보안 무풍지대 ‘에지’가 위험하다

The Changing Network Perimeter
보안 무풍지대 '에지'가 위험하다
시스코 NAC2로 에지 디바이스 보호 … 60여개 보안 협력업체 참여

최근 컴퓨터 보안수사대와 미국 FBI가 발표한 CSI/FBI 보안 보도자료에 따르면 지난 수년간 보안 기술 개발· 구축에 엄청난 돈이 투자됐음에도 불구하고, 바이러스, 웜, 스파이웨어, 다양한 형태의 악성소프트웨어는 오늘날 기업의 골머리를 썩이는 이슈 중 단연 1위를 차지하고 있다.

지능적으로 진화해온 온라인 바이러스와 웜은 현재 블록 주변을 변화시켜 공격 위험도를 높이면서 급속도로 뻗어나가고 있다. 특히 네트워크의 변화하는 성향이나 바이러스 및 웜의 공격으로부터 안전하다고 여겨졌던 공간인 페리미터(perimeter)나 에지가 문제다.

시스코 보안 기술 그룹 CTO인 밥 글레이초프(Bob Gleichauf)는 "페리미터 컨셉은 사라지고 있다"며 "현재 부각되는 것은 에지다. 회사들은 더 이상 순수한 의미의 사설 네트워크를 소유하고 있지 않다. 군용 네트워크를 제외한 모든 네트워크가 사설 및 공용 네트워크와 겹쳐져 있다. 고객 네트워크들은 에지다. 블루투스 폰이건 원격으로 네트워크에 연결된 PC건, 윈도 노트북이건 상관없이 이들은 패킷을 통과한다. 이러한 에지 수가 증가함에 따라 네트워크에 접속 시 많은 문제들이 발생하게 된다"고 말했다.


그림 1. 컴플라이언스 실행 : 시스코 시큐어 액세스 컨트롤 서버 상의 정책들은 티볼리 시큐리티 컴플라이언스 매니저와 협력 하에 어드미션 결정권을 갖는다.


맨위로


안전한 디바이스 체크해야
기업들이 ID 관리와 AAA(authentication, authorization, accounting)를 사용해 사용자 인증 및 네트워크 권한을 허가하는 동안에는 사용자 엔드포인트 디바이스의 보안 프로파일을 인증할 방법이 사실상 없다. '해롭지 않은' 디바이스라는 걸 정확하게 가려낼 수 있는 방법이 없다면 가장 신뢰할 만한 사용자라 해도 믿을 수 없다. 감염된 디바이스나 적절한 보안 정책을 갖추지 않은 누군가로 인해 네트워크에 접속한 모든 사람들을 위험에 빠뜨릴 수 있기 때문이다.

시스코 보안 기술 그룹 마케팅 이사인 러셀 라이스(Russel Rice)는 "어느 직원이 공항 핫스팟이나 커피점에서 인터넷을 검색하는 동안 운 나쁘게 바이러스를 다운받을 수도 있다. 아니면 직원이 노트북의 안티바이러스 소프트웨어를 실수로 끈 다음, 그 노트북을 회사로 가져오는 상황도 발생할 수 있다. 회사들은 디바이스의 보안 프로파일을 체크할 수 있는 방법을 강구해야 한다"고 말했다.

시스코는 2년 전에 NAC(Network Admission Contro)를 필두로 이러한 문제를 처리하기 시작했다. 기술과 솔루션으로 이뤄진 NAC는 네트워크 인프라를 사용해 네트워크 컴퓨팅 자원에 접근을 시도하는 모든 디바이스에서 보안 정책 컴플라이언스를 실행시킨다. NAC를 실행하는 고객들은 인증되고 신뢰할 만한 엔드포인트 디바이스(예: PC, 서버, PDA)에만 네트워크 접근을 허용할 수 있으며, 인증 및 관리되지 않은 디바이스의 접근을 컨트롤할 수 있다.

최초 NAC는 시스코 통합 서비스 라우터, 모듈러 액세스 라우터, 멀티서비스 액세스 라우터, 7200 시리즈 라우터, VPN 컨센트레이터를 포함한 시스코 라우터 상에서만 사용할 수 있었다. 때문에 NAC의 경우 원격 지사나 원격 디바이스 액세스까지 확장할 수 있었지만, 기업용 LAN과 무선 액세스 포인트 상에 구축하는 것은 극히 제한적이었다.

하지만 이제 시스코의 NAC2에 시스코 카탈리스트 스위치 및 무선 솔루션이 추가되면서 이 기능을 꼭 필요로 했던 기업용 LAN에서도 NAC를 사용할 수 있게 됐다.

라이스는 "시스코가 NAC를 맨 처음 출시했을 때 주요 컨셉은 바이러스나 웜이 네트워크로 확산되는 위험을 줄이는 데 있었다"며 "이 목적은 지금도 중요하지만 NAC는 진화해왔다. '자산이 손상될 위험 없이 검증된 사람과 디바이스만이 우리 관리 네트워크에 접속할 수 있다는 전제 하에, 기업 액세스 및 비즈니스 정책이 실시되고 감사되고 있다는 걸 어떻게 보장할 수 있는가?' 같은 기업의 고민은 NAC2로 간단히 해결될 수 있다"고 설명했다.

