네트워크접근제어(NAC) 솔루션을 처음 출시했던 지난해와는 달리 2006년 하반기를 시작하면서 NAC는 화두가 됐다. 이제는 NAC 솔루션을 제공하는 벤더들의 솔루션들도 시장에 도입돼 구현될 수 있는 정도의 단계가 이뤄졌다. 표준 기반으로 다양한 장비와 솔루션이 상호연동 되며 손쉽고 간편하게 네트워크접근제어를 수행할 수 있게 된 것이다. 방화벽을 필두로 경계보안을 해왔던 보안 패러다임이 변해야할 시점에 왔다. 이제는 외부보다는 내부에서의 공격으로 시스템을 감염시키는 위험이 더 커진 것이다. 때문에 경계보안에서 접속제어로 보안의 관심이 이동하고 있다. 어떻게 능동적이고 통합적으로 네트워크를 안전하게 관리해야 할지 고민하다 보면 네트워크접근제어(NAC)가 해답이라는 것을 알 수 있을 것이다. 네트워크접근제어는 공항에서 비행기를 탈 때 수행하는 보안검색 과정과 같다. 공항의 보안검색은 신분증을 통해 확인하고 보안검사대에서 보안 게이트웨이 지나면서 위험한 물건을 소지하지는 않았는지 엑스레이 검사를 한다. 보안검색은 같은 비행기를 타고 있는 사람들이 얼마나 안전하고 신뢰할 수 있는 환경에 있도록 하기 위해서 수행하는 것이며 네트워크접근제어의 목적과 프로세스도 이와 같다. NAC는 네트워크에서 기본적으로 사용하는 PC와 액세스 스위치와 라우터, 방화벽과 같은 장비를 통해 이뤄진다. 사용자PC가 네트워크 접속을 요청하면 정책결정지점(PDP)에 있는 장비가 정책을 결정해 정책적용지점(PEP)에 있는 네트워크장비나 방화벽에 알려줘 접속포인트인 PC에 다시 정책을 내려준다. 정책결정지점(PDP)에서는 얼마나 안전하고 신뢰성이 있는지를 판단한다. NAC 솔루션은 네트워크 장비에서 접속제어 정책이 실행되도록 해 사용자가 네트워크에 접속할 때 사용자 보안상태 확인을 한다는 점에서 보다 근원적인 솔루션이 될 것으로 기대를 모았다. 하지만 현재 네트워크접근제어 솔루션은 많은 한계를 안고 있다. 첫번째는 에이전트 배포 관리가 어려워 설치하는데 부담이 있다는 점이다. 따라서 사용자 PC에 설치되는 에이전트를 어떻게 손쉽고 효율적으로 사용자 PC에 설치할 것인가 하는 점은 큰 이슈다. 또한 특정 소프트웨어와의 연동하는 것에도 한계점이 있다. 예를 들어 특정 안티바이러스를 사용하는데 연동이 안되는 문제가 발생하기도 한다. 그리고 현재 사용하고 있는 네트워크 적용지점의 모든 네트워크 장비를 지원하는 코드업그레이드나 새 장비로의 변경이 불가피하다. 사용자 정책별로 게스트를 구현할 때에는 VLAN으로 쪼개야 하는 등 네트워크 전체 구성변경이 요구되기도 한다. 스위치 장비별로 적용되는 기능이 틀려 사용자 접속 스위치에 따라 VLAN 할당이 어려워 일관성 있는 정책 적용에도 문제가 있다. 정책결정지점에서도 임의의 보안정책 설정에 한계가 있으며 스위치는 IP주소를 기반으로 하기 때문에 특정 소프트웨어 버전 체크나 ID별 관리를 할 수 없다는 한계도 존재한다. 이러한 한계점들 중 핵심적인 부분은 현재 많이 극복되고 있는 상황이다. 주니퍼가 제공하지 못하는 솔루션은 조만간 공급이 가능하며, 다른 벤더의 솔루션을 통해서도 제공할 수 있다. 주니퍼가 극복하는 방식을 소개해보겠다. 주니퍼는 현재 통합접속제어 솔루션인 UAC를 제공하고 있다. 구성요소는 인프라넷 에이전트(IA)와 인프라넷콘트롤러(IC), 그리고 주니퍼 방화벽이다. 주니퍼 방화벽은 방화벽 시장 1위라는 명성에 맞게 많은 고객들이 사용하고 있다. 사용자 PC에 있는 인프라넷 에이전트가 네트워크접속 지점에 있는 주니퍼 방화벽이나 IDP 보안제품과 연동해 접속을 제어한다. 접속제어는 인프라넷 컨트롤러라는 정책결정 장비를 통해서 이뤄진다. 주니퍼 UAC는 802.1X 기반의 펑크 솔루션과 연동해 고객 환경에 손쉽게 도입할 수 있으며, 모든 네트워크 스위치 장비로 확산할 수 있다. 동작원리는 사용자가 서버팜으로 가려고 하거나 인터넷 사용을 위해 네트워크 인프라에 접속할 때 정책적용지점에 있는 방화벽에서 차단한다. 