최근 국내에서도 NAC 제품들의 도입기준이 점차적으로 세분화되고 체계화되어 가고 있다. 이번 호에서는 NAC 솔루션이 향후 어떤 방향으로 발전해 갈 것이며 어떤 기능들이 시장에서 요구되고 있고 기능개선이 되고 있는지에 대해 알아보고 글로벌 업체들의 동향에 대해 알아보도록 하겠다.

지난 호에서는 NAC를 도입하기 위한 선정 기준, 구축 절차 및 보안정책을 어떻게 적용하여 관리할 것인가에 대한 실무적인 내용에 대해 알아봤다. NAC 제품을 도입, 운영하는 보안관리자 입장에서는 반드시 확인해야 할 사항이다. NAC를 평가하고 도입을 검토하는 보안관리자의 제품 이해도가 높아졌고 도입기준도 단순히 NAC 개발사 및 공급사에서 제공하는 내용만 보는 것이 아니라 보안성, 사용성 및 사용자 편리성 등 각 사이트 별 특성을 고려한 요구수준이 높아지면서 점차적으로 다기능화 및 보안제품간 융합화 추세를 보이고 있다.

NAC 확장 기능 및 Future NAC

NAC의 시작은 내부 네트워크 내에 있는 단말기의 안전한 운영 목적으로 시작되었다. 내부에 있는 단말기가 바이러스/웜 감염 등으로 위험성을 가진 상태에서 다른 단말기 및 네트워크에 주는 영향은 엄청난 결과를 초래할 수 있다. 하지만 그 결과는 보안사고가 발생된 이후에 확인 할 수 있다. 지난해 발생한 7.7 분산서비스거부(DDoS) 대란에서 알 수 있듯이 무결성이 점검되지 않은 좀비PC로 인해 악성 프로그램이 전파 되었을 때 사회적인 큰 파장을 가져오는 경우가 그러하다.

전 세계적으로 원인도 모를 장애로 인해 많은 사이트들이 서비스가 중단되는 불편을 겪을 수 밖에 없었다. 이로 인해 End-point 보안에 관심이 높아지면서 이에 대응 할 수 있는 백신, DDoS 장비, NAC 등의 보안솔루션에 당연히 관심이 쏠릴 수 밖에 없었다.

특히 각 조직의 보안 관리자 입장에서는 관리하고 있는 사용자 PC를 통한 내부 공격, 유해 트래픽으로 인한 네트워크 마비, 비 인증 단말기로 인한 내부 사용자 및 서비스 피해에 대해 해결방안을 찾기 위한 대응책 마련에 고심하고 있는 실정이다. 이러한 문제를 해결 할 수 있는 가장 최적의 솔루션이 NAC라고 할 수 있다.

NAC가 태동한지 6여년이 흐르는 동안 NAC 솔루션은 기능부분에서 단말기 인증, 사용자 인증, 네트워크 접근 차단, 격리/치료, Virtual FireWall, AD/LDAP 인증 솔루션과 연동, 행위기반 IPS, 자산관리, PC 무결성 및 관리, IT Compliance 등 많은 다양한 기능들을 계속 추가해가면서 진화해가고 있다. NAC가 향후 제공해야 할 좀비PC 탐지 및 차단 Active Internal IPS, Network Switch Plug-in Access Control, Virtual Network Map 등 확장 기능에 대해서 알아보자.

● 좀비PC 탐지 및 차단 Active Internal IPS

DDoS 공격을 완벽히 막을 수 있는 대응방안에 대해서는 어느 누구도 뚜렷한 대안을 제시하지 못하고 있다. DDoS는 서비스의 중단이 목적이기 때문에 불특정 공격지점에서 목적지를 예측할 수 없는 것이 특징이다. 공격이 진행되는 과정에서 패킷을 캡쳐하여 패킷 분석을 통해 출발지와 목적지를 파악하여 대응 패치를 제공하는 것이 현재 진행되는 공격에 대한 대응방법의 대부분이다.

