현재 보안 시장에서 가장 많은 관심을 모으고 있는 NAC는 단순히 하나의 장비나 솔루션으로 보안 아키텍처를 완성하는 것이 아니다. 다양한 네트워크 장비와 솔루션의 유기적인 협력을 통해 엔드포인트에 대한 보안 아키텍처를 구성한다는 점에서 기존의 솔루션과 차이를 보인다. 이 때문에 많은 네트워크 업체와 보안 업체들은 NAC 솔루션을 제시하기 위해 기존의 방식과는 조금 다르게 보안 시장에 접근하고 있다. 이같은 NAC 시장의 흐름과 각 업체들의 전략에 대해 알아본다.
이미 많은 기업들이 파이어월, 바이러스월, IDS, IPS 등의 다양한 보안 솔루션을 구축, 운영함에 따라 외부로부터 유입되는 웜이나 바이러스, 해킹 등의 위협 요인은 점차 감소되고 있다. 하지만, 그렇다고 기업의 IT 인프라가 보다 안전한 환경에 처해 있냐는 질문에는 선뜻 그렇다고 답하기 힘든 상황이다. 이미 예전부터 가장 큰 보안 위협은 외부가 아니라 내부에 존재했기 때문이다.
외부로부터의 각종 위협을 차단했다고 하더라도, 내부에서 웜이나 바이러스가 존재할 경우 이에 대한 대비책은 각각의 PC나 서버에 설치된 안티바이러스 프로그램이 전부라고 할 수 있다. 하지만 기업의 규모가 커지면 커질수록 이같은 각 사용자 PC에 대한 관리는 어려운 문제가 된다. 수백, 수천, 혹은 수만의 사용자들에게 일일이 각종 보안 프로그램 설치를 강요하거나 기업의 보안 정책을 숙지, 교육시키는 등의 작업은 보안 담당자들에게 과중한 업무가 될 수 있으며, 그렇다고 항상 안전한 환경을 유지할 수 있다는 보장도 없다.
이같은 문제에 대응하기 위해 최근 부각되고 있는 것이 NAC(Network Access Control)이다. 2~3년 전에 처음 등장한 NAC 개념은 기업의 보안 정책에 따라 네트워크와 보안 솔루션이 유기적으로 결합해, 엔드포인트에 대한 보안을 강화한다는 점에서 기존의 보안 솔루션과 차별화를 이루며, 최근 관련 업체들의 솔루션 출시 등과 맞물려 급성장하고 있다.
엔드포인트 보안 강화위해 등장
많은 업체들이 관련 솔루션과 비전을 제시하면서 NAC(Network Admission Control), NAP(Network Access Protection), UAC(Unified Access Control), 쿼런틴 프로텍션, 쿼런틴 솔루션 등의 다양한 이름으로 불리고 있는 NAC는 최근 관련 업체들이 비전 제시와 프로토 타입 공개에 그쳤던 1세대에 반해 실제 적용할 수 있는 상용 기술인 2세대 제품들을 선보이면서 시장 공략에 적극 나서고 있다.
현재 NAC 시장은 시스코의 NAC(이하 CNAC) 진영과 마이크로소프트의 NAP 진영, 그리고 TCG(Trusted Computing Group)의 TNC(Trusted Network Connect) 진영 등 크게 3분류로 나눌 수 있으며, 이외에도 많은 업체들이 자체적인 NAC 솔루션을 선보이고 있는 상황이다.
NAC 관련 솔루션과 전략을 발표한 업체는 시스코, 엔터라시스, 알카텔, 쓰리콤, 주니퍼네트웍스 등의 대형 네트워크 장비업체에서부터 마이크로소프트와 같은 운영체제 업체, 여기에 시만텍, 트렌드마이크로, 맥아피, 체크포인트 등과 같은 전문 보안업체들까지 관련 업체 모두라고 해도 과언이 아니다. 여기에 유넷시스템이나 지니네트웍스 등 국내업체들까지 가세하고 있으며, 안철수연구소, 삼성전자, LG엔시스 등도 시스코나 마이크로소프트 등의 파트너를 통해 NAC 시장 진출을 노리고 있다. 이외에도 많은 업체들이 현재 NAC 관련 솔루션을 준비하고 있는 상황이며, 업계에서는 이같은 시장 상황을 봤을 때 2007년부터는 NAC 시장이 급성장할 수 있을 것으로 기대하고 있다.
가트너, 인포네틱스와 같은 대표적인 시장조사 기관들도 NAC 시장 관련 보고서를 통해 NAC 시장을 밝게 전망하고 있다.
