재택근무는 코로나(Covid-19) 대 유행 이후 기업의 표준 업무 형태로 빠르게 자리잡아가고 있습니다. Google 검색을 통한 재택근무 또는 원격근무의 검색률이 매우 높다고 합니다.
세계적인 IT 분야의 리서치 기업 가트너(Gartner)에 따르면 ‘전 세계 기업의 88%가 코로나 바이러스의 기하급수적인 확산으로 모든 직원의 재택근무를 의무화 하거나 권장했다. 또한 조직의 약 97%가 모든 업무관련 출장을 즉시 취소 했다.” 라고 밝히고 있습니다. 이러한 현상은 해외에 국한된 것은 아니며 국내에서도 동일하게 발생하고 있는 현상입니다.
많은 기업이 급격하게 증가된 재택근무자들과 내부 자원(PC 등) 이동에 따른 보안조치를 어떻게 해야 할지 고민하고 있을 것입니다. 이 고민을 해결하기 위한 대안으로 ZTNA(Zero Trust Network Access) 나 SASE(Secure Access Service Edge)와 같은 새로운 기술의 도입을 고려할 수 있습니다. 그러나 충분하지 못한 레퍼런스와 예상하지 못한 투자 등은 기업운영에 부담이 될 수 있습니다.
여전히 많은 기업이 VPN에 의존하고 있는 상황에서 지금 즉시 시행할 수 있는 효과적인 방법은 무엇일까요?
지니언스는 VPN과 RADIUS의 통합이라고 생각합니다!
RADIUS와 통합을 통해 VPN 접속 전 사용자를 인증하고, 인증 과정에서 권한을 할당하여 안전한 연결을 지원할 수 있습니다. 연결 이후 보안 정책을 위반할 경우 권한을 변경하여 연결을 제한할 수 있습니다. 권한이 있는 재택근무자와 안전이 확인된 단말의 업무 연속을 보장하며, 그렇지 못할 경우에는 즉시 차단 조치할 수 있습니다.
이번 시간에는
RADIUS를 이용한 ‘인증 + 권한부여 + 권한변경(CoA)’으로 재택근무 보안을 강화하는 방법을 알려드립니다.
RADIUS가 무엇인가요?
RADIUS는 Remote Authentication Dial In User Service의 약자이며 네트워킹 프로토콜로 사용자가 네트워크에 연결하고 네트워크 서비스를 받기위한 중앙 집중화된 인증, 권한 부여, 계정 관리를 제공하는 인증용 서버 또는 서비스를 의미합니다. 사용자와 RADIUS 클라이언트(인증 에이전트) 그리고 RADIUS 서버(인증 서버)로 구성되어 있습니다. RADIUS 가 제공하는 기능은 아래와 같습니다.
인증 (Authentication) – 당신은 누구 입니까?
인증은 사용자 또는 단말을 식별하고 신원을 검증하기 위한 과정입니다. RADIUS는 자체적으로 또는 AD(Active Directory) / LDAP(Lightweight Directory Access Protocol)과 같은 제 3의 인증 서버를 통하여 사용자 및 컴퓨터단말을 식별 및하고 검증을 위해 사용 될 수 있습니다됩니다. 사용자 또는 단말이 성공적으로 인증된다면, 내부 네트워크 접속이 승인되고, 그렇지 않을 경우 접속이 거부됩니다.
권한 부여 (Authorization) – 당신은 무엇을 할 수 있습니까?
권한 부여는 인증이 완료된 사용자 또는 단말에 특정 권한을 할당하기 위한 과정입니다. 이 과정을 통해 접속이 가능한 범위를 구분할 수 있습니다. 즉, 사용자 그룹 별 또는 사용자 별로 내부 자원에 접속할 수 있는 권한을 정의함으로써 재택근무자의 무분별한 내부 자원 접속을 예방할 수 있습니다.
계정 관리 (Accounting) - 당신의 활동을 기록하고 있습니다!
