“NAC 도입은 반드시 성공해야 한다”

NAC 3회 … 부서간 원활한 협업체계 구축 ‘필요조건’

네트워크접근제어(NAC)는 접근하는 모든 기기를 검사, 악성코드에 감염되거나 기업 보안정책에 따르지 않는 기기를 차단함으로써 네트워크의 안전을 담보하는 솔루션으로 정보보안의 새로운 패러다임으로 관심을 끌고 있다. 하지만 NAC의 복잡성은 여전히 기업 담당자를 괴롭히는 상황이다. 손쉬운 NAC에 대해 알아본다.

이원규
미디어랜드 기획팀장
qlee66@medialand.net

지난 2회에서는 NAC 구축에 있어서 꼭 알아야 할 핵심 포인트 세 가지에 대해 알아보고 간단한 구축 과정을 제시했다. 핵심을 다시 정리하면 ▲정책은 간단하고 통제는 강력해야 한다 ▲타깃은 정확해야 한다 ▲도입 검토는 ‘스마트’하게 판단하고, 추진은 강력해야 한다 등이다.

지난 2회를 통해 NAC가 무엇인지, 또한 구축시 핵심 포인트는 무엇인지를 이해했으니, 이번 마지막호에서는 보안 솔루션 도입 시 가장 큰 고민인 ‘비용’을 최대한 줄일 수 있는 노하우를 알아보고, 3회에 걸친 ‘NAC 쉽게 이해하기’ 연재를 마무리 하고자 한다.

지금부터 알고자 하는 최소 비용으로 구축/운영하는 노하우는 NAC 솔루션 업체와 거래를 잘 해서 가장 저렴한 가격을 쟁취할 수 있는 방법에 대한 얘기를 하려는 것이 아니다. NAC 솔루션은 보안을 관장하는 중요한 시스템이다. 컨셉을 잘 잡아야 하고 조금 거창하게 말하자면 IT 컨설팅에 의해 도입돼야 할 필요가 있는 시스템인 것이다. 다시 말해 성능에 큰 차이가 없어 단순히 가격만 비교하면 되는 사무용 가구나 집기같은 것이 아니기에 가격 위주로 저렴한 제품을 도입했다가는 최소 몇 년간 쓰라린 경험을 할 수도 있다.

최소 비용으로 NAC 구축/운영을 이룰 수 있는 핵심 노하우를 먼저 제시하면 첫째 ‘반드시 성공해야 한다’, 둘째 ‘중복 투자를 피해야 한다’, 셋째 ‘운용하기 쉬워야 한다’, 넷째 ‘첫째,둘째 그리고 셋째 노하우를 절대 잊지 않는다’ 등으로 요약할 수 있다.

NAC는 실패할 수 있다
NAC 도입은 반드시 성공해야 한다. 실패할 경우 그 피해 비용은 단순 도입 비용뿐 아니라 도입을 위해 관계자들이 투자한 정신적, 시간적 비용의 낭비란 문제가 추가로 발생한다. 레퍼런스가 있는 이름난 업체의 솔루션을 도입을 하는데 성공/실패를 운운하는 것이 이상하게 생각할 수 있을 것이지만, NAC는 구매했다고 해서 반드시 기대했던 대로 잘 작동하고 잘 사용할 수 있는 것이 아니다.

간단히 말해 NAC는 실패할 수 있다. 이것은 주관적인 의견이 아니며 단순히 우리나라 만에 국한된 문제도 아니다. 전 세계적으로 많은 기업들이 NAC 도입 실패를 경험했다. 유명 IT전문 글로벌 매체도 다음과 같은 제목의 NAC에 대한 기사를 내보내 왔다. “Is NAC dead?”, “NAC, not Dead yet”. NAC 자체가 실패냐 아니냐를 운운하고 있는 것이다. 실패 경험이 나오는 배경에 대한 의견들도 다양하다.

NAC 도입에 있어 가장 큰 비용은 바로 ‘실패 비용’이다. 야심차게 큰 비용을 들여 NAC를 구축했다가 실패했을 때 비용은 단순히 구매 비용만 고려하더라도 상당히 크다. 도입시에 솔루션 업체와 거래를 잘 해서 10%, 20% 저렴하게 구매하는 것과는 비교도 안 된다. 전 직원에게 영향을 미치는 시스템인 만큼 실패했을 경우 IT 부서에 대한 신뢰도 역시 낮아질 수 있다. 새로운 시스템을 구매하려 해도 실패 비용의 여파때문에 재도입하는데 시간이 걸릴 수밖에 없으며, 그 기간 동안에 보안은 타사에 비해 취약해질 수밖에 없다. 게다가 시간적 비용 등을 고려한다면, 실패비용은 가파르게 증가하게 된다.

