| [특집]강력한 네트워크 보안 접근통제 구현ㆍ내부망 보안 강화 | 2009.12.06 |
포어사이트 _ 현대삼호중공업 CounterACT 구축 사례
효율적인 보안관리·운영으로 보안관리 업무량 절감에 대한 ROI 향상
현대삼호중공업은 대형 조선소라는 산업 특성상 광범위한 지역에 다양한 형태의 IP Device들이 운영되고 있다. 유ㆍ무선 네트워크 장비에서부터 서버, 데스크톱, 노트북, 네트워크 프린터, 산업용 로봇 컨트롤러, 보안감시 장비 등이 내부 네트워크 인프라에 연결되어 수많은 내부 직원과 협업을 위해 상주하는 협력사 직원들과 함께 공존하고 있다.
정보보안 책임자 입장에서는 이러한 복잡한 네트워크 환경으로 인해 네트워크에 연결되는 End-Point 장비의 보안정책 미 준수와 이에 대한 실시간 자동통제 관리 부재, 치료되지 않은 악성 웜이나 바이러스 감염으로 인한 비정상 트래픽 유발과 네트워크 오염, 확인되지 않는 불법장비 연결로 인한 내부망 보안위협 등이 항상 골칫거리였다. 이러한 문제점들을 해결해 줄 보안 솔루션을 검토하던 중 해외에서는 이미 오래 전부터 시장이 형성되어 다양한 고객층을 확보하고 있는 네트워크접근제어(NAC) 솔루션이 가장 최적의 안성맞춤 해결책이라는 결론을 내게 되었다.
그런데 국내에서는 뚜렷한 고객층이 형성되지 않은 채 시스템의 방식과 규격이 표준화되어 있지 않고 구축방식에 있어서 Mirroring 방식과 In-Line 방식, 정책관리/적용은 Client 방식과 Clientless 방식이 혼재하고 있었다. 물론 각 방식 별로 장ㆍ단점이 있겠지만 네트워크 구성에 아무런 변경작업이 없이 간단하게 설치가 가능한 미러링 방식에, 사용자의 PC에도 Client 설치가 필요 없는 Clientless 방식의 NAC 시스템을 구축하는 것이 보안성 대비 운영효율성 측면에서 가장 최적이라는 판단을 가지고 시장 조사와 기술검토를 시작했다.
결과 아직은 국내에는 많이 알려져 있지는 않지만 해외에서는 미국방성을 비롯하여 글로벌 뱅크기업인 HSBC 은행, 휴렛패커드 본사/지점망, 마이크로 프로세서칩 제조 기업으로 유명한 AMD사, 그리고 IT업계의 글로벌 기업들인 NEC, 파나소닉 등, 포춘지 500대 기업에 포함되는 굵직한 레퍼런스를 보유하고 있는 Clientless 기반의 CounterACT 솔루션을 국내 총판업체인 포어사이트를 통해 약 3개월에 걸쳐 BMT 기간을 가질 수 있었으며 매우 흡족한 결과를 얻을 수 있었다. 또한 2007년 해외 NetworksTimes지에 실린 NAC시스템 벤치마크 테스트 결과에서도 Clientless 방식의 NAC 시스템 중 5점 만점에 전체 4.38점을 획득하여 가장 높은 최고점수를 받은 기록과 특히 평가항목 중에서 ‘보안정책 실행의 효율성’부분에서 5점 만점을 받았다는 점은 매우 신뢰할만한 보안 솔루션이라는 확신을 가질 수 있었다.
별도 추가 장비 없이 간단하게 구축 CounterACT는 다른 NAC 장비와는 달리 네트워크 백본 장비에 Mirroring 형식으로 간단하게 설치 구성이 가능하며 구축 편의성과 관리 효율성 측면에서도 매우 우수한 특징을 가지고 있다. 현대삼호중공업도 각 내부 네트워크 코어 스위치에 CounterACT를 구축함으로써 별도의 추가 장비 설치 없이 구축을 완료했다. 총 4대의 CounterACT와 통합관리 장비인 Enterprise Manager 1대로서 구축을 완료했다. 일반적으로 네트워크에 연결된 End-Point Device에 대해 보안 관리자가 고민하는 보안관리 요소들은
위와 같은 요소들이 대부분의 조직의 정보보안 관리자가 End-Point 보안관리 요소로서 가장 고민하는 핵심 관리포인트 일 것이다.
