NAC, 복잡한 기능보다 손쉬운 필수 기능이 ‘중요’

NAC 1회 … NAC 10분만에 이해하기

네트워크접근제어(NAC)는 접근하는 모든 기기를 검사, 악성코드에 감염되거나 기업 보안정책에 따르지 않는 기기를 차단함으로써 네트워크의 안전을 담보하는 솔루션으로 정보보안의 새로운 패러다임으로 관심을 끌고 있다. 하지만 NAC의 복잡성은 여전히 기업 담당자를 괴롭히는 상황이다. 손쉬운 NAC에 대해 3회에 걸쳐 알아본다.<편집자>

이원규
미디어랜드 기획팀장
qlee66@medialand.net

“NAC 너무 복잡하고 어렵다.” 최근 기업 보안 및 관리를 담당하고 있는 현업 담당자들의 푸념 섞인 목소리들이다.

기업 보안의 새로운 패러다임으로 화두가 되고 있는 NAC이지만, 관심을 갖고 막상 알아보려 하면 공부해야 할 내용이 상당하다. NAC솔루션을 제공한다는 업체도 한 둘이 아니고, 각 업체에서 제안하는 NAC 구현 방법도 가지각색이다. 기업 보안 업무에 있어서 NAC 아니고도 신경 쓸 것들이 많은데 과연 이렇게까지 시간 투자를 해서 도입할 가치가 있는 것인지 고민하며, 도입 검토 엄두도 내지 못하고 있을 담당자들의 표정이 눈에 선하다.

이런 담당자들의 어려움을 덜어주고자, 단순히 3분 정도 분량의 글을 읽는 것만으로도 NAC 검토에 필요한 필수 지식을 쉽고 빠르게 이해할 수 있도록 3편의 글을 연재한다. 첫 시작은 NAC 개념 및 올바른 구현 방법이며, 다음으로 구축 방법과 비용을 절감할 수 있는 방법에 대해 차례로 알아보겠다. 그럼 이번 편에서는 도대체 NAC가 무엇이길래 관심을 가져야 하는 것인지, 어떻게 구현하는 것이 맞는 방법인지 알아보자.

NAC는 출입국관리소다
지난해 봄부터 한 해가 끝나기까지, 전 세계는 신종 인플루엔자 A(H1N1), 즉 초기 ‘돼지독감’으로 알려진 바이러스성 질병으로 한차례 큰 홍역을 치렀다. 국내에서도 감염된 사람이 만명을 넘었으며 사망자도 10여명을 넘겼다.

초기 미주 지역에 방문했던 수녀를 시작으로 외국인 강사들 집단 감염, 초등생 집단감염, 그리고 나중에는 연예인 감염까지 한 해 내내 떠들썩했다. 다행히 타미플루라는 치료제가 효과가 있는 것으로 알려지면서 급한 대로 불은 껐지만 타미플루만으로는 근본적인 해결이 될 수 없었다. 이에 정부는 뒤늦게나마 인천공항 등 출입국 심사가 있는 곳에 검역을 강화했다. 외국에서 인천공항에 도착했을 때를 회상해 보면, 검역 담당 직원들이 온도계를 귀에 대고 체온을 측정하고, 입국 심사장으로 걸어가는 동안에도 여러 개의 감지 센서로 지나가는 승객들을 한차례 더 온도 측정을 했던 것으로 기억한다.

NAC는 바로 이 공항에서 출입국관리소가 하는 업무와 매우 닮았다. 더 정확히 얘기하자면, 보호해야 할 대상이 국가 자산이냐 아니면 기업 IT자산이냐 정도의 차이는 있지만, 입국 심사와 거의 똑같다고 할 수 있다. 입국 심사가 국내로 들어오려는 사람이 사회적 범죄를 일으킬 사람이거나 병균을 퍼트릴 사람인지 또는 문제를 일으킬 만한 물건을 들여오는 것은 아닌지를 확인함으로써 국민을 보호하고 국내 산업에 피해가 가지 않도록 확인하는 것이라면 NAC는 사내망으로 들어오려는 단말기, 또는 사람은 누구인지, 단말기가 사내 네트워크를 마비시키거나 다른 단말기들을 오염시킬만한 잠재적 요소가 있는지를 확인함으로써 사내 네트워크, 서버, 데이터, 및 사내 망에 접속되어 있는 단말기들을 보호하는 역할을 한다.

