2020-05-27 11:30 (수)
내부통제 관점에서 NAC…이렇게 활용된다
상태바
내부통제 관점에서 NAC…이렇게 활용된다
  • 길민권
  • 승인 2012.04.03 06:24
이 기사를 공유합니다

문정환 지니네트웍스 이사 “NAC, 다양한 시스템들과 연동 가능해”
2일 코엑스 그랜드볼룸에서 열린 2012 Security Forecast 기업 정보보호 이슈전망 세미나에서 문정환 지니네트웍스 이사는 ‘내부통제 관점에서의 NAC 활용사례’에 대해 발표를 했다.
 
문정환 이사는 “최근 발생한 개인정보 유출사건, 금융전산망 마비 등으로 IT시스템의 안정성에 대한 불안감이 높은 상황”이라며 “하지만 이런 보안사고 발생원인이 정책 미비 혹은 솔루션 부재때문일까?” 되물었다.
 
그는 “대다수 보안전문가들이 조직의 소홀한 내부통제 관리에 근본원인이 있다고 지적한다”며 “2007년 이후 내부정보 유출 및 정보자원 오남용은 3배 이상 증가했고 보안사고의 60% 이상은 내부자에 의해 발생하고 있다. 이에 대한 개선책을 시급히 마련하지 않으면 제2, 제3의 보안사고가 이어질 것”이라고 경고했다.
 
내부통제는 조직내의 각종 계획 수립, 조정과 실행 과정에서 발생할 수 있는 위험을 최소화하기 위한 목적으로 채택하는 제도적인 절차나 장치를 말한다.
 

문 이사는 NAC 활용사례를 소개하면서 내부통제를 위한 전산장비 보안대책에 대해 설명했다. 이 중 NAC를 활용하면 승인받지 않은 디스크, 디스켓, CD, USB 등 보조기억 매체에 대한 쓰기 금지 등 매체제어 또는 장치제어가 가능하고 화면보호기 강제, 필수 소프트웨어 강제 배포, 불법 SW 설치를 차단할 수 있다고 한다.  
 
특히 NAC 관점에서 내부통제 정책에 대해 문 이사는 “내부사용자 접근통제와 윈도 OS, MS 애플리케이션 패치, 백신설치 현황 정보제공 및 패치 강제화, 화면보호기 설정 제어, 표준 SW 강제화, 허니팟을 이용한 탐지 및 격리, Ad-Hoc 네트워크 탐지 및 격리, 무선 AP 정보 취합, 접속 가능한 AP 지정, 매체 사용 통제 등이 가능하다”고 설명했다.
 
또 NAC는 타 시스템과 어떻게 연동이 가능할까. LDAP, 액티브 디렉토리, RADIUS, 인사 DB 시스템 등 인증 시스템과 연동이 가능하고 IP 신청/결제시스템과도 연동이 가능하다. IP 관리자 신청 승인을 NAC에 정책 등록 및 적용으로 가능한 것이다.
 
더불어 사용자 등록 시스템과 IT자산관리 시스템과도 연동이 가능하다. 정기적으로 NAC가 보유하고 있는 SW 현황을 수집하고 불법 또는 초과 라이선스 사용자에 대해 경고 메시지 또는 차단 수행을 NAC에서 할 수 있다. 또 출입통제 시스템과도 연동이 가능해 외부 방문자 출입시스템에서 방문 신청을 NAC 정책등록 및 적용으로 가능하다. 그리고 외부 방문자의 등록된 노트북만 네트워크에 접근을 가능하도록 설정하는 것도 NAC의 기능이다.  
 
문 이사는 “NAC는 보안정책 준수관리(CAM)과 인사시스템, IP결제시스템, 사용자 등록시스템, ITRMS, 출입통제시스템, 유해차단, ESM, RADIUS/AD, DRM, 백신, PC 보안 등 다양한 인프라와 연동을 통해 내부통제 인프라 강화에 기여할 수 있는 솔루션”이라고 강조했다.
 
또 “내부통제 강화를 위해서는 보안문화가 필요하다. 보안교육과 보안문화 형성을 통해 이러한 활동들이 기업문화로 자리잡을 때 내부정보 유출은 줄어들 것”이라고 강조하고 “관리적, 기술적, 물리적 측면에서 내부통제 강화 방안을 마련한 후 적절한 통제방법을 선택하는 것이 필요하다”고 조언했다.
 
통제 방법에 대해서도 “규정과 방침 준수를 일방적으로 강요하고 획일적이고 권위주의적인 통제를 하고 중앙집권적인 지휘 감독을 하는 것과 업무 담당 조직과 구성원에게 최대한 자율을 보장하고 업무 관련 실무지식과 경험을 중시하고 객관적 성과 측정과 평가를 통한 책임감을 부여하는 방법이 있다”며 “진정한 보안문화 형성을 원한다면 후자의 형태가 자리잡을 수 있도록 노력해야 한다”고 강조했다.
[데일리시큐=길민권 기자]