정태선 닉스테크 기술연구소장 tscheong@nicstech.com
수구초심(首丘初心)이란 말이 있다. 여우가 죽을 때엔 자기가 살던 곳을 향해 머리를 둔다는 뜻으로, 근본을 잊지 말아야 한다는 것이다. 지난해 유독 보안 사고가 잦았다. 분산서비스거부(DDoS) 사건 및 지난해 금융권에서 벌어진 잇단 해킹사고로 인해 금융권뿐 아니라 공공기관에서도 보안을 강화하고 있는 현 시점에서 근본은 더욱 중요하다.
그렇다면 보안 솔루션 중 하나인 네트워크 접근제어(NAC)의 근본(기본)은 무엇일까? 말 그대로 NAC 솔루션은 허가받지 않은 PC나 노트북의 네트워크 접근을 허용하지 않겠다는 것이다. 이러한 매우 간단한 보안 기본 요건을 현재 IT보안 담당자는 경시하는 경향이 있다.
NAC제품은 기존에 설치된 엔드포인트단의 제품들과 연동을 통한 시너지를 발휘해 더욱 강력한 보안기능을 발휘한다. 하지만 국내 NAC 제품 가운데 일부는 기업 요구 사항 때문에 본연의 NAC 기능이 아닌 IP관리 기능을 넣어 판매하는 경우가 있다.
고객이 요구하니 판매자 입장에서는 어쩔 수 없다. 하지만 이는 IP관리 솔루션 시장 침해는 물론 NAC 보안기술에 IP관리 솔루션 기술을 활용하면서 내부 취약성이 생긴다는 점을 명심해야 한다.
제품판매도 중요하지만 NAC 제공업체도 최소한의 대비책은 가지고 있어야 한다. 정확하게 용도를 구별해 내부 네트워크 강화, 사용자 인증, 단말기 보안정책 강화, 안전성 체크 등을 챙겨야 보안사고를 막을 수 있다.
NAC 본연 기능인 내부 네트워크에 불법 접근 단말기 차단기술을 간과해서는 곤란하다. 이런 측면에서 NAC 제품 도입 시 고려돼야 할 주요항목 3가지를 지적한다.
첫째 고객사는 도입 목적을 분명히 해야 한다. 목적 없이 타사가 도입했으니 우리도 도입한다는 생각은 버려야 한다. 목적에 입각해 필요한 기능이 무엇인가를 꼼꼼히 살펴 제품을 도입해야 한다.
둘째 인증우회 가능성에 대한 부분이다. NAC 도입 시 고려해야 할 부분은 NAC를 우회해 네트워크에 접근할 수 있는 가능성이 있는지를 살피는 일이다. IP 관리 기술을 이용한 NAC 제품은 별도 도구 없이 IP와 MAC만 위조해 시스템을 우회할 수 있다는 취약점이 있다. 현재까지 알려진 가장 안전한 방법은 네트워크 접근제어에 보안인증 표준인 802.1x를 이용하는 것이다. 802.1x 표준은 거의 모든 기기에서 별도 프로그램 없이 OS에서 지원한다. BYOD(Bring Your Own Device) 시대에 802.1x은 스마트폰, 스마트패드 등 모든 장치를 포괄한다.
셋째는 기 구축된 솔루션과 백오피스 연동이다. NAC제품은 기존에 사용하고 있는 제품(ESM, DLP, DRM, 백신 등)과 연동이 중요한 엔드포인트 제품이기 때문에 단말 및 사용자가 네트워크에 진입하는 단계에서 필요한 정책 및 내부사용자와 외부사용자에 대한 정책을 별도로 수립해야된다. 그러나 기업들이 이미 LDAP(Lightweight Directory Access Protocol), 액티브 디렉토리, 데이터베이스관리시스템(DBMS)으로 사용자 인증 정보를 관리하고 있기 때문에 별도의 인증체계를 만들기 보다는 기존 백오피스와 연동이 원활한 제품을 도입하는 것이 중요하다.
정책수립에는 이들 사항이 지켜져야 한다. 큰 그림을 그린 후에 세부적인 부서별 정책, 사용자별 정책, 네트워크 정책 등을 완성한다면 제품 도입 효율성을 극대화할 수 있다. 보안강화 주요 수단인 NAC는 명확한 평가요소와 정확한 평가(벤치마크테스트) 결과로 선택해야 소 잃고 외양간 고치는 일이 없다.
장윤정기자 linda@etnews.com