“NAC, 입국심사와 같다”
땅은 한국 땅이지만 사실상 한국이 아닌 제3의 DMZ같은 영역인, 입국심사대의 풍경을 다시 한 번 되돌아보자. 경찰복 비슷한 유니폼을 입은 심사관들은 들어오려는 사람이 내국인인지, 외국인이지를 판단하고 문제가 있는 사람은 아닌지 확인한다. 또 여러 검역 담당관들은 신종 플루 의심 환자인지를 판단하기 위해 여러 방법으로 체온을 측정한다.

▲ 출입국검사. NAC는 공합의 출입국관리소가 하는 역할과 매우 비숫하다.

NAC가 하는 역할도 같다. 내부 직원이던 외부직원이던 유선랜을 PC에 꽂거나 무선랜으로 사내망에 접속했을 때 NAC는 우선 이 사용자들의 PC를 DMZ존으로 격리시켜 놓는다. 그리고 사내망으로 들어오려는 PC가 등록이 된 PC인지, IP 또한 사용해도 되는 등록 IP인가를 확인한다. 또 PC가 백신이 설치돼 있는지, 최신 패턴이 업데이트된 백신인지, 보안 패치도 최신 업데이트돼 건강한지 등을 확인한 후 이 모든 검사에 합격했을 경우에 사내망으로 접근을 허용한다.

종종 기업 보안 담당자들은 백신 소프트웨어를 사용하고 있고 패치관리시스템(PMS)가 있는데 NAC가 왜 필요하냐고 반문하는 경우가 있다. 비슷하지만 확연히 다른 이유를 입국심사 컨셉에서 다시 확인할 수 있다. 핵심은 바로, 입국 심사를 통과하기 전까지 내외국인들은 땅은 한국땅이지만 한국이 아닌 엄연히 분리되고 격리된 DMZ 존에 있다는 사실에 있다. 간단해 보이지만 엄격한 이 심사를 통과하지 못하면 외국인들의 경우에는 실질적인 한국땅에 한 발짝도 못 디딘 채 바로 본국으로 송환될 수 있는 것이다.

기존의 백신 및 PMS에 의존한 보안 관리의 가장 큰 문제점을 예로 들어 보면, 신종플루에 걸린 내 외국인이 특별한 심사 없이 바로 한국땅에 들어와서 전국 방방곡곡을 돌아다니다가 뒤늦게 감염 사실이 발견돼 찾아다니면서 신분 확인도 하고 타미플루로 치료해주는 개념이라고 보면 되겠다. 잠재적으로 문제를 일으킬 수 있는 단말들을 다른 영역으로 격리시키지 않고 방치했을 때 생기는 문제점은 기업 보안 담당자라면 필자가 이 지면을 할애하지 않더라도 충분히 가늠해볼 수 있을 것이다. 지금까지는 백신이 보안의 대명사로 인식됐지만 타미플루만 갖고 신종플루를 근본적으로 해결할 수 없었듯 사전 차단 방식의 NAC가 필수적인 보안 컨셉으로 등장했다.

스마트 사내망 보안, ‘NAC’
보안에 있어서 망분리는 큰 의미가 있다. 공공기관이나 몇몇 기업 연구소는 아예 물리적으로 내부망 사용 전용 PC와 인터넷용 PC를 분리시켜 놓고 사용한다. PC 두 대를 따로 쓰는 불편함을 감소하고라도 인터넷 등 외부로부터의 감염 가능성을 원천 차단하겠다는 의지이다. 최근에는 가상화를 통해 한 PC에서 다른 두 개의 망을 사용하는 기술까지 등장하고 있다.

