[특별기획 NAC/1부 기술동향②] 네트워크 보안관리의 패러다임이 바뀐다

실시간
뉴스

e북서비스

[특별기획 NAC/1부 기술동향②] 네트워크 보안관리의 패러다임이 바뀐다

디지털데일리 발행일 2006-08-07 15:15:26

이유지기자

URL복사

사용자 인증·무결성 보장된 사용자만 네트워크에 접근

네트워크접근제어(NAC) 관련 기술은 최근 네트워크 액세스 콘트롤(Network Access Control)로 부르는 것이 대세가 되고 있는 추세이지만 시스코의 NAC(Network Admission Control), 마이크로소프트의 NAP(Network Access Protection)와 같이 각 공급업체마다 선택해 부르는 이름에는 차이가 있다. 그만큼 기술 상용화나 시장성 측면에서 이제 걸음마 단계를 넘어서고 있는 초기 시장이라는 얘기다. 하지만 NAC는 네트워크단의 통합보안과 지능형 사전방어체계 구현이라는 개념으로 2~3년 전 네트워크 장비업체들이 소개한 통합 네트워크·보안 기술전략과 같은 맥락으로 보는 것이 정확하다. 관련 업계 전문가들은 “엔터라시스네트웍스의 ‘시큐어네트웍스’, 시스코시스템즈의 ‘자가방어네트워크(SDN)’, 주니퍼네트웍스의 ‘엔터프라이즈 인프라넷’과 같은 전략은 큰 범위의 NAC 기술 프레임워크로 볼 수 있다”고 분석한다. 이러한 네트워크 업체들의 개념과 전략이 바로 현재의 NAC 솔루션의 근간이 된 것이다. 가장 먼저 관련 기술과 솔루션을 소개한 시스코시스템즈의 경우에도 ‘자가방어네트워크(SDN)’ 실현을 위한 핵심 기술 전략으로 NAC를 꼽고 있다. 따라서 궁극적으로는 보안위협에 대한 ‘사전예방’과 ‘자동 대응’ 체계를 구현한다는 점에서 네트워크 업체들의 전략과 일치한다. 다만 다양한 NAC 관련 제품이 시장에 나오면서 최근에는 사용자단(Endpoint) 보안기술이 보다 강조되고 폭넓게 적용·확대되고 있는 흐름을 볼 수 있다. 이 때문에 네트워크 장비업체들과 사용자 보안 기술을 가진 전문 업체들 간의 협력도 두드러지고 있다. ◆사용자 인증과 무결성 검사가 핵심=NAC 솔루션은 적절한 권한을 가진 사용자가 보안이 검증된 안전한 PC로 내부 네트워크 자원에 접속할 수 있도록 제어하는 ‘사용자 접속제어 솔루션’이다. 따라서 NAC 솔루션은 일련의 구현 과정을 거친다. 먼저 ▲네트워크에 접속하는 PC사용자가 신원이 확실한 사용자인지 확인(인증)하고 ▲사용자 PC의 보안상태가 적절한지, 위협을 방어할 수 있는 솔루션이 제대로 운영되고 있는지 점검한다. 그리고는 이 두 결과에 따라 ▲내부 네트워크에 접속하도록 허용하거나 거부, 격리한다. ▲보안정책이 제대로 준수돼 있지 않거나 바이러스에 감염돼 거부·격리된 PC는 필요한 정책 적용이나 치료 과정을 거쳐 다시 점검하는 과정이 이뤄진다. 때문에 사용자PC가 유·무선 랜(LAN), 가상사설망(VPN) 등을 이용해 내부 네트워크에 접속할 때 신원을 확인하는 ‘사용자 인증’과 이 PC에 운영체계 보안패치나 안티바이러스 등 보안제품을 설치했거나 업데이트했는지 확인하는 ‘무결성 체크’는 가장 핵심적인 NAC 기능이다. 물론 초기에는 대부분의 솔루션이 무결성 체크만을 수행하는 수준이었지만 현재에는 사용자 인증도 중요한 요소로 부각되고 있다. 현재 나와 있는 솔루션 중에서는 여전히 무결성 검사만을 제공하는 제품도 있지만 네트워크 인증 프로토콜인 IEEE 802.1X 등과 같은 기술을 이용해 사용자 인증을 강화하는 노력을 벌이고 있는 것이 대세다. 이렇게 PC사용자 인증과 무결성을 확인한 후 네트워크 접근을 허용하는 NAC 기술 방식은 결국 ‘누구나 접근할 수 있는’ 기존의 네트워크 관리 정책을 변화시킬 수 있는 조건이 될 것으로 전망되고 있다. ◆정책 적용·관리 위한 세가지 구성요소=현재 나와 있는 NAC 솔루션은 기존 방화벽이나 침입방지시스템(IPS)처럼 단품으로 구성되지는 않는다.

네트워크 전반을 관리하는 체계이기 때문에 사용자단과 네트워크단에 적절한 솔루션이 필요하다. 그리고 인증 및 보안정책을 관리할 수 있는 별도의 장비도 필요하다. 따라서 일반적으로 NAC 솔루션은 사용자 PC 에이전트, 인증 및 접속 정책관리 서버, 정책실행 장비 및 인포서(Enforcer)로 구성된다. 사용자 PC에 설치된 에이전트는 사용자 및 PC (보안) 정보를 정책관리 서버로 보내고 이 서버는 사용자 PC의 인증과 무결성 검증을 수행해 정책을 실행하는 솔루션으로 정책을 내려준다. 정책실행 솔루션은 스위치나 라우터, 방화벽, IPS와 같은 네트워크 및 보안 장비나 호스트 기반 소프트웨어로, 실질적으로 보안정책을 네트워크에 적용해 접속을 허용하거나 차단하는 행위를 수행한다. 이러한 세가지 구성요소는 사용자 PC에 설치된 운영체계(OS), 안티바이러스, PC방화벽, 호스트기반 IPS(HIPS) 등과 연동해 전체 사용자 및 네트워크단의 보안정책을 정의, 생성, 탐지, 점검, 접근통제, 치료 및 교정, 재점검하는 포괄적인 네트워크 관리체계를 만들게 된다. 이를 통해 기업은 보안 요구사항과 정책을 일괄적으로 사용자에게 적용하고 관리해 효율적이고 안전한 네트워크를 구현할 수 있다. 최근에는 소프트웨어 기반 에이전트 없이 NAC 체계를 구현할 수 있는 솔루션도 소개되고 있다. <NAC 개념 및 동작원리> 1. 어떤 경로를 통해 접속했건 관계없이 사용자에 대한 인증을 수행한다. 2. 사용자의 컴퓨터에 대한 무결성 검사를 수행한다(OS 패치 및 구성 정보(특히 바이러스 프로그램), 개인 방화벽 유무 등의 검사). 3. 인증 및 무결성 검사 결과를 정책 관리서버에 설정된 정책과 비교한다. 4. 인증 및 무결성 검사 결과를 바탕으로 사용자가 접근하는 대상에 관한 정책 결정을 수행한다. 5. 허용, 거부, 격리할 수 있는 일부 적용 장비 유형에 대한 네트워크 액세스 인증을 수행한다. 이 절차가 없다면 사용자의 트래픽을 조작할 수 있다. <이유지 기자> yjlee@ddaily.co.kr