CounterACT NAC 시스템은 허가받지 않은 사용자를 통제하거나 네트워크상에서 악성 트래픽을 유발하는 장비를 실시간으로 차단하는 NAC 고유의 기능을 훌륭하게 수행하는 것은 물론이고 End-Point에서 취할 수 있는 약 400여개의 Condition Category들(레지스트리 값, 프로세스, Net-Bios, MAC값, IP정보, SNMP Table, VLAN Group, 특정 파일활성화, 폴더명, 로그인ID, NIC 벤더, 특정포트 활성화, 특정 세션연결, OS Finger Printing 정보 등)을 활용하여 운영자가 매우 융통성 있고 유기적으로 보안정책들을 생성하여 실행시킬 수 있도록 함으로써 위와 같은 End-Point 관리의 보안 고민거리들을 시원스럽게 해결해 주었다.
예를 들면 관리자는 OS가 윈도우인 장비들만 대상으로 하여 Anti-Virus 프로그램을 비롯하여 각종 보안패치 프로그램 설치가 올바르게 되었는지 수시로 자동 점검하여 관리자가 미리 정의한 메시지를 띄우거나 담당자에게 연락을 취하여 조치받을 수 있도록 할 수 있으며 상황에 따라서는 네트워크에서 특정 서비스를 차단하거나 관련 서버를 연동하여 업데이트를 유도하거나 아니면 예외처리를 자유롭게 지정할 수도 있다.
여기에 OS Finger Printing 정보를 활용하여 Windows의 상세한 버전 별로 혹은 장비 종류별로 네트워크상에서 항상 자동 분류하여 관리자가 현재 실시간으로 어떤 장비들이 어떤 IP를 가지고 네트워크에 연결되었는가를 실시간으로 확인 할 수도 있으며 이렇게 실시간 자동 분류된 데이터를 활용하여 2차적인 보안정책 적용이나 특정 메시지를 정해진 시간 간격으로 전달할 수도 있다.
그리고 네트워크를 비정상 트래픽으로 부터 보호하기 위한 정책으로 Anti-Virus 백신으로 치료되지 않은 악성코드로 인해 사용자의 PC에서 비정상적인 트래픽 패턴이 발견되면 CounterACT NAC 시스템은 즉시 ‘치료되지 않은 바이러스가 발견되었으니 HELP-DESK로 연락하여 다음 조치를 받으라’는 메시지를 띄우고 비정상 트래픽을 유발하는 포트를 차단한다.
윈도우 PC의 레지스트리 정보와 프로세스 감시기능 등을 스크립트 파일실행 기능과 같이 활용하면 CounterACT 솔루션은 매우 막강한 보안통제관리 권한을 관리자에게 부여해 줄 수도 있다. 예를 들면 특정 레지스트리 값에 대한 비교테이블 조건과 특정 프로세스 이름을 체크하여 조건 값에 부합되거나 일치하면 사용자의 PC에 메시지를 일정시간 간격으로 디스플레이 하는 것은 물론, 네트워크 연결을 중단시키거나 PC자체를 아예 Shutdown하는 것도 가능하다.
또한 현대삼호중공업에서 관심을 가졌던 것은 비교했던 NAC 제품군 중에서 유일하게 IT Compliance를 유연하게 구성하여 적용해 볼 수 있는 기능을 제공하고 있다는 것이었다. 당사의 보안관리 체계기준에 맞게 점검 요소를 구성하여 진단할 수 있는 부분은 보안관리자 입장에서는 또 하나의 보안관리자를 두는 것과 같은 효과를 낼 수 있었다.