따라서 ‘성공 사례’를 꼭 확인해야 한다. 특정 솔루션 도입을 고려할 때 현재 많은 보안 담당자들은 실패를 피하기 위해 레퍼런스를 참고하고 있다. 솔루션 업체들 또한 홍보할 만한 레퍼런스를 만들기 위해 최선을 다한다. 그만큼 레퍼런스는 중요하다. 하지만 여기서 반드시 확인해야 할 사항이 있다. 그것은 바로 ‘도입 사례’와 ‘성공 사례’는 다르다는 점이다. 누구나 알 만한 업체가 도입했다고 해서 반드시 성공했다고 말하기 어렵다. 또한 레퍼런스가 많이 있다고 해서 반드시 좋은 솔루션은 아니다.

사실 이름난 기업일수록 실패 사실이 알려지길 꺼려 한다. 따라서 도입을 고려하고 있는 기업의 담당자들은 특정 회사가 솔루션을 구매했는지, 안 했는지만 알 수 있을 뿐, 잘 사용하고 있는지, 또는 사용하길 포기했는지의 여부는 알기 힘들다. 다시 강조하지만, 실패했을때의 비용은 너무 크기 때문에 NAC 도입을 고려하는 담당자는 꼭 ‘성공 사례’를 알기 위한 노력을 게을리 해서는 안 될 것이다.

나아가 담당자가 NAC를 정확하게 알아야 한다. 그동안 SI 업체나 국내외 솔루션 업체가 제품을 판매하기 위해 잘못된 환경을 조성하고, 컨설팅함으로써 기업이 도입된 시스템을 잘못 사용하는 경우를 종종 볼 수 있다.

NAC는 특히 내부 보안의 컨트롤 타워 역할을 해야 할 솔루션인 만큼 기업 내 담당자가 기본 컨셉을 알아야 한다. 아무리 솔루션 업체가 전문성 있는 벤더라 하더라도 담당자는 어떤 것이 올바른 컨셉인지 정도는 이해하고 판단할 줄 알아야 한다.

각 제품들의 세세한 기능까지는 알 수도 없고 알 필요도 없겠지만 장기적인 안목으로 어떻게 NAC를 구성하고 동작돼야 하는지에 대한 컨셉만큼은 확실히 알고 있어야 한다. 그래야만 실패하지 않는다. 단순히 솔루션 업체에게 맡기는 식의 NAC 도입이라면 차라리 안하는 것이 낫다. 기다렸다가 NAC도입을 훌륭히 성공한 업체가 나왔을 때, 그 때 따라하더라도 늦지 않다. 성공하는 NAC는 스마트하고 강한 의지가 있는 담당자의 노력에 달려있다.

기존 솔루션 대체 아닌 ‘활용·통제’
NAC는 기존의 내부 PC 관리 및 보안 솔루션과 밀접한 관계가 있다. 그것은 NAC의 태생 자체가 치료할 수 없었던 문제를 해결해 주는 혁신적인 새로운 보안 제품이 아니라, 기존에 있는 보안 및 자산 솔루션의 도입 효과를 최대한 증대시켜 확실히 통제하자는데 그 목적을 두고 있는 까닭이다.

회사 내부 솔루션을 함부로 사용 못하게 하는 사용자 인증 시스템도 이미 존재해 왔고, 내부망 외부망을 분리하는 시스템도 있다. 안티바이러스, 자산관리 솔루션, IP관리 솔루션, 패치관리 솔루션도 이미 시장에 등장한 지 꽤 됐다. 하지만 아무리 위의 솔루션들을 잘 써도 취약점은 존재하고 그 효과를 모두 누릴 수 없기에 강력한 통제 시스템을 마련, 기구축 솔루션들의 역량을 최대한으로 끌어 올려야겠다는 아이디어가 창출됐으며, 이것이 NAC인 것이다. 그리고 이러한 NAC는 그동안 ‘관리’라는 패러다임을 ‘통제’라는 새로운 개념으로 바꾸는 계기가 되고 있다.