인포네틱스는 지난 2006년 1월, ‘NAC 시장 동향과 전망’이라는 보고서에서 전세계 NAC 솔루션 시장 규모를 지난해 3억 2300만 달러에서 오는 2008년에는 11배 성장한 39억 달러에 이를 것으로 예측했다.
국내에서도 2008년까지는 1000억원에 육박하는 시장을 형성할 것으로 보고 있는 NAC을 인포네틱스는 크게 3가지로 분류하고 있다.
- 네트워크 통합 NAC 적용 장치 : 일반적으로 802.1x 인증을 지원하고 NAC 클라이언트와 정책/인증 서버와 통신을 주고받은 다음, NAC 아키텍처 내 정책 적용 지점의 역할을 수행하는 스위치, 라우터 및 여타 보안 장비.
- NAC 적용 어플라이언스 : NAC 아키텍처를 위한 정책 적용 지점의 역할을 수행하는 독립형 네트워크 장치. 또한 일부 NAC 적용 어플라이언스도 파이어월이나 IDS/IPS, 안티바이러스 기능을 수행. 이들 어플라이언스는 전용 NAC 아키텍처에서는 물론, 다른 업체의 아키텍처, TCG의 TNC와 같은 표준과도 호환됨.
- NAC 적용을 위한 SSL VPN : 내부나 원격 액세스 사용자들이 인증을 받고 무결성 검사를 수행한 다음, 인증이나 무결성 검사 결과를 기초로 자원에 대한 액세스가 허용 또는 거부되는 NAC 유형의 아키텍처를 위한 정책 적용 지점으로 사용되는 SSL VPN 게이트웨이 등
이처럼 수많은 업체들이 NAC 시장에 뛰어드는 이유에 대해 유넷시스템의 한 관계자는 다음과 같은 세가지 꼽았다. 먼저 첫 번째는 대형 업체들이 NAC을 발표한 데 이어 TCG 등에서도 일찌감치 표준화 작업을 시작하는 등 지금까지 없던 시장이 갑자기 부상하는데 대해 후발 네트워크 장비업체나 보안업체들이 위기 의식을 느꼈다는 것이다. 더구나 아직 초기 단계이기 때문에 지금부터 시작해도 대형 업체들에 비해 크게 뒤떨어지지 않을 수 있다는 것 때문에 NAC은 새로운 기회 창출이라는 측면에서 후발업체들은 더더욱 놓칠 수 없는 시장이다.
두 번째로는 기존의 안티바이러스 소프트웨어 등의 단위 보안 제품이나 내부 네트워크와 인터넷 사이에 위치하는 파이어월, IPS 등 관문 중심의 보안 제품들이 네트워크의 가용성 보장이라는 측면에서 실패했다는 것이다. 가장 큰 문제점은 강력한 강제 수단이 없었고, 사후 모니터링이나 대응 위주였다는 점 때문에 통합 보안이나 예방적 보안, 능동적 보안과 같은 개념이 등장하게 된 것이다. 이를 통해 기존 단위 보안 제품이나 관문 중심의 보안 제품을 우회하거나 내부 네트워크에 직접 위해를 가할 수 있는 공격에 대처할 수 있는 통합적 프레임워크로 NAC가 대두되고 있다.
마지막으로 그간 끊임없이 논란이 됐던, 엔드포인트에 대한 보안을 더이상 운영체제 업체나 단위 보안 솔루션 업체에게만 맡겨둘 수 없기 때문이다. 사용자 단말이 네트워크에 연결되기 시작하면서 기업에서 발생하는 대부분의 업무처리를 이곳에서 처리되고 있다. 따라서 이런 엔드포인트에 대한 보안은 단순히 사용자 단말에 국한된 보안이 아니라 기업의 업무 프로세스 전반을 보호하는 개념으로 확대됐다. 이점에 착안해 네트워크 혹은 보안 업체에서 이를 차세대 성장 동력으로 삼으려는 움직임 때문에 NAC 관련 솔루션과 전략들이 우후죽순처럼 등장하고 있다.
기존 보안 솔루션의 한계 극복
이미 대부분의 기업들이 파이어월, IPS, IDS 등의 일반적인 네트워크 보안 솔루션을 갖추고 있지만, 이같이 내부 네트워크와 외부 인터넷 사이에 위치하고 있는 네트워크 보안 솔루션만으로는 모바일 환경이 급증하고 있는 현재와 같은 기업 IT 구조에서는 허점을 드러내고 있다.
이런 네트워크의 진화와 환경의 변화에 따라 시스코와 마이크로소프트 그리고 TCG 등은 NAC라는 네트워크 접근 통제 아키텍처를 발표하고 시장을 주도해 나가고 있다. NAC는 사용자를 식별하고 신원을 확인한 다음 무결성을 검사하고, 이 결과에 따라 사용자와 시스템의 네트워크 접근에 대한 권한을 부여한다.
