안녕하세요!
TS팀을 담당하고 있는 노양욱 팀장입니다.
NAC(Network Access Control, 네트워크접근제어)는 이제 기업의 내부보안을 책임지는 인트라넷 시큐리티 프레임웍이 되었습니다.
인트라넷 시큐리티 프레임웍(Intranet Security Framework)이란 ‘내부보안(사내보안)의 기본 틀, 체계, 바탕’ 정도로 이해할 수 있습니다.
인트라넷 보안을 설계할 때 방화벽이나 백신과 마찬가지로 NAC도 항상 거론이 됩니다. 차이점이라고 하면 방화벽이나 백신과는 달리 단위솔루션이 아닌 인트라넷 시큐리티를 위한 프레임웍이라는 것입니다.
NAC는 단말이나 사용자의 인트라넷 접근을 위한 인증(Authentication), 모니터링(Monitoring), 교정(Remediation)이라는 역할을 수행하고 있고, Third Party System(인사DB, 백신, DLP, 자산관리 등의 엔드포인트시스템, 네트워크보안시스템, 인증시스템, ESM 등)과 상호 유기적으로 연동/연계되어 움직입니다.
NAC를 도입했거나 검토 중인 고객 중 일부는 NAC가 구축, 관리, 확장측면에서 복잡하고 어렵다고 생각되어 부정적인 의견을 보이기도 하지만, 이러한 의견은 NAC의 일부분만 보았거나 아니면 ‘NAC는 이것이다. 이것이어야만 해’라고 단정지으려는 유형으로 보입니다.
아래 내용을 바탕으로 NAC가 어떻게 인트라넷 시큐리티 프레임웍이 되었는지를 설명드리고자 합니다.
Unknown = Can’t control
인트라넷 시큐리티 프레임웍이 되기 위한 최우선 조건은 인트라넷에 연결된 모든 단말을 대상으로 관리하고 통제할 수 있어야 한다는 것입니다. 관리가 되지 않는 단말을 통제한다는 것이 가능할까요? 그래서 인트라넷을 사용하는 단말에 대한 가시성(Visibility)이 그만큼 중요합니다. 가시성이라는 것이 무엇인가요? 단말 자체뿐 아니라 단말의 상태/속성까지 볼 수 있는 능력! 그것이 바로 가시성입니다.
네트워크에 연결된 단말의 탐지, 인증, 보안수준점검 결과에 대해서 빠짐없이 확인할 수 있는 능력인 가시성이야 말로 인트라넷 시큐리티를 위해, 인트라넷의 지속적인 보안을 위해 반드시 필요합니다.
NAC은 이러한 가시성을 바탕으로 필요 시 802.1x port기반 제어, ARP management, SNMP를 이용한 Switch Port제어, ACL 등 다양한 차단방식을 이용해 인트라넷을 보호 할 수 있습니다.
Access Restriction
인트라넷에서의 보안 이슈로는 어떤 것들이 있을까? 보통 비인가자의 접속, 접근 권한을 넘어선 접속, 정책 위반자에 대한 조치수단 부재, 인트라넷/익스트라넷 간의 네트워크 공격과 위협, 안일한 패스워드 관리, 내부자료 유출 등을 생각해 볼 수 있습니다.
인트라넷 시큐리티는 내부 사용자 및 네트워크에 대한 보호와 통제를 근간으로 외부로부터의 공격과 침입에 대한 대응이 필요합니다.
NAC는 전용 장비, 단말에 설치되는 Agent, 기 구축되어 있는 인프라(보안시스템, 스위치) 등을 이용해서 인트라넷 시큐리티의 주요 이슈 중 내부 사용자 및 네트워크에 대한 보호와 관련된 비인가자의 통제, 인가자의 권한 밖의 접속, 정책위반자에 대한 차단을 완벽히 수행합니다.
NAC는 인트라넷 시큐리티를 위한 가장 확실한 통제 수단을 제공함과 동시에 사용자의 정당한 네트워크 사용을 보장해 줍니다.
More Intelligent, Smarter Security
Intelligent? 살아있는 것에 대한 이야기가 아니라 보안 보안시스템에 대한 이야기입니다. 보안시스템에 인공지능이라도 가미되어야 한단 말일까요?
사실 이 말은 NAC뿐만 아니라 개별 보안시스템이 단위기능을 넘어서 스마트해져야 한다는 이야기입니다. 어떻게 해야 보안시스템이 스마트해 질 수 있을까요? 결국은 개별 시스템이 가진 정보, 지식을 넘어 연동, 공유, 집단지성(Collective Intelligence), 협업(Collaboration), 통합(Integration)을 통해 혼자가 아닌 모두의 지식을 통해 스마트해 질 수 있습니다.
단위 솔루션이 생산/보유하고 있는 정보의 양적인 측면에서 볼 때 NAC는 그 어느 솔루션보다 많은 데이터를 생산, 보유하고 있습니다(사용자 인증정보, IP/MAC 사용정보, PC의 H/W, S/W정보, 패치상태, 단말의 OS, 플랫폼, 오픈서비스, 위치, 연결형태 정보, 스위치의 설정, Utilization 등등).
내가 가진 데이터가 양과 질적인 면에서 매력적이라면 상대방으로부터 보다 손쉽게 원하는 데이터를 얻지 않을까요? NAC가 그런기능을 제공한다고 물으신다면 답변은 '당연하지!'입니다. NAC는 양질의 데이터를 가지고 있으므로 인트라넷 시큐리티 프레임웍이 될 수밖에 없는 것입니다.
사람을 이해하는 NAC 구축
NAC가 인트라넷 시큐리티 프레임웍이 될 수밖에 없는 이유를 앞에서 설명했지만 여전히 뭔가 부족하다라는 생각이 듭니다. 그건 바로 ‘어떻게 시스템만으로 보안 문제를 해결할 수 있겠는가?’ 라는 것입니다.
과연 보안시스템으로 사람(잘 따라주는 사람, 무관심한 사람, 악의적인 사람)을 통제할 수 있을까요? 절대로, 단연코 불가능할 것입니다.
무관심한 사람, 악의적인 사람에서 정책을 잘 따라주는 사람으로 만드는 교화과정이 필요한데 결국은 인트라넷 시큐리티의 문제는 인트라넷을 사용하는 사람으로 귀결됩니다. 시스템은 단지 거들뿐!
대부분의 보안 시스템이 시스템을 구축하고 사용자를 차단하는 것에만 포커스를 맞췄었는데 차단만으로 끝낼 일은 아닌 듯 보입니다. 보안 위협 발생시 즉각적인 차단도 중요합니다. 더불어 일방적으로 차단만 하는 것이 아닌 사용자의 자발적인 참여를 끌어낼 수 있는 묘수를 찾아내야 합니다.
어떻게 하면 사용자 스스로가 단말의 보안성을 높이게끔 만드느냐가 향후 기업의 보안 문제를 해결하는 대안이 될 수 있을 것입니다.