과거 전통적인 IT 보안은 바이러스, 해킹 등의 외부 침입에 집중되어 있었습니다. 그러나 이제는 IT 기술의 발달과 그에 따른 업무 환경의 변화로 인해 이동성이 강한 노트북, 스마트폰, PDA, 패드 등 모바일 기기까지 챙겨야 하는데요. 그렇다면 이를 위해 어떤 방법이 연구되었고, 또 사용되고 있을까요? 지금부터 함께 알아보겠습니다.

‘네트워크 접근 제어(NAC, Network Access Control)’, 그 개념은?

과거 전통적인 IT 보안은 바이러스, 해킹 등의 외부 침입에 집중되어 있었습니다. 그러나 이제는 IT 기술의 발달과 그에 따른 업무 환경의 변화로 인해 이동성이 강한 노트북, 스마트폰, PDA, 패드 등 모바일 기기까지 챙겨야 하는데요. 그렇다면 이를 위해 어떤 방법이 연구되었고, 또 사용되고 있을까요? 지금부터 함께 알아보겠습니다.

‘네트워크 접근 제어(Network Access Control, 이하 NAC)’란 단말기(PC 등)가 네트워크에 접근하기 전 보안 정책 준수 여부를 검사하여 네트워크 사용을 제어하는 것을 말합니다. 또한 NAC 시스템은 네트워크에 연결된 단말기의 여러 가지 정보를 수집하고, 수집된 정보를 바탕으로 단말기들을 분류하는 것이죠. 그리고 분류한 그룹의 보안 위협 정도에 따른 제어를 수행합니다.

이러한 NAC 시장은 2005년 세계적인 컨설팅 회사인 가트너(Gartner) 그룹에서 새로운 네트워크보안 모델을 제시한 것을 계기로 급속도로 확산되었는데요. 이 시기에는 문제점이 하나 있었습니다. 윈도우 보안 패치 와 안티 바이러스와 같은 백신을 아무리 잘 설치하고 운영해도 회사 내부의 보안 사고가 끊이지 않는다는 것이었습니다.

특히 노트북 같이 이동이 편리한 컴퓨팅 기기가 회사 외부에서 감염된 채로 사내망에 바로 연결될 때 바이러스나 윔(Worm)으로부터 사내망을 보호할 방법이 없었죠.

그리고 만약 사내망에 연결된 모든 PC에 보안 패치나 백신이 설치되게 하는 시스템이 아무리 잘 갖추어져 있다고 해도 속도전에서는 밀릴 수 밖에 없었는데요. 그 이유는 웜이나 바이러스가 사내망에 연결되는 순간 바로 퍼지기 시작하기 때문입니다. 그래서 IT 업계들은 함께 고민을 하기 시작했고, 그 결과 해결 방법으로 ‘검역’이라는 결론을 내렸습니다. 물론 시장도 무한 공감을 했죠.

그 내용은 다음과 같은데요. 사내망에 접속하는 모든 기기들은 일단 모든 통신이 차단된 ‘검역소’로 보내 각종 보안 검사를 하고, 문제가 없다는 것이 확인되면 내부망 사용을 허가하겠다는 것입니다. 그리고 각종 ‘검사’를 세분화해 보면 첫째, 어떤 사람과 장비인지 확인하고, 둘째, 소프트웨어적인 각종 보안 검사를 실시하는 것으로 나눌 수 있습니다.

이 때 문제가 발견되면 자동 패치 솔루션을 통해 즉각 필요한 소프트웨어 및 패치를 설치하게 하는데요. 이후 깨끗한 상태로 내부망 접속을 가능하도록 하는 것입니다. 이것이 바로 오늘날의 NAC, 바로 네트워크 접근 제어의 개념입니다.

보안 위협으로부터 멀어질 수 있는 방법이 등장하다!

과거 기업들의 IT 보안은 주로 외부로부터 유입되는 웜 바이러스, 악성 코드, 해킹(Hacking) 등에 대응하기 위한 것이었습니다. 즉 침입 차단 시스템(Firewall), 바이러스 월, 침입 방지 시스템(IPS, Intrusion Prevention System) 등의 네트워크 보안 시스템을 도입하고 배치하는 데에 집중되어 있었는데요.

