내부 보안(Internal Security)을 위한 제품으로 성장을 거듭해 온 NAC 솔루션의 과거와 현재를 살펴보고 향후 발전 방향에 대해 전망해 보는 시간을 갖고자 한다. NAC에 대한 연재는 다음과 같은 순서로 진행될 예정이다.
 
1회 들어가며 (Intro)– 보안 관리자의 NAC(낙, 樂)
2회 가시성 (Visibility)
3회 빅데이터 (Resource Center)
4회 규제 (Compliance)
5회 결론 (Conclusion)
 
사실인지는 모르겠는데, 국내 모그룹사에서 사내 불륜으로 골머리를 앓았다고 한다. 얼마 전 지인으로부터, 이 골치 아픈 문제를 빅데이터(Big-Data) 활용으로 해결했다는 얘기를 들었다. 내용인즉슨 전 직원의 성별과 나이, 거주지, 결혼 여부, 퇴근 시간, 성향 등 모든 정보를 빅데이터로 돌려(?) 일정 패턴의 결과를 얻어냈다. 그 내용을 근간으로 감사에 착수한 결과, 놀라운(?) 수치의 불륜 커플을 색출해 냈다고 한다.(사진. 이대효)
 
이 말을 믿어야 할까, 말아야 할까? 사실이라면 그만큼 빅데이터는 이미 우리 생활 속에 깊숙이 들어와 있다는 말일 것이다. 사실이 아니라고 한다면 빅데이터를 통해 이런 골치 아픈 문제를 해결하고 싶은 마음이 반영된 결과라고 할 수 있겠다.
 
최근 IT 분야에서 빅데이터를 빼고 얘기가 될 수 있을까 싶을 정도로 모든 화두가 빅데이터로 연결되고 있다. 마치 빅데이터가 모든 문제를 풀어줄 수 있는 요술상자로 포장되는 것 같아 안타깝다. 아마존, 이베이 등의 성공 사례는 새롭다 못해 지겹다. 영화 속 마이너리티 리포트가 현실이 되고 만년 꼴찌였던 회사가 빅데이터로 SNS 분석을 통해서 1등이 된다. 판매가 부진했던 제품은 빅데이터로 숨겨진 고객의 요구사항을 발견해 날개 돋친 듯 팔려나간다. 과연 실제 그럴까? 제발 빅데이터를 사용하는 모든 사용자에게 그런 결과가 나왔으면 좋겠다.
 
하둡(Hadoop)이나 맵리듀스(MapReduce) 같은 기술적 이슈보다 왜 빅데이터가 조명을 받게 되었는지를 보는 것이 더 도움이 되리라 본다.
 
장기적인 경제 불황과 저성장 분위기가 이어지며 기업들의 활동에도 비상이 걸렸다. 외적으로는 투자 비용을 줄이고 경쟁력이 없는 사업 분야를 정리하고, 내적으로도 지출보다는 업무 수행의 효율을 높이고 최적화하고자 하는 노력에 집중하고 있다. 주력 사업에 보탬이 되어야 한다는 방향과 기조는 IT 분야에도 영향을 주게 된다. “이봐, 이젠 IT도 사업에 보탬이 되어야 하지 않겠어? 뭔가 유용한 것을 가지고 오라고.” CIO들은 깊은 고민에 빠지게 되었고 이때 혜성처럼 구원자가 나타나게 되었으니 그것이 바로 빅데이터가 주목 받게 된 이유이다.
 
정보보안 역시 IT 분야로 볼 수 있으며 이러한 분위기에서 자유로울 수 없다. 이미 보안 사고는 조직에 커다란 유·무형의 손실을 초래하고 있다. 최근 법 개정으로 보안사고가 기업 경영권에도 영향을 미치게 되었다. 정보보호의 책임이 전례 없이 무거워진 셈이다. 이제 보안을 책임지는 부서와 솔루션도 도움이 될 수 있는 무엇인가를 내놓아야 한다. 조직을 사이버 위협으로부터 안전하게 보호하고, 비즈니스를 안전하게 영속할 수 있는 기반을 구축하는 것뿐 아니라 이를 보증해야 하는 셈이다.
 
올해 초 “Security in Knowledge”라는 주제로 개최된 RSA 컨퍼런스에서 “사이버 테러와 APT 공격, BYOD 환경 등의 변화가 더 많은 불확실성(Uncertainty)을 증가시키고 이것이 조직을 위험(Crisis)에 빠지게 한다”는 우려가 쏟아져 나왔다. 결국 보이지 않는(invisible) 그리고 숨어있는(Hidden) 데이터를 마스터링(mastering)하는 것으로 보안에 대한 답을 찾을 수 있다는 있다는 메시지가 전달됐다. 보안 관리에도 빅데이터가 고려되어야 하는 이유이다.
 
