[특별기획 NAC/3부 쓰리콤①] ‘쿼런틴 프로텍션’

실시간
뉴스

e북서비스

[특별기획 NAC/3부 쓰리콤①] ‘쿼런틴 프로텍션’

디지털데일리 발행일 2006-08-07 15:20:05

김재철기자

URL복사

강력한 IPS 기반으로 ‘네트워크 접근제어’ 전략 손쉽게 구현

다양한 엔드포인트 공격 완벽 차단 강력한 IPS ‘티핑포인트’를 보유한 쓰리콤은 이 IPS 솔루션을 기반으로 NAC 솔루션인 ‘티핑포인트 쿼런틴 프로텍션(TippingPoint Quarantine Protection)’을 제공하고 있다. 이러한 방식은 기업이 네트워크 접근제어 전략을 손쉽게 구현, 운용할 수 있는 장점이 있다. 쓰리콤의 쿼런틴 프로텍션을 구현하기 위해서는 티핑포인트 IPS와 SMS(시스템관리솔루션)·EMS(통합네트워크관리시스템) 정도만 구현하면 되기 때문이다. ‘티핑포인트 쿼런틴 프로텍션 솔루션’의 특장점은 모든 TCP/IP 및 RADIUS 승인 네트워크와 연동되고, 엔드포인트나 네트워크 서버에 별도의 소프트웨어를 설치할 필요가 없다는 점이다. 이러한 장점이 ‘티핑포인트 쿼런틴 프로텍션’을 가장 사용하기 쉽고 강력한 NAC 솔루션으로 만들어주는 요인이다. 이 솔루션은 티핑포인트 IPS의 우수한 성능을 더욱 강화함으로써 엔드포인트에서 네트워크로 보내는 모든 트래픽을 감지해 유해한 접근을 원천봉쇄해주는 역할을 한다. 티핑포인트 쿼런틴 프로텍션 솔루션이 여타 업체들의 NAC와 기본적으로 다른 점은 IPS의 보안 기능을 이용해 안티바이러스 솔루션이나 시스템 패치로 막을 수 없는, 멀웨어 등 엔드포인트에서 감염되는 다양한 네트워크 위협들을 탐지하고 막아낼 수 있다는 점이다. 따라서 ‘티핑포인트 쿼런틴 프로텍션 솔루션’은 엔드포인트에서 악의적인 트래픽이 발견되면 ▲멀웨어 및 공격을 네트워크 상에서 제거하고 ▲모든 스위치에 감염된 엔드포인트를 차단하도록 지시한 뒤 ▲감염된 엔드포인트를 쿼런틴 V-LAN으로 보내거나 포트를 차단함으로써 피해를 막아준다.

