 때 내 체형에는 어울리는지, 머리 스타일, 얼굴의 밝기, 함께 입고 나갈 의상, 어울리는 악세서리, 입고 나가야 할 장소, 조명 등, 여러 가지 상황을 고려해야 베스트 드레서가 나오듯이 본고에는 NAC을 기업에 도입할 때 어떤 것을 고려해야 자사에 꼭 맞는 NAC를 선택할 수 있는지 하나씩 짚어 보도록 하겠다.

최적 NAC 시스템 선정 요소

목적의 원활한 달성을 위해 NAC 시스템 제품을 구분 짓는 요소에는 어떤 것들이 있으며 항목 하나하나에 어떠한 의미가 숨어있는지 알아보도록 하겠다. 이러한 노력은 기업 담당자들이 항목 당 배점과 가산점의 기준을 세우고 그것과 연결된 제품을 선정하는데 크게 도움이 되리라 여겨지기 때문이다.

여러분 기업에 어떠한 보안문제가 있습니까? 표 1의 구축 동기에 해당하는 문제가 있습니까?(출처: ”Study of the Information Security(Wave7)”, TheInfoPro, 2006.08.02) 그렇다면 NAC을 도입해야 한다. 국내 최근 RFP를 분석한 결과를 첨언하자면 표 1의 주요 동기 이외에도 PC 해킹 대응 기능(K기관 등), 내부자료 유출 방지(S시청 등 다수 공공기관), IP관리 등 자산관리 기능 등이 기술 요청 사항으로서 구축 동기에 일부 포함이 되어 있었다.

다음은 구축 동기에 따른 NAC 시스템 접근 방식을 정할 차례이다. 필자와 전문가들은 NAC 시스템에 대해서는 IDP 보안 시스템 같은 단위 보안 솔루션으로서의 역할보다는 단말단의 보안인프라를 강화하는데 더 무게를 두고 이야기를 한다. 인증 체계(무선 통신 구간의 암호 체계 포함), 정책 위배 단말 통제체계 및 치료 후 자동 네트워크 복원 프로세스 등 기존 단위 보안 솔루션들로는 커버하지 못하는 영역, 즉 관리적인 기술 보안 영역(백신 미설치, 약한 패스워드 사용 등)까지 커버할 수 있는 인프라적인 또 다른 무언가에 대한 필요성이 커졌기 때문이다.

‘기술 연원’, ‘통제 흐름’, ‘기반 기술’, ‘세부 기술’ 항목은 NAC 시스템 선정 요소로서의 의미는 충분하지만 비중은 다른 항목에 비해 적을 듯 하다. 이제부터는 ‘주요 구축 포인트’, ‘구축 모델’ 등에 대하여 숨어있는 기술적 내용에 대해 알아보도록 하겠다.

주요 구축 포인트

NAC를 구현함에 있어 무선과 IEEE802.1x를 고려하지 않는다면 구현 목표의 반밖에 구현하지 못한다고 표현하고 싶다. 이는 배짱이가 곧 닥쳐올 겨울을 무시하고 여름에 노는 것과 다르지 않다. 무선에서의 NAC는 일부 벤더사에서 표현하듯 “Web 인증을 무선과 유선에 상관없이 구현하고 있다”와는 차원이 다른 이야기다.

layer2 레벨에서 사용자 인증을 수행하고 WPA2 표준 준수(AES 암호화)로 WEP키 암호화 크랙에 대비하지 않고서 무선 사용자 인증을 지원한다고 보기 어렵기 때문이다. 참고로 IEEE802.1x는 유무선을 구별하지 않는 기술이며 2004년도 이후의 대다수 벤더의 OS, 네트워크 장비 등에서 이미 준수해오고 있는 네트워크 표준 기술이다.

단말기에 기 설치되어 있는 보안 솔루션 클라이언트와 인증 클라이언트 통제 및 연동은 NAC 구현의 또 다른 절반이다. NAC는 앞서 언급한대로 단말 보안인프라 강화 측면으로 접근해야 하기 때문에 기존의 인프라에 대한 투자보호 및 통제/연동을 수반해야 한다. 이 때문에 NAC 도입 RFP에 ‘기 구축 시스템 통제/연동 부분을 위한 커스터마이징’이 항상 존재하는 것이다.