NAC의 역할은 기구축된 시스템을 ‘통제’하는 것이다. NAC가 백신 소프트웨어를 대체할 수는 없으며, 전문 IP관리 솔루션을 대체할 수도 없다. 마찬가지로 전문 자산관리 솔루션을 대체할 수도 없고, 전문 패치관리 솔루션을 대체할 수도 없다. NAC는 이를 대체하는 것이 아니라 위의 솔루션들을 통제하는 시스템이기 때문이다.

하지만 현실은, 솔루션 업계들이 경쟁을 하고 상품화에 힘을 쓰다 보니 위의 모든 관리 기능을 모두 수행할 수 있는 것이 NAC 솔루션으로 인식이 돼 버린 양상이다. 많은 NAC 제품들 또한 위의 기능들이 조금씩 모두 되는 형태로 개발돼 판매되고 있고, 가격도 자연스레 모든 기능들의 개발 비용이 녹아들어간 가격으로 형성되고 있다.

기구축된 솔루션들은 고유의 중요한 역할과 가치가 있다. 다시 한 번 강조하지만, NAC는 기존의 내부 보안 및 자산 관리 시스템의 성능을 향상시키고 앞으로 도입할 시스템들이 확실히 모든 단말에 적용되도록 하는 강력한 지휘자 역할을 하는 시스템이다. NAC란 것이 기존에 구축된 엔트포인트 보안 및 관리 시스템의 역할을 모두 다 해주는 만능 시스템이 아니란 얘기다.

따라서 기존에 구축된 관련 시스템들이 이미 있는 상황에서 NAC 솔루션을 도입한다면, NAC 본연의 역할에 전문성이 있는 것인지를 살펴보고, 이미 도입돼 사용되고 있는 기능들이 제안된 NAC 제품에 포함돼 있는 것은 아닌지를 꼼꼼히 따져 봐야 한다. 많은 대기업, 중견기업 및 공공기관들의 경우에는 이미 엔드포인드 보안 및 관리 솔루션들이 하나 이상 갖춰져 있을 것이다. 빈약한 각각의 기능들이 모두 포함돼 있는 솔루션이 아닌 NAC 기능을 확실히 하는 솔루션을 잘 찾는 것만으로도 중복투자를 피하고 적절한 가격에 NAC를 도입할 수 있을 것이다.

손쉬운 운용, 비용절감 ‘지름길’
운용상에 들어가는 비용은 원하는 기능을 적용하는데 요구되는 시간이다. 사용법이 어려우면 우선 정책을 내리기가 힘들어진다. 또한 정책 적용 방법이 간단하지 않으면, 정책이 잘 못 반영될 수 있다.

NAC는 단순한 관리 시스템이 아니라 ‘통제’ 시스템이기 때문에 정책이 정확히 내려지지 않을 경우에는 큰 혼란을 초래할 수 있음은 꼭 기억해야 한다. 간단히 말해 정상적으로 일을 할 수 있어야 하는 직원의 업무를 마비시킬 수 있다. 이 경우 각각 직원들의 업무 마비로 인한 손해 비용 및 관리자가 문제를 해결하기 위해 투자해야 할 시간 등을 모두 비용으로 환산하면 그 크기는 엄청나다.

가능한 직관적으로 사용할 수 있어야 한다. ‘트레이닝 코스트(Training Cost)’라는 용어가 있다. 특정 기기나 제품을 사용하고, 익숙해지는데 필요한 시간 및 비용을 말하는 것이다. 하버드 비즈니스 스쿨 프레스에 기고한 UC버클리 대 칼 샤피로 교수의 ‘Information Rules’이란 글에 따르면, 윈도우가 80~90%에 가까운 시장 지배력을 가지고 매킨토시가 10% 이상의 시장 점유율을 극복하기 힘든 원인이 바로 이 트레이닝 코스트에 있다고 한다. 이미 대부분의 사용자들이 윈도우 환경에 익숙해져 있고 쉽다고 느끼기 때문에 다른 인터페이스를 제공하는 OS에 거부감을 느끼고 또 새로운 시스템을 사용하고 익숙해지는데 시간이 걸릴 뿐 아니라 다른 OS에 대한 거부감 또한 생각보다 크다는 것이다.

