2024-03-30 00:10 (토)
[NAC 특집②] 가시성 확보, 관리의 시작-Seeing is Managing
상태바
[NAC 특집②] 가시성 확보, 관리의 시작-Seeing is Managing
  • 길민권
  • 승인 2013.08.05 01:02
이 기사를 공유합니다

“NAC, 단순 접속 제한이 아니라 올바른 접속 위한 가이드라인 역할”
내부 보안(Internal Security)을 위한 제품으로 성장을 거듭해 온 NAC 솔루션의 과거와 현재를 살펴보고 향후 발전 방향에 대해 전망해 보는 시간을 갖고자 한다. NAC에 대한 연재는 다음과 같은 순서로 진행될 예정이다.

1회 들어가며 (Intro)– 보안 관리자의 NAC(낙, 樂)
2회 가시성 (Visibility)
3회 빅데이터 (Resource Center)
4회 규제 (Compliance)
5회 결론 (Conclusion)
 
몸이 천 냥이면 눈이 구백 냥. 우리 몸의 소중한 인체 부위 중 눈이 차지하는 비중이 그만큼 높다. 그러한 눈이 수행하는 ‘보는 것(Seeing)’이라는 역할이야 말로 매우 중요하다. 눈으로 보아야 믿을 수 있고(Seeing is Believing), 눈에서 멀어지면 마음에서도 멀어진다(Out of Sight Out of Mind). 복잡한 사건은 자세히 들여다 보아야 해결의 실마리를 찾을 수 있고, 어려운 상황일수록 멀리 볼 수 있어야 곤경을 헤쳐나갈 수 있다.
 
이러한 이유 때문인지 최근 NAC를 포함한 보안업계에서 가시성(Visibility)을 논하는 열기가 뜨겁다. 가시성의 중요도를 부각시킨 사건은 모바일 기기의 등장이다. 모바일 기기는 구체적인 통계나 수치 자료를 확인해 보지 않아도 체감할 수 있듯이 스마트폰을 사용하지 않는 직장인을 보기 어려울 정도로 널리 보급되어 있다.
 
개인들이 모바일 기기를 업무에 적극적으로 활용하게 되면서 무선 네트워크 환경을 구축해달라고 요구하거나 본인이 무선 네트워크를 직접 만들어(?) 사용하는 경우를 종종 볼 수 있다. 무선 네트워크 환경이 구축이 되고 나면 다양한 기기들이 무선으로 연결되는데 스마트폰, 노트북, 태블릿, 카메라, 스캐너, 프린터 등 그 종류는 이루 말할 수 없이 많다. 그런데 AP에 보안 설정을 하지 않거나 했더라도 설정이 너무 허술하다면 근처 사무실의 단말기가 연결될 수도 있다. 이는 모든 것이 내부 네트워크로 연결될 수 있다는 것을 의미한다.
 
이런 모습은 모든 네트워크에서 일어나는 공통적인 현상이다. 무선 접속 환경이 도래하고 기기의 증가로 이미 네트워크의 경계선(Perimeter)이 사라졌다고 해도 과언이 아니다. 나아가 FMC(Fixed Mobile Computing) 등으로 데이터와 음성의 경계도 불분명해지고 있다.
 
가트너 자료에 따르면 네트워크에 존재하는 기기 가운데 20%는 관리자가 식별할 수 없거나 아예 존재 자체를 모르고 있다고 밝히고 있다. 게다가 50% 이상의 단말은 조직의 보안 규정을 준수하지 않는 상태(Non-Compliant)라고 한다.
 
2011년도 SANS의 보고서는 이런 우려를 실감나게 보여준다. BYOD(Bring Your Own Device) 현상이 투자 비용 감소와 생산성의 증가에 기여할 것으로 기대하며 무선 단말의 네트워크 접근을 정책적으로 허용한 기업이 전체 조사 기업 중에 61%에 달했다. 그런데 허용한 자원을 100% 식별하고 있는 경우는 10%가 채 되지 않는다. 50% 미만 정도 식별하고 있다는 기업은 절반을 넘었다(54%). 결국 네트워크에 무엇이 존재하고 있는지 절반 정도는 정확히 파악하지 못하고 있다는 것이다.
 
이러한 상황에서 보안 정책을 수립하고 운영하기란 사실상 불가능하다. 보이지 않는 대상에 어떠한 보안 정책을 어떻게 적용할 수 있겠는가? 따라서 가시성(Visibility)의 확보는 보안 환경을 구축하고 네트워크를 운영하는 데 있어 출발점이라고 할 수 있다. 존재 자체를 알지 못하는 단말, 불법으로 접속되어 있거나 접속을 시도하는 기기와 사용자, 미인가 어플리케이션, 보안 정책을 준수하지 않은 단말 등, 모두 관리해야 할 대상이다.
 