효율적인 보안 관리와 운영에 효과적 조직 전체적인 차원에서 보안 기대효과를 분석해 보면 첫째, 허가되지 않은 불법 IP Device에 대한 신속하고 정확한 차단ㆍ통제 관리가 가능해짐으로써 내부망 보안에 대한 신뢰도가 크게 향상되었다.
둘째, 악성 웜이나 치료되지 않은 신종 바이러스 등으로 인해 발생되는 비정상 네트워크 트래픽을 즉각 감지하여 차단이 가능해짐으로써 내부망에 대한 안정성과 가용성이 향상되었다.
셋째, 사용자의 PC에 의무적으로 설치되어야 할 보안 패치나 기본적인 보안정책 의무 의행 규정(Windows Log-In Password 설정, 스크린세이버 가동, 공유폴더 사용정책 규정 등)을 강제화 할 수 있어 1년 365일 사용자 PC에 대한 자동화된 보안 감사가 가능해짐으로써 네트워크 보안관리에 대한 M/H가 감소되었을 뿐 아니라 IP 자산에 대한 보안관리 비용이 대폭 절감되었다는 점을 들 수 있다.
Counter ACT NAC시스템을 구축ㆍ운영함으로써 보안책임자 입장에서 가장 큰 변화 및 개선효과는 단일포인트에서 End-Point 장비와 네트워크 단에서의 보안이벤트를 통합하여 모니터링할 수 있고 신속하고 정확하게 통제조치가 가능해짐에 따라 모든 IP Device들에 대해 헬리콥터 뷰가 가능해졌다는 점이다.
솔루션 도입 전에는 보안정책 이행에 대해 의심이 가는 장비가 발견되거나 신고되면 HELP-DESK 요원이 해당 건물까지 차량 이동하여 일일이 IP를 확인한 후 해당 프로그램이 올바르게 설치되었는지 혹은 비정상 트래픽을 유발한 흔적이 있는지 등을 살펴본 후에야 다음 조치를 취하는데 비해 이제는 CounterACT NAC 시스템을 활용하여 매우 효율적인 감시와 조치를 할 수 있게 된 것이다.
또한 그 동안 보안담당자들에 의해서 보안관리 조치가 이루어졌던 부분을 사용자들 스스로 CounterACT의 안내 및 유도에 의해 스스로 관리할 수 있는 체계가 만들어졌다는 것이다. 이렇게 함으로써 회사 전반의 보안관리 업무량 절감에 대한 ROI가 향상되었다고 할 수 있다. <글 : 전성진 현대삼호중공업 정보보안관리자·과장(red4u@hshi.co.kr)> [월간 정보보호21c 통권 제112호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
현대삼호중공업은 포어사이트의 NAC솔루션인 ‘CounterACT’를 성공적으로 구축하고 강력한 네트워크 보안 접근통제를 구현해 내부망 보안 위협을 제거했다. 특히 현대삼호중공업은 비인가 장비의 네트워크 연결 통제관리로 내부망 신뢰도와 ZeroDay Worm 및 네트워크 유해트래픽 차단을 통한 망의 안정성을 향상시켰다. 또한 End-Point에 대한 접속권한 통제관리로 주요 서버 그룹의 보안성을 증대시켰고 보안 컴플라이언스를 통한 보안준수 이행상태의 지속적인 관리감독이 가능해졌다. 그리고 네트워크 연결된 모든 디바이스에 대한 실시간 자산분류/통제관리 기능이 가능해졌다.
그 
실제 회사에서 가동되고 있는 정책들을 자세히 살펴보면 내부 네트워크 연결이 허가되지 않은 비인가 장비가 네트워크에 연결되어 인터넷연결을 시도하면 사용자 PC의 화면에 ‘귀하는 허가 받지 않은 사용자이므로 아래 연락처로 연락하라’는 메시지를 띄우며 네트워크 연결이 종료된다. 그리고 관리자 콘솔에서는 실시간으로 허가 받지 않은 사용자 정책 란에 불법 네트워크 연결사용자가 연결한 장비의 IP주소 Net-Bios 정보, 네트워크카드 정보, OS정보, 네트워크 연결시간 등이 상세하게 표시된다.