[네트워크] NAC(Network Access Control)이란? NAC vs 방화벽(Firewall)

NAC(Network Access Control)이란? NAC의 탄생 배경

NAC는 말 그대로 네트워크 접근 제어를 뜻하는 것으로 엔드포인트(PC, 스마트폰 등과 같은 네트워크에 접속하는 모든 유무선 기기)가 네트워크에 접근하기 전 보안 정책 준수 여부를 검사하여 네트워크 사용을 제어하는 것을 말한다. 또한, NAC 시스템은 네트워크에 연결된 엔드포인트들의 여러 정보를 수집하여 엔드포인들을 분류하고 분류한 그룹의 보안 위협 정도에 따른 제어를 수행하기도 한다.

 

이러한 NAC는 어떻게 탄생하게 되었을까?

 

NAC는 세계적인 컨설팅 회사인 가트너(Gartner) 그룹에서 새로운 네트워크 보안 모델을 제시한 것을 계기로 급속도로 확산 되었다. 사내망에 바이러스 같은 것이 침투하면 순식간에 사내망 전체로 퍼지게 되는 문제를 해결할 방법을 찾다가 생각해낸 방법이 바로 "검역"이다. 

 

즉, 사내망에 접속하려하는 모든 엔드포인트들을 일종의 "검역소"로 보내 보안 검사를 진행하고, 문제가 없다면 내부망 사용을 허가하는 것이다. 만약 문제가 발견되면 자동 패치 솔루션 등을 통해 필요한 패치를 진행하게 된다. 이러한 방식이 오늘날의 NAC의 개념이다.

 

 

NAC의 기능

1) Authentication : NAC는 네트워크에 접속하는 사용자나 장치에 대해 검증한다. 통상적으로 사용자명/비밀번호를 통해 제공되지만 경우에 따라 MAC 주소가 인증의 수단으로 사용되기도 한다.

 

2) Authorization : 인증된 장치가 어떤 네트워크 자원에 대해 접근할 수 있는지 결정한다. 인증된 장치의 종류나 식별된 사용자의 그룹에 따라 접근할 수 있는 네트워크, 서비스, 시간대를 제한할 수 있다.

 

3) Accounting : 장치가 네트워크를 접근한 기록을 남겨 향후 과금이나 보안상의 목적으로 사용할 수 있다. 이를 통해 어떤 장치를 누가, 언제, 어디서, 어떻게 사용했는지 알 수 있다. 

 

4) Pre-Connect : Pre-Connect는 단말이 네트워크에 연결되어 정상적인 통신이 이루어지기 이전에 수행되는 작업들을 뜻한다. 어떤 단말이 네트워크에 연결하고자 할 경우 단말에서 제공되는 사용자명, 비밀번호, 인증서, MAC 주소와 같은 정보들을 이용하여 단말을 식별하고 인증하게 된다.

 

5) Post-Connect : 단말이 Pre-Connect 단계에서 요구사항을 충족하면 주어진 권한에 따라 네트워크를 사용할 수 있게 된다. 이때 NAC는 지속적으로 단말의 상태 및 정보를 수집하여 관리자가 요구하는 조건을 충족하는지 여부를 모니터링하고, 만약 단말이 보안정책을 위반하면 즉시 격리한다. 

 

 

NAC의 동작과정

NAC의 접근 제어 및 인증 기능은 일반적으로 MAC 주소를 기반으로 수행된다. MAC 주소를 IP 관리 시스템에게 알려주면 해당 관리자가 MAC 주소를 NAC에 등록하면 사용자는 비로소 해당 네트워크를 사용할 수 있는 권한을 가진다.

 

NAC의 동작 과정을 간단히 알아보자면 다음과 같다.

 

1) 네트워크 접근 요청 : 접속하고자 하는 엔드포인트 사용자는 최초 네트워크에 대한 접근을 시도한다.

 

2) 사용자 및 엔드포인트 인증 : NAC에 등록되어있는 MAC 주소를 통해 사용자 엔드포인트를 인증하거나 SSO와 연계하여 네트워크에 접근하고자 하는 사용장의 ID와 패스워드를 추가로 요청하여 인증을 수행한다. 인증 과정에서 백신이나 보안 패치의 적절성 여부를 검토한다.

 

3) 네트워크 접근 허용 : 인증이 완료된 경우 네트워크에 대한 접근을 허용한다.

 

4) 네트워크 접근 거부 : 보안 정책을 준수하지 않았거나 바이러스에 감염된 경우 등은 네트워크 접근이 거부되고 격리된다. 격리된 엔드포인트는 필요한 정책 비용이나 치료 과정을 거쳐 다시 점검한다.

 

엔드포인트가 사내망에 연결될 때 백신 보호 레벨, 시스템 업데이트 레벨 그리고 환경설정 등 회사가 정해놓은 정책과 맞지 않는다면 내부망에 접근할 수 없다.