60 여개 이상의 기업이 참가한 파트너사 에코시스템인 NAC 벤더 프로그램에는 알티리스(Altiris), 시만텍(Symantec), 퀄리스(Qualys) 같은 업체들이 동참하고 있다. 이 기업들은 CA(Computer Associates), IBM, 맥아피(McAfee), 트렌드 마이크로(Trend Micro) 같은 안티바이러스 및 치료 보안 서비스 공급업체들과도 협력하고 있다.

시스코는 NAC의 도전과제로 두 가지 접근 방식을 채택하고 있다. 어플라이언스 기반 접근방식과 NAC 프레임워크라고도 불리는 아키텍처 프레임워크에 기반한 방식이 바로 그것이다.

시스코 클린 액세스(Cisco Clean Access)는 모든 것이 완비된 엔드포인트 자산 및 정책 관리, 치료 서비스로 NAC를 신속하게 구축할 수 있도록 해주는 어플라이언스다. 여기에는 마이크로소프트와 유명한 안티바이러스 업체가 제공하는 패칭 및 업데이트 기능이 포함된다. 350 군데 이상의 고객사들이 시스코 클린 액세스를 구축했으며, 현재 250만 이상의 엔드유저들이 이를 실행하고 있다. 시스코 클린 액세스를 실행하는 사례 중 가장 큰 규모를 자랑하는 것은 사용자가 63,000 명에 이르는 아리조나 주립대학. 이 대학의 대변인은 "시스코 클린 액세스를 구축한 후에 보안사고 건수가 매년 6,000 건에서 50건 이하로 크게 줄었다"고 밝혔다.

NAC 프레임워크 솔루션은 기업 전체에 구축하는 방식으로, NAC 인식 네트워크 디바이스, 서비스 및 중앙 정책 관리와 유명한 안티바이러스&보안 관리업체에서 출시된 솔루션이 결합돼 세분화된 어드미션 컨트롤(admission control) 관리 기능을 제공하고 있다. 이 방식은 장기적으로 기업 전체에 구축할 때 가장 좋은 옵션이라고 할 수 있다.



NAC 프레임워크는 다음과 같은 네 가지 컴포넌트로 구성돼 있다:
엔드포인트 보안 소프트웨어
NAC 프레임워크를 엔드포인트로 확장시키기 위해 회사들은 오픈된 API(Application Programming Interfaces)가 포함된 시스코 트러스트 에이전트(Cisco Trust Agent) 소프트웨어를 인스톨하며, 안티바이러스, 안티스파이웨어 및 개별 방화벽처럼 NAC와 함께 작동될 수 있도록 엔드포인트에서 기존 보안 소프트웨어를 실행시킨다.

네트워크 액세스 디바이스
라우터, 스위치, 무선 액세스 포인트, 보안 어플라이언스를 포함하는 어드미션 컨트롤 정책을 실행시킨다. 이러한 디바이스들은 주요 인증서를 요구하고 이런 정보를 NAC 결정이 이뤄지는 정책 서버로 중계한다.

정책 서버
네트워크 디바이스에서 중계된 엔드포인트 보안 정보를 평가하고 적절한 액세스 정책을 사용하도록 결정한다. AAA 래디우스(RADIUS) 서버인 시스코 보안 ACS(Access Control Server)는 정책 서버 시스템의 기반이 된다.

관리 시스템
시스코 관리 솔루션은 적절한 시스코 NAC 요소들을 공급하고 모니터링 및 리포팅 운영 툴을 제공한다. CS-MARS(Cisco Secure Monitoring Analysis and Response System)는 향상돼 왔기 때문에 NAC 시스템용으로 중앙 집중적인 헬프 데스크와 트러블슈팅을 지원할 수 있다. 시스코웍스 시큐리티 인포메이션 매니저 솔루션(CiscoWorks Security Information Manager Solution) 역시 이러한 지원이 가능하다.


IBM 티볼리 소프트웨어는 시스코 NAC 프레임워크와 통합돼온 많은 보안 애플리케이션 중 하나이다. <그림 1>은 NAC가 IBM 티볼리 ID 및 치료 시스템과 실행되는 과정을 보여주고 있다. 티볼리 시큐리티 컴플라이언스 매니저를 통해 기업들은 네트워크와 연결되는 디바이스용 정책을 정의할 수 있게 된다. 이 정책 정보는 네트워크 어드미션이 결정되는 장소인 시스코 시큐어 ACS로 중계된다. 시스코 트러스트 에이전트는 각 엔드 디바이스 상에서 실행되며, 상태 정보는 무선이나 802.1X에 의한 서로 다른 기술이나 인터넷을 통한 UDP(User Datagram Protocol)를 사용하는 시스코 네트워크 디바이스, 액세스 포인트, 시스코 스위치, 시스코 VPN 컨센트레이터로 중계된다. 컴플라이언스 체크는 시스코 ACS로 실행된다. 디바이스가 인증된 제품이라면, 기업용 네트워크로 곧바로 접속이 가능하다. 반면 인증을 확인할 수 없을 경우, 시스코 ACS는 엔드 디바이스에게 LAN 검역소로 가라는 명령을 내린다. 이런 제한된 VLAN 상에서 티볼리 시큐리티 컴플라이언스 매니저 에이전트는 디바이스를 치료하기 위해 티볼리 프로비저닝 매니저와 세션을 열 수 있다. 일단 치료가 완료되면, 시스코 네트워크는 안전한 환경으로 디바이스 접근을 허용한다.


맨위로


Cisco에 문의하세요



Packet 지난 호 보기