하지만 DDoS 공격의 분석과정에서 NAC는 훌륭한 대안을 제시할 수 있다. Zero-Day 공격에서 공격이 시작됨과 동시에 이를 분석하여 공격 행위가 발생한 순간부터 가장 빠르게 좀비PC를 찾을 수 있는 기능을 제공할 수 있다. 각각의 단말에서 발생되는 행위에 대한 탐지를 실시간 할 수 있는 메커니즘을 가지고 있으며 이를 통하여 공격 행위가 탐지된 좀비PC를 찾아내어 네트워크에서 격리 및 치료를 함으로써 대응방법을 제공할 수 있다.

최근 국내에서 공급되고 있는 NAC 제품에서 이러한 기능을 제공하는 제품이 등장하였고 타 제품들에서도 기능을 제공 할 계획들을 가지고 있다. 향후 몇 년 안에는 NAC가 DDoS를 막을 수 있는 충분한 대안을 제시할 것으로 예측한다.

● Network Switch & Access Control

NAC의 핵심 기능은 내부 네트워크를 접근하는 단말기에 대한 인증 및 통제이다. 단말기는 PC, 스위치, Non-OS 장치, 무선 단말기, VoIP 장치, 게임 장치 등 여러 종류를 생각할 수 있으며 이러한 단말 장치에 대해 접근 허용 여부를 NAC에서 판단할 수 있어야 한다는 것이다. 보안 요건을 준수하는 정상적인 장비는 접근해야 하고 반대의 경우는 차단함으로써 네트워크 내의 사용자에게 네트워크 가용성(Availability) 서비스를 제공해야 한다.

또한 인증과 차단은 효율적으로 이루어져야 한다. 즉 인증과 차단을 실시함에 있어 네트워크 부하를 발생하는 기술은 적용함에 문제점을 많이 노출하고 있다. 단말기에 Client를 설치하는 방법은 단말기 장애나 수백여대의 단말기를 운영 시에는 네트워크에 영향을 발생할 수 있고 In-Line 방식의 접근 기술은 전체 네트워크를 무력화 시킬 수 있는 문제점을 제공하고 있고 각 스위치에 Sensor를 부착하는 방식은 방식자체가 ARP 기술을 이용함으로써 ARP Spoofing에 취약점을 내재한 채 적용되고 있어 현재 동일 기술로 운영중인 사이트는 문제점을 보유하고 있는 상황이다.

이러한 문제점을 해결할 수 있는 새로운 대안은 네트워크 장비의 기능을 적용한 네트워크 접근 통제 기술로 Switch ACL Plug-in이다. 이는 네트워크 각 통신 접점에 있는 스위치와 NAC의 상호 기술을 이용한 접근차단 기술로 복잡한 구성이 필요 없는 효과적인 새로운 통제 방법으로 떠오르고 있다.

네트워크 각 Layer에서의 통신 방법은 OSI 7 Layer에서 규정한 것처럼 서로 다른 역할들을 제공하고 있다. 각 Layer에서의 통신 방법을 NAC에서 Plug-in 하여 각 스위치에 Sensor와 같은 불필요한 장비들을 두지 않고도 Work-Group 내부를 통제 할 수 있으며 Client에서 차단 룰을 적용하지 않아도 되는 Clientless NAC를 구현 할 수 있다.

도입하는 측면에서는 보안 관리자에게 복잡한 관리 포인트를 없앨 수 있으며 부가적인 투자비용을 줄이면서 더 강력한 운영 효과를 기대할 수 있는 방안이라고 할 수 있다. 접근을 차단하는 기능을 NAC에서 적용하는 것이 아니라 Switch에서 기본적으로 제공하는 ACL을 활용하는 방법이다.

여기에 추가로 NAC가 관리하고 있는 네트워크 단말기 토폴로지에 대한 Virtual Network Map에 대한 사용자 요구사항도 새롭게 나오고 있다.

관리되고 있는 단말기에의 운영 현황 및 자산관리에 대해 단순한 리스트 나열이 아닌 2D, 3D로 시각적인 개선을 통해 관리 효과를 기대할 수 있는 방법이다.

본겵恥怜＠?입체적인 Map을 통하여 문제가 발생되고 있는 부분을 실시간으로 파악 및 통계를 산출함으로써 통합 관리기능을 개선하여 ROI를 극대화 하고자 하는 것으로 조만간 기능 제공이 될 것으로 보인다.

최근에 네트워크 관련 매체에서 NAC에 대해 공감하는 자료를 본 적이 있다. NAC는 전사 보안정책의 지휘자라는 내용이었다.

