개방형 표준 기반의 네트워크 사용자 접속제어 전략 - 매트 콜론 주니퍼 APAC CTO

실시간
뉴스

딜라이트닷넷

개방형 표준 기반의 네트워크 사용자 접속제어 전략 - 매트 콜론 주니퍼 APAC CTO

디지털데일리 발행일 2006-09-15 21:29:58

이유지기자

URL복사

비즈니스 환경이 급격하게 변화하고 있다. 예를 들어 인스턴트메신저(IM)는 이메일 보다도 각광을 받으면서 새로운 의사소통 모델로 제시되고 있다. 내 컴퓨터에도 3~4개의 IM 클라이언트를 갖고 있고 어디에서든 사용할 수 있다. 하지만 IM은 편리하지만 보안상의 취약점이 있다. 때문에 새로운 기술로 인한 문제를 해결하기 위해서는 새로운 보안모델이 필요하다. 지난 5~10년 동안 데이터센터와 사용자 보안은 방화벽을 이용해 시스템 전체를 하나의 벽을 세워놓는 전통적인 방식이었다. 이러한 경계보안은 단순한 네트워크 공격을 전체적으로 방어한다. 하지만 애플리케이션단의 공격이 이뤄지면서 네트워크 포트 기반 방어뿐만 아니라 침입탐지시스템(IDP) 등 애플리케이션을 살펴보면서 방어하는 체계도 필요하게 됐다. 웜이나 스파이웨어, 트로이목마와 같은 보안위협은 좀 더 강력한 경계 보안이나 위협관리시스템을 요구하고 있다. 특히 노트북의 사용은 항상 네트워크 감염을 노출시킨다. 모바일 환경이 발전하면서 사용자들이 어디에서나 사내 네트워크에 접속할 수 있게 돼 경계보안만으로는 해결할 수 없게 된 것이고, 전체적인 보안문제를 해결할 수 없다. 보안요구사항은 전달제어, 사용자제어, 위협제어 3가지로 나눌 수 있다. 애플리케이션 전송을 보장하는 단위의 보안을 위해 전달제어를 사용했으며, 사용자제어는 전통적으로 AAA(인증, 권한, 허가)를 사용했다. 위협제어는 네트워크에 접근하는 악의적인 콘텐트를 찾아내 제거하는 것이다. 경계보안은 전송과 위협제어로 할 수 있지만 내부 핵심 사용자 영역에서는 접근제어와 위협제어를 해야 한다. 사용자 보안의 첫번째는 접근제어다. 이 체계는 비즈니스 문제와 연결되기 때문에 경제성이 고려돼야 한다. 따라서 사용자 접근제어 솔루션을 적용하기 위해서는 보안문제로 인해 들어가는 비용보다는 투자가 저렴해야 한다. 사용자 접근제어는 가장 단순한 방식으로 구축하는 것이 중요하다. 설치, 운영, 관리하기 쉬워야 하며 비용도 저렴해야 한다. 이 때문에 네트워크접근제어 솔루션은 상호운영성이 보장돼야 한다. 사용자 접근제어를 수행하기 위한 엔드포인트 통합 네트워크접근제어는 엔드포인트가 네트워크에 접속하기 전에 보안정책을 준수했는지 상태정보를 모아서 제공하는 AR(Access Requestor)와 클라이언트의 정책을 실행하는 PEP(Policy Enforcement Point), 정책결정하고 허용하는 PDP(Policy Decision Point)가 있다. 네트워크접근제어를 적용하면 비용절감을 위해 컴퓨터에서 네트워크에 항상 접근하던 것이 사용자가 보안정책을 준수해 그 이상의 권한은 넘어가지 않게 된다. 시스템 간에 포괄적으로 접근제어를 적용하려면 특정 벤더에 국한되지 않는 개방형 표준이 중요하다. 사용자단에 다른 형태의 소프트웨어를 통합할 수 있어야 하며, VPN이나 방화벽 유형이 달라도 통합될 수 있어야 한다. 사용자의 요구와 맞아야 하는 것이다. 사용자가 사용하는 시스템을 지원해야 하며, 사용자 트래픽의 가용성을 감안해 접근제어 범위도 제한하거나 확대할 수 있어야 한다. 즉, 상호운영성을 감안해야 하는 것이다. 주니퍼네트웍스의 UAC(Universal Access Control) 솔루션은 다양한 사용자 환경을 수용해 접근제어 시스템을 네트워크에 통합적으로 구축한다. 네트워크 장비나 노드단 유형이 다를 수밖에 없기 때문에 개방형 표준 기반의 상호운영할 수 있는 방식으로 해결한다. 특정 방식에 국한하면 보안 문제는 해결되지 않을 것이다. 개방형 표준과 상호운영성을 위해 현재 150개에 달하는 다양한 IT기업들이 TCG(Trusted Computing Group)라는 컨소시엄을 구성했다. 현재 TCG의 TNC((Trusted Network Connect) 워킹그룹에서는 개방형 표준 아키텍처로 엔드포인트를 통합할 수 있는 방법을 지속적으로 강구하고 있으며, 이미 아키텍처도 내놨다. 앞으로 TNC는 새로운 요구를 수용해 새로운 솔루션을 내놓을 것이며, 현재 주니퍼네트웍스, IBM, 마이크로소프트, 인텔, 시만텍, 체크포인트, 어바이어, 맥아피 등이 모두 TNC 스펙을 준수하고 있다. 따라서 TNC 솔루션은 멀티벤더 상호운영성을 제공하기 때문에 클라이언트 기반 보안 소프트웨어, 네트워크 장비, 네트워크 기반 소프트웨어를 다양하게 선택할 수 있다. <이유지 기자> yjlee@ddaily.co.kr