 

미리 설치된 NAC 에이전트가 엔드포인트를 검역하는 동안 이 엔드포인트는 오직 패치나 백신을 받을 수 있는 서버와만 통신이 가능하다. NAC가 검역을 통과한 경우에만 비로소 내부망에 접근할 수 있다.

 

 

NAC의 효과

1) 허가되지 않은 기기의 무단 반입 방지

-> NAC는 사내망에 연결되는 어떠한 기기들에 대해서도 일정 수준 이상의 보안 요구사항을 충족하는 경우에만 네트워크를 사용하도록 할 수 있다.

 

2) 보안사고 발생 시 IP 추적 가능

-> NAC를 이용하면 지속적인 네트워크 감시를 통해 연결된 모든 단말에 대한 기록을 남겨 다양한 정보를 추적할 수 있다.

 

3) 보안 규제에서 요구되는 IT 자산관리

-> 오늘날 기업은 많은 보안 규제를 요구받는다. 개인정보보호법에 따라 기업은 개인정보 관리의 안정성을 확보해야 한다. 이때 NAC를 이용하면 접근제어, 무선랜 보안, 자료 유출 방지 등 기술적 조치 방안을 통해 개인정보관리의 안전성을 확보할 수 있다.

 

4) 무선랜 접속장치의 보안 강화

-> 스마트폰과 같은 모바일 기기들이 확산되며 무선랜 사용이 증가하고 있다. 고가의 관리형 무선 접속장치를 사용하는 경우 향상된 보안 시스템을 이용할 수 있다. 하지만 아직도 많은 기업들이 평범한 무선 접속장치를 사용하며 공유 비밀번호를 통해 무선랜에 접속한다. 이때 NAC의 802.1X 지원 기능을 이용하면 향상된 무선랜 보안을 구축할 수 있게 해 준다.

 

5) 내부 보안 강화

-> 내부에서 Wifi 나 Hotspot 등을 이용해 자료를 무단으로 외부로 유출할 수 있다. 이때 NAC는 기업 내부의 접속 가능한 WiFi 등을 모니터링하며 어떤 사용자가 접속하는지 관리, 통제할 수 있어 내부 보안시스템을 우회하려는 시도를 차단해준다.

 

6) 필수 소프트웨어 설치 및 구동 체크

-> NAC는 백신 프로그램과 같은 필수 프로그램이 올바르게 설치되고 동작하는지 지속적으로 모니터링한다.

 

 

 

NAC vs 방화벽 (Firewall)

 

NAC는 종종 방화벽과 혼동된다. NAC는 마치 방화벽의 기능과 비슷하게 느껴지기 쉽다. 하지만 둘은 다음과 같은 차이점들들 가진다.

 

1) 단말 중심 vs 네트워크 중심

방화벽은 그 구성 위치상 일반적으로 두 개 이상의 네트워크 중간에 위치하여 양 네트워크를 오가는 통신에 대한 접근제어를 제공하는데 반해 NAC는 각 단말 간의 통신에 대한 접근제어를 제공한다. 예를 들어 동일한 서브넷에 존재하는 두 PC 간에 이루어지는 파일공유에 대해서 일반적으로 Firewall은 제어하지 못하는 반면 NAC는 제어를 할 수 있다.

 

 

2) 동적인 정책 vs 정적인 정책

방화벽의 정책은 일반적으로 5 Tuples라 불리는 출발지/목적지의 주소, 포트와 같은 객체를 통해서 이루어진다. 최근 차세대 방화벽에서 사용자와 같은 추가적인 객체를 통한 제어를 제공하기 시작했으나 그 수가 많지 않다. 반면 NAC의 경우는 통상 수 백개 이상의 조건을 통해 단말들의 그룹을 구성하면 각 단말의 상태 변경에 따라 구성된 그룹에 자동으로 포함/해제가 되고 그에 따라 정책이 적용되는 구조를 제공한다. 예를 들어 Antivirus를 구동 중이지 않은 단말이라는 그룹이 있다고 가정하면 이 그룹에 속한 단말은 상태에 따라 실시간으로 변화하게 된다.

 

3) 내부망 vs 외부망

이 같은 이유로 인해 Firewall은 단말의 사용자를 특정할 수 없고 상세한 정보를 수집할 수 없는 외부 사용자와 내부 시스템 간의 접근제어의 목적에 보다 적합하고 NAC는 다양한 상태 정보를 얻을 수 있는 내부 사용자에 대한 접근제어 시스템으로 적합하다. 두 개의 제품은 각각의 역할에 맞는 위치 및 구성으로 네트워크 보안을 보다 효과적으로 구축할 수 있는 상호 보완적인 역할을 수행한다.

 

 


참고

 

1. https://blog.lgcns.com/922

2. https://en.wikipedia.org/wiki/Network_Access_Control

3. https://security100.tistory.com/23

4. https://docs.genians.com/release/ko/intro.html

반응형

댓글

Designed by JB FACTORY