'Network Access Control'에 해당되는 글 3건

  1. 2010.06.23 Genian NAC - 네트워크 접근 제어
  2. 2009.06.11 ESM(enterprise security management)
  3. 2009.02.05 NAC (Network Access Control) OverView
2010.06.23 23:29

Genian NAC - 네트워크 접근 제어

 
 


Genian NAC 은 내부 네트워크에 연결된 단말기의 인가 여부와 보안정책 준수 여부에 따라 네트워크 접속을 통제하고, 네트워크에 장애 요소 및 위협 요소를 사전,사후에 탐지하고, 네트워크를 복원함으로써 안정적인 네트워크 운영이 가능하게 해주는 솔루션입니다.

 

 

 


 

 



  실제 전산담당자들의 고민을 사례별로 정리한 사례입니다. Genian NAC(Network Access Cntrol)가 그 고민을 해결해 드리겠습니다.
 
K 대리 : 방문자가 허가 없이 노트북을 네트워크에 연결하여 내부 주요 서버 및 PC에 접근하고 있습니다.
P 주임 : 네트워크 유지보수 작업하던 협력업체 직원이 파일 서버에서 신제품 개발 계획서를 보더라구요.
J 대리 : 어제 영업부 김대리가 집에서 가져온 노트북 때문에 회사 내부에 바이러스가 돌았습니다. 확인해 보니 김대리 노트북에 패치가 전혀 되어 있지 않았습니다.
C 팀장 : 협력업체, 이동 사용자 등 비 인가자로 문제가 생기는데 이거 해결할 수 있는 솔루션 없어?
 
 
 
K 대리 : 내부 네트워크의 불법 DHCP 설치로 인해 보안 및 네트워크 장애가 종종 발생합니다.
P 주임 : 내부 사용자의 AP 설치로 인해 저희 네트워크가 외부로 노출되고 있습니다. 솔직히 이러한 AP 관리에 많은 어려움이 있습니다.
J 대리 : 강남지점에서 직원이 임의대로 ADSL 회선을 추가해서 인터넷을 사용하는 것을 어제 알았습니다. 조치가 필요합니다.
C 팀장 : 허가 없이 사용 중인 AP, DHCP 서버, ADSL 회선 등 모두 찾아서 보고하고 이것들에 대한 통제 강구 방안을 찾아봐!
 
 
 
K 대리 : Backbone 장애가 생겼습니다. 지점에서 트래픽이 엄청 증가했는데 정확히 어디인지 모르겠습니다.
P 주임 : 3층 총무부가 인터넷이 안 된다고 합니다. Backbone이나 IPS에서는 별 문제 없어 보이는데 아마 총무부내 문제 PC가 있나 봅니다.
J 대리 : 웜에 감염된 PC로 인해 네트워크 장애가 자주 발생 하고 있습니다.
C 팀장 : Backbone 이나 IPS에서 모니터링 해봐. 안나와?
어디 그런 거 알아서 찾고 차단해 주는 솔루션 없나?
 
 

 
 
비인가 사용자 및 비인가 장비의 네트워크 연결을 근본적으로 제어합니다.
임시 사용자, guest, 협력업체들은 직무별 제한된 네트워크 접속만 가능합니다
패치가 안되었거나, 취약한 단말기는 자동 패치 및 사용을 제한합니다.
내부 네트워크내의 비인가 서비스를 탐지합니다.
내부망에 연결된 불법 AP를 탐지합니다.
지점망에 관리자 모르게 설정된 우회 경로를 찾아 줍니다.
허니팟을 이용하여 내부 네트워크 상의 악성 트리픽을 유도하여 근원지를 추적하여, 네트워크에서 격리 시켜 줍니다.
과부하를 발생시키는 단말기는 네트워크에서 격리시켜 줍니다.

 

 

 


 

Genian NAC는 가상 방화벽(특허 제10-0765340호 "가상의 인라인 네트워크 보안방법")기술과 역할 기반 접근제어(RBAC : Role Based Access Control)기술을 이용하여 기존 네트워크의 구성 변경 없이 비인가 사용자의 네트워크 연결을 차단하여, 단말기의 상태에 따른 직무별 네트워크 사용 권한을 부여함으로써(특허 제0545676호 "사용자 단말기의 상태 정보를 이용한 인증방법 및 시스템")방문자,파견자,협력업체,취약한 시스템 등의 네트워크 사용권한을 구분하여 안전한 네트워크를 구축할 수 있습니다.

내부 가상 방화벽 기능
네트워크의 접근제어가 필요한 방문자, 협력업체 직원등의 임시 사용자들은 가상 방화벽 기능을 통해 네트워크 및 서비스를 제한할 수 있습니다.

IP Management 기능
비인가 IP 또는 MAC 주소 사용자 차단기능을 통하여 내부 네트워크의 인가되지 않은 장비 등을 차단할 수 있습니다. IP 충돌 방지 기능을 이용하여 방화벽, 라우터, 주요 서버 등을 보호할 수 있습니다.

내부 사용자의 보안 정책 준수 통제
내부망 사용자의 보안 정책 미준수 시에 네트워크 사용을 통제함으로써 일관되고 강력한 보안정책 적용을 보장합니다.

유무선 사용자 인증기능
내부 네트워크에 접속한 유무선 사용자들을 대상으로 Web포탕인증(Captive-Web Portal)을 통하여 인가된 사용자만 네트워크를 사용할 수 있게 하거나, 임시 사용자들에 대해 외부 인터넷만 제한적으로 허용할 수 있습니다. 내부 보안 사고 발생시 사용자 인증 정보를 이용하여 감사 추적을 위한 데이터로 이용할수 있습니다.


 

Genian NAC는 네트워크 내 TCP/IP 통신이 가능한 모든 Device에 대해서 Active Scan 방식을 이용하여 비인가 시스템을 자동 검출하고 Device들의 구성 변화를 자동으로 탐지함으로써 IT Infra의 Total Resource Management를 가능하게 해 줍니다.

Active Network Discovery 기능
네트워크 내에 연결된 모든 장비를 자동으로 검출하고, 검출된 장비를 Type별, Vendor별, OS별로 자동 분류함으로써 IT 자산관리의 편리성을 제공합니다.

비인가 장비 및 서비스 탐지 기능
네트워크 내의 주요 서비스를 탐지(DHCP, Mail, Web 등)하며, 사용자 실수 또는 고의적인 서비스 운영으로 인해 발생 가능한 네트워크 위협에 대응합니다.

네트워크 우회 경로 탐지 기능
   (특허 제 10-0730966호 "네트워크상의 비인가 우회경로 탐지방법 및 그 시스템")

지점망 등의 원격지 네트워크 상에서 우회 경로 발생으로 내부망의 위협 또는 정보 유출을 방지하기 위해 인가되지 않은 네트워크 경로가 탐지되면 중앙의 관리자에게 통보합니다.

Patch Management기능
보안에 취약한 미 패치 시스템은 자동으로 패치 시켜주며 또한 사내에서 요구되는 필수 S/W를 강제 배포 및 설치 시켜줌으로써 내부망의 보안 사고를 예방할 수 있습니다.(옵션 모듈:Thin Client필요)

Desktop Management기능
PC의 H/W정보,S/W정보,설치프로그램 정보 등 다양한 정보를 수집하여 사내에 설치된 PC의 자산관리를 가능하게 해 줍니다.(옵션 모듈:Thin Client필요)


 

Genian NAC는 내부의 알수 없는 원인으로 인해 발생하는 비 정상 트래픽을 효과적으로 관리하고 공격의 근원지(Origin)를 찾아 이를 내부 네트워크에서 격리시킴으로써 내부 네트워크의 가용성을 높일 수 있습니다.