오늘날 ‘스마트폰’, ‘스마트워크’ 등이 화두가 되면서 똑똑하고 효율적으로 일하자는 움직임이 산업전반에 걸쳐 일어나고 있는데 NAC 또한 ‘스마트 사내망 보안’이라고 할 수 있다. 물리적으로 PC를 두개를 배치해 망분리해 운영할 필요없이 PC가 내부망에 접속하기 전에 일단 별도의 DMZ 망에 격리시켜놓고, 접속하려는 자가 누구인지, 건강한지를 철저히 확인한 후에 안전하다 판단되면 내부망 사용을 허용하는 것이다. 또한 내부망에 들어온 이후에도 주기적으로 검사해 감염이 의심되는 즉시 다시 별도 DMZ망으로 재격리시킨다. 혹시 단순 인터넷만 사용하길 원하는 외부 방문자의 경우에는 이 별도 DMZ망에서 인터넷만 사용 가능하게 하면 된다. 이는 추가적으로 인터넷만 사용하게 하는 별도의 PC를 배치하는 개념과 크게 다르지 않다.

출입국 관리소에서 인증과 검역은 둘 모두 필수다. 약 50년 전으로 돌아가서 국제공항을 처음 만든다고 가정해보자. 해외 공항을 한 번도 가보지 않은 담당자가 공항을 만든다고 한다면 입출국 심사 절차가 필요한 것인지 수하물 검사는 해야 하는 것인지 잘 모를 수 있을 것이다. 현재 NAC를 도입하는 담당자들이 그런 경우라고 볼 수 있겠다.

현재 NAC 시장에서는, 인증만 해도 NAC고, 검역만 해도 NAC고, 둘 다 해도 NAC이니 고객이 원하는 만큼만 하면 된다는 식의 허울만 좋은 형태로 NAC가 제안되고 도입되는 것을 종종 볼 수 있다. 명절마다 공항이 해외여행객으로 북새통일 정도로 해외 경험을 한 국민이 많아진 오늘날에 누군가가 “인천국제공항에서 출입국 검사만 하고 수하물 검사는 불편하니 하지 맙시다”라고 주장한다면 납득할 만한 사람이 과연 얼마나 될까.

모든 길은 출입국 관리소로 통한다.
현재 기업 보안 담당자가 검토해야 할 NAC 구현 기술은 너무 많다. 이것은 시장의 리더가 시장 형성에 실패했기 때문에 초래된 결과다.

최근 거의 매일 같이 그 성공사례가 언급되고 있는 아이폰을 예로 들어보자. 만약 애플이 아이폰을 지금 같이 혁신적으로 사용이 간편하고 예쁘게 만들지 못했다면 오늘날 스마트폰 시장은 어땠을까? 구글 안드로이드는 만약 애플 아이폰을 만나지 않았다면 현재의 경쟁력 있는 모습으로 만들 수 있었을까? 삼성이 이렇게 빨리 스마트폰을 제조하려 했을까? 아이폰이 실패했다면, 아마 스마트폰 시장도 현재의 NAC 시장과 같이 여러 업체들이 각자의 기술적 강점만을 내세우며 시장을 다양하게 분산시켜 놓아 선택을 어렵게 하면서 느린 성장을 이어갔을 것이다.

대형 네트워크 장비 업체가 초기에 제안했던 네트워크 장비 기반의 NAC 프레임워크는 기술적 컨셉이 잘못됐다기보다는 현실적 환경에 맞지 않았다고 볼 수 있다. 외부 공격보다 내부에서의 관리 소홀로 보안 사고가 빈번했던 문제를 정확히 짚어내고 이를 해결할 수 있는 방법으로 NAC를 제안했을 때는 업계로부터 폭발적인 호응을 받았다.

