“몸이 천냥이면 눈이 구백냥” 이라는 말이 있습니다. 그 만큼 ‘보는 것(Seeing)’이 중요하다는 의미입니다. 눈으로 보아야 믿을 수 있고(Seeing is Believing), 눈에서 멀어지면 마음에서도 멀어집니다.(Out of Sight Out of Mind). 복잡할수록 자세히 보아야 해결의 실마리를 찾을 수 있고 어려울수록 멀리 보아야 곤경을 헤쳐 나갈 수 있다.
이런 이런 이유 때문인지 최근 NAC를 포함한 보안업계에 가시성(Visibility)을 논하는 열기가 뜨겁습니다.
가시성의 중요성을 부각시킨 주범은 스마트 폰, 태블릿PC 등으로 대표되는 스마트 모바일 기기라고 할 수 있습니다. 구체적인 통계나 자료를 떠나서 스마트폰을 사용하지 않는 직장인을 보기 어렵습니다. 업무에 자신의 스마트폰을 적극적으로 활용하며 이를 근거로 무선 네트워크 환경의 구축을 요구합니다. 아니면 본인이 직접 무선 네트워크를 구축(?) 하여 사용하는 용감한 분도 계십니다. 일단 무선 네트워크가 구축되면 WiFi를 지원하는 다양한 기기가 네트워크에 연결됩니다. 그 종류는 이루 말할 수 없을 만큼 다양하고 그 수도 많습니다.
스마트폰, 노트북, 태블릿, 카메라, 스캐너, 프린터 등이 모두 무선으로 연결됩니다. 만약 보안이 허술한(Open 된) AP(Access Point)라면 옆 사무실의 단말기가 넘어와 연결이 될 수도 있습니다. 이는 옆 사무실을 포함한 모든 것이 내부 네트워크에 연결되었음을 의미합니다.
이런 현상은 모든 네트워크에서 발생하고 있습니다. 무선 접속 환경과 기기의 등장 및 증가로 이미 네트워크의 경계선(Perimeter)은 사라졌다고 봐야 할 만큼 넓어 졌습니다. FMC(Fixed Mobile Computing)등으로 데이터와 음성의 경계도 불 분명해지고 있습니다. Gartner 자료에 따르면 네트워크에 존재하는 20%의 기기는 관리자에 의해 식별이 불가능하거나 아예 존재 자체를 모르는 것 이라고 밝히고 있습니다. 또한 50% 이상의 단말(Endpoint)이 보안 수준을 준수하지 않는 상태(Non-Compliant)라고 한다.
2011년 SANS의 보고서는 이런 우려를 실감나게 보여줍니다. BYOD(Bring Your Own Device) 현상이 투자 비용감소와 생산성의 증가에 기여할 것이라며 무선 단말의 네트워크로의 접근을 정책적으로 허용한 기업이 전체 조사 기업 중에 61%에 달했다고 합니다. 그러나 이중에 허용된 자원을 100% 식별하고 있다는 응답은 10%가 되지 않으며 50% 미만으로 식별하고 있다는 응답이 전체의 절반을 넘었습니다(54%).
결국 네트워크에 무엇이 있는지 절반 정도는 정확히 모른다는 것이다.
이러한 환경에서 보안 정책을 수립하고 운영하기란 사실상 불가능 합니다. 보이지도 않는 대상에 어떻게 그리고 어떠한 보안정책을 적용할 수 있겠습니까? 따라서 현재의 네트워크 환경에서 가시성(Visibility)의 확보는 보안 환경의 구축 및 운영을 위한 출발이 됩니디. 알지 못하는 단말기, 불법으로 접속되어 있거나 접속을 시도하는 단말기와 사용자, 불법 설치된 Application, 단말기의 Compliance 미 준수 등이 모두 가시성을 통하여 확보하고 관리되어야 하는 대상입니다.
상용 NAC 제품들은 이미 연결 단말의 가시성을 확보하기 위한 다양한 기능을 제공하고 있습니다. 내부 보안을 위하여 IP관리기능(IPM)을 비롯하여 자산관리기능(DMS), 패치관리기능(PMS), 사용자 인증(AAA) 기능 등의 굵직한 기능을 기본 탑재 하고 있습니다. 이 외 부가적으로 Switch 등 연결위치의 식별, DNS/FTP 등의 서비스 식별, Spoofing 등의 비 정상 행위 탐지 그리고 NAT 등 네트워크 환경의 식별 등은 이미 수년 전 유선 기반에서 완성되어 이제는 단독 솔루션에 필적하는 수준으로 까지 발전하였습니다.
