그동안 내부 보안(Internal Security)을 위한 제품으로 성장을 거듭해 온 NAC 솔루션의 과거와 현재를 살펴보고 향후 발전 방향에 대해 전망해 보는 시간을 가졌다. 이번 5회 기고를 끝으로 NAC 특별 기고를 마치고자 한다.
 
1회 들어가며 (Intro)– 보안 관리자의 NAC(낙, 樂)
2회 가시성 (Visibility)
3회 빅데이터 (Resource Center)
4회 규제 (Compliance)
5회 결론 (Conclusion)
 
며칠 전 즐겨보던 Techtarget(searchnetworking.com) 기사 가운데 흥미로운 제목이 눈길을 끌었다. ‘Network access control has a bad name, so let’s change it.‘
 
최근 빠르게 성장하며 사람들 입에 NAC에 대한 이야기가 오르내리고 있는데 이름을 바꾸자고? 매우 의아해하며 내용을 읽어 보았다. 요약하자면, 요즘 잘 나가는(?) NAC 솔루션들이 발전을 거듭하면서 다양한 유관시스템(e.g, 보안관리 또는 정책관리 등)을 통합해 플랫폼(platform)화 되었으며, 그 결과로 가시성(Visibility)을 포함한 전방위적(?) 보안 대응(Contextual Security)까지 가능하게 됐다라는 것이었다.
 
이 글에서는 ESG의 애널리스트인 존 올트식(Jon Oltsik)이 주장하고 있는 EVAS를 소개하고 있었다. 올트식은 <Goodbye NAC, Hello EVAS>라는 글에서, 장차 미래의 모든 보안 요구사항은 NAC를 넘어 EVAS(Endpoint Visibility, access, and security)라는 새로운 카테고리로 수렴될 것이라고 예측했다 또한 NAC를 포함한 많은 보안 벤더(vendor)들이 동참함으로써 연간 $7억 이상의 시장을 창출하게 될 것이라고 전망하고 있다. 모쪼록 그의 전망이 실현되기를 바란다.
 
에바스(EVAS)라는 단어로 구글 검색을 해보면 최상위에 바디(body)의 명가 ‘에바스 코스메틱’이 나온다. 필자도 잘 알고 있는 화장품이다. 그 다음으로는 걸그룹 ‘에바스’가 검색되는데, 사실 이들은 누구인지 모르겠다.
 
울트식이 예상한대로 시장이 발전한다면 필자가 근무하고 있는 NAC 업체의 미래는 매우 밝다. 구글과 아마존, AOL의 가치를 알아봤던 투자의 전설인 KPCP나 액샐파트너즈 등의 세계적 밴쳐 캐피탈(VC)에게 1,000억쯤 투자를 받을 수도 있을 것이다 아니면 시스코나 주니퍼네트웍스 등에 M&A 될 가능성도 크다. 만약 그렇게 된다면, 몇 년 뒤 필자는 NAC의 기술과 과거의 시장을 회상하는 원고를 쓰게 될 수도 있겠다.
 
글이 잠시 삼천포로 빠졌는데, 올트식이 주장한 내용이 맞고 틀리고는 중요하지 않다. 에바스면 어떻고 세바스쳔이면 어떻겠는가? 중요한 것은 NAC의 발전 방향이다.
 
국내 NAC가 발전하고 있는 모습이 올트식이 이야기 하고 있는 방향과 많은 부분 일치하는 것을 보고 놀라기도 하고 한편으로는 안도했다. 특히나 트래픽을 중심으로 데이터에 집중하라는 내용은 NAC의 한계를 뛰어 넘을 수 있는 접근방법으로 평소 눈여겨 보고 있던 차였다. 방향은 비슷하게 가고 있으니 크게 틀리지 않아 다행이라는 생각이 들었다.
 
과거 NAC 기업들은 프로젝트를 진행하며 고객사의 여러 요구사항을 수용해야 했다. 소위 갑(甲)들은 계약서에 ‘커스터마이징 수용’이라는 한 줄을 추가하고, 자기들의 환경에 맞도록 제품을 수정할 것을 지시했다. 무리하다 싶을 정도의 짧은 기간 동안 고객의 까다로운 요구 사항이 사업에 그대로 반영됐었다..
 
지금의 NAC 제품들은 MP3 재생 기능을 제외하고는 고객이 요청했던 모든 사항을 이미 수용하고 있는 상태이다, 오히려 고객보다는 타 솔루션 업체가 새로운 연동 요청을 해올 정도이다. “고객이 귀사의 NAC를 사용하고 있는데, 당사 제품과의 연동이 가능할까요?”라는 문의가 증가했다.
 
연동 분야도 다양하다. 인사 정보의 공유는 기본이고, 탐지와 차단의 역할을 분류하거나, 특정 정보의 요청, 특정 값의 조회 등 다양하다. 현재 NAC의 보급이 대중화되었다고 보기는 이르지만, 도입 고객들은 우리가 생각하는 것 이상으로 다양하게 NAC를 사용하고 있다.
 
NAC는 타 보안 솔루션에 비해 사용하기가 어렵다. 유선뿐 아니라 무선 네트워크까지 관리 하기 때문에 대응 범위가 넓고, 무엇보다도 기능이 많은 편이다. 앞으로 범위와 기능은 더욱 증가할 것으로 예상되는데, 사용성(Usability)은 NAC의 대중화와 발전을 위해서는 국내/외 제품 모두가 해결해야 할 과제이다.
 
이것은 단순히 UI 고도화 같은 액션 네이게이션(Action Navigation) 개선을 의미하는 것만이 아니다. 폭넓은 대응 범위와 기능을 보유한 제품인 만큼 관리와 보안의 사각지대(Blind Spot)를 줄여주는 등의 노력이 함께 병행되어야 고객으로부터 인정 받을 수 있게 된다.
 
이를 위해 PC, 스마트폰 등의 단말뿐 아니라 사용자와 사용자의 행위, 연관 관계, 네트워크 및 트래픽, 위치 정보, 시간 정보 등 아직도 고려되어야 할 부분들이 많다. 아마도 머지 않아 이러한 것들이 NAC에 통합, 적용되어 보다 유연하고 확장 가능한 보안정책의 구현이 가능해지지 않을까 싶다.
 
솔루션으로 출발한 NAC가 이제는 조직의 내부 관리를 위한 프레임워크(Framework)로 자리잡았다. 더 이상 보안이 사람과 단말을 귀찮게 하거나 통제하기 위함이 아니라 제대로 된 권리(Right)를 보장받기 위한 자연스러운 프로세스로 자리잡는데 NAC가 중요한 역할을 하리라 믿는다.
 
(5회에 걸쳐 NAC 관련 특집 기고를 해주신 지니네트웍스 이대효 부장님께 깊이 감사드립니다.-데일리시큐-)  
 
글. 이대효 지니네트웍스 부장 / dado@geninetworks.com