실시간 위협 대응, 모든 단말 상태 점검 쓰리콤의 ‘쿼런틴 프로텍션’이 여타 NAC보다 앞서는 점은 새로운 위협이 발견됐을 때 OS 및 안티바이러스의 업데이트와 상관없이 네트워크를 보호할 수 있다는 점이다. 또, 클라이언트 소프트웨어 기반의 방식과 달리, 모든 엔드포인트를 일일이 확인하지 않고도 대체OS·프린터·VoIP전화·무선디바이스의 상태를 확인할 수 있다는 점에서 차별화된다. 따라서, 보안 관리자는 모든 엔드유저들에게 네트워크 접속을 제공하면서도 안전을 기할 수 있고, 새로운 위협이 나올 때마다 보안 규정을 조정하는 불편함이 사라져 기업의 비즈니스 생산성을 크게 높여주는 역할을 한다. 쓰리콤은 한국에서 ‘쿼런틴 프로텍션 솔루션’의 영업을 활성화하고자 기존 티핑포인트 및 쓰리콤 고객과 잠재 고객을 구분해 각 고객의 IT환경에 적합한 솔루션을 제공하고 있으며, IPS 기반 NAC의 인지도를 높이기 위해 세미나·전시회 등 다양한 마케팅 활동을 전개할 계획이다. 특히 설치와 관리가 쉽고, 종합적인 보호를 제공하며, 무선LAN 장치를 포함해 모든 종류의 엔드포인트를 지원하는 솔루션이라는 점을 적극 알려나갈 방침이다. 한편, 쓰리콤의 ‘쿼런틴 프로텍션’은 마이크로소프트의 NAP가 정식으로 시장에 발표되면 보안의 완결성이 더욱 높아질 것으로 보인다. 티핑포인트 쿼런틴 프로텍션 솔루션이 NAP과 연동되면 사용자 인증과 독립적인 엔드포인트 헬스체크를 할 수 없는 측면이 보완됨으로써 클라이언트 PC에서부터 전체 네트워크에 이르기까지 통합보안을 실현할 수 있게 된다. 세가지 구현방법으로 사용자 환경에 맞는 전략 실행 쓰리콤은 티핑포인트 IPS를 이용한 네트워크 기반의 격리(Quarantine) 기능을 통해 클라이언트 에이전트 소프트웨어를 설치하지 않으며, 모든 브랜드의 라우터·스위치와 함께 사용할 수 있는 편리함을 제공한다. 또한 모든 엔드포인트의 OS 및 프린터·팩스·복사기·무선디바이스·VoIP전화 등 임베디드 OS를 가진 기기들을 보호하고, 기타 호스트 기반의 보완 솔루션과도 상호 운용할 수 있다. 쿼런틴 프로텍션을 구현하는 방법은 3가지가 있다 ◆ IPS 단독 쿼런틴 : 인라인 IPS 장치가 독립적으로 보안을 실행하고 유해 트래픽을 차단한다. IPS가 악성 트래픽을 감지하게 되면 정의된 보안 규정에 근거해 봉쇄·통지·속도제한과 함께 격리 여부를 결정한다. 봉쇄 및 격리 조치가 결정되면 IPS는 악성 트래픽의 근원지를 파악해 해당 IP주소에서 나오는 트래픽을 모두 막을 수 있다. 이 때 클라이언트 웹 리퀘스트는 사용자들에게 격리 이유를 통지하게 되는데, 격리를 유발한 내용에 따라 격리 통지 페이지를 생성하게 된다. 경우에 따라서는 자동적으로 치료 서버나 수정 명령이 있는 웹사이트로 보내질 수 있다. ◆ SMS 기반 쿼런틴 : IPS에서 봉쇄되었다고 해도 감염된 호스트가 네트워크 세그먼트에 있는 다른 호스트와 여전히 커뮤니케이션을 할 수 있다. SMS(Security Management System)를 이용하는 방식은 이러한 세그먼트 간의 감염을 예방한다. IPS가 악성 트래픽을 감지하면 즉시 해당 트래픽을 봉쇄하고, SMS로 경고메시지를 보내며, SMS는 중앙에서 보다 강력한 격리 조치를 발동한다. 웹 트래픽을 치료 페이지로 방향 재조정, 디바이스 연결 중단 또는 안전한 VLAN에의 배치, 지정된 주소로 이메일 통지, NMS로 경고 발송 등 보다 강력한 격리를 할 수 있는 SMS 기반의 쿼런틴 프로텍션은 IP주소 범위, 핵심 IP주소 또는 VIP 사용자에 대한 예외사항도 쉽게 처리할 수 있다. ◆ SMS + NMS 쿼런틴 : 이 구성을 이용하면 네트워크 관리자들은 변화관리를 추적하고, 감사 자료(audit trail)를 생성하며, 보안 및 네트워킹 책임을 분리하거나 또는 단일화된 네트워크 접속 제어를 할 수 있다. 추가 자동화 또는 매뉴얼 조정을 위해 사용자 위치, MAC/IP주소, 스위치 IP, 그리고 이벤트 트리거 등이 NMS로 전송되며, 그 결과 관리자들은 편안하게 네트워크 환경 및 규정에 가장 적합한 방식의 쿼런틴 정책을 실시할 수 있다. <김재철 기자> mykoreaone@ddaily.co.kr