내부 보안(Internal Security)을 위한 제품으로 성장을 거듭해 온 NAC 솔루션의 과거와 현재를 살펴보고 향후 발전 방향에 대해 전망해 보는 시간을 갖고자 한다. NAC에 대한 연재는 다음과 같은 순서로 진행될 예정이다.
 
1회 들어가며 (Intro)– 보안 관리자의 NAC(낙, 樂)
2회 가시성 (Visibility)
3회 빅데이터 (Resource Center)
4회 규제 (Compliance)
5회 결론 (Conclusion)
 
지난 2000년 초 패치관리시스템(PMS) 제품이 인기를 끌었다. 지금은 패치(Patch)에 대한 인식도 많이 개선됐고, NAC 같은 관리솔루션에서 부가 기능으로 제공할 만큼 보편화 되었다. 1990년대에 등장했던 PMS가 십수년이 지난 뒤에 갑자기 인기를 끈 이유는 무엇이었을까? 많은 이유가 있겠지만 필자는 ‘설치유도 기능’의 덕이라고 본다.(사진. 이대효 부장)
 
에이전트를 설치해야 하는 솔루션을 구축해서 사용하려면, 관리자는 내부의 임직원들에게 “제발 좀 에이전트를 설치해 주세요”라고 부탁을 해야만 했다. 이러한 양상은 과거 PMS 제품에서 볼 수 있으며, 현재 MDM 제품에서도 비슷한 모습이다.
 
최근 ‘설치유도 기능’이 이러한 판을 바꿨다. 에이전트를 설치하지 않으면 인터넷을 사용할 수가 없게 되면서 설치를 구걸하지(?) 않아도 된 관리자들은 쾌재를 불렀다. “Agent 설치하기 싫음 인터넷을 관두던가…” 에이전트 설치의 증가와 함께 패치율이 향상됐으며 더불어 보안 사고가 크게 줄었다. 지금은 설치유도 기술도 대중화되었다고 할 수 있다.
 
필자는 해외 전시회를 자주 참관하는 편이다. IT와 정보보호의 화두가 무엇인지 확인하고 동종 업계 근황도 확인할 수 있어 기획/마케팅을 하는 입장에서 큰 도움이 된다. 당연히 NAC 솔루션 개발하는 업체 부스는 반드시 들른다. 정탐(?)의 목적도 있지만 로드맵과 기술 동향을 파악하고 토론하고자 하는 것이 주목적이다. 자연스레 자사 제품에 대한 이야기들이 오고 가는데 서로 이해하지 못해 벌어지는 광경이 펼쳐지기도 펼쳐진다.
 
관리 제품의 예를 들어보자. 소위 국내에서 잘 나간다고(?) 하는 관리 제품의 특징은 예외 상황(Exceptional case) 색출(?)과 다양한 대응(enforcement)을 강점으로 내세운다. 앞서 말한 ‘설치유도 기능’이 이에 해당한다. 에이전트를 설치하지 않는 사용자를 색출해 인터넷을 사용할 수 없도록 차단하는 초(?)강수를 두는 것이다. 적어도 국내에서는 이 기능이 매우 효과적이다.
 
그러나 해외는 다르다. 필자가 미국에서 열린 전시회에서 이러한 기능에 대하여 설명했을 때 그들은 고개를 갸우뚱 하며 이렇게 말했다. “우리 제품에는 그런 기능이 없습니다. 아니 필요가 없습니다. 에이전트를 설치하라고 메일을 보내거나 게시판에 공지하면 모두가 설치합니다. 그런데 이런 기능이 왜 필요하죠?” 일본에서 만났던 엔지니어도 비슷한 대답을 했다. “BYOD(Bring Your Own Device)요? 글쎄요 일본에서는 별로 이슈가 없을 것 같은데요. 회사에서 ‘하지 마라’고 한 것은 하지 않습니다. ‘하라’ 고 한 것은 하고요. 예외적인 이슈가 거의 없습니다. 에이전트를 설치 하지 않으면 아마도 이지매 당할 걸요?”
 
글로벌한 보안 관리 제품이 국내에서 크게 성공하지 못하고, 국내 1등 제품이 해외에서 힘을 쓰지 못하는 이유가 이러한 문화적 차이에 기인하는 것이 아닐까 조심스레 추측해 본다. 그 동안 필자가 보아온 많은 글로벌 보안관리 제품은 공통적으로 ‘통계, 감사, 보고서, 분석, 연동’ 등에 강력한 기능을 제공하고 있었다. 이는 관리 제품이 관리 대상의 이력, 추이(transition), 예측을 통해 불확실성과 위협을 점진적으로 줄여나가는 것을 목표로 한다는 것을 알 수 있다.
 
국내 제품의 경우 ‘(예외사항에 대한) 감지, (다양한) 조치, 실시간 대응’ 등에 강력한 기능을 제공하고 있다. 반면 통계, 감사, 보고서, 분석 등은 상대적으로 많이 부족한 편이다. 이는 미래에 대한 대비 보다는 즉시성(immediate)이 중요하다는 것을 의미한다. 동일하게 보안 규제(Compliance)에 대응한다고 하지만 목표는 서로 달라 보인다.
 