하지만 점점 인터넷 관문에서 네트워크 침해를 막는 것에 대한 한계가 생기기 시작했습니다. 바로 유•무선 네트워크 기술의 발전, 단말기의 다양화, 기업 비즈니스 환경의 확대 등의 변화 때문입니다.

현재 IT 및 보안 관리자는 네트워크 보호를 위하여 여러 정보 보호 시스템을 구성해 왔지만 유해 트래픽이 끊임없이 발생하는 상황에 직면하고 있는데요. 뿐만 아니라 사용자가 안티 바이러스(Antivirus), 개인 방화벽 같은 보안 체계를 마련한다고 해도 상황은 마찬가지입니다.

운영 체제(OS)에 대한 적절한 보안패치, 제품 업데이트 미수행 등 보안 관리가 취약하여 내부에서 발생된 공격에 의한 업무 시스템 침해 발생 또는 내부 중요 자산의 유출 사건 등이 끊임없이 발생했기 때문입니다.

2009년 7월에 발생한 ‘7.7 DDOS 대란’ 역시 비슷한 맥락으로 볼 수 있을 것 같은데요. 이는 DDOS 공격(distributed denial-of-service attack)을 유발하는 악성 코드가 내부 네트워크 내 취약한 사용자 PC에서 활성화되어 업무 시스템을 마비시키고 외부 불특정 네트워크를 공격한 대표적인 침해 사고입니다.

이처럼 외부 공격를 차단하는 형태의 관문 보안 체계 구조를 가지는 침입 차단 시스템(Firewall), 침입 방지 시스템(IPS)만으로는 내부 사용자로부터 유입, 전파되는 바이러스 및 웜, 내부 사용자들의 권한을 초과한 주요 정보 자산으로의 접근을 근본적으로 차단할 수 없습니다.

이러한 한계를 극복하기 위해 내부 사용자들이 네트워크에 접속하는 순간부터 사용자 인증 및 접근 제어 정책을 강력하게 적용하여 바이러스나 웜의 전파, 불필요한 정보 자산으로의 접근을 차단하는 기술이 필요한데요. 즉 ‘예방’과 ‘차단’을 병행하는 적극적인 보안 아키텍처가 요구되는 것입니다.

그리고 이러한 상황에 대한 대응으로 가트너(Gartner) 그룹은 2005년 ‘네트워크 접근 제어(NAC, Network Access Control)’라는 새로운 네트워크 보안 모델을 제시했습니다.

1. 내부 네트워크 관리 환경

NAC는 적절한 권한을 가진 사용자가 보안이 검증된 안전한 단말 장치를 이용하여 내부 네트워크 자원에 접속할 수 있도록 제어하는 ‘사용자 접속 제어 시스템’입니다. NAC는 비정상 트래픽을 발생시키는 사용자, 즉 악성 코드 및 웜 바이러스에 오염된 PC•노트북•PDA•스마트폰 등의 모바일 형태의 단말기가 네트워크에 무단으로 접속하는 하는 것을 방지합니다.

2. 내부 네트워크를 사용하는 단말 및 사용자에 대한 감사 기록

네트워크에 접근하는 사용자의 권한과 접속 단말기들의 보안 상태(바이러스 백신 소프트웨어 설치 및 동작 여부, OS 패치 여부 및 환경 설정 등) 및 허가된 네트워크로의 접근 여부를 실시간으로 감시•통제하는 등의 역할을 합니다.

기존의 보안 시스템들이 보안 위협 발생 이후, 사후 대응에 중점을 두었다면, NAC는 좀 다른데요. 네트워크 접속 순간부터 사용 중, 그리고 접속이 끝날 때까지 전 영역에 걸쳐 예상되는 보안 위협을 효과적으로 예방•탐지•통제•치료할 수 있게 합니다.

3. 내부 네트워크 보호를 위한 관련 규정

현재, 다양한 산업 분야에서 기업 내부 보안에 대한 보호 대책을 강구하는 관계 법령이 요구되고 있는 상황인데요. 따라서 이에 대한 대응이 필요하다고 볼 수 있습니다.

최적의 NAC 제품을 선정하기 위해서는?

앞서 네트워크 접근 제어인 ‘NAC’의 개념, 등장 이유 등을 살펴보았는데요. 이러한 NAC는 기업 환경에 가장 적합한 적용 모델 및 제품 선정을 위해 일반적으로 NAC 제품군에 대한 ‘BMT(Benchmark TEST)’를 수행합니다. 이를 수행하기 위해 BMT를 위한 항목을 정의하고, 다수의 제품에 대한 BMT를 수행하여 선정하게 되는 것이죠. 그러면 지금부터 좀 더 세부적인 사항을 살펴보겠습니다.