인증이 필요한 사용자 및 단말의 정보를 보유하고 있으며 활동에 대한 모든 정보를 기록하고 관리합니다. 인증 요청 시간, 위치 뿐 아니라 인증 여부, 오류 횟수 등 모든 것이 포함됩니다. 이러한 정보는 이후 과금(Billing), 감사(Auditing), 리포팅 등을 위해 사용되며 보다 안전한 보안 정책의 수립과 시행을 위해 필요합니다.
권한 변경 (CoA: Change of Authorization) – 인증 후 악성코드에 감염되었습니다. 어떻게 하나요?
RADIUS로 인증이 완료된 이후라도 사용자 및 단말의 상태는 지속적으로 관리되어야 합니다. 만약 인증 후에 단말이 악성코드에 감염되었다면 어떻게 될까요? RADIUS는 이러한 문제를 해결하기 위하여 CoA라고 하는 RADIUS 표준에 의한 동적 인증 확장 기능을 제공합니다. 이를 통해 사용자 및 단말이 보안정책을 위반하는 경우 이를 감지하고 적절한 조치를 취할수 있습니다. 조치 방법으로는 인증 해제, 강제 종료(Session Termination), 고립(Isolation) 등 다양한 방법이 있습니다.
보안 정책과 접속 중인 단말의 상태를 확인하여 위협 발생 시 CoA가 수행되며, CoA를 통해 단말의 차단, 접속 범위 축소, 제한 등의 변경이 동적으로 제공됩니다.
RADIUS 와 Genian NAC – Genian NAC에는 RADIUS 기능이 포함되어 있습니다.
Genian NAC는 RADIUS 사용을 위한 인증서버 및 클라이언트를 포함하고 있습니다. 이것은 802.1X를 지원하며 다른 네트워크 장치와 완벽하게 호환됩니다. 만일 Genian NAC를 통하여 RADIUS 환경을 구축하는 경우라면 (NAC를 RADIUS 인증 서버로 활용하고 NAC Agent를 사용하는 경우) 재택근무자를 대상으로 사용자 및 단말의 인증 기능을 제공할 수 있습니다(Pre-Connect). 이후 사용자 또는 단말의 상태를 실시간으로 확인할 수 있습니다. 만일 단말의 상태가 보안규정에 어긋날 경우 RADIUS 서버(이 경우 NAC 서버)는 CoA를 이용하여 FW, VPN 등의 통신을 제어할 수 있습니다(Post-Connect).
RADIUS가 통합된 Genian NAC를 사용하는 것으로 인증에서 권한 설정 그리고 상태 변경에 따른 권한 재할당을 간단한 설정만으로 구현할 수 있습니다.
인증(Authentication)
권한 부여(Authorization)
권한 변경(CoA: Change of Authorization)
Genian NA와 RADIUS 통합으로 재택근무자의 내부 자원 접근을 승인하고 제어하는 동시에 연결 이후의 보안 상태의 변화에도 대응할 수 있습니다. 기업은 재택근무자의 근무 환경에 상관없이 동일한 권한과 보안 정책을 적용하고 관리할 수 있어야 합니다. 단일 솔루션을 활용하여 보안 정책을 수행하는 것은 내부 보안의 중요한 요소가 됩니다. Genian NAC에 포함된 RADIUS 서버는 인증, 권한 부여 및 권한 변경 (CoA) 기능을 수행할 수 있습니다.
자세한 내용은 아래 참조하십시오.
RADIUS 정책 설정 : https://docs.genians.com/release/ko/controlling/enforcement-policy/radius_policy.html
RADIUS 제어 설정: https://docs.genians.com/release/ko/controlling/radius-intro.html
지금까지 RADIUS 를 이용한 ‘인증 + 권한 부여 + 권한 변경(CoA)’을 통해 재택근무 보안 방법에 대해서 알아보았습니다. Genian NAC를 사용 중이라면 NAC를 RADIUS 인증 서버로 활용하고 NAC Agent를 사용하여 안전하게 내부 자원을 보호할 수 있습니다.
지니언스의 제품
Genian NAC와 Radius 인증 서버와 활용에 관한 자세한 내용은 아래의 문서를 참고바랍니다.