엔드포인트(PC 등 단말)의 규제(Compliance)를 언급할 때, 우리는 즉시성을 경쟁의 우위로 논한다. 안티바이러스 제품을 설치하지 않은 PC를 빠르게 검색하여 설치하게 하고, 최신의 엔진으로 업데이트 하지 않은 PC의 엔진을 즉시 업데이트 하도록 하는 것이다. 규제(Compliance)와 관련된 대상은 대단히 많다. 위의 안티바이러스 외에도 최신 패치(Patch)의 적용 유무, OS의 취약점, PC 보안 상태, 레지스트리, 공유폴더, 화면보호기, P2P/메신저 설치 등등 셀 수가 없을 정도다.
 
관리자는 내부 보안 기준에 미달하는 대상을 정확하고 빠르게 검색하여 기준에 맞게 일괄로 설정하기를 원한다. 그러고 솔루션은 그렇게 발전되어 왔다. NAC는 관리자의 이러한 요구를 만족시켜줄 수 있는 최고의 선택이다. 관리자에게는 樂(즐거움)을, 사용자에게는 지옥을 맛 보여줄 수 있다. 설치유도 기능으로 NAC 에이전트를 100%에 가깝게 설치할 수 있고 Agent가 설치된 단말에 강력한 규정을 적용할 수 있다. 규정을 어기는 경우에는 팝업(Pop-Up) 메시지나 경고(?) 메일 등 약한 수준의 조치에서부터 인터넷 차단, 어플리케이션 삭제, Process Kill 등의 강력한 조치를 할 수 있다.
 
이러한 즉시성 높은 조치는 안타깝게도 잠재적인 불확실성과 위협을 줄이는데 효과적이지 않다. 체력과 면역력이 저하되어 자꾸 감기에 걸리는 환자에게 감기약만 먹이는 셈이다. 당장은 나을 수 있지만 또다시 감기에 걸릴 수 있다. 게다가 감기약에 내성이 생겨서 더욱 강한 약을 투여 해야 한다. 궁극적으로 체력을 강하게 해야 한다. 결국 보약을 먹어야 한다. 규제(Compliance)도 마찬가지다. 즉시성 높은 조치에만 의존한다면 개인과 조직의 보안수준을 제고하는 데 분명 한계가 있다.
 
APT 공격을 예로 들어 보자. 사용자가 APT 공격에 노출되는 경로는 매우 다양한데 대부분 메일과 웹을 통해 이루어 진다. 확인되지 않은 첨부파일을 실행하거나 악성코드가 숨겨진 웹사이트에 접속하는 것으로 감염이 시작된다. 이후 장시간에 걸쳐서 중요한 데이터의 유출 등이 이루어지는데 호기심과 잘못된 판단에 대한 초기의 행위(action)가 많은 보안 사고의 시작이 되는 것이다.
 
결국 규제(Compliance)는 궁극적으로 사람(human)과 그 사람의 행위(action)를 통제하는 것으로 완성할 수 있다. “해야 하는 것을 하는 것과 하지 말아야 하는 것을 하지 않는 것”, 어찌 보면 최근의 많은 보안 사고는 당연한 것을 지키지 않는 사람에 의한 인재라고 할 수 있다. 그리고 이러한 ‘인재’를 막기 위한 다양한 연구가 진행되고 있다.
 
SANS의 Securing the human project나 social enginerring.org 등이 대표적인 사례이다. ‘행위 보안 점검’이라고 명명할 수 있는 이러한 접근은 컴플라이언스를 사람의 관점에서 완성하려는 방식이다. 교육을 통해 보안에 대한 인식(awareness)을 높이는 것을 시작으로 패스워드, 공유폴더 등 시스템 보안관련 설정을 다루는 것을 포함한다. 더 나아가 사용자에게 악성코드가 첨부된 임의의 메일을 전송하여 첨부파일을 실행하는지 여부, 가상의 웹페이지를 생성하고 이 사이트에 접속하는지의 여부 등을 확인해 사용자의 보안 의식 수준과 그들의 행위를 분석한다.
 
Information Week의 2013 Strategic Security Survey에 따르면 ‘가장 중요한 보안 대응 행위가 무엇인가?’ 라는 질문에 절반 이상(54%)의 응답자가 ‘사용자에 대한 보안인식 훈련(End user security awareness training)’이라고 답했다. 또한 위의 행위 보안 점검과 관련, ‘이미 수행 중이다’라는 답변이 28%, 전혀 사용하지 않는다 라는 답변이 46%였다. 노출 되지 않게 점검하는 것까지 포함하면 3곳 중 1곳은 이미 행위 보안에 대한 어떠한 조사나 작업을 수행하고 있다고 봐도 무방할 것 같다.
 
백신 미설치 PC를 찾아내 강제로 설치하도록 하는 최고의 솔루션은 NAC이다. 그러나 이러한 기능에만 초점을 맞춰서는 수준 높은 규제(Compliance) 준수를 기대하기 어렵다. IT 환경과 관리 환경은 갈수록 복잡해지고 있다. NAC를 포함한 많은 정보보안 솔루션들이 사람과 그들의 행위에 초점을 맞춘 새롭고 재미있는(?) 기능들을 제공해 주기를 바란다
 
글. 이대효 지니네트웍스 부장 dado@geninetworks.com