[특별기획 NAC/3부 마이크로소프트①] ‘NAP’

실시간
뉴스

특집

[특별기획 NAC/3부 마이크로소프트①] ‘NAP’

디지털데일리 발행일 2006-08-07 15:17:33

이유지기자

URL복사

‘건강한’ 사용자 컴퓨터만 네트워크 접속 허용해 보호

윈도 플랫폼에서 기본 제공, AD와 연동해 IAM 구현 현재 마이크로소프트(MS)는 서버에서 클라이언트, 플랫폼에 이르기까지 보안 관련 로드맵과 브랜드를 새로 짜고 있다. NAP는 바로 윈도 운영체계(OS) 플랫폼에 해당되는 보안 프레임워크다. NAP는 2004년 7월에 윈도 서버 2003과 윈도XP를 위한 보안체계로 처음 발표됐다. NAC 이슈와 함께 올 말이나 내년 초부터 잇달아 발표될 차세대 PC 및 서버 OS인 윈도 비스타와 롱혼의 보안 플랫폼으로 채택될 것으로 알려지고, NAP을 지원하는 솔루션 업체들이 많아지면서 NAP 기술이 새롭게 주목받고 있다. 현재 70개 가까이 되는 네트워크 및 하드웨어 장비, 안티바이러스 및 클라이언트 보안 솔루션 업체들이 NAP 협력 프로그램에 참여하고 있으며, 지난달 말 국내업체 1호로 삼성전자가 정식 파트너가 됐다. 현재 비전파워, 소프트런, 유넷시스템 등 우리나라 업체 5~6곳도 NAP를 지원하기 위해 작업하고 있다. NAP는 사용자 컴퓨터가 보안정책을 지키고 있는지 체크하고 이에 따라 네트워크 접속을 제한하는 기술로, 네트워크 장비와 클라이언트, 서버에 이르기까지 일괄적인 안전한 보안체계와 절차를 수립할 수 있다. 사용자 컴퓨터가 보안정책을 준수한 상태를 ‘건강’한 것으로 규정, ‘건강하지 않은’ PC나 서버는 격리해 필요한 업데이트를 제공함으로써 안전한 상태로 만들거나 통제하고, 치료가 이뤄진 컴퓨터는 네트워크 접속을 허용한다. 그리고 기업의 보안정책이나 규정이 변경되는 상황에 따라 동적으로 이러한 작업을 반복한다. NAP는 클라이언트 PC와 서버, IAS(Internet Authentication Service) 정책서버, 네트워크 장비, 치료 및 건강정책 서버로 구성된다. 클라이언트에는 PC 보안 상태 정보를 수집하고 생성하는 SHA(System Health Agent), 격리할 정보를 생성하는 QA(Quarantine Agent), 격리를 강제하는 QEC(Quarantin Enforcement Client)가 심어져 있다. QEC는 네트워크 접속 장비와 통신해 네트워크 장비들이 건강한 사용자들에게 네트워크에 연결될 수 있도록 하는 기능을 수행한다. RADIUS를 지원하는 IAS 정책서버에는 사용자 컴퓨터의 보안 상태를 확인하고 보증하는 SHV(System Health Verification)와 사용자 네트워크 접속을 제한하는 QS(Quarantin Server)가 있다.

NAP에서 수행하는 네트워크 격리 및 통제는 윈도에서 제공되는 이더넷 지원 프로토콜인 DHCP(Dynamic Host Configuration Protocol)와 IPSec(Internet Protocol Security), 무선 랜 보안 표준인 802.1x, VPN(가상사설망) 기술을 이용해 이뤄지며, 옵션으로 제공된다. 따라서 네트워크 장비나 VPN 장비가 있는 경우에는 DHCP, VPN, 802.1x 무선 기술을 이용하면 된다. 윈도 서버를 사용하는 고객은 액티브 디렉토리(AD)와 연동해 사용자 계정 및 권한관리(IAM, Identity and Access Management)까지 수행할 수 있다. MS는 현재 NAP이 비즈니스 차원이 아니라 윈도 인프라를 사용하고 있는 고객들에게 보다 안전하고 편리한 컴퓨팅 환경을 제공하는 동시에 제품 가치를 높이기 위한 노력의 일환이라고 강조하고 있다. 이 때문에 시스코나 MS가 회원이기도 한 TCG와의 경쟁구도로 보여지는 것에도 부담스럽다는 표정이다. <이유지 기자> yjlee@ddaily.co.kr