트렌드마이크로의 최용 컨설턴트는 “아주 간단해 보이고 쉬워 보이는 NAC가 아직 상용화의 걸음마에 있는 이유는 NAC가 모든 모든 네트워크 레벨에 걸쳐 영향을 미치게 되고, 보안 정책의 적용을 네트워크 장비를 통해 구현해야 한다는 점에서 네트워크 업체와 보안업체간의 효과적이고도 유기적인 결합과 협업이 필요하기 때문”이라고 말한다.
대부분의 NAC 솔루션은 클라이언트의 강제 집행 영역, 그리고 백엔드 레벨로 구성돼 있다. NAC가 네트워크나 보안 시장에서 중요한 이유는 이렇게 모든 영역에서 제품에 영향을 미치는 솔루션이므로 네트워크 보안의 핵심이라고 볼 수 있기 때문이다.
트렌드마이크로에서는 NAC 솔루션의 목표를 다음과 같은 5가지로 정의하고 있다.
- 어떤 경로를 통해 접속했는지에 관계없이 사용자에 대한 인증을 수행한다.
- 사용자의 컴퓨터에 대한 무결성 검사를 수행한다(운영체제 패치와 구성 정보. 특히 안티바이러스 프로그램, 개인 파이어월 유무 등의 검사).
- 인증과 무결성 검사 결과를 정책 관리서버에 설정된 정책과 비교한다.
- 인증과 무결성 검사 결과를 바탕으로 사용자가 액세스하는 대상과 장소에 대한 정책 결정을 수행한다.
- 허용, 거부, 격리할 수 있는 일부 적용 장비 유형에 대한 네트워크 액세스 인증을 수행한다. 이 절차가 없다면 사용자의 트래픽을 조작할 수 있다.
이같은 NAC의 도입을 통해 기업의 보안 담당자와 네트워크 관리자들은 몇가지 획기적인 변화를 겪게 될 것으로 보인다.
우선 가장 큰 변화는 관리 포인트의 획기적인 감소다. 수많은 노트북 PC 사용자, 외부 저장장치, PDA, 무선 사용자 등 허가받지 않은 사용자들의 내부 네트워크 접근을 제어할 수 있으며, 각 기업의 보안 정책에 위배되는 각종 장비들의 접근을 제한하거나 차단함으로써 보안 위협 요소를 획기적으로 줄일 수 있을 것으로 기대하고 있다. 또한 이를 통해 엔드포인트 부분의 통합적이고 포괄적인 보안 관리가 가능하게 된다.
또 다른 변화로는 보다 적극적인 사전 대응이 가능해진다는 것이다. 즉, 엔드포인트 보안과 애플리케이션 레벨의 방어, 그리고 통합 NAC 아키텍처를 통한 보안 정책을 적용함으로써 기업의 모든 네트워크 환경에서 위협 요소에 대한 사전 대응 체계를 갖출 수 있다. NAC는 단순히 네트워크 접근 제어 기능만을 제공하는 것이 아니라 통합 보안 관리라는 중요한 기능을 담당하게 된다.
트렌드마이크로의 최용 컨설턴트는 “이미 국내에서도 NAC 지원 네트워크/보안 솔루션이 많이 발표되고 있지만 중요한 것은 NAC을 통해 얻고자 하는 목적을 분명히 하는 것이다. 좋은 기술 이상으로 중요한 것은 기술에 대한 충분한 이해”라고 말한다. 또한 “좋은 기술이 그냥 기술로 끝나지 않기 위해선 업체와 고객이 공동으로 그 기술의 가장 이상적인 도입 모델을 고민해 나가야만 한다. NAC 또한 예외가 아니어서 성공적인 도입 모델을 위해선 현재의 네트워크 인프라와 보안 현안들을 도입 이전에 꼼꼼히 분석해 보는 것이 무엇보다 중요하다”고 말한다.
다양한 NAC 구성 방식
이처럼 다양한 방식의 NAC을 일부에서는 네트워크 기반 NAC과 호스트 기반 NAC으로 구분하기도 한다. 이외에도 IPS 기반 NAC, 소프트웨어 기반 NAC, 다이내믹 NAC 등 NAC 솔루션 업체들이 새로운 방식의 NAC을 선보이고 있다.
우선 대부분의 네트워크 기반 NAC은 사용자 단말에 소프트웨어 에이전트를 설치하고, 네트워크 장비와 NMS를 통해 이를 제어한다. 반면 주로 기존 보안 업체인 시만텍, 트렌드마이크로, 맥아피 등에 제시하는 NAC 솔루션은 엔드포인트 보안에 초점을 맞춰, 기존의 바이러스월 등을 이용해 안티바이러스나 데스크톱 파이어월/IPS 등을 기반으로 NAC을 하나의 솔루션으로 제공하는 방식이다.
