[특별기획 NAC/3부 시스코시스템즈①] ‘NAC’

실시간
뉴스

e북서비스

[특별기획 NAC/3부 시스코시스템즈①] ‘NAC’

디지털데일리 발행일 2006-08-07 15:18:20

이유지기자

URL복사

지능형 네트워크 관리 ‘자가방어네트워크’ 실현

NAC 기술과 75개 벤더 간 협력으로 사용자 보안체계 통합 구축 2004년 11월 ‘자가방어네트워크(Self-Defending Network)’ 실현을 위한 핵심 보안전략으로 ‘NAC(Network Admission Control, 네트워크허가통제)’라는 보안 프레임워크를 선보인 시스코시스템즈는 지난 2년 가까이 NAC를 소개하면서 시장을 만들어내는데 핵심적인 역할을 수행해왔다. 시스코는 다양한 위협들로부터 기업의 네트워크가 스스로를 방어할 수 있도록 지능을 부여하는 ‘NAC’ 보안 프레임워크·아키텍처를 내놓는 동시에 솔루션도 제공하고 있다. 이 기술은 호스트의 안전한 상태를 점검하는 에이전트인 CTA(Cisco Trust Agent)와 네트워크상에서 라우터, 스위치, 무선랜(WLAN) 스위치, 가상사설망(VPN)이 위치한 NAD(Network Access Device), 인증 및 정책관리 장비인 ACS(Access Control Server), 그리고 옵션으로 협력업체들의 솔루션인 안티바이러스, PMS 정책관리 서버, 방화벽, IPS(침입방지시스템), 802.1x, 웹 등으로 구성된다. 처음 기술 개념을 발표할 당시 시스코의 ‘NAC’는 1단계(Phase 1) 기술로 CTA 1.0 버전과 라우터·VPN 장비 지원, ACS 서버와 안타바이러스 등 보안솔루션 간에 수동 연동이 가능했다. 지난해 10월 시스코는 1단계 기술에서 확장된 NAC 2를 발표했다. NAC 2의 핵심은 기존에 주로 라우터를 지원해온 것에서 스위치(시스코 카탈리스트 스위치)와 무선랜 장비(시스코 에어로넷 액세스포인트)까지 지원이 확대됐다는 점과 ACS와 보안 솔루션 간의 상호연동을 강화해 자동 업데이트를 제공한다는 것이다. 이에 따라 WAN(광대역통신망)뿐만 아니라 기업의 내부 네트워크인 LAN(근거리통신망), 무선랜까지 지원할 수 있게 됐으며, 관리상의 불편사항으로 지적됐던 점들이 개선됐다. 또 맥아피, 시만텍, 퀄리스 등 취약성 분석 및 감사 기술을 제공하는 솔루션 업체들과 협력해 CTA 에이전트가 없는 사용자 단말(게스트 노트북, 프린터, PDA, IP 전화기)도 위험을 평가할 수 있도록 향상시켰다. NAC 파트너와의 협력체계를 확대하면서 현재 CTA는 2.1버전까지 나와 있는 상태이며 올해 중 더욱 많은 파트너 솔루션과 연동되는 2.2 버전도 출시될 예정이다.

시스코 NAC의 구현 과정은 첫째, 사용자가 PC, 노트북 등 단말기에서 네트워크 접속을 시도할 때 사용자 컴퓨터에는 이미 안티바이러스 등 보안 솔루션과 CTA가 깔려 있다. 둘째, 시스코의 라우터, 스위치 등 네트워크 장비는 호스트 컴퓨터에 어떤 종류와 버전의 안티바이러스 등 보안 솔루션과 CTA가 구동되어 있고 운영체제(OS) 업데이트 패치가 이뤄져 있는지 확인한다. 셋째, 스위치 등 네트워크 장비가 ACS와 통신해 이 호스트 컴퓨터가 네트워크 액세스 정책을 만족시키는지 확인한다. 넷째, 만약 호스트 컴퓨터의 백신 프로그램 버전이 최신의 버전이 아니거나 사용자가 CTA 프로그램의 작동을 중지시키는 등 기업의 네트워크 액세스 정책을 만족시키지 못하면, 라우터나 스위치는 이 호스트 컴퓨터를 검역소로 격리시키거나 별도의 업데이트 받을 수 있는 웹 페이지로 이동시킨다. 다섯째, 검역소에서 호스트의 보안·OS 패치 프로그램, CTA 정책 등을 최신 버전으로 업데이트 받거나 감염된 PC는 치료한다. 마지막으로, 네트워크 액세스 정책을 만족시키게 된 호스트 컴퓨터는 네트워크에 정상 접속된다. 2007년 하반기 NAC 3 발표 시스코는 현재 보유한 높은 네트워크 장비 시장점유율을 바탕으로, 스위치·라우터와 방화벽 등 보안 장비를 사용하고 있는 고객들은 ACS 서버 하나만 구입하면 비용 효과적으로 NAC를 구축할 수 있다고 소개하고 있다. 또 75개나 되는 안티바이러스, 개인용 방화벽, HIPS(호스트 IPS), 패치관리, 네트워크 취약성 분석 및 감사 등 대표적인 벤더들과 맺고 있는 협력관계로 고객의 환경에 맞는 솔루션과 병행 구축해, 사용자단(Endpoint) 보안과 네트워크 통합 보안체계를 구축할 수 있다는 장점을 부각하고 있다. 국내에 공급되는 시스코 NAC 파트너 벤더로는 맥아피, 빅픽스, 시만텍, 안철수연구소, 퀄리스, 트렌드마이크로, 패치링크 등 안티바이러스 및 PC 통합보안, PMS, 네트워크 취약점 분석 및 감사 솔루션 업체들이다. 이들 중에서 트렌드마이크로의 경우 시스코와 협력을 공고히 하면서 국내에서 시스코 NAC 관련 사업을 활발하게 벌이고 있다. 매년 단계별로 확장된 NAC 기술을 내놓고 있는 시스코는 내년 하반기(여름)에 현재 보다 확장되고 편리하게 구축·관리할 수 있는 NAC 3를 발표할 예정이다. 이 NAC 3에서는 에이전트(CTA) 없이 NAC을 구현할 수 있게 되며 소스코드가 개방된다는 이야기가 흘러나오고 있어 시스코 장비 외에도 시스코 NAC을 지원할 것으로 예상되고 있으며, 보안 전문업체들이 내놓고 있는 NAC 전용 어플라이언스도 제공될 것으로 보인다. 시스코 코리아는 올 상반기 서울대학교에 시범 구축하면서 첫 NAC 관련 레퍼런스를 확보했으며, 8월부터 서울대학교 행정부서인 대학본부와 기숙사, 실습실의 8000대 PC에 확대 적용된다. 또한 트렌드마이크로와 6월부터 서울 모 대학에 구축작업을 진행하고 있으며, 대규모 기업들을 대상으로 활발한 영업을 벌이고 있다. <이유지 기자> yjlee@ddaily.co.kr