내부 네트워크의 악성 트래픽 탐지 기능
네트워크 행위 기반의 악성 트래픽 탐지을 탐지합니다. 사용하지 않는 IP 주소를 유인 시스템들로 가장하여 내부 네트워크에서 발생하는 악성 트래픽을 탐지합니다.

Zero-Day 공격 방어 기능
Signature 기반의 탐지 기법으로 대응할 수 없는 Zero-Day 공격에 대해 행위 기반의 분석을 통해 탐지합니다.

악성 시스템 네트워크 제거 기능(Surgical Defense 기능)
악성 트래픽으로 의심이 되는 시스템은 가상 방화벽을 통하여 모니터링 후 통신이 제한되며, 최종 악성 트래픽으로 판정된 시스템은 네트워크에서 격리 시킴으로써 내부 네트워크의 가용성을 보장합니다.

바이러스 감염 시스템 제어기능
Anti-Virus Vaccine과의 연동을 통해 바이러스 감염 시스템에 대한 네트워크 사용을 제한함으로써 내부 네트워크의 가용성을 보장합니다.

 

 

 

 


Genian NAC는 내부 네트워크의 자원을 관리하고 네트워크내의 장애 및 사고 원인을 예방, 탐지하고, 제거함으로써 안정적인 네트워크 운영 관리가 가틍토록 해주는 솔루션입니다.

특징 설명
Dynamic NAC   네트워크 구성 변경 없이, 모든 네트워크 스위치에 적용 가능. Plug & Play
Agent-less NAC   PC에 Driver 설치하지 않음. 사용자의 편리성 및 관리자 관리 Overhead 줄임
네트워크 장애, 속도 지연 현상 없음   Virtual in-line 기술을 이용하여 정상적인 사용자들은 속도 지연 현상 발생하지 않음. 장비 장애시에도 네트워크에 영향을 끼치지 않음
역할기반의 접근제어(RBAC)   사용자의 직무, 단말기의 OS 및 상태등 다양한 조건에 따라 네트워크 접속 권한 차등 부여. 접근권한 설정의 유연성 제공
All-in-One 솔루션   Patch 관리 기능, Desktop 관리 기능, IP 관리 기능등 네트워크 관리에 필수 기능을 내장

 

 

 

 


 
 
구분 Multi Sensor Standard II Multi Sensor Standard Single Sensor
외관  
OS   GENOS(자체 OS) GENOS(자체 OS) GENOS(자체 OS)
Capacity   2,000 Node 이하 1,000 Node 이하 1 Class (300 Node 이하)
기타   19” Rack Mountable 19” Rack Mountable 19” Rack Mountable

출처 : http://www.geninetworks.com/


Trackback 1 Comment 0
2009.06.11 16:56

ESM(enterprise security management)

방화벽, 침입 탐지 시스템, 가상 사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템. 최근 기업 보안 관리(ESM) 통합 관리 수준에서 벗어나 시스템 자원 관리(SMS), 관리 시스템(NMS) 기업 자원 관리 시스템까지 확대, 개발되고 있다. ESM 기업들이 서로 다른 기종의 보안 솔루션 설치에 따른 중복 투자, 자원 낭비를 줄일 있으며, 솔루션 상호 연동을 통해 전체 정보 통신 시스템에 대한 보안 정책을 수립할 있다는 장점이 있다.

 

ESM 등장배경

보안의 개념은 처음에는 침입차단시스템(Firewall) 수준을 넘지 못했지만 최근의 보안은 침입차단 (방화벽), 가상사설망 (VPN), 침입탐지(IDS), 시스템 보안, 인증, 안티 바이러스, 데이터 백업에 이르기까지 전문화하는 양상을 보이고 있다. 보안의 핵심이 보안 제품 적용 적절한 보안정책에 따른 유지 관리라는 것은 주지의 사실임을 감안할 같은 전문적이고 세분화된 제품의 통합 보안관리에 대한 요구.

 

ESM 정의

l  기업과 기관의 보안정책을 반영, 다양한 보안시스템을 관제ㆍ운영ㆍ관리함으로써 조직의 보안목적을 효율적으로 실현시키는 시스템

l  통합보안관리 솔루션으로 보안 시스템 등의 개별적인 보안 장비들의 모니터링과 다양한 종류의 보안 솔루션을 하나로 통합 관리하며, 이에 소요되는 자원 인력의 손실을 방지하기 위해, 중앙에서 통합하여 보안 현황을 모니터링 함으로써, 집중화된 보안 관리가 가능.

l  방화벽, 침입 탐지 시스템, 가상 사설망 등의 여러 보안 시스템으로부터 발생한 각종 이벤트를 관리, 분석, 통보 대응 보안 정책을 관리하는 시스템

l  기업이 보유한 IT 보안 인프라에 대해 가용성, 무결성, 보안성을 보장하기 위한 전사적인 보안관리 시스템

 

ESM 필요성

l  인터넷 사용의 급격한 증가로 인한 보안관리 필요성 증가

l  해킹, , 바이러스, 정보전 정보화 추진에 대한 역기능 대두

l  다양한 보안시스템 도입에 따른 전체 보안관리 정책관리의 어려움 증가

l  다수의 보안시스템 관리에 대한 관리비용의 지속적 증가

 

ESM 구조

l  1 계층 : Agent

-      보안장비, 시스템장비, 네트워크 장비 등에 탑재되어 사용

-      사전에 정의된 규칙에 의한 이벤트 수집 보안정책 반영

-      수집된 이벤트 데이터를 Manager 전달 통제 받음

l  2 계층 : Manager

-      사전에 정의된 규칙에 의한 이벤트 데이터 분석 저장

-      다양한 정책에 대한 분석, 저장 관리자 Console 리포팅 기능

l  3 계층 : Console

-      Manager 의해 전달된 자료의 시각적 정보 전달 판단

-      Manager 대해 규칙을 설정하도록 통제

 

ESM 기반기술

l  위험등급 구분 방법론 : Risk Classification Methodology

-      보안 제품별 보안 패턴에 대한 분석을 통한 위험 분류 방법론

-      관리 시스템의 위험도에 따른 대응기준을 수립한 Rule

l  정규화/규칙 기반 이벤트 수집 : Normalization/Rule base Event Collection

-      관리 대상 시스템 평가기준의 표준화 규칙 기반 이벤트 수집 기술

l  비정상 감지 대응 : Abnormal Detection/Reaction

-      정상적인 시스템 사용의 탐지 이에 대한 실시간 대응 기술

-      탐지 방법 : 통계적 방법, 규칙기반, 패턴 분석

l  통합정책 관리 : Integrated Policy Management

-      이벤트 데이터의 수집/분석에 의한 보안 취약점 그에 대한 대응조치를 통합관리

-      ESM 시스템이 단위 보안 시스템에 대한 보안정책 반영

 

ESM 도입효과

l  각종 보안 솔루션의 알람 로그 정보를 중앙 집중화된 시스템에서 통합관제 관리하여, 보안 시스템 관리의 효율성 증대

l  소수의 특정 관리 인원을 할당하여 관리를 담당하게 있어 비용 효율적인 보안 관리 가능

l  보안 관리자의 교육 시간과 숙달 시간을 최소화

l  각종 로그 정보에 대한 통합 관리를 통해 사전 예방책 마련 가능

l  통계 처리 기능을 이용하여 주기적인 시스템 상태 분석 가능

l  표준화된 보안관리 정책/절차의 수립

l  문제 발생 사후조치에서 예방적인 보안관리 체계로의 수립

 

