NAC는 최근 가장 관심을 끌고 있는 보안 기술 중 하나다. 사후대응의 보안 패러다임을 사전 예방의 개념으로 변화시킬 수 있기 때문이다. 정보화를 통한 대한민국의 미래를 준비하는 핵심기관인 한국정보사회진흥원(원장 김창곤 www.nia.or.kr)은 지난해 12월, 유넷시스템의 애니클릭NAC를 도입해 보안체제를 업그레이드했다. 한국정보사회진흥원의 NAC 도입사례를 살핀다.
I글·오현식 기자·hyun@datanet.co.krI
I사진·김구룡 기자·photoi@datanet.co.krI
한국정보사회진흥원은 정보통신기술을 활용한 미래 사회를 준비하는 기관이다. 국가기간전산망사업에서 초고속 정보통신기반 구축사업에 이르기까지 정보화 정책을 수립, 우리나라가 세계 5위의 전자정부 강국으로 발돋움하는데 공헌해 온 한국정보사회진흥원은 이제 ‘유비쿼터스 사회 리더’를 기관의 새로운 비전으로 선포하고, 새로운 패러다임을 선도하기 위해 노력하고 있다.
유비쿼터스 시대에 대비해 한국정보사회진흥원은 다양한 노력을 경주하고 있지만, 특히 신경을 기울이고 있는 부문은 바로 정보보안이다. 지식정보사회라고도 말할 수 있는 미래 유비쿼터스 사회는 안전하고, 신뢰된 네트워크 환경 마련이 가장 선행돼야 할 기초공사라고 할 수 있기 때문. 언제 어디서나 네트워크 접속을 제공하는 유비쿼터스 사회에서 연결의 항시성 만큼 사이버 공격의 위험도는 더욱 높아질 것일 뿐 아니라 더욱 중요한 가치를 지니게 될 지식정보를 노리는 공격은 미래 사회에 접근할수록 기승을 부릴 것은 불 보듯 뻔한 일이다.
인증-탐지-통제-치료, 보안절차 수행
한국정보사회진흥원은 보안 강화를 위해 지난해 12월 유넷시스템의 ‘애니클릭NAC(Anyclick NAC)’를 도입해 NAC(Network Access Control) 환경을 구현했다. NAC는 네트워크에 접근하는 사용자 단말의 상태, 즉 안티바이러스 프로그램 등 보안 프로그램의 작동여부나 최신패치 적용여부 등을 사전 점검해 문제가 있는 단말의 접근을 제한하고, 문제 해결 후에만 네트워크 접속이 가능하도록 함으로써 네트워크의 무결성을 구현, 신뢰된 환경을 만들겠다는 개념. NAC는 기존 사후대응에 그친 보안 패러다임을 변화시켜 사전예방이 가능한 차세대 보안 솔루션으로 기대를 모으고 있다.
한국정보사회진흥원에 도입된 애니클릭NAC는 현재 구축작업이 모두 완료돼 300여대의 내부 직원 PC는 물론, 방문객, 협력사 직원들이 기기가 네트워크에 접속하려 하는 순간부터 정책에 의해 강력한 인증-탐지-통제-치료의 일련의 보안절차를 수행해 네트워크 무결성을 유지하는 핵심툴의 역할을 수행하고 있다.
또한 인증에 기반한 접근통제를 구현, 그룹별로 다른 정책을 적용함으로써 인가된 사용자에 의한 정보 유출도 방지하고 있다. 접속 시 단말 헬쓰체크에서 문제가 발생하지 않은 사용자라도 인증되지 않았다면, 네트워크 접속이 불가능하게 된다.
협력사 등 업무 관계로 방문하는 이용자는 15층 통합전센센터 내에서만 허가된 일부의 내부망 접속을 허용하는 보안 정책을 적용하고, 유지보수 협력 직원처럼 업무상 이유로 통합전산센터 외 내부 사무실, 회의실 등의 공간에서 네트워크 접근이 필요할 경우에는 관리자 승인을 통해 접근을 허용함으로써 보다 완벽한 정보보안이 구현되도록 한 것이다.
불법AP 원천 차단
한국정보사회진흥원의 NAC 도입은 2007년 7월부터 12월까지 8개월간 국내외 솔루션에 대한 면밀한 검토와 함께 세밀한 BMT를 진행한 끝에 이뤄졌다. 최종 낙점을 받은 유넷시스템의 애니클릭NAC는 BMT에서 가장 높은 성능을 보였음은 물론이다. 나아가 무선랜 보안기능을 함께 제공해 동시에 이들 두 가지 보안 문제를 해결할 수 있는 애니클릭NAC의 장점이 제품 선정에 크게 어필한 요인으로 전해진다.
