나라가 온통 난리다. 그 주범은 바로 0.8 마이크로 크기의 메르스 바이러스다.
국내를 비롯한 세계 의학계에 알려진 바가 많지 않은 바이러스로 확실한 치료법이 알려지지 않아 더 공포스러운 상황이다. 알려지지 않은(아직은 미지의) 바이러스는 IT보안관련 직무 종사자들에게는 낯설지 않다. 메르스와 같이 사람에게 해를 끼치는 바이러스를 해결하는 일이 의료업계 종사자들의 일이 듯, 네트워크와 PC에 문제를 일으키는 바이러스를 해결하는 것은 IT 보안분야 종사자들의 몫이기 때문이다.(사진. 지니네트웍스 이재열 팀장)
 
오싹하지만, 대한민국 보안 담당자들이 관리해야 하는 엔터프라이즈 네트워크에 현실 속의 메르스 같은 바이러스가 등장했다고 가정해 보자. 기업의 보안 담당자들은 이 사태를 어떻게 통제하고 해결할 수 있을까? 어떤 보안솔루션을 활용해야 내부 네트워크에 침입하는 바이러스, 멀웨어 등을 차단하고 확산을 방지할 수 있을까? 가장 먼저 떠오르는 것은 백신, 방화벽, IPS 등 전통적인 형태의 보안솔루션일 것이다. 그러나 침투 경로와 방법이 매우 다양하기 때문에 이 중 한 가지 솔루션으로 이 모든 상황을 제어 할 수는 없다. 보다 근본적인 네트워크 관리를 위한 솔루션이 필요하고, 가장 효율적인 대안이 바로 네트워크 접근 제어(NAC) 솔루션이 필요하다.
 
그렇다면 내부 네트워크 방역관리를 위한 NAC가 어떤 솔루션인지 한번 알아보자. NAC는 Network Access Control의 약자로 네트워크 접근 제어라고 할 수 있다. NAC는 2005년 중반에 TCG(Trusted Computing Group)에 의해서 개념이 정리되고, NAC, NAP라는 이름으로 시장에 소개가 되기 시작했다. 2005년까지만 해도 보안시스템이라고 하면 주로 외부의 공격에 대한 방어적인 개념의 보안시스템이 주류를 이루었다. 방화벽, IPS, UTM, 서버보안 등 외부의 공격에 대한 방어시스템으로 인하여 외부 공격에 대한 방어선은 어느 정도 구축되었다.
 
그러나 무선 네트워크와 VPN을 이용한 원격근무, 엑스트라넷 등의 도입으로 인한 네트워크의 다양화로 내부, 외부 네트워크에 대한 경계가 불분명해지고, 모바일 단말, 노트북 등의 도입으로 내부 네트워크 접속 포인트도 다양해졌다. 이에 따라 외부의 직접적인 공격에 의한 위협보다는 내부에서 일어나는 위협에 대해 대응하는 일이 더 중요하게 되었다. 이런 네트워크 환경의 변화 및 네트워크 접근 단말의 다양화로 인하여 NAC의 필요성이 제기되었고 CISCO 같은 네트워크 벤더, 마이크로소프트 같은 SW 업체들에 의해서 NAC, NAP라는 이름의 솔루션이 시장에 등장하게 되었다. 이 시기에 등장한 NAC는 단순히 내부 네트워크에 접속하기 위한 인증 기능이 많은 부분을 차지했고 인증 이외의 기능은 단순했다.
 
2005년 이후부터 약 10년의 시간이 흐른 지금 NAC의 기능도 시장의 요구에 따라 다양하게 진화했다. 2015년 하반기, 내부 네트워크에 대한 효율적인 방역시스템 구축을 위해 NAC 도입을 고려 중인 보안담당자들이 체크해야 할 필수요소를 알아보고자 한다.
 
첫 번째로 ‘효율적인 가시성 제공 여부’이다.
보안의 출발점은 우선 보호해야 하는 자산을 식별하는 일이다. 마찬가지로 NAC의 출발점도 내부 네트워크에 존재하는 여러 개의 단말을 인지할 수 있도록 가시성을 제공해야 한다.
여기서 가시성은 두 가지로 분류할 수 있다. 먼저, 내부 네트워크에 접속하는 단말 및 장치에 대한 가시성이다. 누가, 언제, 어디서, 어떤 장비를 이용해서 내부 네트워크에 접속을 시도하고, 사용했는지에 대한 상세한 가시성을 제공해야 한다. 그리고 필요할 경우에는 현재 상태에 대한 가시성이 아니라 과거 특정 시점에 대한 가시성도 제공 할 수 있어야 한다. 만일 보안사고가 발생할 경우 대부분 현재의 상황이 아닌 과거의 상황을 알아야만 보안사고의 원인 및 책임을 추적할 수 있기 때문에 과거 특정 시점에 대한 네트워크 가시성 자료의 제공이 필요하다. 다음은 단말의 보안 상태에 대한 가시성이다. 단순히 내부 네트워크에 접속하는 단말 및 사용자를 인지하고, 분류하는 기능으로는 내부 네트워크에 대한 완벽한 보안을 할 수가 없다. 내부 네트워크에 접속을 시도하는 단말에 대한 패치상태, 보안설정, 필수소프트웨어 설치, 백신설치 및 업데이트 여부 등에 대한 종합적인 상황을 인지하고 내부네트워크접근 허용 유무를 판단해야 한다. 
 