하지만 이익을 추구하는 기업이라는 태생적 한계에서 벗어나지 못하고 주력상품 중 하나인 스위치 기반의 기술을 제안했고, 초기 NAC 시장은 이 방법이 정석인 것처럼 이해하고 받아들였다. 나아가 달궈지기 시작한 NAC 시장에서 가능성을 보고 신규 진입한 기업들 또한 같거나 비슷한 방법으로 제작된 솔루션을 판매하거나 이 스위치 기반 NAC 프레임워크와 호환되도록 제품 구성을 했다. 이것이 무엇이 문제였는지를 우선 알아보자.

▲ 비행기 게이트. 유선이든 무선이든 스위치 기반의 NAC 구현방식과 관련이 있다.

출입국 관리소는 적재적소의 길목에서 완벽한 제 기능을 해야 한다. 다시 신종플루 이야기로 돌아가 보자. 만약 입국 심사를 현재같이 공항 메인 터미널 건물에서 한꺼번에 하지 않고, 더욱 철저한 심사를 위해 내외국인들이 비행기에서 내리는 순간에 이를 수행한다고 가정해보자. 그곳도 국내로 들어오는 입구라고 말할 수 있으며, 아무 문제없이 확실히 이행될 수 있다면 이 방법은 매우 훌륭한 방법일 수 있다.

하지만 조금만 더 생각해 보면 이 방법은 구축비용이나 운영 측면에서도 매우 비싼 방법임을 쉽게 알 수 있다. 일단 수적인 면부터 생각해보자. 우선 게이트마다 약 둘 셋 정도의 심사관을 배치하고, 체온 감지 센서의 배치도 요구된다. 인천국제공항의 경우, 게이트 수는 약 40개 이상에 달하는데, 모든 게이트에 신분 심사관 및 체온 측정 센서기를 각 2개 이상씩 배치하기 위한 비용은 대략적으로만 생각해도 상당할 것임을 예상할 수 있다. 나아가 항공사들 중에 만약 게이트에서 특정 요구 조건을 내세우는 곳이 있다거나 체온 측정기가 고장이라도 날 경우에는 이를 처리 해결하기 위한 운영비용 또한 적지 않을 것이다.

이는 무선이든 유선이든 스위치 기반 NAC 구현 방식의 문제이다. 출입구처럼 보이는 곳을 모두 막겠다는 것이다. 언뜻 보면 가장 확실히 문제를 해결하는 듯 보이기에 기업 보안 담당자가 처음 들었을 때는 그럴듯하게 들렸을 수 있다. 약간 의심을 했더라도, 스스로 전문가임을 자처한 업체들이 영업적으로 설득하고 시장을 드라이브하고 있는 상황이라면, 기업 입장에서는 실제 구매해 운영 해보기 전까진 그 실상을 파악하기 힘들 수밖에 없다.

물론 기업내 모든 스위치들이 수문장 역할을 하면서 어떤 문제없이 명령을 잘 듣고 유무선으로 접속하려는 PC들을 확실히 제어한다면 매우 훌륭할 것이다. 하지만 현실적으로 이는 쉽지 않거나 효율적이지 않다.

모든 입구를 막을 필요는 없이 꼭 필요한 적재적소에 통제소를 배치해 놓으면 되는 것이다. 밖으로 나가기 위해 어차피 지나갈 터미널 출구 이전 길목에서 한 번에 검사하는 것이 투자비 및 운영 비용 측면에서 모두 각 비행기 게이트에서 실시하는 것보다 훨씬 비용효율적임은 자명한 사실이다.

인천국제공항의 경우에는 메인 터미널로 나가기 전 입국 심사장 한곳에만 확실히 신분 심사 및 검역을 하면 되며, 다른 국제공항들도 마찬가지이다. NAC를 도입하려는 회사의 경우도 동일하다. 서울 본사에 하나, 다른 네트워크를 사용하는 지방 사무소에 각각 하나씩만 놓으면 된다. 이렇게 되면 초기 투자뿐 아니라 운영 측면에서도 엄청난 비용을 절약할 수 있다.