NAC 도입을 담당한 한국정보사회진흥원 조두호 선임연구원은 “실제 BMT 결과 다른 기능에서는 다른 국산 NAC 솔루션의 성능도 도입된 애니클릭NAC에 못지않게 우수한 결과를 나타냈지만, 유넷시스템의 애니클릭NAC는 무선랜 보안까지 한 번에 해결할 수 있다는 점에서 높은 점수를 받았다”며 “보안홀로 작용할 수 있는 불법 액세스포인트(AP)의 사용을 원천봉쇄함으로써 보안성을 한층 높일 수 있다”고 전했다.
불법 AP란, 관리자의 승인없이 사용되는 무선공유기 등의 접속장비를 말한다. 무선공유기의 보편화와 더불어 사용자들의 취약한 보안의식으로 인해 다소의 편리함을 위해 불법AP를 설치하는 사례가 증가하고 있어 불법AP문제는 기업, 기관에서 보안 담당자들의 골칫거리로 떠오른 상황이다. 관리되지 않는 불법AP로 인해 보안의 취약점이 발생하기 때문으로 내부정보 유출이나 네트워크가 공격받을 가능성이 높아 진다.
한국정보사회진흥원 역시 불법AP를 차단하는데 많은 노력을 기울여야 했다. 또 이러한 차단은 수시로 각 사무실을 돌아다니면서 무선AP를 찾아다녀야 하는 수작업으로 이뤄져야만 해 더욱 시간과 노력이 많이 필요했으며, 업무 생산성을 저해하는 문제가 돼 왔다. 많은 노력을 기울였음에도 수작업의 한계 상 찾아내지 못한 불법AP가 존재할 수 있다는 불안감도 동시에 갖고 있을 수밖에 없었다.
하지만, 유넷시스템의 애니클릭NAC를 도입함으로써 한국정보사회진흥원은 중앙에서 자동으로 불법AP를 차단, 보안성과 업무효율성을 동시에 높일 수 있게 됐다. 애니클릭NAC는 인가되지 않은 무선 장비의 네트워크 접근을 자동으로 차단해 불법AP 사용을 원천봉쇄할 수 있다. 또한 무선랜 보안까지 제공하는 애니클릭NAC로 유선은 물론 무선 보안까지 해결할 수 있어 한국정보사회진흥원은 한층 진일보한 보안을 구현했다는 평가를 받고 있다.
NAC 노하우로 ‘신속 구축’
한국정보사회진흥원이 만족감을 표시하는 또 다른 부문은 NAC 구축 작업이 신속·정확하게 이뤄졌다는 점이다. NAC 전문기업으로 다양한 규모의 NAC 구축사례를 갖고 있는 유넷시스템의 노하우를 통해 NAC 도입절차가 빠르게 이뤄질 수 있었다는 것이 한국정보사회진흥원 측의 평가다.
조두호 선임연구원은 “NAC 구축에는 기존 보안 솔루션과의 연동, 정책 설정 등 많은 수의 추가 작업이 필요할 것으로 예상했었지만, 실제 구 축시에는 패치 미설치 등 사용자 이용 기기의 문제를 해결하는 유도 페이지만 한국정보사회진흥원에 맞춰 커스터마이징하는 작업만 수행하면 됐다”며 “이로 인해 NAC 도입이 빠르게 이뤄질 수 있었고, 도입 즉시 네트워크 보안 정책을 적용할 수 있었다”고 놀라움을 표시했다. 조 선임연구원은 “이러한 빠른 구현은 대형 NAC 구축사업을 다수 진행했던 유넷시스템의 노하우가 녹아들어 솔루션 완성도를 높였기 때문이라고 생각한다”고 덧붙였다.
유넷시스템은 인하공업전문대학, 금호생명 등 다양한 산업군에서 NAC 레퍼런스를 보유하고 있다. 특히 대규모 작업이 필요할 뿐만 아니라 고도의 보안성이 요구되는 금융기관의 NAC 도입으로 상징성을 지닌 신한은행 프로젝트를 성공적으로 구축, NAC 선두기업으로 꼽히고 있다.
접속 단말에 대한 사전 헬스체크를 통한 네트워크 무결성 확보, 불법 무선AP 차단 등 애니클릭NAC 도입으로 높아진 보안성에 만족하는 다른 한편으로 조두호 선임연구원은 NAC가 보안USB의 실질적 배포 방안으로 활용될 수 있는 가능성에도 초점을 맞췄다.
이동형 저장장치에 대한 정보유출 우려로 국가정보원은 보안USB를 2008년 4월까지 도입하도록 각급 공공기관에 권고하고 있는 상황. 하지만, 보안 담당자들의 고민은 보안USB를 도입해도 실제 사용자들이 보안USB를 사용하게 할 수 있는 실제적인 방안이 마땅치 않다는 데 있다.