NAC 솔루션은 네트워크 가시성 확보를 위한 다양한 기능을 제공한다. 내부 보안을 위해 IP관리(IPM), 자산관리(DMS), 패치관리(PMS), 사용자인증(AAA) 등의 굵직한 기능을 기본적으로 탑재한다. 부가적으로 스위치 연결 위치 식별, DNS/FTP 서비스 식별, Spoofing과 같은 비정상 행위 탐지, 그리고 NAT 등 네트워크 환경의 식별 기능들이 있다. 이 기능들은 수년 전부터 유선 기반에서 완성되었으며, 이제는 단독 솔루션에 필적하는 수준에까지 발전했다고 판단된다.
 
확대되고 있는 무선 환경의 가시성을 확보하기 위한 노력도 진행중이다. 무선 환경에서의 가장 큰 위협은 불법AP(Rogue AP)이며 이에 대한 관리가 반드시 필요하다. NAC에서는 SoftAP를 포함하는 AP를 식별하고 인가된 AP와도 구분하고 있다. 보안 설정을 하지 않았거나 설정을 잘못한 AP에 대한 세부 내용은 물론이고 접속 단말의 정보까지 확인할 수 있다. 제거해야 할 AP의 물리적 위치도 확인할 수 있으며, 무선 사용자를 식별하기 위한 RADIUS 및 계정 관리(Accounting) 기능도 제공한다.
 
네트워크에 접속하는 유무선 단말을 즉각 탐지해 보안정책을 적용할 수 있다면 네트워크 수준의 가시성은 충분히 확보할 수 있다. 보다 세부적인(granular) 보안 정책 적용을 위해서는 플랫폼과 에이전트에 대한 정보가 필요하다. 플랫폼 정보는 관리자에게 단순 단말 분류 정보 이상의 내용을 제공할 수 있어야 예를 들어, ”SNMP와 MIB는 GT-I9100”이라는 정보뿐 아니라 “접속한 단말은 갤럭시S2”라는 것까지 알려주어야 하는 것이다. 또한 특정 산업군이나 국가/지역에 국한된 단말의 식별도 지원해야 한다.
 
세계적인 평가기관인 톨리그룹(www.tolly.com)의 NAC 분야 테스팅 리포트에 ‘실시간 가시성(Real-time Visibility) 평가 항목이 포함되어 있다. 톱 클래스 NAC 제품의 경우, 에이전트 없이 2분 이내에 완벽한 단말 분류와 식별이 이루어 지는 것을 볼 수 있다.
 
에이전트를 설치하게 되면 단말의 OS나 패치 현황, 업데이트 유무, 설치 어플리케이션 등의 상세 정보를 얻을 수 있다. 패스워드나 공유폴더 등의 보안 설정도 확인할 수 있으며 저장장치 사용과 테터링 유무와 가은 주변 장치의 확인도 가능하다. 사용자 인증 기능을 통해 단말과 사용자를 연결하게 되면 인증 여부나 역할(Role)에 따른 보안 정책도 운영할 수 있게 된다.
 
앞서 언급한 모든 기능과 동작은 관리자가 네트워크에 대한 가시성을 확보하는 데에 큰 도움을 줄 것이다. 물론 강력하고 세밀한(granular) 보안 정책의 수립과 운영을 위해서는 사용자와 단말의 적극적 참여가 수반되어야 하겠지만 말이다.
 
NAC는 여기에서 멈추지 않는다. 최근에는 사용자와 단말의 지원 없이도 데이터를 분석해내는 방법이 연구되고 있다. 이러한 기술은 사용자의 협조가 부족하거나 프라이버시 등의 이슈가 클 때 효과적으로 쓰인다. 네트워크 트래픽을 분석하거나 디바이스 핑거프린팅 기술을 고도화하는 방법을 이용해 에이전트를 설치하지 않더라도 단말의 트래픽을 분석해 사용자와 어플리케이션에 대한 정보를 제공받을 수 있다.
 
NAC는 유무선 네트워크의 관문이다, 단순히 접속을 제한하기 위해 존재하는 것이 아니라 올바른 접속을 위한 가이드라인 역할을 담당한다 각종 내부 정책과 규제 준수에 대한 모든 정보를 보유하고 있는 NAC는 최고의 가시성을 제공해 주는 적토마와 같은 존재일 것이다. 적토마를 어떻게 다룰지는 관리자에게 달렸다.
 
글. 이대효 지니네트웍스 dado@geninetworks.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★