Static IP 할당 환경의 NAC 구축이라면 모든 벤더에서 지원하지만 IP관리 툴 또는 DHCP 사용 환경이라면 한 가지를 더 봐야 한다. 사용자 ID 기반으로 IP를 할당할 수 있는 표준확장 DHCP 서버를 NAC 제품이 포함하는지 확인이 필요하다. 이를 통하여 IP 할당 관리의 편의성 및 보안 감사 추적성을 확보할 수 있기 때문이다.

구축 모델

국내에서 NAC 제품으로 CC인증을 획득한 제품 중 Agent-less 모델은 없다. Agent 모델이 설치와 관리상 부담이 존재한다는 상식은 IT실무를 경험해 보았던 사람이면 누구나 알고 있지만 또한 가장 많은 제품들이 선호하는 방식이라는 것도 부정할 수 없는 사실이다.

그만큼 Agent를 설치하여 확보할 수 밖에 없는 많은 이점을 포기할 수 없다는 반증이겠다. 심지어 외산 Agent-less 제품 중에는 단말에 설치되어 있는 바이러스 백신 연동을 위해서 API를 설치해야 한다고 조심스럽게 표현하는 제품도 있을 정도이다.

그렇다면 해당 부문에서의 고려사항은 보안정책(단말 무결성 정책)의 질과 양이 되어야 한다. 기 보안시스템으로 통제가 어려웠던 공중 무선망(Netspot, Wibro, HSDPA)을 이용한 자료유출 방지의 지원여부, 단말 발생 트래픽의 통제 방법 등 악성코드 대응 방안, 제공되는 단말 보안정책 개수 등이 배점을 할 수 있는 항목일 것이다.

In-line(in-band)과 OoB(port mirr oring, ARP 조작기술) 구축 모델의 이슈는 네트워크에 영향을 주는 정도로 점수를 매길 수 있겠다. 하지만 여기서 주의해야 할 점은 물리적인 측면에서의 영향뿐만 아니라 논리적으로 숨어있는 측면도 고려해야 한다는 것이다.

각 기술의 한계성 및 보안성(NAC 통제 우회 경로 존재 여부) 측면, SNMP 및 스크립팅을 이용하여 switch 설정 변경 시, 이에 따른 단말 IP 주소 변경 등 네트워크 접속 환경이 바뀜으로서의 장애/관리 포인트 증가 여부 등이 그것이다. 단순히 눈에 보이는 케이블의 변화뿐만 아니라 구축 모델 기술 깊숙한 부문까지 고려해야 함을 잊지 말자.

보안장비의 구축모델 측면의 이슈는 보안성 측면에서 다루어져야 함에도 일반적으로는 네트워크 운영팀과 보안팀의 헤게모니 싸움 측면으로 나타나는 경우가 많다.

즉 네트워크 운영팀에서 NAC를 주도하는 경우에는 보안성 측면 보다는 조금이라도 시스템 구축 측면이나 운영적인 측면에서 손이 덜 가는 편의성 및 네트워크 환경에 대한 안정성 추구로 흐르는 경우가 많아 보안성 측면을 최우선적으로 고려하는 보안팀과는 자연히 이슈가 많아질 수 밖에 없기 때문이다. 기업 최고 보안 책임자(CSO)의 역할이 중요한 대목이라 하겠다.

진화하는 패션 NAC

이렇게 본고를 마치다 보니 해결책 제시보다는 생각할 수 있는 폭만 넓혀놓은 것 같아 아쉬움이 남는다. 한가지 마치는 말로 더 첨언할 것은 NAC는 아직 진화하는 트렌디 패션이라는 것이다. NAC의 단말단 보안 인프라 요소에 관리적인 요소를 더하는 것이 2009년의 트렌드였다면 2010년부터는 Green IT(PC 전원 관리 분야 등) 접목 등이 본격적으로 타 IT 솔루션들과 보조를 맞추어 진행이 될 것으로 예상된다.

이처럼 진화하는 NAC 제품에 대한 선정은 영업사원의 상식 수준의 말 한마디가 아닌, 기업의 필요성에 기인한 명확한 평가 요소에 대한 정의와 그 평가 요소에 대한 깊이 있는 기술적 이해 그리고 해당 기술의 구현 성숙 정도를 명확히 파악할 수 있는 평가 도구(BMT, 공정한 기능 비교표 등) 등이 기반이 되어야 옥석을 가릴 수 있음을 기억하길 바란다.

<글 : 장성일 유넷시스템 부장(sijang7@unet.kr)>

[월간 정보보호21c 통권 제112호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>