조두호 선임연구원은 “NAC가 단말의 상태를 점검해 네트워크 접근을 차단하는 역할을 수행할 수 있기에 보안USB의 강제 배포를 구현하는 현실적 방법이 될 수 있다”고 지적 했다.
유비쿼터스 선도기관으로 ‘우뚝’
한국정보사회진흥원에 있어서도 정보보안은 매우 중요 과제이다. 뿐만 아니라 IT 정보보안은 미래사회를 이루는 전제조건이기에 정보혁명에 이은 제4의 혁명 유비쿼터스 시대를 준비하는 핵심기관인 한국정보사회진흥원의 완벽한 정보보안 체제 구축은 큰 상징성을 지닌다.
한국정보사회진흥원은 그동안 IT신기술을 공공부문에 선도적으로 접목시키는데 주력해 전자정부 고도화를 이뤄냈던 것처럼 최첨단 IT 보안 기술을 도입해 선도 사례를 구축함으로써, 미래 유비쿼터스 사회의 근간인 안전하고, 신뢰된 네트워크를 구현하는 데에도 힘을 쏟고 있다. 또한 정보화를 통한 미래사회 개척에 능동적으로 나서고 있는 기관이 한국정보사회진흥원인 만큼 보안에 있어서도 최첨단 기술을 선도적으로 도입해 새로운 이정표를 마련하겠다는 방침이다.
인터뷰 / 조 두 호 | 한국정보사회진흥원 선임연구원
불법AP 차단·보안취약점 제거 ‘만족’
NAC 도입 시 가장 중요시한 부문은.
무선 위협에 대한 방어이다. 무선기기의 사용이 높아지고 있지만, 무선은 편리한만큼 보안의 취약점을 많이 발생시킬 수 있어 보안 담당자에게는 매우 까다로운 일이다. 특히 편의를 위해 사용자가 임의로 설치해 사용하는 불법 AP는 보안설정도 돼 있지 않아 심각한 보안 취약점이 된다. 수시점검을 통해 불법AP를 검출하고 있지만, 수작업의 한계로 100% 차단을 장담할 수는 없는 문제였다. 따라서 NAC 도입에서는 이러한 문제 해결의 가능성 여부에 초점을 맞췄으며, 유넷시스템의 애니클릭NAC가 유무선 보안문제를 모두 해결할 수 있어 한국정보보호진흥원의 NAC 제품으로 최종 선정됐다.
애니클릭NAC에 대한 만족도는.
주된 요청사항 중 하나였던 불법AP 이용을 자동으로 차단할 수 있어 보안성이 크게 높아졌다. 사용자 임의로 설치되는 불법AP가 원천적으로 사용될 수 없는 시스템이 마련됐기에 혹시 모를 불법AP가 발생시킬 보안 취약점에 대한 불안감도 없어졌으며, 불법AP를 일일이 찾아다녀야 하는 불필요한 노력도 사라지게 돼 매우 만족스럽다. 구축과정이 까다로울 것이란 점에서 다소 우려되기도 했지만, 유넷시스템이 보유한 NAC 구축 노하우로 신속하게 NAC 구축을 완료할 수 있었다는 점도 만족스러운 부문이다.
한 가지 아쉬운 점은 일부 NAC 제품에서 구현되는 패치관리(PMS) 기능이 들어있지 않다는 점이다. 패치관리까지 NAC 에이전트로 가능했다면 보다 더 편리했을 것으로 생각된다. 하지만, 제품의 컨셉이 다르기에 이는 감수해야할 부문이라고 생각한다. 패치관리 기능이 없지만, 유선은 물론 무선 보안까지 동시에 제공할 수 있는 이점이 더욱 크다. 이에 애니클릭NAC는 한국정보보호진흥원에게 가장 적합한 NAC 솔루션이라고 평가할 수 있다.
향후 계획은.
NAC 고도화를 준비중에 있다. 현재 802.1x를 지원하지 않는 기기가 있어 콘트롤러를 통해 제어를 수행하고 있다. 하지만, 이 경우 세밀한 통제가 불가능해 이들 미지원 단말을 802.1x 표준 기반의 기기로 바꿔나가면서 NAC를 더욱 고도화할 방침이다. 더불어 보안USB 도입에 있어서도 NAC를 적극적으로 활용할 방침이다. 사용자들에게 보안USB 사용을 강제할 방법이 없지만, NAC를 적절히 이용하면 보안USB를 사용을 강제할 수 있는 현실적 방안이 마련될 수 있다고 생각한다.