출입국 관리소는 스스로 운영돼야
실제로 인천국제공항에 가보면 입국 심사관들이 직접 심사를 하는 곳 옆에 서너대의 자동 입국 심사기가 설치돼 있다. 필자도 사용해 본 적이 있는데 심사관들 앞에서 길게 서거나 혹시 모를 걱정 때문에 심사관과 눈을 마주치며 긴장할 필요 없이 여권과 지문 한 번씩 스캔만 하면 되기에 여간 편리한 게 아니었다. 심사관도 덜 바쁘고, 입국하는 사람도 편하고 시간을 대폭 절약할 수 있는데 이렇게 좋은 것을 이제야 도입했나 싶었다. 자동 입국 심사기를 관리하는 책임자는 등록되지 않은 입국자가 발견될 경우 격리시키고 당일 담당자에게 보고시키게 했을 것이라고 쉽게 짐작할 수 있었다.

▲ 자동 출입국심사기. NAC는 기능이 많다고 좋은 것이 아니라 우선 사용이 매우 쉬워야 한다.

NAC는 단순히 보안을 강화해주는 보안용 단말기 관리도구가 아니다. 간단하게 몇 가지 정책만 하달받으면 알아서 작동하는 시스템으로, NAC에게 일을 시켜놓고 바쁜 보안 담당자는 더 중요한 업무에 집중할 수 있다. 쉽게 말해 “백신 최신 업데이트 꼭 하세요.”, “IP 주소 함부로 바꾸면 안됩니다”, “외부 방문자는 함부로 회사 네트워크에 접속하면 안 됩니다”라고 안내해놓고 지켜지지 않을까 전전 긍긍하는 하는 것이 아니라 NAC 시스템이 알아서 위의 일들을 처리하고 다른 더 중요한 업무를 보다가 가끔 정기적으로 이상이 없는지 확인하며, 문제발생시에만 보고를 받으면 된다. 이렇게 운영하려면 우선 사용이 매우 쉬워야 한다.

기능이 많다고 더 좋은 것이 절대로 아니다. 현대인은 피곤하다. 신경 쓸 것들이 너무 많다. 애플은 쓸데 없는 기능을 최대한 줄이고 꼭 필요한 핵심 기능을 쉽게 사용할 수 있게 함으로써 아이폰이라는 초대박 상품을 만들어 냈다. 컴퓨터를 잘 쓸 줄 모르는 50대 60대 아주머니들도 아이폰은 사고 싶어 한다고 한다.
기업용 소프트웨어도 마찬가지다. 기능이 많으면 훨씬 더 잘 쓰고 유용할 것 같지만 절대 그렇지 않다. 대부분의 직장인들이 거의 매일 사용하는 마이크로소프트 워드, 파워포인트 같은 오피스 제품을 보면, 그 수많은 기능들을 모두 알고 잘 사용하는 사람은 많지 않다. 달리 보면, 필요하지도 않고 사용하지도 않는 그 수많은 기능이 탑재된 오피스를 쓰기 위해 기업이나 개인이 지불한 비용은 적절하지 않다고 말할 수 있다.

NAC 시스템 또한 많은 기능을 가지고 있을 필요가 없다. 너무 많은 기능은 사용 방법을 어렵게 할 뿐이다. 오토 방식의 차를 사용하는 운전자에게 매뉴얼 방식의 차를 운전하라 하면 약간의 부가적인 기능만 더 있을 뿐인데도 무척이나 어려워하는 것을 보면 알 수 있다. 사용자는 간단하게 명령하고 시스템은 스마트하게 알아서 움직여야 한다.

지금까지 NAC가 무엇인지, 어떤 기술이 올바른 것인지, 그리고 어떤 특징이 있어야 하는지를 알아보았다. NAC는 ‘입국 심사’와 같은 간단하면서 필수적인 개념이며, 적재적소에 하나만 있으면 충분하고, 간단한 명령 만으로도 스스로 잘 작동하게 해야 한다. 다음호에서는 ‘1주일만에 NAC 구축하기’를 통해 간단히 NAC 구축방법에 대해 알아보도록 하겠다.

데이터넷 다른기사 보기