ESM 발전방향

l  ESM 진정한 의미의 통합보안관리를 수행하기 위해 넓은 영역으로 확장

l  기존에 보안시스템에 국한되었던 관제대상을 일반 서버에까지 확장하여 보안관리에 의한 보안 사각지대의 최소화

l  ESM 실제적인 `위협` 수준이 아니라 잠재적인 `위험` 수준에서 관리가 이루어지는 위험관리시스템(RMS; Risk Management System) 수준으로 개발

l  모든 보안 프로세스를 단일한 시스템에 포함시켜 수집-모니터링-분석-경보-대응-처리-보고-정책 피드백 일련의 프로세스를 지원

 

ESM 전망

l  국제적으로 OPSEC(Open Platform for Security) 통한 인터페이스 표준화 진행

l  국내에서 인터넷 보안기술 포럼에 의해 ESM API 표준화 진행

l  보안에 대한 요구사항 시스템 도입이 증가함에 따라 이들의 효율적인 운영관리 보안정책의 관리 필요성 인지로 ESM 도입 증가 예상

 

통합된 보안 관리 솔루션으로 등장해 각광을 받은 ESM은 TMS, SIEM, RMS 등으로 진화해 나가고 있다. 특히 차세대 ESM 솔루션은 NAC이나 네트워크 관리 등과의 통합에 힘입어 이제는 기존의 사후 대책 마련 수준에 머무르던 ESM을 넘어 능동적인 문제 해결 방법을 제시하고 있다.

안종석 | 엔터라시스네트웍스코리아 컨설팅지원팀&서비스팀 이사
<출처- 온더넷>

네트워크 관리자에게 보안은 더 이상 생소한 영역이 아니며, 더 나아가서 이제는 보안 담당자만의 영역이던 보안 관리까지 관심을 가져야만 하는 상황이 되고 있다.
보안 관리에 네트워크 관리가 통합되는 경향이 네트워크의 안정화에 크게 기여하기 시작했기 때문이다.

통합은 범위를 확장해 가면서 IT 업계의 핵심 키워드로 주목받고 있으며, 네트워크와 보안 분야에서도 오래 전부터 통합이 진행되고 있다.
보안 관리를 위해 초기에는 파이어월이나 IDS/IPS 등의 보안 장비가 생성하는 이벤트를 통합 수집해 모니터링하는 ESM(Enterprise Security Manager) 또는 전사적 보안관리 솔루션이 있었다(이는 해외 시장의 로그 관리 솔루션 시장과 비교될 수 있다). 

그러나 초기 ESM이 수동적으로 사후 관리에 치중한 솔루션이기 때문에 네트워크 보안 환경에 능동적으로 대처하기에는 부족했다.
시장에서는 초기 ESM에서 부족한 것을 보충할 수 있는 요구를 수용해 기능 추가에 주력해 왔으며, 이제 차세대 ESM이라 불러도 될 만한 수준의 솔루션들이 선보이기 시작했다.
이같은 차세대 ESM은 데이터 수집 대상 장비의 종류를 확장했고, 분석 수준도 높아지면서 해외 시장의 SIEM(Security Information and Event Management)과 비교될만한 수준으로 진화하고 있는 중이다.

진화의 한 방향은 ESM을 기반으로 TMS(Treat Management System) 기능을 통합하는 것이다.
그리고 최근에는 ESM와 TSM를 본격적으로 통합해 RMS(Risk Management System)라는 종합위험관리 기능을 제공하기도 한다(TMS는 해외 시장의 NBAD(Network Behavioral Anomaly Detection)와 비교할 수 있다).


네트워크와 보안 관리의 통합으로 기능 확장
보안 전문 담당자는 ESM의 발전 추세를 보안 처리의 프로세스 관점으로 이해함에 따라, 프로세스를 위한 포렌직과 프로세스의 자동화를 개선하는 관점으로 보고 있다.
그러나 차세대 ESM에는 네트워크 관련 장비에서 수집한 데이터를 기반으로 정보가 생성돼, 이를 이용하면 네트워크 담당자가 능동적으로 빠르게 문제점을 해결할 수 있다.
또한 최근 화두가 되고 있는 NAC(Network Access Control)는 기술 자체가 네트워크와 보안을 통합한 기술이기 때문에 ESM에 NAC의 관리 기능을 추가해 사용자 인증을 강화하면 네트워크 관리자에게 유용한 고급 정보를 생성할 수 있다.

초기의 ESM은 이벤트 모니터 결과를 정리하는 수준이었기 때문에 문제 해결을 위해서는 네트워크 관리자가 직접 작업을 수행해야 했다.
이것만 보자면 ESM 도입 전과 별로 달라진 것이 없으며, 단지 보안 측면에서 로그 관리가 통합된 포렌직 측면의 개선이 있었을 뿐이다.
이 때문에 초기의 ESM 사용자는 무엇인가 대단한 일을 할 수 있을 것 같았던 환상으로부터 일찍 깨어나야 했고, 기대했던 기능을 업체에 요구하기 시작했다.
이에 따라 ESM에 능동적으로 문제를 해결하기 위한 기능이 추가되면서 ESM의 진화가 시작됐다.

ESM은 이제 애플리케이션 계층까지 영역을 확대하면서 더 많은 종류의 이벤트와 데이터를 수집하고 더 높은 지능을 사용해 제로데이 공격 차단은 물론 스파이웨어 차단과 온라인 도용방지 그리고 사기성 사이트에 대한 검색 차단 등의 기능까지도 연동해 관리해 나가고 있다.

(그림 1)에서는 공격자의 트래픽이 지나는 경로의 장비에서 발생하는 이벤트를 관리 시스템에서 수집해 처리하는 과정을 보여준다.
파이어월에서 수집하는 차단/허용 이벤트 데이터에는 OSI 3/4계층 정보를 포함하고 있으며, IDS나 IPS에서 수집하는 이벤트는 카테고리별 분류와 함께 3~7계층 정보를 포함한다.
NAC(Network Access Control) 솔루션으로부터는 2/3계층은 물론 사용자 ID나 PC 이름 등의 신원 데이터를 수집한다.
또한 네트워크 장비로부터 플로우 데이터를 수집할 수 있어, 플로우 발생의 물리적인 위치를 포함하는 1~4계층 데이터를 얻을 수 있다.

이렇게 수집한 데이터는 관리 시스템의 분석에 의해 위협 또는 위반이라고 판단될 경우 사용자 인증을 포함하는 공격자 위치 기반의 정보를 경보와 함께 알리고, 이때 공격자의 사용자 인증을 포함한 자세한 정보는 네트워크 관리자가 문제 해결에 소요하는 시간을 대폭 경감할 수 있도록 도움을 준다.

ESM이 네트워크 장비들로부터 수집한 이벤트나 플로우 데이터를 데이터베이스에 저장하려면 일정한 규격으로 다듬는 규격화(Normalization) 과정이 필요하다.
업체에 따라 자동으로 장비를 인식하고 규격화하거나 수동으로 규격화하는 방법을 사용한다.
규격화하는 과정에서 자연스럽게 처리에 불필요한 데이터를 필터링하기도 한다.

규격화와 필터링 후에는 생성한 데이터베이스를 기반으로 상호연관 관계(Correlation)를 분석한다.
이때 상호연관 관계 분석의 지능 정도에 따라서 큰 차이의 결과를 보여줄 수 있다.
또한 결과를 실시간으로 분석하는 것과 아닌 것은 효과 측면에서 큰 차이를 보인다.
데이터베이스를 구축한 다음 분석을 시작하는 시스템은 실제로 사건이 발생하고 시간이 경과한 후에 경보하므로 경보의 효과가 대폭 감소한다.