요즘 IT 키워드가 ‘융합’과 ‘유연성’으로 기존 인프라와 적절한 조화를 이루며 보안 시너지를 낼 수 있는 유연성과 보안 프레임워크로 NAC가 자리잡으면서 주변 보안 솔루션간의 융합만이 완벽한 요새(보안정책 준수)를 완성할 수 있다는 개념으로 NAC가 전사 보안정책을 지휘할 수 있다는 내용이었다. 미래의 NAC가 가야 할 방향으로 동일한 판단을 하고 있다.

국내외 NAC 시장 변화

국내 NAC 시장은 1.25 인터넷 대란과 7.7 DDoS 대란을 통해 규모는 더욱 더 커지고 있다. 도입하는 분야도 공공뿐만 아니라 유통, 금융, 의료분야 및 국방분야까지 확대되고 있는 상황이다. 2009년 상반기 정부 주도로 보안강화를 위한 프로젝트가 집중되면서 보안시장의 경우에는 다른 분야에 비해 크게 성장한 것으로 평가를 받고 있다.

그 중에 NAC는 전년 대비 2배 이상의 성장을 보인 것으로 예측되고 있다. 투자 위기에서 이러한 성장은 NAC 도입이 본격화 되고 있음을 보여준다고 할 수 있다.

하반기에도 ‘좀비PC 방지법’으로 불리는 ‘악성 프로그램 확산 방지에 관한 법률(가칭)’ 논의 과정에서도 NAC의 도입을 거의 필수화 시켰다. 정부기관, 지자체 등의 망분리 사업에서도 NAC는 필수 솔루션으로 검토되고 있다. 지난해가 도입 단계였다면 올해에는 확산단계로 공공뿐만 아니라 전 산업 분야에서 도입할 것으로 보인다.

NAC 제품군도 더 다양화 되어 Clientless 모델(포어사이트) 및 Client 모델(시만텍, 유넷, 지니네트웍스, 시스코 등) 으로 나누어졌으며 여기에서 IP관리(스콥정보통신, 넷맨), 인증시스템(에어큐브), PMS에서 시작한 제품들이 출시되고 있다. 국내외 업체를 통틀어 10여 개 업체가 경쟁을 하고 있는 상황이다.

해외의 경우는 Clientless 기반 제품이 시장 점유율을 높여가고 있다. 이는 국내와 달리 AD(Active Directory)가 일반적으로 사용되는 관계로 굳이 단말기에 Client를 설치하지 않아도 단말기 무결성 및 Management가 가능하기 때문이고 또한 관리적인 불편성을 줄일 수 있기 때문으로 분석되고 있다.

2007년 해외시장에서 많은 시장을 점유했던 시만텍과 시스코의 점유율이 2008년에는 분산되었으며 Clientless 방식을 적용하고 있는 ForeScout CounterACT 제품의 시장점유율을 보면 알 수 있다.

ForeScout 제품은 전세계 Clientless 분야에서는 시장 1위의 점유율을 가지고 있다. 이 제품을 국내에서 포어사이트가 공급하고 있으며 국내에서도 지난해 시장 내에서 새로운 분야를 개척해 내었다. Clientless NAC 제품은 올해에는 국내에서도 크게 영향을 미칠 것으로 보인다.

지금까지 3회에 걸쳐 NAC 솔루션에 대해 전반적으로 알아보았다. NAC가 어떻게 태동하였으며 어떤 기능들을 가지고 있고 제품의 분류 및 발전방향에 대해서도 알아보았다. 정리된 내용이 NAC의 모든 부분을 언급할 수 없었으며 NAC 자체가 워낙 다양한 형태로 존재하므로 부족한 부분이 많았을 것으로 본다.

하지만 NAC를 이해하고자 하는 분들에게 도움이 되기를 바라며 최대한 많은 정보를 제공하고자 하였으며 NAC가 향후 보안의 핵심적인 부분으로 자리잡을 것이라는 확실한 믿음을 가지고 있다. 사용자에게는 안전한 네트워크 사용과 보안관리자에게는 편리한 보안관리가 이루어져 NAC 솔루션이 End-Point 보안의 최적의 솔루션이 되길 바라며 이 글을 마친다.

<글 : 박영철 포어사이트 Director(pyc@foresight.co.kr)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>