예를 들어 트렌드마이크로의 네트워크 바이러스월의 경우 기업의 코어 스위치와 에지 스위치 사이에 위치해 에지 스위치에 연결된 단말에서부터 파생되는 각종 위협이 전체 네트워크 환경으로 확산되는 것을 차단할 수 있기 때문에, 기업 전체의 통합 보안보다는 각각의 부서별 보안을 강화하는 데 유리하다.
하지만 모든 NAC 솔루션은 적절한 권한을 가진 사용자가 보안이 검증된 안전한 단말을 이용해 내부 네트워크에 접속할 수 있게 한다는 기본 목적에 있어서는 대동소이하다. 또한 이같은 목적을 위해 사용자 인증과 무결성 검사, 권한 부여와 격리 등의 기본적인 기능들로 이뤄져있다. 따라서 기존 보안 솔루션처럼 단품으로 구성할 수는 없으며, 한 업체의 제품으로 전체 솔루션을 구현한다는 것도 힘든 일이다. 일반적으로 NAC은 사용자 단말에 설치되는 에이전트와 인증/정책 관리 서버, 정책을 집행하기 위한 인포서와 이를 실제로 적용하는 다양한 네트워크 장비와 보안 솔루션으로 구성돼 있다.
하지만 기업 네트워크에 연결되는 단말 중에는 에이전트를 설치하기 힘든 PDA나 IP폰, 리눅스나 유닉스 등의 운영체제를 사용하는 단말 등이 점차 확산됨에 따라 많은 업체들이 에이전트 없이도 NAC을 적용할 수 있는 기능을 제공하는 경우도 있다.
NAC는 IAM이나 EAM과는 다르다
NAC은 초기 사용자 보안 상태 기술에 기반을 두고 출발했다. 다시 말해 사용자가 사용하고 있는 보안 에이전트의 상태를 토큰값으로 넘겨받아 EAP 기반의 암호화된 채널링을 기반으로 해당 정보를 네트워크 장비가 받고, 네트워크 장비는 이 토큰 값을 RADIUS를 통해 NAC 서버에 넘겨준다. 그리고 NAC 서버는 SSL 기반의 HCAP이라는 암호화 통신으로 해당 사용자 보안 서버에 넘겨주는 것이다. 이때 NAC 서버와 연동이 가능한 안티바이러스 솔루션이 넘겨받은 토큰값의 상태에 따라 NAC 서버에게 사용자 보안 상태를 통보하고, 이에 맞는 정책을 집행한다.
따라서 계정 관리 솔루션과 NAC는 사용자 인증, 사용자 보안 상태 점검이라는 상당히 다른 부분이 있다는 것이다. 업계 관계자들은 IAM이나 EAM 등은 NAC의 주요 요소이기는 하지만 NAC과 동일한 개념으로는 생각할 수 없다는 의견이다.
엔터라시스의 안종석 이사는 “NAC의 관점은 에지이며, 디렉토리의 관점은 네트워크 내의 모든 자원을 통합적으로 정책을 통해 관리하는 것이다. 따라서 디렉토리는 NAC의 요소를 포함하지만, 그 범위가 너무 커서 NAC라고 부르기는 힘들다”고 말한다. 또한 “NAC는 디렉토리 적용이 불가능한 사용자나 단말기들의 접속을 포함하며, 단말기들의 취약성 분석까지 포함하는 개념으로 진화하고 있다. 하지만 NAC 개념으로 먼저 발전한 기술은 장기적으로 디렉토리에 흡수될 것으로 보인다”고 덧붙인다.
대학과 병원, 기업 등 다양한 시장 공략
특히 지금까지는 비전과 솔루션 소개에만 그쳐왔던 NAC이 하나둘씩 레퍼런스를 확보해 가면서 내년 시장에 대한 기대치가 높아가고 있다. 이미 대부분의 업체들이 한두 곳 이상의 레퍼런스를 확보하고 있으며, 대기업과 대학, 병원, 공공, 금융권을 대상으로 한 활발한 영업전이 전개되고 있다.
산업군별로는 내부 구성원이 다양한 대학과 병원이 가장 활발히 검토하고 있으며, 대기업 제조사와 유무선 통신업체, 일부 관공서와 공사들도 관심을 나타내고 있다.