4계층 기반으로 분석하는 지능을 가진 시스템보다는 7계층 기반으로 분석하는 시스템에서 제공하는 정보가 더 우수하다.
한편으로는 NAC 정보를 같이 처리하는 시스템은 그렇지 못한 시스템보다 사용자 인증 정보 제공 능력이 더욱 우수할 수 있다.

이벤트 수집과 동시에 플로우 데이터를 수집하는 관리 시스템은 TMS 기능까지 제공하는 경우가 증가하고 있다.
최근에는 ESM과 TMS의 통합을 기반으로 고도의 분석 기능을 추가해 RMS 기능까지 제공하는 솔루션이 출현하고 있다.

협의의 ESM은 초기의 EMS 시스템에 초점을 두고 있지만, 광의의 ESM은 ESM을 기반으로 시장에서 요구하는 다양한 기능을 추가하고 있다.
차세대 ESM이란 광의의 ESM이라는 이름 속에 포함한다.
그러나 이같은 차세대 ESM은 기능이 너무 광범위해 TMS이나 RMS라는 용어로 기능이나 제품을 세분화해 표현할 수도 있다.


차세대 ESM의 처리 과정
SEIM으로 진화하고 있는 ESM은 상호 연관 관계 분석 후에 최종적으로 처리의 우선순위를 정하기 위해, 등급(Magnitude)을 정하는 과정이 필요하다.
등급을 정하는 과정은 크게 관련성(Relevance), 신빙성(Credibility) 그리고 가혹성(Secerity)등 3가지 요소가 있으며, 정도에 따라 처리의 우선순위를 정한다.

(그림 2)는 처리 등급을 정하는 과정을 보여주고 있다.
관련성은 위반 시 우선순위를 정하는 가중치이며, 예를 들어서 서버나 중요한 단말기는 우선순위를 높여서 처리한다.

신빙성은 같은 사건이라도 더 많은 장비에서 이벤트 데이터가 수집됐을 경우가 우선순위가 높으며, 오탐이 아닌 확실한 사건으로서 관리자에게 경보할 수 있도록 한다.

가혹성은 공격자의 위협 정도이며, 공격 대상의 중요도나 목표 대상의 보호 장치 등에 따라서 처리의 우선순위를 정한다.
가혹성의 예를 들면 동일하게 윈도우 XP를 사용하는 두 명의 사용자가 각각 SP1과 SP2를 사용할 경우 취약한 SP1 사용자에 대한 위험 순위를 높여서 처리한다.

네트워크 관리자가 바라는 것은 빠르게 네트워크의 문제점을 해결하는 것이다.
그리고 이를 위해 보안 관리 시스템이 도움이 될 수 있기를 바라는 것이다.
진화하고 있는 ESM은 네트워크 관리자가 필요로하는 정보를 점점 더 유효하게 제공하고 있다.
발생하고 있는 수많은 이벤트를 분류해 압축하고, 위협 정도에 따라서 우선순위를 부여해 관리자에게 경보한다.
이 정도만으로도 관리자의 작업량을 대폭 줄일 수 있다.
그리고 좀더 진화한 ESM에서는 공격자의 위치 정보나 공격자에 대해 발생한 모든 이벤트를 분류하고 분석해 관리자에게 알려준다.

(그림 3)에서는 ESM이 진화해 가는 방향인 SEIM(Security Information and Event Management)의 처리 순서를 보여주고 있다.
네트워크 환경의 모든 장비에서 발생하는 이벤트와 정보를 수집해 가공하고 분석해 관리자에게는 꼭 필요한 것부터 차례대로 보여 주는 것이다.
이를 통해 관리자는 빠르게 네트워크 보안 문제를 처리할 수 있기를 기대하고 있으며, 더 나아가 하루에 수백만 개의 이벤트가 발생하더라도 몇 개의 사건이나 공격으로 정리하고 처리 방법을 제시하기를 바라고 있다.


실시간 상호 연관 분석 정보와 응답
진화한 ESM일수록 실시간으로 보여주는 정보의 품질이 우수하다.
실시간으로 유해성 정도에 따른 공격자의 우선순위나 심각성에 따른 공격의 우선순위 등을 대시보드 등을 통해 보여준다.
그리고 해당 공격이나 해당 공격자를 중심으로 모든 이벤트에 대해서 정리하고 분석한 것을 실시간으로 갱신하며 제공한다.

초기의 ESM이 디스크 I/O나 초당 이벤트 수집 건수로 처리량을 산정했다면, 차세대 ESM은 그 위에 CPU 사용 위주의 처리량이라는 척도를 더해야 한다.
그리고 공격이나 공격자에 대해서 자동으로 응답하는 시스템은 보안과 네트워크가 연동해 보여줄 수 있는 최고의 정점이라고 볼 수 있다.
ESM이 네트워크를 연동하는 것이 보안 프로세스 자동화의 마지막을 완성하는 모습으로 생각해도 좋을 것이다.

차세대 ESM 기반의 응답 자동화는 IP 어드레스 기반과 이보다 진보한 위치 기반이 있다.
이는 위치 기반 데이터 수집이 가능한 NAC을 연동하느냐 여부에 따라 차이가 있다.

IP 어드레스 기반은 공격자나 해커 등이 자신의 IP 어드레스를 숨기기 때문에 바로 응답하기보다는 관리자에게 응답의 여부를 묻는 경우가 대부분이다.

그러나 사용자 인증를 포함하는 위치 기반의 정보를 제공하는 응답에 대해서는 오탐에 대한 우려가 적어 사건 발생과 동시에 치료를 포함하는 응답 과정까지 자동화할 수 있다.
NAC가 단말기 접속 전에 검사를 통해 사용정책과 권한을 부여하는 것을 자동화했다면,
차세대 ESM은 NAC을 통해 접속한 단말이 접속 후에 사용 정책을 위반할 경우 권한을 조정하고 치료를 유도하는 것을 자동화하는 것이다.

(그림 4)는 위치 기반 데이터를 처리하는 차세대 ESM이 공격자를 색출해 네트워크에 접속한 공격자를 조치하는 최종 과정까지 모두 자동화하는 순서다.
이를 위해 ESM은 오류를 최소화해 이벤트를 NMS로 전송하고, NMS는 ESM의 이벤트로부터 공격자의 위치와 축소된 권한을 확인한다.
NMS는 축소된 권한을 스위치에 적용하면서 동시에 치료를 유도하는 강제 유도(Redirect) 정책을 적용한다.
결과적으로 공격자가 PC를 치료하거나 ④와 같은 안내 화면이 표시된다.


리포팅 기능의 강화
ESM은 등장 초기부터 리포트를 중요한 요소로 생각해, 이와 관련된 많은 서비스를 제공했다.
그리고 능동적인 문제 해결 기능을 다수 추가한 차세대 ESM에서도 리포트는 중요한 요소다.
능동적인 보안 관리를 위한 정보는 주로 모니터에 실시간으로 제공하는 반면, 리포트는 사후 관리에 필요한 정보를 제공해 장기적인 계획이나 튜닝을 위한 기초 데이터로 사용하기도 한다.

차세대 ESM에서는 정기적으로 중요한 리포트를 자동으로 생성, 저장하거나 관련자들에게 이메일 등을 통해 자동으로 배포하는 서비스를 제공한다.
그리고 공공이나 금융, 의료 분야 등에서는 필요한 준수 사항에 대한 분석 리포트도 별도로 작성해 저장, 배포한다.
이같은 리포트들은 사용자에 따라 매우 중요한 부분이 될 수 있다.

하부 기관의 ESM이 일정한 규격의 리포트를 온라인을 통해 자동으로 상위 기관의 ESM으로 전송하면, 상위 기관에서는 광범위한 영역의 이벤트나 정보를 수집해 엔터프라이즈 단위에서 얻을 수 없는 유효한 정보를 얻을 수 있다.
이런 기대는 공공 기관들이 ESM 통합을 서두르는 이유가 되고 있다.

