안녕하세요!
TS팀을 담당하고 있는 노양욱 팀장입니다.
이번 포스팅은 보안사고 발생 시 Resilience 관점에서 NAC가 할 수 있는 최선의 후속조치는 무엇인지
살펴보고자 합니다. Resilience란 탄성, 회복력이라는 뜻으로 고무 같은 물질이 압력을 받아 외형이 변하고, 이후 급속히 원래 모습으로 회복할 때 외부로 에너지를 방출하는 성질 즉 탄성이나 탄력을 말합니다.
Resilience
미국 국토안보부(DHS, Department of Homeland Security)의 주요 역할에는 주요 기반시설에 대한 Security와 Resilience 향상이라는 내용이 있습니다. IT에서 Security는 익숙하지만 Resilience는 조금 생소한 용어입니다.
DHS(http://www.dhs.gov/topic/resilience)에서는 Resilience를 다음과 같이 정의하고 있습니다.
‘The ability to prepare for and adapt to changing conditions and withstand and recover rapidly from disruptions. Resilience includes the ability to withstand and recover from deliberate attacks, accidents, or naturally occurring threats or incidents.’
악의적이든 천재지변이든 사고 발생 시 견뎌내고 신속히 복구할 수 있는 능력을 Resilience라하고 여기에는 업무 연속성 계획(BCP), 백업(Backup Power) 등이 포함됩니다.
Resilience와 NAC
기업(관)의 인트라넷을 보호하기 위해 공격을 사전에 예방하거나 발생 가능성을 줄이는 것뿐 아니라 사고 발생 시 충격으로부터 신속히 회복할 수 있는 능력을 갖추는 것이 중요합니다. 이를 두고 Resilience라고 하며 Resilience 향상을 위해 BCP(Business Continuity Planning)와 같은 원론적인 접근방법도 있겠지만 운영하는 입장에서
NAC가 어떻게 도움을 줄 수 있는지에 대한 이야기를 해보겠습니다.
Notification and Awareness
NAC를 포함해서 여타 내부 보안시스템을 통해 보안사고를 탐지했다면, 보안 위협 수준이 낮은 경우
경고 수준의 제어를 사용할 수 있습니다.
예를 들어 일정기간 동안 백신 검사를 수행하지 않은 노드에 대해서는 특별한 제한없이 해당 사실에 대한
통지만으로 충분합니다.
<그림 1> Notification & Awareness
차단
단말의 보안 위협이 비교적 높아 네트워크에 대한 사용을 제한해야 할 경우 차단 수준의 제어를 사용합니다.
예를 들어 PC에 백신을 설치하지 않았거나 경고 수준에서 정의한 기한을 넘어 지속적으로 검사를
수행하지 않은 경우 다양한 차단방법을 이용해 통제할 수 있습니다.
Endpoint Recovery
인트라넷 보안은 End User가 사용하는 단말을 보호해주면서 동시에 그들(그들이 사용하는 단말)로부터 네트워크를 보호해야 합니다.
Endpoint 에이전트하면 단박에 ‘무겁다’, ‘리소스’, ‘충돌’, ‘장애’, ‘확장성’, ‘유지관리’, ‘예외/누수’, ‘(미)설치’라는 이유로 거부부터 합니다. 하지만 Endpoint에서의 대응은 반드시 필요하며, 사용자의 거부/불만을 불식시키기 위해 관리 용이성, 사용 편의성을 갖춘 에이전트가 필요할 것입니다.
참고로 사고 발생 시 안전조치방안은 Endpoint의 유무여부 보다 네트워크, Endpoint, 기존 인프라 등 복합/다차원적인 조치방안이 필요합니다.
<그림 3> Endpoint(에이전트) Action
지금까지 Resilience관점에서 NAC가 할 수 있는 다양한 조치 방법을 이야기했습니다. NAC는 인트라넷 & Endpoint에 대한 지속적인 모니터링을 수행하면서 사고 발생 시 즉각적인 대응으로 피해 확산을 줄이는데 기여합니다. 또한 단말의 보안수준을 취약에서 안전 수준으로 회복시켜주기도 합니다.
Resilience 향상을 위해서는 내부 취약성 평가, 업무 연속성 계획 수립, 기업문화 혁신 및 조직 변화, 보안 인프라/솔루션에 대한 투자 및 적용 등 많은 부문에서의 노력이 필요합니다.
매번 포스팅 말미에 언급하지만 보안은 특정 부문(보안부서), 기술적인 대응(솔루션 도입)이 전부가 아닙니다. 기술적인 면에 치중한 나머지 사람이란 요소를 놓치고 있는 것은 아닌지 생각해 볼 필요가 있습니다.
보안은 기업(관) 구성원 전반의 문제이고 구성원들의 보안 인식 향상이 필수입니다. 말만 하거나 공감만 하고 끝낼 게 아니라 행동/실천하는 모습을 보여야 하겠습니다.
이상으로 Resilience와 NAC에 관한 포스팅을 마치겠습니다.