엔터라시스는 TES(Trusted End-System)이라는 시큐어 네트웍스 아키텍처에 기반한 NAC 솔루션을 제공해 기존 솔루션들을 추가부담 없이 쉽게 연동할 수 있다는 것을 특징으로 내세우고 있다. 엔터라시스는 아키텍처 기반으로 표준의 적용을 지향하며, 여러 보안 솔루션을 연동하기 위해 오픈 인터페이스를 기반으로 제품을 생산하고 있다. 따라서 기존의 IDS, IPS, 파이어월, PMS, 안티바이러스, 취약성 분석도구 등의 보안 제품에 대한 호환성을 제공하는 NAC 솔루션을 제공한다는 것을 목표로 하고 있다. 현재 엔터라시스는 마이크로소프트 액티브 디렉토리, 네서스, LockDown, 시만텍, 체크포인트, 윈스테크넷, 파이오링크 등의 제품과 연동 중이며, 기타 SNMP v3 표준을 지원하는 보안/네트워크 장비 또는 802.1x/RFC3580을 지원하는 네트워크 장비를 연동할 수 있다. 또한 스크립트를 이용해 비표준의 PMS 에이전트 등을 인식할 수 있기 때문에 엔지니어들이 NAC 연동을 구현할 수 있는 도구를 제공한다.
엔터라시스는 표준화 진행에 따라 제품을 개발해 나간다는 전략을 추진하고 있으며, 국내 파트너 확대와 다양한 레퍼런스 확보로 내년 2007년 시장이 활성화 되었을 때 유리한 환경을 제공해 나갈 계획이다. 이를 위해 파트너 엔지니어에 대한 충분한 교육을 제공하는데 주력하고 있다. 현재 엔터라시스는 솔리테크, 한미반도체, 삼양사, KGIT 등의 레퍼런스를 확보하고 있으며, 기업 시장에 대한 NAC 보급에 주력하고 있다.
주니퍼는 TCG/TNC 표준에 의거해 NAC 시장에 접근하고 있다. 주니퍼네트웍스의 최우제 차장은 주니퍼 NAC의 가장 큰 장점은 자동화에 있다고 말한다. 기존 NAC에선 기존 네트워크의 교체, 수동적 적용, 관리 등 고객들이 쉽게 적용하기에는 넘어야할 한계점이 여전히 많이 존재하고 있다. 이에 대하여 주니퍼 NAC는 보다 적용하기 쉬운, 그리고 관리하기 쉬운 솔루션으로 시장에 전개해 나갈 것이라고 말한다. 올해 레퍼런스를 확보한 주니퍼는 기업 데이터센터 시장을 중심으로 마케팅을 전개해 나갈 것이라고 밝히고 있다.
시스코는 지난 2004년에 발표한 SDN(Self Defending Network) 아키텍처에 기반한 NAC 전략을 전개해 나가고 있다. 시스코의 CNAC는 SDN의 상호협력 보안에 해당하는 아키텍처이며, 통합 보안 측면에서 모든 NAD(Network Access Device)들은 강력한 보안 기능을 제공하고, 인프라를 보호하며, 추가적으로 사용자 인증과 사용자 보안 상태 점검이라는 기능을 수행하게 된다는 것이다. 이때 사용되는 프로토콜이 사용자와 NAD 장비간에는 EAP를, NAD 장비와 NAC 서버간에는 RADIUS 통신을 하게 된다. 시스코는 이같은 아키텍처 구성을 더욱 견고하고, 원할하게 진행하기 위해, EAP 표준화 작업을 위한 드래프트를 제출한 상태이며, 마이크로소프트의 NAP 안에서는 시스코 NAC의 핵심 프로토콜인 EAP/UDP, EAP-FAST를 사용하고 있다.
또한 범용성과 다양성 수용을 위해 다양한 벤더들과의 협력관계를 지속적으로 유지하고 있다. 현재 75개의 국내외 업체들과 상호 보안 상태 정보를 인지할 수 있는 기술적 협약을 맺은 상태다. 특히 최근에는 마이크로소프트 NAP과의 연동을 발표하면서 TCG/TNC와의 대립 관계를 보여주고 있다.
레퍼런스 확보가 첫 번째 과제
마이크로소프트의 박창민 차장은 “전세계 70여 파트너들과 공동으로 작업을 진행하고 있는 마이크로소프트는 NAP이 단일 제품이라기보다는 비스타와 롱혼 서버에 내장돼 윈도우를 포함한 전체 인프라스트럭처를 안전하게 운영하는데 목적이 있다”고 말한다.
