디바이스 유형 식별하고 각 정책 및 SSID와 연계 목표

[보안뉴스 김태형] 포춘지 선정 세계 100대 기업의 네트워크 관리자들은 모바일 디바이스가 사람들이 일반적으로 인지하고 있는 것보다 더 안전할 것이라고 추정하는 것은 위험하다라고 밝혔다.

CWNP와 CompTIA가 인증하는 4개의 무선 기술관련 자격증을 갖고 있는 Aunudrei Oliver는 “무선 네트워크 상에서 한번 인증 받는 디바이스가 안전하다고 생각하는 것은 오해의 소지가 있다. 실제로는 그렇지 않다”고 경고했다.

현재 기업 내에서 1만 2천 개의 모바일 디바이스들을 지원하는 업무를 담당하고 있는 Oliver는 아이패드, 아이폰, 안드로이드 제품 등 “네트워크에 접속하는 프로세스는 더욱 쉬워지고 그 범위도 확장되고 있다. 예전처럼 접속이 어렵거나 관리가 힘들지는 않다”고 전했다.

또한 예전에는 임직원들에게 각각 한 개의 IP 주소만 지급하면 되었지만 고정된 데스크탑 외에 무선 디바이스의 사용 증가에 따라 임직원들은 더 많은 IP를 필요로 하고 있다. Oliver는 “그러나 보통 기업들은 아쉽게도 사용자의 이름과 비밀번호 외 다른 부분에서는 그 어떤 가시성도 갖고 있지 못하다”고 지적하고 “디바이스들에 대한 가시성을 확보하지 못한다면 각각에 맞는 정책을 실행하기 어렵다”고 덧붙였다.

현재 시스코의 유·무선 LAN을 운영하는 Oliver는 Great Bay Software’s Endpoint Profiler 제품을 사용해 왔다. “하지만 너무 많은 비용이 들어갔고 그 비용이 타당한 비용이라고 생각하지 않았다”고 설명했다.

그는 아루바가 최근 선보인 모바일 디바이스 액세스 컨트롤(MDAC)을 시스코 제품에 적용 테스트 해 보았다. 이는 시스코가 최근 소개한 TrustSec을 대체하는 제품으로 디바이스 종류를 확인하고 802.1x 인증을 통해 기기를 등록할 수 있다. Oliver의 회사는 네트워크 도메인내의 워크스테이션에서 잘 운영되는 공개키기반구조(PKI)를 운영하고 있다. 하지만 모바일 디바이스들은 도메인을 사용하지 않는다. 이러한 디바이스들은 어떻게 인증을 받을 수 있을까?

바로 디바이스가 네트워크에 접속을 시작하는 시점에 실행 할 수 있다. Oliver는 바로 WLAN 콘트롤러가 답이라고 주장한다. 아루바 WLAN 콘트롤러는 회사의 시스코 WLAN 콘트롤러와 인증 서버 사이에서 역할을 수행 한다. 다시 말하면 시스코 WLCs는 시스코의 AP를 관리하고 제어하며 아루바 콘트롤러가 네트워크에 접속을 시도하는 디바이스를 식별하고 분류하는데 사용한다.

데스크 탑이나 랩탑은 일반적인 방법으로 인증을 받을 수 있다. 하지만 태블릿이나 모바일 기기 의 경우, 아루바 아미고팟 서버로 리다이렉트 된다. 아미고팟은 사용자의 이름과 비밀번호를 묻고 기기 유형에 따라 디바이스에 설치할 수 있는 인증서와 SSID를 발급한다.

Oliver는 자신은 “모든 솔루션에 대해 열려 있다”고 말하며 시스코가 최근 ISE(아이덴티티 서비스 엔진)를 발표했는데 “우리의 우려사항을 이야기 해봐야겠다”고 말했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>