NAC 역시 마찬가지다. 시스템 관리자 또한 UI나 그 사용법이 직관적이지 않으면 잘 쓸 수 있는 기능도 활용 못 할 수도 있고, 또한 통제를 잘 하지 못해 문제를 일으킬 수 있으며, 이러한 우려 때문에 사용이 꺼려질 수도 있는 것이다.

첫째, 둘째 그리고 셋째 노하우를 절대 잊지 않는다
앞서 언급한 세 가지 노하우는 NAC 도입에 있어서 비용을 최소화하기 위해 너무나 중요한 원칙이다. 이 가운데 특히 ‘반드시 성공해야 한다’는 ‘중복투자를 피야야 한다’와 ‘운용이 쉬워야 한다’를 모두 포괄하는 가장 중요한 원칙이다. 성공 여부가 너무나 중요한 이유를 다시 종합 정리해 얘기하자면, NAC는 바로 ‘내부 보안 인프라’기 때문이다. 앞서 언급했듯 기존의 백신, 패치 관리 솔루션, 자산관리 솔루션, 내부망 사용자 관리 등을 확실히 하기 위한 내부 보안 인프라인 것이다.

NAC가 제대로 구축, 정립되면 향후에는 NAC라는 인프라 위에서 앞으로의 엔드포인트 보안 솔루션들이 컨트롤될 것이며, 그 대상은 데이터유출방지(DLP) 솔루션일 수도 있고 불법소프트웨어 방지 솔루션이 될 수도 있다. 그 이외의 어떤 새로운 엔드포인트 보안 솔루션이 나온다 하더라도 NAC 위에서 통제될 것이다. 이러한 상황을 가정한다면 NAC 인프라 투자가 실패할 경우는 심각한 문제가 야기됨을 알 수 있다.

여기에 한 가지 더 첨언한다면 성공적 NAC를 위해서는 부서간 긴밀한 협조가 절대적으로 필요하다. 대기업의 경우 NAC와 관련이 있는 부서나 담당자가 다수 존재하게 된다. NAC는 내부보안 인프라기 때문에 백신을 관리하는 조직, 자산관리를 담당하는 조직, IP를 관리하는 조직 등등과 협의를 피할 수 없다. 각각 시스템의 ‘관리’는 계속 유지하더라도 ‘통제’권은 NAC에 넘겨야 하기 때문이다. 하지만 각각 부서의 이권을 고려하다 보면 NAC는 절대로 될 수가 없고 도입되더라도 실패할 가능성이 크다. 각 부서의 협의를 끌어 낼 수 있는 강력한 리더의 의지가 반드시 있어야 한다.

1회에서 예로 들었던 출입국 심사장의 경우에도 마찬가지다. 입국 심사는 법무부가 담당하고, 항공 및 수하물은 건교부가 담당하고, 치안은 행자부 소속의 경찰이 담당한다. 위 인프라를 구축하려는 국가의 강력한 의지와 부서간의 긴밀한 협조가 없었다면 공항에서의 국가보안은 이뤄지지 않았을 것이다.

마지막으로 솔루션간 유기적 연동을 언급하고 싶다. NAC는 단독 솔루션이 아닌 여러 엔드포인트 보안/관리 솔루션을 관장하는 인프라이다보니 기존 시스템 및 앞으로 추가 도입할 시스템들을 유기적으로 연결시킬 수 있어야 한다. 때에 따라서는 이기종간의 연동을 위해 커스터마이징이 필요할 수도 있다.

이러한 이유로 기업 환경에 따른 커스터마이징을 고려해 빠른 지원이 가능한 NAC 솔루션을 추천한다. 커스터마이징 비용은 특성상 개발자의 인건비를 수반하기 때문에 추가 비용이 발생할 수 있다. 기존 시스템에 대한 커스터마이징뿐 아니라 새로 도입하게 될 수 있는 시스템에 대한 연동도 고려한 유지보수 계약도 체결하는 것이 중요하다.

지금까지 NAC가 무엇이고 올바른 기술은 어떤 것이며, 구축시 꼭 알아야 할 핵심 포인트 및 비용을 최소화하기 위한 노하우들을 알아봤다. 3회에 걸친 연재가 기업 CEO 또는 보안 담당자들이 NAC에 대해 쉽게 이해하는데 도움이 됐기를 바라며, ‘NAC 너무 어렵고 복잡하다’라는 푸념섞인 목소리 또한 조금 줄었기를 희망한다.

데이터넷 다른기사 보기