그렇다면 NAC와 빅데이터와는 어떠한 관계가 있을까? 빅데이터는 BYOD(Bring Your Own Device)나 IT Consumerization에 따라 넘쳐나는 비정형 데이터에서 의미 있는 정보를 해석해내는 것이다. 프라이버시를 고려한 데이터의 질과 양이 첫 번째 이슈이고, 처리를 위한 통일된 플랫폼이 두 번째 이슈이다. 이런 관점에서 내부의 모든 정보를 보관하고 있는 NAC는 빅데이터를 위한 출발이라고 할 수 있다.
 
이벤트 및 로그 정보를 수집하고 제공한다는 측면에서 NAC는 ESM 혹은 SIEM과 유사해 보이기도 한다. 그러나 다음과 같은 차이점이 있다.
 
첫째, 정보의 양(Quantity)이다. NAC는 자체적으로 놀라울 정도의 정보 수집 능력을 보여준다. 내부 보안 관리의 중추로서 IP 관리, 패치 관리, 단말 관리, 장치 제어, 네트워크 관리, 사용자 및 인증 관리, 위험 관리 기능에 이르기까지 모든 로그와 및 이벤트 정보를 기록할 수 있다. 단말은 물론이고 네트워크와 사용자에 대한 모든 정보를 감사용 근거 자료로 제공하는 셈이다.
 
또한 상용 NAC 솔루션은 여러 유관 솔루션과의 연동이 가능하다 Syslog, SNMP, OpenAPI 등 그 방법도 다양하다. 필자가 근무하고 있는 회사의 NAC 제품도 백신 제품과의 연동을 시작으로 방화벽, IPS, UTM, VPN, APT 솔루션, 인증 솔루션, ESM 등 15개 분야 23개 제품과 연동하고 있다.
 
보안 솔루션과의 연동은 각 솔루션 고유의 기능을 통합해 보안 시너지를 창출해주며, 전체 네트워크를 조망할 수 있는 최상위 시야(top level view)를 확보할 수 있도록 지원한다. 향후 REST(Representational State Transfer) 등의 프레임워크가 적용되어 OpenAPI 등의 보급이 활성화 되면 웹기반 서비스와의 연동까지 가능해질 것으로 보인다.
 
둘째, 정보의 질(Quality)이다. ESM과 SIEM 등의 솔루션은 다양한 장비에서 발생시키는 로그를 수집하고 상관관계 분석을 통해 얻어진 유용한 정보를 포렌직(forensic)과 네트워크 운영, 컴플라이언스(Compliance) 작업에 제공하는 역할을 한다. 그러나 그러한 로그와 이벤트들은 과거의 정보라는 한계를 가지고 있으며, 가공해서 활용하기에는 확장성과 유연성이 부족하다.
 
이에 비해 NAC는 ESM과 SIEM이 요구하는 데이터의 생성은 물론이며(실제 다수의 ESM, TMS 등과 연동되어 있다.) 현재 시점에서의 상태 정보를 생성하고 제공할 수 있다는 강점을 가지고 있다. ‘인증 후 사용 중인 사용자 목록’이라던지 ‘태블릿 PC를 사용하고 있는 사용자 ID 목록’ 등 현재의 상태 정보를 즉시 추출하고 확인할 수 있다. 이는 NAC가 가지고 있는 대량 데이터 저장, 다양한 기능의 연동, (가상)객체와 정책 기반 관리 기능 등 특징에서 비롯된다.
 
최근 이슈가 되고 있는 APT 공격에 효과적으로 대응하기 위해서는 공격 대상을 파악하고 결과를 예측하는 등 다양한 정보를 바탕으로 한 노력이 필요하다.
 
‘대상 확인→내부 침투→C&C 확보→내부 정보 수집→중요/기밀 데이터 입수→데이터 유출’ 순으로 진행되는 APT 공격은, 각 단계별로 취약점 공략 및 사회공학적 방법(Social Engineering) 등 다양한 방법이 사용된다.
 
꽤 오랜 기간 뚫릴 때까지 공격이 이루어지는데, 한 보고서에 따르면 660일 이상 소요된 경우도 있다고 한다. 비가 내릴 때까지 기우제를 지내는 인디언의 모습과 흡사하다. 집요한 APT 공격을 단일한 솔루션으로 막을 수 있다고 믿는 사람은 아무도 없다. 단계별 진행을 지연시키거나 차단하기 위한 다양한 보안 솔루션, 정책, 관리 등이 필요하다. 효과적으로 대응하기 위해 빅데이터를 적용해야 할 것이다. 의미 있는 데이터를 생산·보유·제공하면서 이미 네트워크의 리소스 센터(Resource Center)로 자리잡은 NAC 솔루션의 활약을 기대해 본다.
 
글. 이대효 지니네트웍스 dado@geninetworks.com