보안 소프트웨어 전문업체인 체크포인트는 하드웨어에 종속되지 않는 점을 내세워 다양한 하드웨어나 솔루션과의 호환성 측면을 부각시키려는 노력을 하고 있다. 체크포인트의 엔드포인트 보안 전략인 TAP(Total Access Protection)은 네트워크에 연결된 모든 PC를 위치, 소유, 접근 방법에 상관없이 통합된 원격 접근, 엔드포인트 보안, 호스트 침입 방지, 접근 정책 실행 등을 통해 보호하는데 중점을 두고 있다. 기본적으로 NAC의 핵심은 엔드포인트 보안과 네트워크 장비와의 호환성이라는 측면에서 착안해 파이어월, IPS 등을 통해 서버, 운영체제, 애플리케이션 보안을 보완한다는 것이다.
체크포인트는 아직 국내에서는 레퍼런스를 확보하지 못하고 있지만, 이미 해외에서는 경영컨설팅 전문업체인 A.T커니 등의 레퍼런스를 확보하고 있으며, 인티그리티와 커넥트라를 이용해 인트라넷이 아닌 곳에서도 중앙 관리를 통해 전체 기업 IT 인프라에 대한 보안을 강화할 수 있다는 것을 장점으로 내세우고 있다.
트렌드마이크로는 시스코 CNAC의 강력한 파트너십을 통한 NAC의 구현과 함께 자체적인 NAC 어플라이언스를 같이 제공하고 있다.
트렌드마이크로와 시스코의 CNAC 연동 솔루션은 시스코의 네트워크 액세스 정책 적용을 통해 트렌드마이크로 오피스스캔(엔드포인트 백신)과 보안 패치 그리고 인가된 사용자에 대한 접근을 제어한다. 이같은 유기적인 협업을 위해 트렌드마이크로에서는 NAC 연동에 외부 정책 서버를 제공하고 있다. 특히 시스코 NAC의 핵심인 CTA의 배포 이슈와 안티바이러스 프로그램 제어 이슈를 오피스스캔을 통해 쉽게 해결할 수 있다.
트렌드마이크로가 지난 4월 발표한 NAC 어플라이언스인 네트워크 바이러스월은 바이러스/웜 차단 뿐 아니라 인증된 사용자만이 기업 네트워크에 접속하도록 하는 NAC 기능을 제공한다. 이 제품은 안티바이러스 기능을 포함한 대부분의 NAC 기능을 탑재하고 있으며, CNAC과 같이 모든 네트워크 장비를 시스코로 교체해야 하는 부담을 안고 있는 기업에게 통합형 NAC의 대안이 될 수 있다는 점을 장점으로 내세우고 있다. 트렌드마이크로는 시스코의 CNAC과 단일형 제품인 네트워크 바이러스월을 동시에 지원함으로써 고객의 요구에 맞는 솔루션을 채택할 수 있도록 하고 있다.
트렌드마이크로는 NAC 솔루션에 관심 있는 기업을 대상으로 공동 마케팅과 영업을 진행하고 있으며, 이미 시스코와 함께 서강대학교의 NAC 솔루션 구현을 공동으로 진행하고 있다.
토종 보안 업체들 NAC 시장 공략 개시
유넷시스템(www.unetsystem.co.kr)이 지난 4월 5일 ‘2006 유넷시스템 전략제품 세미나’를 개최하면서 NAC 솔루션인 애니클릭을 발표한 데 이어, 지니네트웍스(www.geninetworks.com)도 하드웨어 일체형 PMS(Patch Management Solution) 솔루션인 Genian NAC V1.5(이하 지니안 NAC)을 발표하는 등 업체들의 NAC 솔루션 발표가 줄을 잇고 있다.
유넷시스템의 애니클릭 NAC는 IEEE 802.1x 기반의 네트워크 접속 인증 기술을 기반으로 바이러스나 웜 등 각종 악성 코드에 대한 지속적인 예방과 탐지, 차단, 치료 기능을 제공하고 강력한 접근 통제 정책 적용을 통해 안전한 네트워크를 보장한다는 것이 특징이다. 특히 한 업체에 종속되지 않고 기업의 보안담당자가 기존 엔드포인트 보안솔루션에 대한 투자를 보존하면서 다방면에서 기술을 평가하고 선택할 수 있다는 것이 장점이다. 유넷시스템의 한 관계자는 이미 국내외 유수의 보안 업체와 전략적 제휴, 제품 연동을 하고 있으며, 향후 지속적으로 확대해 나갈 예정이라고 밝히고 있다. 이미 HP의 ANA(Adaptive Network Analysis), 마이크로소프트 NAP, 시스코 CNAC 등과도 전략적인 제휴를 맺거나 추진 중이며, 소프트런의 PMS와도 제휴를 통해 상호 연동된다고 밝히고 있다. 이외에도 기존의 SSO/IAM/EAM 업체와의 전략적 제휴와 시스템 통합을 시도하고 있으며, 이미 국내 통신업체와 이와 관련된 프로젝트를 진행하고 있다고 말한다.