이는 인프라넷 컨트롤러에서 자동적으로 접근정책을 결정해 내려주면 방화벽에서 접속을 허용해 최종적으로 사용자는 원하는 곳과 접속되는 방식이다. 핵심은 손수 설치해야 하는 에이전트나 소프트웨어 클라이언트를 자동으로 적용할 수 있다는 것이며, 방화벽만 놓으면 자동적으로 정책이 적용된다는 점이다. 에이전트 설치배포가 자동적으로 이뤄지며 중앙집중적인 관리가 가능하다. 정책관리자인 인프라넷 컨트롤러는 UAC의 뇌라고 할 수 있다. 주니퍼 방화벽을 사용하는 고객은 무료로 IC 지원 버전을 업그레이드해 무료로 사용할 수 있다. 따라서 네트워크접속제어를 도입하기 위해 네트워크 구성변경 작업이 필요없이 방화벽을 두고 손쉽게 구현 가능하다. 802.1x 기반 펑크 솔루션의 PC에 오딧세이 클라이언트를 메뉴얼로 설치하면 사용자 인증도 수행할 수 있다. 펑크솔루션은 표준 기반의 802.1x를 지원하는 모든 네트워크단에서 적용할 수 있는 솔루션으로, 네트워크 장비를 통해 ID접속 신청 인증서버에서 값을 받아 스위치단의 VLAN이나 ACL(액세스콘트롤리스트)를 모두 내려 받을 수 있다. 이 솔루션은 표준 TNC 1.2 아키텍처를 기본 지원해 타 솔루션과도 연동 가능하다. 오전 주제발표에서 언급된 비영리 업계 표준화 기구인 TCG(Trusted Computing Group)는 8개 워킹그룹을 통해 컴퓨팅 환경 전반에 대한 표준화 작업을 진행하고 있다. 그 중에서 NAC와 관련해서는 TNC(Trusted Network Computing)에서 표준 기반 아키텍처를 만들고 있다. 현재 주니퍼네트웍스의 스티브 하나가 의장으로 이 TNC에 참여하고 있다. 또 TNC는 다른 워킹그룹인 TPM(Trusted Platform Module)에서 하는 하드웨어칩 보안 기술과도 연동할 수 있다. 현재 TNC와 TPM 간에 표준 상호연동 아키텍처를 만들고 있는 중이다. 주니퍼 UAC 접속제어 적용모델을 살펴보면, 먼저 사내망 보호가 있다. 사내망 내부에서 악성코드 확산을 방지하고, 사내망에서 외부로 나갈 때 접속 PC를 IC에서 외부로 나갈 때 보안검색을 하는 방식이다. 사내망에 붙어있는 PC 방화벽으로도 네트워크를 차단하고 보안검색 받을 수 있으며, 중요한 ERP 서버팜 앞에 방화벽을 두고 정책을 결정하거나 PC간 허브나 스위치단에서 네트워크접속정책을 수행할 수도 있다. 인프라넷 에이전트에 개인방화벽 기능이 제공돼 방화벽이 탑재된 PC만 사내망에서 사용하는 환경을 만들 수 있다. 두번째는 지점과 본점 간의 접속제어다. 지점에서의 본점 접속시에 중앙에서 보안이 이뤄지면 부담이 크고 정책결정도 복잡해져 많은 작업이 필요하며, 자동수행도 어렵다. 지사에 라우터 기능이 포함된 주니퍼 SSG 장비를 이용해 지사에서 자동적인 접속제어를 구현할 수 있다. 라우터에서 본사IC로 리다이렉션하거나 에이전트를 자동으로 다운로드해 에이전트 통해 검증하면 사용자는 인터넷만 본사를 통해 사용하고 서버팜에 접속할 때에는 접속제어 정책을 받을 수 있다. 세번째는 외부접속 제어다. 원격 사용자의 안전한 접속을 위해 IPSec이나 SSL VPN을 이용해 IC와 연결되면 암호화 통신을 수행하며 네트워크 접속 전에 PC보안상태를 점검해 네트워크접속제어를 구현할 수 있다. UAC 장점을 요약하면 자동, 간편, 통합이다. 먼저 에이전트를 자동으로 배포 관리할 수 있어 에이전트가 자동적으로 내려 쉽게 배포, 관리, 운용할 수 있다. 네트워크 구성변경도 불필요하며, VLAN이든 L2 환경에서든 원하는 어떠한 환경에서도 사용자 접속제어를 적용한다. 통합적 인증관리도 가능해 IP가 아니라 사용자 ID기반의 접속제어를 할 수 있고, 실시간으로 접속자 사용을 모니터링해 현황을 한눈에 파악할 수 있다. <이유지 기자> yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지