데이터 수집의 장비 연동 자동화와 함께 다양한 리포트 템플릿을 제공하면 리포트 튜닝 서비스의 부담을 줄일 수 있다.
또한 이런 리포팅 기능을 각각의 수직 시장(Vertical Market)의 네트워크 담당자들이 이용할 수 있도록 적절하게 미리 튜닝해 어플라이언스 형태로 제공한다면 네트워크 담당자들도 ESM 도입을 통해 또 하나의 이점을 얻을 수 있게 될 것이다.
실제로 이같은 시도가 많은 업체들을 중심으로 진행되고 있다.



ESM과 TMS의 통합은 거스를 수 없는 현대의 추세다. 기존의 플로우 기반 솔루션인 TMS는 위협에 대한 사전적인 보안 관리가 가능했으나 이벤트 로그 분석에 약점이 있었다. 그러나 최근 들어 TMS는 이벤트를 동시에 처리하면서 향상된 위협 정보를 제공하기 시작했고 이벤트 기반의 ESM도 SIM·SIEM으로 진화하며 플로우 데이터 처리 능력을 보유하게 됐다.

안종석 | 엔터라시스네트웍스 코리아 컨설팅지원팀&서비스팀 이사

이벤트 기반 솔루션인 ESM은 이벤트 로그 관리가 빠르고 가격에 비해 처리 규모가 크다는 장점이 있지만, 수동적인 보안 관리를 해야 하고 보안 패치나 시그니처가 준비되지 않은 상태의 제로데이 공격 등에는 취약하다. 이를 개선하기 위해 ESM은 해외 시장에서 볼 수 있는 SIM또는 SIEM을 모델로 계속 진화하고 있다. 

ESM에서 이미 SIM으로 발전한 시스템들은 플로우 기반의 데이터를 처리할 수 있도록 기능을 추가해 제로데이 공격 감지 능력을 강화하는 중이다. 이렇게 능동적인 보안정책 기능을 추가한 제품은 초기 ESM과 차별화를 위해 RMS 등으로 제품을 구분하기도 한다.

한편 플로우 기반으로 출발한 TMS는 제로데이 공격 등에 강하지만 이벤트 로그 분석에 약점이 있었다. 그러나 최근에는 TMS도 이벤트를 동시에 처리하기 시작하면서 위협 관리 정보의 수준을 높이기 시작했고, 나아가 RMS로 거듭나려 하고 있다. 능동적인 보안 관리에 대한 시장의 요구가 ESM과 TMS의 통합을 RMS로 가는 연장선상에 놓고 있다.

ESM이나 TMS를 판매하는 각각의 업체들은 기반 기술이 다르지만 서로의 기술을 통합하는 작업을 진행 중이거나 완료한 상태며, 특히 시장에서 요구하는 능동적 보안 관리 기능을 추가하고 있다.
전사적인 보안관리 도구와 NMS의 연동은 네트워크 관리자의 관리·제어의 시간이나 비용 등을 획기적으로 절약할 수 있다. 또한 보안 담당자에게는 기존의 보안 프로세스 단계를 좀 더 자동화·체계화하는 도구가 된다. ESM과 TMS의 통합은 기업 내 네트워크와 보안 조직의 협력 등을 위한 거스를 수 없는 추세로 자리 잡고 있다.


플로우 기반 TMS의 기술적 특성
플로우란 MAC주소/IP주소/TCP주소 등의 송수신 조합이며, 웹서핑의 경우 대개 10개 이내의 플로우를 통해 처리할 수 있다고 이해하면 된다.

TMS는 플로우를 투시하면서 정상적인 행동과 다른 변칙(Anomaly)을 찾아내는데, 이는 ESM의 진화 모델인 SIM이나 SIEM의 이벤트 비율 분석과 유사하다. 찾아낸 변칙은 애플리케이션, 프로토콜, 위협 등의 위반 형태와 함께 관리자에게 경보한다. 변칙에 대한 분석을 통해 찾아낼 수 있는 것으로는 ‘홈을 부르는 트로이 목마’나 ‘이메일 기반의 웜 바이러스’ 그리고 ‘비인가 서버의 운영 감지’ 등이 있다.
또한 이벤트 기반 솔루션과는 달리 무중단(Non-stop) 서비스의 정지나 비정상적인 동작과 사고를 감지할 수 있는데, 호스트들에게 응답하는 웹서버 중단이나 게이트웨이 기기의 트래픽 손실과 중단을 감지하는 것 등이 예다. 그리고 TMS 기반의 기술을 확장해 RMS에 도입하고자 하는 기능인 정책 관리나 능동적으로 미래를 관리하는 개념을 적용할 수 있는데, 애플리케이션 행동 수준의 변화를 감지해 SSH 서버, 라우터와 스위치의 기능 변화나 웹 서버에서 프록시로의 변화 등을 감지하는 것이 예가 될 수 있다. 또는 TMS를 통해 믿을 수 있는 협력업체라도 사내 정책으로 허용된 기준보다 많은 데이터를 가져 갈 경우 관리자에게 경보를 줄 수도 있다.

이러한 경보들의 종류는 미리 준비한 것을 사용할 수도 있고, 상황에 따라서 새롭게 만들 수도 있다. 이는 솔루션 공급업체의 정책에 따라서 큰 차이가 있다. 중소 규모의 기업을 위해서는 시장의 성격에 따라 필요한 경보의 정형화를 미리 준비하는 것이 추세이고, 대기업이나 서비스업체를 위해서는 요구에 따라서 도입 시에 준비하는 것이 일반적이다.

TMS는 플로우를 모니터링하며 실시간으로 변칙 등의 행동을 분석한다. 그리고 분석한 결과를 보여주면서 동시에 공격 전부터의 상세정보를 제공하는 것은 물론 사건 진행과 사건 이후의 네트워크 플로우를 투시해 보기 좋게 정리한 다음 실시간으로 제공한다.

플로우 분석의 방법은 수학적인 방법에 의존할 수 있으며, 그 중 하나는 부울린(Boolean) 방정식에 의한 테스트다. (그림 1)은 세 가지 사용 예를 보여주고 있다. 첫 번째는 플로우를 수집하면서 실시간으로 공격에 응답하는 피해자를 분석하는 방정식이며, 두 번째는 IRC를 사용해 웜 공격의 발생지가 되는 봇들의 네트워크를 분석하는 식이다. 그리고 마지막 세 번째는 공격에 대한 피해로 서비스 불능인 것을 찾는 식이다. 


홀트-윈터스 알고리즘을 이용한 변칙 감지 방식
변칙을 찾는데 사용하는 수학적인 방법 중에는 이외에도 홀트-윈터스(Holt-Winters) 알고리즘과 같은 것도 사용한다. 홀트-윈터스 알고리즘은 플로우의 비율과 양을 시간에 따라 학습하는데 사용하며, 학습결과를 토대로 정상적인 행동에서 벗어난 변칙을 찾아낸다. 이런 알고리즘으로 변칙을 찾기 위해서는 항상 데이터가 있어야 하는 환경(no zero values)이 필요하다. 때문에 백본이나 트렁크 구간에서 플로우를 모니터링할 때 효과적이다.