현재 유넷시스템은 삼성네트웍스, KTF, 롯데그룹 통합 IDC 등의 레퍼런스를 확보하고 있으며, 내부 네트워크 보안에 대한 투자 여력이 있는 대기업 시장에 대한 공략을 강화하고 있다.
지니네트웍스가 이번에 발표한 지니안 NAC는 기존의 소프트웨어 기반 PC 보안 솔루션인 웜캡터의 한계를 극복하기 위한 하드웨어 일체형 PMS 솔루션이다. 기존의 웜캡터는 네트워크 구성 변경에 따른 설치의 문제점과 네트워크의 변동 사항을 관리자가 수동으로 파악해야 하는 문제가 있었지만, 지니안 NAC은 관리 서버, 관리자용 프로그램, 소프트웨어 배포 서버 등으로 구성돼 있는 일반 PMS 솔루션의 모듈 구성을 전용 하드웨어에 통합함으로써 구축과 관리의 편의를 제공한다. 또한 전용 하드웨어를 사용하기 때문에 범용 운영체제를 사용하는 기존 방식에 비해 외부의 공격으로부터 안전하다는 것이 장점이다.
일반 PMS 솔루션의 경우 소프트웨어 배포를 위해 네트워크 스위치에 미러링을 통해 트래픽을 차단하는 방식을 사용하는데, 이러한 방식은 기존에 사용해오던 백본 설정 변경을 수반할뿐 아니라 스위치의 성능 저하 문제를 야기할 수 있다. ‘지니안 NAC’는 가상경로(virtual In-line) 방식의 기술을 이용, 스위치에서 트래픽을 미러링하지 않고 일반 네트워크 포트에 연결해 설치하는 방식을 채택함으로서 각 PC로의 소프트웨어 자동 배포는 물론, 소프트웨어 미설치 PC에 대한 강력한 네트워크 접근 통제 기능을 제공한다. 또한 PC를 비롯해 네트워크에 연결된 모든 장비들에 대한 자산관리 기능을 제공함으로써 네트워크 관리자가 내부 네트워크에 불법적으로 연결된 유ㆍ무선 장비의 존재를 즉각 파악할 수 있기 때문에 관리자의 업무부담을 줄여줄 수 있다.
표준화가 가장 큰 걸림돌
네트워크 장비 업체뿐 아니라 보안 업체, 심지어 운영체제 업체들까지 NAC 시장에 뛰어들면서 네트워크 장비나 보안 솔루션, 혹은 서버 기반의 NAC 솔루션들이 등장하고 있다. 그런데 NAC의 경우, 하나의 장비나 솔루션으로 모든 것을 해결할 수 없다는 것이 문제다. 다시 말해 네트워크 장비와 보안 솔루션, 인증 솔루션, 각종 애플리케이션, 운영체제 등이 유기적으로 결합해야 가능하다. 이를 위해 대부분의 업체들은 자사 솔루션 혹은 제휴를 맺은 일부 업체의 솔루션을 유기적으로 연결해 NAC을 구현하고 있다.
하지만 기업의 IT 인프라는 이들의 바람처럼 단일 업체의 혹은 일부 업체들만의 솔루션으로 구현되는 경우는 거의 없다. 그렇기 때문에 현재 시중에 선보이고 있는 NAC을 도입하기 위해서는 대대적인 IT 인프라 변경이 있어야 한다는 것이다.
이는 표준화된 API의 등장으로 해결할 수 있는 문제다. 이같은 NAC 분야의 표준화에 가장 앞서 있는 곳은 TCG다. TCG가 내놓은 TNC(Trusted Network Connect)는 EAP나 TLS와 같은 표준을 기반으로 802.1x, IPSec/SSL VPN, 일반 LAN을 물론이고, 다이얼업 모뎀 환경 등의 다양한 기술을 지원한다. 이외에도 TPM(Trusted Platform Module) 등의 폭넓은 지원이 가능하다.
이같은 표준에 맞춰 개발된 네트워크 장비나 서버, 데스크톱 PC, 노트북 PC, PDA, 보안 장비 등은 공통된 API를 통해 통신하면서 하나의 유기체처럼 동작해 NAC을 구현할 수 있게 된다. 하지만 문제는 TCG가 IEEE나 TIA와 같은 세계적인 표준화 단체가 아닌, 일부 업체들이 모여 만들어진 하나의 협의체에 불과하다는 것이다.