무선 환경이 확대되면서 가시성을 확보하기 위한 노력도 동시에 진행되고 있습니다. 현재 가장 큰 위협 및 관리대상은 불법 AP(Rogue AP)이며 SoftAP를 포함하는 AP의 식별 및 인가된 AP와의 구분 등이 NAC에서 제공되기 시작했습니다. 또한 개방되어 있거나(Open AP) 설정이 잘못된(Misconfigure) AP의 세부 내용과 해당 AP 접속되어 있는 단말의 정보도 확인할 수 있습니다. 제거 대상 AP의 물리적 위치도 확인할 수 있고 나아가 무선 사용자 식별을 위한 RADIUS 및 Accounting 기능도 제공됩니다.
유/무선 단말이 네트워크에 접속을 시도하거나 접속이 되면 즉시 Network Discovery에 의해 탐지되고 보안정책이 적용됩니다. 네트워크 수준의 가시성 확보는 이로써 충분할 수 있습니다. 그러나 보다 세부적인(granular) 보안정책의 적용을 위해서는 플랫폼(Platform) 정보와 Agent가 필요합니다. 플랫폼 정보는 단순한 단말의 분류(Categorization)을 넘어 관리자 친화적(User Friendly)인 정보를 제공하는 것을 의미합니다. SNMP와 MIB는 GT-I9100 이라는 정보를 줄 수 있습니다. 관리자에게는 이것이 ‘갤럭시S5’ 라는 인식(awareness)이 중요합니다. 또한 특정 산업 군이나 국가/지역에만 국한된 단말이 출현할 가능성도 존재합니다. 이러한 단말의 식별도 지원해야 하는 것은 물론 입니다.
실제로 세계적인 평가기관인 Tolly(www.tolly.com) 의 NAC 분야 Testing Report에는 Real-time Visibility 평가 항목이 포함되어 있으며 톱 클래스 NAC 제품의 경우 Agent 없이 2분 이내에 완벽한 단말의 분류와 식별이 이루어 지는 것을 알 수 있습니다.
만약 Agent를 설치한다면 단말에 설치되어 있는 OS나 패치, 업데이트 유무, 설치 Application 등의 상세한 일반 정보를 얻는 것이 가능합니다. 패스워드, 공유폴더 등의 보안 설정도 확인할 수 있으며 USB등의 저장장치, 테터링 유무 등의 주변장치의 확인까지도 가능합니다. 여기에 사용자 인증 기능을 통해서 단말과 사용자를 연결한다면 단말의 상태를 넘어 인증여부나 역할(Role)에 따른 보안 정책까지도 수립 운영하는 것이 가능합니다.
위에서 언급한 모든 기능과 동작은 사용자 및 단말의 적극적인(Active Identification) 지원을 가정할 때 수준 높은 가시성을 확보하는데 도움을 주며 이는 강력하면서도 세밀한(granular) 보안 정책의 수립과 운영을 가능하게 해 줍니다. NAC는 여기에서 멈추지 않습니다. 최근 사용자와 단말의 참여 없이도 발생하는 데이터를 분석하여 가시성의 확보에 도움을 줄 수 있는 방법이 연구되고 있습니다. 이러한 수동적인(Passive Identification) 인식 기술은 사용자의 협조가 부족하거나 Privacy 등의 이슈가 클 때 효과적일 수 있습니다. 대표적으로 Network Traffic을 분석하거나 Device Fingerprinting 방법을 고도화 하는 방법이 있습니다. 이러한 방법으로 단말에 Agent를 설치하지 않고도 단말에서 발생하는 트래픽을 분석하여 설치 및 사용하는 Application 정보나 사용자(인증) 정보 등을 확인할 수 있습니다.
NAC는 유/무선 환경을 가리지 않고 네트워크의 관문(Tollbooth)역할을 하고 있습니다. 이는 접속의 제한이 목적이 아닙니다. 올바른 접속을 위한 가이드라인을 제공하는 것이 NAC의 진정한 역할 이라고 할 수 있습니다. 이런 가운데 Compliant와 Non-compliant의 모든 정보를 보유하고 있는 NAC야 말로 최고의 가시성을 제공해 주는 적토마와 같은 존재일 것입니다.
적토마를 어떻게 다룰 지는 관리자에게 달렸습니다.