홀트-윈터스 알고리즘을 사용하는 분석으로 새로운 온라인 서비스 시작 등의 큰 스케일의 대역폭 변화를 감지하며, 웜 바이러스나, 공격 전 스캐닝, DoS 공격은 물론 새로운 형태의 프로토콜이나 애플리케이션 사용을 감지할 수 있다. 특히 장기간에 걸쳐 조금씩 침투하는 행동을 감지하는데 효과적이며, 관리자가 없는 자정쯤 회사의 SMTP 메일을 이용해 메일 바이러스를 퍼뜨리는 행위나 Syn 트래픽으로 통계 엔진이 무력화되는 것을 감지할 수 있다.

또한 플로우 기반 분석에서 사용하는 알고리즘은 이벤트 기반의 관리 솔루션에서 제공할 수 없는 기능을 제공하는데, 예를 들면 변칙적으로 감소하는 트래픽의 경보 등이 있다. 이런 알고리즘 기반의 분석을 통해 공격을 당한 웹 서버 응답 정지뿐만 아니라, 백업 서버까지 응답이 없다면 백업 시스템에 대한 경보도 줄 수 있다.

홀트-윈터스 알고리즘에서 사용하는 학습 범위(Definable Season)는 대개 일, 월, 년 (day, month, year) 등으로 구분한다. 이를 조정 값을 통해 전체적인 추세나 과거 분석을 위한 것 등의 다양한 계정들을 만든다. 홀트-윈터스 알고리즘은 오래 학습한 것일수록 정확한 결과를 제공하며, 지속적인 학습과 보정으로 업무 성장에 따라 적절하게 정상적인 윤곽을 보이도록 유지할 수 있다.

(그림 2)와 (그림 3)은 학습을 하는 장시간 윈도우와 함께 변칙을 감지하면서 시간에 따라 이동을 하는 단시간 윈도우 두 개를 사용하는 방법을 보여준다. 뿐만 아니라 (그림 4)와 같이 수학적으로 미래를 예측할 수 있는 기능을 제공한다. 미래를 예측하면 위협에 대해 능동적 사전 조치가 가능하며 이들 기능을 통해 시장에서 RMS라는 다른 이름으로 구분해 정의하기도 한다.

 

 

(화면 1)은 홀트-윈터스 알고리즘을 실제로 응용한 장비에서 기능을 정의할 수 있도록 구현한 예를 보여준다. 학습범위뿐만 아니라 분석 트래픽의 특성까지 수준을 정할 수 있도록 하는 기능이 보인다.

(화면 1) ‘홀트-윈터스 알고리즘을 응용한 제품의 화면(예)’



플로우 기반 TMS과 이벤트 기반 ESM의 통합
국내 시장에서는 ESM과 TMS에 이어서 RMS가 많은 관심을 끌며 차세대 통합보안관리 기술로 평가받고 있다. 그리고 여러 업체들이 제품을 시장에 활발히 소개하고 있다. 이런 추세 속에서 기존 보안관리업체들도 자사의 ESM이나 TMS 제품에 RMS 기능을 추가하기 위한 작업을 진행하고 있다. 이들이 ESM과 TMS 통합의 원동력이 되는 것이다.

플로우 기반으로 찾은 위협에 대한 정보는 이벤트 기반의 정보를 통합해 더 수준이 높고 더 효과적인 정보를 제공한다. 물론 이와 반대로 ESM 기술 진화 모델인 SIM 또는 SIEM 기술이 플로우 기반 분석 처리를 통합할 때도 같은 효과를 얻을 수 있다.

플로우 기반의 TMS는 위반(offence)에 관련된 플로우 정보를 전후 관계에 따라 제공한다. 그리고 이벤트 처리 기반의 SIM이나 SIEM은 백도어(Backdoor)에 대해서는 많은 센서들로 수집한 이벤트를 로그로 저장하고, 이를 “공격자는 <SRC>이다 공격 목표는 <DST>이다 사용 포트는 새로운 것으로 플로우는 양방향이다 <bi-directional>”과 같은 식으로 표현한다.

이벤트 기반 처리를 위한 센서는 네트워크 상의 파이어월이나 IDS/IPS 등이다. 최근에는 인증서버나 NAC 정보뿐만 아니라 네트워크 장비들로부터 이벤트를 받는 등 기기를 가리지 않고 네트워크 상의 모든 정보를 수집하는 추세다. 그리고 이들의 DB에는 이미 오래 전부터 정형화된 주석이나 조치사항 등이 있어 공격자나 공격 등에 대해 바로 조치 가능한 정보를 제공할 수 있다.

(화면 2)는 플로우 기반으로 처리한 화면에서, 공격자 IP 주소를 표시하는 필드 위에 마우스 커서를 올려놓으면 이벤트 기반으로 처리한 데이터를 연동해 공격자에 대해 좀 더 자세한 정보를 제공하는 모습이다. 수집한 이벤트 제공 장비의 특징에 따라서 공격자의 위치정보까지 얻을 수 있다. 인증서버는 사용자 ID나 MAC주소, 이메일 주소 등 일반 보안장비가 제공할 수 없는 정보를 제공한다. NAC 기기 또한 신원 정보와 함께 취약성 분석 정보를 더할 수 있다.

(화면 2) ‘플로우 기반 처리 화면에서 이벤트 기반 처리 정보를 연동하는 모습(예)’

SIM을 진화 모델로 하는 ESM은 취약성 분석 도구와 미래의 위험을 능동적으로 관리하고, TMS는 정책이나 추세의 수학적 분석을 통해 장래의 위협에 대응한다. ESM과 TMS를 통합한 기반의 관리 도구는 두 가지 기반에서 주는 장점들을 사용해 위험에 대한 좀 더 높은 수준의 정보를 제공한다.


대규모 네트워크에서 더 강력한 TMS와 ESM의 통합
기반 기술에 상관없이, 시장이 원하는 핵심은 IT자산 전체를 대상으로 취약점과 위협의 사전 파악과 대응을 통해 보안 사고를 예방하고 보안수준을 상시적으로 관리하는 것이다. 이를 통해 내부에서 새롭게 발생하는 취약점과 위협이 발생하고 있는 지점을 즉각적으로 찾아 우선순위별로 대응 조치를 취하고, 보안 문제를 해결하는 시간과 비용 면에서 효율성을 크게 향상시키길 기대하고 있다.

네트워크 관리자 입장에서 TMS와 ESM의 통합이 줄 수 있는 장점은 네트워크 규모가 크면 클수록 그 효과가 크다. 예를 들어 규모가 큰 기업의 경우 보안 장비의 숫자나 네트워크 장비의 숫자가 수백 대에 달하는데, 네트워크의 가용성에 영향을 주는 보안 문제가 발생할 경우, 네트워크와 보안 관리 화면의 이벤트가 너무 많아 수동으로 해결하기에는 너무 긴 시간이 걸린다.

그러나 통합 솔루션의 분류 기능은 (화면 3)과 같이 네트워크 상의 모든 기기들에서 발생하는 모든 이벤트를 분석해 실시간으로 특정 위반 사항에 관련한 1만 여개의 이벤트를 정리해준다. 이는 관리자가 분석하는데 필요한 시간을 대폭 감소시킬 뿐만 아니라 네트워크의 가용성을 높이는데 큰 도움이 된다.

(화면 3) ‘이벤트 기반 처리 화면에서 제공하는 정보(예)’

특히 최근에는 ESM과 TMS의 통합을 통해 제공하는 위험정보의 수준이 높아지고, 오탐 등의 오류 감소뿐 아니라 조치에 필요한 정보를 NMS와 연동해 위치정보를 제공하고 있다. 그리고 이들을 NMS와 연동시키는 네트워크 관리의 일상적인 업무 프로세스도 보안관리 프로세스 자동화처럼 컴플라이언스 등의 이슈를 해결하기 위한 통합 솔루션으로 거듭나고 있다.