물론 TCG는 AMD, HP, IBM, 인텔, 마이크로소프트, 소니, 썬 등 유수의 업체들이 모두 참가하고 있으며, 운영체제에서 시스템, 애플리케이션, 반도체, 보안, 네트워크에 이르는 다양한 분야의 130여 업체가 참여한 대형 협의체이지만, 시스코와 같은 대형 네트워크 장비 업체가 참여하지 않아 문제가 불거지고 있다.
이것은 만약 TCG의 TNC 표준에 맞춘 NAC 솔루션을 구축하려면 시스코의 장비는 일단 제외시켜야 한다는 것을 의미한다. 한 곳의 보안 구멍으로 인해 전체 IT 인프라에 여파가 널리 퍼질 수 있는 현재의 보안 환경에서 이같은 보안 구멍은 용납하기 힘든 일이다. 물론 시스코도 파트너십을 통해 무수히 많은 업체들을 껴안으려하고 있지만, 시스코의 파트너는 대부분 시스코가 보유하지 못하고 있는 솔루션 업체들에 불과하다. 향후 NAC가 시장에서 더욱 힘을 받기 위해서는 이같은 표준화 부분에서의 문제를 먼저 해결해야 할 것이다.
업체간 치열한 주도권 경쟁
반면 시스코의 최우형 차장은 “TCG는 자신들이 표준화를 주도하고 있다고 말하고 있지만, TCG는 사실상 영리업체들의 모임일 뿐 표준화 기구는 아니다. 또한 TCG의 표준화 상태는 지금까지 답보 상태일뿐 진행된 것이 전혀 없다. 오히려 시스코와 마이크로소프트가 NAC와 NAP의 아키텍처를 공유하기로 함에 따라 표준화의 그 틀이 드러나고 있다”고 강조했다.
또한 EAP/UDP와 EAP-FAST와 같은 핵심 기술은 현재 시스코가 IEEE에 표준안 드래프트를 진행 중일 뿐 아니라 마이크로소프트의 NAP에 탑재될 예정으로, 시장 전체에 공공성을 띨 가능성이 매우 높다고 주장하고 있다. 이외에도 TCG/TNC의 경우 수많은 업체들간의 관점 차이로 인해 NAC 표준화가 지지부진한 상태라는 점도 문제점으로 지적하고 있다.
표준화 문제 이외에도 NAC의 경우 기존의 네트워크, 보안 인프라에 대한 업그레이드가 필요할 수 있기 때문에 비용도 문제가 될 수 있다. 예를 들면 네트워크 장비 중 NAC의 구현의 핵심이라 할 수 있는 스위치의 경우 대부분의 NAC 솔루션이 802.1x를 기반으로 하고 있지만, 아직 기업의 에지나 액세스 스위치 중 802.1x 기능을 지원하는 스위치가 광범위하게 보급돼 있지 않기 때문에 스위치에 대한 업그레이드가 필요할 수 있다. 또한 보안 솔루션의 경우도 시스코의 CNAC이나 마이크로소프트의 NAP, 혹은 TCG/TNC 등의 주도하는 업체나 협회에 따라 지원 솔루션이 한정돼 있기 때문에, 기존의 보안 인프라가 이를 지원하지 않는다면 새로운 솔루션을 도입하는 등 추가 비용을 감수해야만 NAC을 구현할 수 있다는 얘기가 된다.
한편 대부분의 NAC 솔루션이 에이전트 기반의 솔루션이라는 것도 문제로 지적되고 있다. 각각의 단말에 에이전트를 설치해야만 NAC을 구현할 수 있다는 것은 수백, 수천, 혹은 수만대의 단말에 에이전트를 설치해야 하며, 또한 이에 대한 관리가 필요하다는 말과 같다. 따라서 업계 일부에서는 과연 NAC가 약속한 것과 같이 기업 네트워크, 보안 담당자들의 업무를 줄이면서도 통합된 보안 기능을 제공할 수 있을 것인가에 대한 의문을 표시하고 있다.
하지만 이같은 수많은 문제점에도 불구하고 내년 시장에 대한 업체들의 기대감이 높은 이유는 기존의 보안 솔루션이 제공하지 못했던 엔드포인트에 대한 보안 강화를 NAC을 통해 해결할 수 있다는 점에 있으며, 이같은 문제들은 시간이 해결해 줄 수 있을 것이라는 생각 때문이다. 이미 많은 업체들이 시스코의 CNAC, 마이크로소프트의 NAP, TCG의 TNC에 동시에 가입된 상태이며, 마이크로소프트도 TCG/TNC 표준에 의거하겠다는 약속, 향후 시스코가 CNAC을 공개할 것이라는 기대감 등을 통해 여러 가지 문제가 다소 해결될 수 있을 것으로 보고 있다.