두 번째는 ‘실시간 정보의 제공 및 행동 기반 모니터링 지원 여부’이다.
최초 내부 네트워크 접근에 대한 통제도 중요하지만 접속 허가 후의 지속적인 모니터링도 중요하다. 외부와 지속적으로 통신하는 단말 및 내부 네트워크의 상태는 계속 변경된다. NAC에서는 이런 단말 및 내부 네트워크의 상태를 실시간으로 반영하여 관리자에게 정보를 제공해야 한다. 관리자에게 제공되는 정보는 실시간 상황을 반영해야 하면 단순히 자료의 나열이 아닌 필터링 및 분류를 통한 가치 있는 정보를 제공해야 한다. 예를 들어 백신, DRM, DLP 등의 필수 소프트웨어 실행 여부를 감시해야 한다면 이런 정보들은 언제든지 단말에서 상태가 변경 될 수 있다. NAC에서는 단말 상태 변경 사항을 실시간으로 파악하여 관리자에게 정보를 제공해야 하며 특정 조건에 위반되는 단말을 그룹으로 지정해서 실시간으로 그룹정보를 갱신하고 제어 정책을 적용해야 한다.
 
'하이리히 법칙'을 간단히 정리하면 '예고 없는 사고는 없다'는 의미이다. 이 법칙은 일반적인 재난에도 적용되지만 보안에서도 동일하게 적용된다. 치명적인 보안사고가 발생하기 전에는 반드시 그 전에 경미한 징후들이 발생하기 마련이다. 예를 들면 내부 네트워크에 대한 스캔을 하고 비정상적인 트래픽을 발생시키고 불법적으로 IP/MAC 등을 변경하는 등의 사전 징후적인 행동들이 발생한다. 뒷부분에서도 언급하겠지만 이런 정보들을 NAC에서 자체적으로 탐지할 수도 있지만 더 정확한 탐지를 위해 다른 보안시스템과 연동 후 정보를 받을 수도 있다. NAC는 보안사고가 발생하기 전의 사전 징후들을 포착하여 관리자에게 가치 있는 정보를 전달할 수 있는 파수꾼의 역할도 수행할 수 있어야 한다.
 
세 번째는 ‘외부 시스템 연동을 이용한 보안기능의 확장성 제공여부’이다.
가령 내부네트워크에 있는 단말이 내부네트워크 접속 허용 후에 백신이 치료하지 못 하는 바이러스에 감염되었다고 가정해 보자. NAC는 단말에 백신이 설치되어 있고 업데이트가 최신인지 검사할 수는 있지만 바이러스를 직접적으로 검사하고 치료하지는 않는다. 따라서 치료되지 않은 바이러스에 감염되어 있는 단말에 대한 정보는 백신에서 정보를 전달 받고 그에 따른 네트워크 격리 조치를 취해야 한다.
 
또 하나의 예로 내부 단말 중에서 외부로 지속적인 유해트래픽을 발생시키는 경우를 생각해 보자. NAC에서는 허니팟 기능을 이용해서 내부로 유해트래픽을 전파하는 단말은 체크할 수 있지만 외부로 전달되는 유해트래픽은 탐지하지 못 한다. 이런 정보 또한 방화벽, IPS, TMS 등의 외부와 경계에 위치하는 보안시스템으로부터 정보를 전달 받아 내부에서 외부로 유해트래픽을 발생시키는 단말을 인지하고 격리할 수 있다. NAC라는 보안플랫폼을 기본으로 운영 중인 솔루션을 연동하여 내부 네트워크 보안을 완성할 수 있다.
 
지금까지 내부 네트워크 관리를 위한 NAC 도입 시 체크해야 할 요소들을 알아보았다.
보안은 대응의 영역이다. 위협 및 공격이 계속 진화할수록 방어 또한 지속적으로 대응하고 발전해야 한다. 과거의 NAC가 현재와 다르듯 미래의 NAC 또한 현재의 NAC와 다를 것이다. NAC도 진화에 진화를 거듭해 언젠가는 아이언맨의 자비스처럼 보안담당자의 모든 고충을 해결해 줄 수 있는 스마트한 파트너가 되었으면 하는 기대를 해 본다.
 
★정보보안 대표 미디어 데일리시큐!★
 
[글. 이재열 지니네트웍스㈜ 컨설팅팀 팀장]