ESM과 TMS 통합의 의미
현재 시장에서는 기존의 ESM과 TMS를 통합한 기반에서 새로운 기능을 제공하는 환경이 조성되고 있다. 그리고 각 ESM/TMS 업체들은 고유의 기술 기반 위에 필요한 기능을 추가하면서 각자의 약점들을 보완해 시장에서 원하는 능동적인 보안 관리 도구로 진화하고 있다. 또 기존 제품과 차별화하기 위해 RMS라는 이름을 사용하기도 한다. 기존의 ESM나 TMS까지 새로운 버전을 통해 RMS라는 이름을 사용하기 때문에 사용자들을 혼란스럽게 만든다. 영업 전략상 이름은 TMS와 유사하면서 내용은 RMS로 설명하는 경우까지 있다. 그러나 어떤 기술을 기반으로 하든 ‘사후대응’ 방안으로 사용하는 ESM 솔루션과 TMS를 보완해 기업에 ‘사전예방’ 체계를 준비하는 것이 최근의 추세다.

수동적인 관리보다 능동적인 사전 보안 예방을 통해 보안 투자와 운영 관리 효율성을 높일 수 있다. ESM과 TMS의 통합은 기술의 정의로 구분하기 보다는 시장에서 원하는 능동적인 보안관리 기능을 추가해 가는 과정의 한 단면이라고 이해하는 것이 더 옳을 것이다.

월간 온더넷 11월호


Trackback 0 Comment 0
2009.02.05 14:00

NAC (Network Access Control) OverView

네트워크 접근 제어

모든 네트워크가 지켜야 할 경계선이죠!

IT 분야는 물론 물리적 보안 시스템까지 네트워크 기반으로 급격히 변화하면서 네트워크를 통한 침입과 정보유출이 심각해지고 있다. 이에 대응하기 위해 NAC(Network Access Control)라는 개념이 등장했고, 최근 들어 IT 보안 분야의 주요 이슈로 부상하고 있다.  


네트워크 가용성

‘Maximize Network Uptime?’ 새롭게 출시되는 네트워크 장비의 홍보 브로셔를 검토하다 보면 흔히 접하게 되는 문구이다. 대부분의 벤더들이 자사의 장비를 도입하는 것이 네트워크의 가용성을 증진시키는데 효과가 있다고 강조하고 있다. 네트워크의 가용성 증대는 네트워크 및 보안담당자들이 최고로 신봉하는 개념이다.

지금까지 수많은 제품들이 네트워크의 가용성을 높이기 위하여 개발·출시됐다. 그리고 IT 관련 기술들이 날로 발전하면서 기존의 솔루션들로는 네트워크의 가용성을 더 이상 확보할 수 없게 되면서 새로운 솔루션들은 지금도 개발이 되고 있다. NAC(Network Access Control)는 이런 과정 즉, 가용성 확보를 위하여 지속적으로 새로운 솔루션을 개발하는 과정에서 생성된 솔루션이다.

경계선 붕괴 및 경계선 보안의 한계

예전의 네트워크 환경에서는 소위 경계선이라는 것이 있었다. 물론 지금도 네트워크에 경계선(내부 네트워크와 외부 네트워크의 접점)이 존재하지만, 경계선의 종류와 수가 증가하면서 특별하게 이곳만 보호하면 된다고 하는 의미의 경계선은 없어졌다.

현재의 네트워크 환경에서 외부 사용자 혹은 외부 데이터(유해데이터, 바이러스, 웜 등)가 내부로 들어올 수 있는 경로는 많다. 무선의 사용이 증가했고, 노트북 이용자가 늘었다. 여기에 이동형 저장장치(USB 등) 사용과 IP를 가진 단말기의 종류가 증가했다.

네트워크를 보호하기 위하여 인터넷과 연결된 접점을 지키고 있는데, 어느 날 외부직원이 작업을 위하여 내방했다. 이 외부직원은 회의실에 나와 있는 네트워크 포트에 노트북을 연결하고 작업을 수행한다. 그 과정에서 외부직원의 노트북에 존재하고 있던 웜은 네트워크 연결과 동시에 내부 네트워크로 번져나간다. 그리고 네트워크 담당자는 네트워크에 문제가 생겼다는 것을 감지하게 된다. 하지만 어떤 경로로 문제 인자가 내부로 유입되었는지는 확인할 수 없다.

예전에는 경계선 보안 제품만 있으면, 모든 침입을 방어할 수 있을 것이라 생각했다. 하지만 지금은 대부분의 사용자들이 경계선 보안 솔루션이 반드시 있어야 하는 제품으로 인식하고 있지만 만능이라고 생각하지는 않는다. 경계선을 침입할 수 있는 새로운 기술들이 개발되고 있으며, 소위 Day-zero(신종)라고 하는 것들이 지금도 자유롭게 경계선을 넘나들고 있다. 세관에 허가되지 않은 물건을 밀수하는 새로운 방법들이 늘어나고 있는 것과 마찬가지의 상황이 온라인상에서도 일어나고 있다.

인증

NAC(Network Access Control)를 우리말로 번역하면 네트워크 접근제어이다. NAC가 접근제어를 위하여 사용하는 방법은 인증이다. 사용자에 대한 인증, 단말에 대한 인증, 트래픽에 대한 인증을 NAC가 수행하게 된다.

앞에서 경계선의 붕괴에 대해 이야기했다. NAC는 모든 네트워크를 경계선으로 본다. 어떤 사용자가 어떠한 경로를 통하여 들어오든지, 사용자 및 단말은 검사를 통과해야 내부 네트워크로 진입할 수 있다. 앞에서 이야기한 내방한 외부직원이 NAC가 설치되어 있는 네트워크에 접근했다고 하면, 네트워크를 사용하기에 앞서 사용자에 대한 인증을 받아야 하며, 사용하는 노트북을 네트워크에 연결해도 안전하다는 검사를 받아야 한다. 또한, 네트워크를 사용하면서 조금이라도 이상한 통신(Traffic)을 수행한다면 이는 바로 NAC에 의하여 감지되어 외부직원의 노트북은 네트워크로부터 격리된다.
 

사용자 인증 및 단말 인증(Pre-Admission)

NAC 솔루션은 항시 네트워크를 감시하고 있다. 이 과정에서 무언가 새로운 단말이 네트워크로 진입하게 되면 이를 감지하고 우선적으로 사용을 차단하게 된다. 그리고는 접근하려는 사용자에게 인증을 요청한다. 인증을 수행하는 방법은 주로 내부에 존재하는 인증 DB와 연동하여 인증을 수행하게 된다. 가령 인사 DB와 연동했다고 하면 사용자는 인사 DB에 있는 사번과 해당 비밀번호를 입력해야 한다.

다음으로 NAC는 단말에 대한 인증을 수행하게 된다. Health Check(상태점검)라는 과정을 통하여 단말의 상태를 점검하게 되는데, 어디까지 검사할 것인지는 네트워크 관리자가 정하게 된다. 주로 확인하는 항목은 단말의 OS(Windows)가 최신 패치인지, 단말에 백신프로그램(Anti-Virus)이 구동되고 있고 최신 업데이트인지, 단말에 최신 업데이트가 된 스파이웨어 프로그램(Anti-Spyware)이 구동되는지, 단말에 Windows 방화벽이 설치되어 있는지 등이다.

앞에서 언급한 주로 확인하는 항목 외에 준수해야 하는 보안정책들이 늘어나면서 진입과정에서 점검해야 하는 단말 점검 목록들은 늘어나고 있다. Windows 화면 보호기가 구동되고 있는지, PC명이 회사의 규칙에 따라 설정되어 있는지, 비밀번호를 단말이 사용하고 있는지, 회사에서 설치를 요구하는 필수 소프트웨어들이 설치되어 있는지, 불필요한 소프트웨어가 설치되어 있는지 등도 점검하게 된다.