● NAC 제품 BMT 평가 항목 예시

위에 제시한 예처럼 기업 환경에 맞게 BMT 평가 항목 및 배점을 선정하고 평가하여 최적의 제품을 선정하게 됩니다.

그리고, 다음으로 NAC 시스템 구축 시 요구사항 및 시스템 구축 방향에 대해서 예를 들어 설명하겠습니다.

● NAC 시스템 구축 시 요구 사항

1. 비인가자의 불법 네트워크 접속 시도 및 해킹에 대한 적극적인 차단
2. 임의 IP변경/부여 등으로 인한 시스템 장애를 예방하고, 악의적 사용자에 대한 End-Point Level에서 원천 차단
3. 정확한 사용자 인식 과정을 통한 네트워크 접속 권한을 차등 적용
4. 네트워크 접속 후에도 사용자 권한에 맞는 서비스에만 접근토록 조치하여 불필요한 서비스 접속 시도를 차단
5. 웜 바이러스의 보안 위협으로부터 기간 업무 시스템의 보안을 강화
6. 감염 경로 및 방법의 다양화로 감염된 PC를 네트워크 접속 이전 단계에서 강제적 예방 치료 또는 격리하여 감염으로 인한 자료 유출 방지

● NAC 시스템 구축 방향

1. 네트워크 차단 시스템의 필요성 및 적용 방법을 검토하여야 함
2. 기 도입된 보안 시스템과의 연동을 통한 보안 취약점을 개선해야 함
3. 사용자 식별 기반 보안 프레임 워크로 정확한 통제와 보안 정책을 적용해야 함

NAC 시스템, 구축 목표와 기대 효과는 어떤가요?

앞서 언급한 기준들에게 의해 선정된 NAC 제품은 아래와 같이 구축 목표에 맞추어 구현하게 되는데요. 그 내용은 다음과 같습니다.

● NAC 제품 구축 목표

NAC 본연의 네트워크 기기에 대한 네트워크 접근 통제 기능과 네트워크 기기에 대한 자산 현황,필수 SW 설치 및 보안 설정 현황에 대하여 관리하게 됩니다.

그리고, NAC 통제 정책 및 운영방안에 대한 예는 다음 표를 참조하십시오.

● NAC의 통제 정책 및 운영 방안

네트워크 기기를 사용하는 사용자 및 조직 유형별로 다양한 통제 정책을 수립하여 관리할 수 있도록 하는데요. 임직원•방문자•협력 업체 등 사용자 유형별로 통제 정책을 다르게 구성할 수 있습니다.

● NAC 구축의 기대 효과

지금까지 네트워크 접근 제어(NAC, Network Access Control)의 이모저모를 함께 살펴보았습니다. 시간이 갈수록 IT 기술이 발전하고, 다양한 단말기, 유•무선 네트워크의 혼합 환경으로 기업 업무 환경이 변화되면서 네트워크를 통한 보안 사고 또한 많이 발생하고 있는데요. 이러한 상황 속에서 NAC 시스템이 자신의 능력을 발휘하는 모습을 기대해 봅니다.

글 ㅣ LG CNS 보안컨설팅팀

[‘보안컨설팅 A to Z’ 연재 현황 및 향후 계획]

● 1편 출입카드 복제 위험 : http://blog.lgcns.com/737
● 2편 통합보안 관리 솔루션 구축 시 고려사항 : http://blog.lgcns.com/751
● 3편 의료분야 개인정보보호 위반사례 및 대응방안 : http://blog.lgcns.com/779
● 4편 보안 위험 분석 방법론의 한계와 발전방향 : http://blog.lgcns.com/812 (上) / http://blog.lgcns.com/813 (下)
● 5편 물리보안 동향 : http://blog.lgcns.com/856
● 6편 보안관리체계 도입하기 : http://blog.lgcns.com/869
● 7편 IoT 보안 취약점 및 대응방안 : http://blog.lgcns.com/896
● 8편 금융권 망분리 가이드라인 : http://blog.lgcns.com/922
● 9편 전자문서 보안 : http://blog.lgcns.com/945
● 10편 공공기관 모바일 보안