이런 단말의 상태점검을 위해서는 단말에 특별한 소프트웨어(Agent)를 설치해야 하는데, 이 Agent의 설치유무에 따라 NAC 제품은 Agent-less와 Agent-base로 구분할 수 있다. 이 Agent는 상태점검 외에 여러 가지 부가기능들을 수행하게 되는데, 제품의 종류에 따라 IP 관리 기능, 매체제어 기능(USB 사용금지, Wibro 사용금지) 등을 수행할 수 있다.
 

네트워크 사용 모니터링(Post-Admission)

사용자 및 단말 인증을 거쳐 네트워크 접속한 단말은 이제 네트워크를 이용할 수 있다. 하지만 자신에게 허용된 범위 내에서만 사용이 가능하다. 사용할 수 있는 범위는 사용자 인증 과정에서 미리 정해질 수도 있으며, 진입한 후에 정해질 수도 있다. 가령 사용자가 네트워크 진입과정에서 외부 협력업체 직원으로 인증을 받았다고 하면, 그 사용자는 내부 네트워크는 사용할 수 없고 인터넷만 사용이 가능하게 사용범위가 제한될 수 있다.

전체 네트워크를 사용할 수 있는 사용자라고 하더라도 정책에 위반되는 통신 또는 유해 트래픽을 발생시킨다고 하면 NAC는 그 단말을 검출하여 네트워크로부터 격리시키는 작업을 수행하게 된다. 이를 위하여 NAC는 내부 네트워크에서 통신되는 모든 트래픽을 감시하는 기능을 가지고 있다. 제품의 종류에 따라 간단한 정책위반을 검사할 수도 있고, 어떤 제품은 단말에 Backdoor가 설치되어 내부의 데이터를 외부로 유출하려는 시도까지도 검출이 가능하다.

또한, 종류에 따라서는 네트워크에서 사용하지 않는 IP 주소를 활용하여 가상의 단말(Decoy : 미끼)을 생성하고, 이 가상의 미끼들이 보안에 취약한 허점들을 공개해 웜 등의 공격을 자신에게 유도하면서 네트워크를 보호하고 웜 등을 발생시킨 단말을 검출하여 격리하는 기능도 가지고 있다.

그림 1에서처럼 NAC는 단말 및 사용자가 네트워크에 진입하는 순간부터 사용을 종료하는 모든 과정에 관여하여 허가된 사용자와 단말만 진입을 허용하고, 허가된 트래픽만 사용을 허가하게 되는 과정을 반복하게 된다.
 

NAC의 종류

현재 국내에서 판매되는 NAC 제품은 외산, 국산을 포함하여 대략 15개 정도의 제품이 있다. 판매되는 제품의 수량이 많은 것도 제품을 선택하는 데 어려움을 주지만 판매되는 제품의 종류(구현 방식)가 많은 것도 담당자가 제품을 선택하는 데 고민이 된다.

NAC의 종류는 Agent의 유무에 따라 크게 Agent-base와 Agent-less로 구분할 수 있으며, 제품을 생산하는 벤더에 따라 Software Vendor의 제품, Switch Vendor의 제품, NAC 전문 Vendor의 제품 등으로 구분할 수 있다. 하지만 이렇게 구분을 한다고 하더라도, 동일한 구분 하에 위치한 제품들의 성격도 조금씩 틀린 경우가 많다. 가령 Agent-base의 NAC 전문 Vendor 제품으로 구분되는 2가지 제품의 특성 및 강점이 모두 다른 경우가 있어 같은 기준으로 평가하기 힘든 경우가 대부분이다.

여기서는 모든 종류의 특성들을 다루기는 어려운 부분이 있어 크게 Agent-base와 Agent-less 제품의 특성 및 구현 방식에 대해서만 설명하도록 한다.
 

Agent-less와 Agent-base

Agent-base의 제품은 말 그대로 단말에 특별한 기능을 가진 프로그램(Agent)을 설치하는 형태의 제품이다. 앞에서 언급했듯이 이 Agent들은 단말에 설치되어 단말의 상태를 점검하게 된다. Symantec의 제품이 대표적이다. Agent-less 제품은 이 프로그램을 설치하지 않으며, MirageNAC가 대표적인 제품이다.

Agent를 설치하는 제품의 경우 단말의 상태 점검에 강점을 가지고 있으며, Agent-less 제품의 경우 Post-Admission(트래픽 모니터링)에 강점을 가지고 있다. Agent를 설치하고 설치하지 않고의 선택은 네트워크 상황과 함께 현재 네트워크 상에서 필요로 하는 기능이 무엇이냐에 따라 결정하게 된다.

우선 상황을 검토하게 되는데, 기존 단말에 설치되어 있는 Agent들의 종류 및 기능을 확인하게 된다. 기존에 설치되어 있는 Agent의 수량이 너무 많고, 설치되어 있는 Agent들이 단말의 상태점검 기능을 가지고 있다고 하면 Agent-less 제품을 사용하는 것이 설치 및 유지보수적인 측면에서 효과적이다. 물론 도입하려는 Agent-less 제품과 기존에 설치되어 있는 Agent와의 연동에 문제가 없는지를 확인해야 한다. 하지만 설치되어 있는 Agent가 별로 없고 기능이 중복되지 않는다면 Agent-base 제품의 사용이 효과적일 수 있다.

기능적인 측면에서 보면 Agent-base의 제품은 단말 상태 점검에 강점이 있고, Agent-less은 유해 트래픽 탐지를 포함한 트래픽 모니터링에 강점이 있다. 이로 인해 네트워크가 최근에 유행하고 있는 스푸핑(Spoofing) 공격 및 각종 유해 트래픽으로 인해 문제가 된다고 한다면 Agent-less 제품의 도입을 권장하지만 상태점검이 우선시 되는 조직의 경우 Agent-base의 제품 도입이 좀더 효과적이다.
 

NAC 도입을 결정하기 전에

Agent-base 제품이던 Agent-less 제품이던 완벽한 제품은 없다. 하지만 완벽성을 높일 수는 있다. 제품의 완벽성을 높이기 위해서는 제품도입을 결정하기 전 현재 네트워크 환경과 필요에 부합되는 제품을 도입하고, 기존 솔루션들과의 적절한 연동을 수행하는 방법을 강구해야 한다. 보안 솔루션 및 네트워크 솔루션들이 다양화되면서 이러한 통합의 중요성이 더욱더 커지고 있다. 사실 NAC 솔루션은 단독으로 동작할 때보다 적절하게 통합될 때 더욱 효과적인 솔루션이라고 할 수 있다. 가령 NAC는 단말을 네트워크로부터 격리하는 기술을 가지고 있다. 이 기능을 다른 솔루션들과 통합하는 경우 IPS는 물론 NMS, SMS와 통합이 가능하다, 이를 통하여 IPS가 모니터링 하는 과정에서 내부에서 외부로 이상한 트래픽을 발생시키는 단말이 있다고 하면 IPS는 이를 NAC에 통보하여 차단이 가능하게 된다. NMS와 연동하면 NMS로 장애 로그가 발생한 단말을 NAC가 차단할 수 있다.

모든 제품이 마찬가지지만 NAC가 목적으로 하는 것은 정책기반의 네트워크 구현을 통한 네트워크 가용성 확보에 있다. 현재까지의 구현사례들은 NAC가 그 목적에 부합되는 제품이라는 것을 증명하고 있다. 이로 인해 2009년에는 더욱 많은 기업들이 NAC를 도입할 것으로 보인다.


Trackback 0 Comment 0