네트워크 액세스 제어(NAC): 디바이스를 통한 네트워크 보호
네트워크에 액세스해야 하는 사람은 누구일까요? 어떤 디바이스를 허용하고, 언제 침입자를 걱정해야 할까요? 이러한 질문에 해답을 제시할 수 있는 것이 바로 NAC(Network Access Control, 네트워크 액세스 제어) 프로그램입니다.
네트워크 액세스는 단순한 정책 설정이 아닙니다. NAC 소프트웨어는 생성된 규칙을 배포할 수 있습니다. 또한 알지 못하는 문제(무방비 상태의 라우터 등)를 해결하는 데도 유용합니다. 그 밖에 보고서를 작성하여 서버의 안전을 위해 최선을 다하고 있다는 사실을 입증할 수도 있습니다.
NAC 기능
수많은 기업들이 NAC 시장에서 경쟁하고 있습니다. 2014년에 전문가들은 시장 가치를 약 5억 5,100만 달러로 평가했습니다. 물론 제품마다 차이가 있겠지만 주요 기능은 크게 다르지 않습니다.
대부분의 NAC 소프트웨어 솔루션이 제공하는 기능은 다음과 같습니다.
- 통합. NAC는 대규모의 추가 프로그래밍 없이 소프트웨어 솔루션 세트에 통합됩니다.
- 해결. 문제를 관리할 사람이 현장에 없더라도 사고 대응 모듈이 긴급한 위험을 해결합니다.
- 모니터링. 사용자 수준과 시스템 수준에서 보안 검사를 실행하여 모든 기능이 정상적으로 실행되고 있는지 확인합니다.
- 관리. 시스템이 디바이스나 운영 체제에 상관없이 알려진 사용자와 게스트를 처리합니다.
NAC 솔루션이 강력한 것은 사실이지만 어느 정도의 자동화는 필요합니다. 따라서 규칙과 규정으로 시스템을 프로그래밍하여 사용자에게 보고하는 동안 작업을 수행하도록 설정해야 합니다.
NAC는 어떻게 운영되나요?
Gartner는 NAC를 두고 디바이스와 사용자를 통해 액세스를 제어할 수 있는 솔루션이라고 정의했습니다. 정책을 설정하는 것은 관리자의 몫이지만 이것을 실행하는 것은 소프트웨어입니다. 기업들은 이러한 작업을 다양한 방식으로 처리하고 있습니다.
NAC 공급업체는 다음 작업에 관한 결정을 내립니다.
- 검사. 사용자에게 네트워크 액세스를 허용하기 전에 소프트웨어로 사용자를 확인할 것인가? 아니면 소프트웨어로 사용자의 네트워크 활동을 감시하여 필요에 따라 액세스 권한을 철회할 것인가?
- 자동화. 소프트웨어에 스캔 기능을 탑재할 것인가? 아니면 트래픽 패턴을 감시하도록 기존 시스템에 통합할 것인가?
- 보고. 소프트웨어에서 기존 인프라를 재사용할 것인가? 아니면 트래픽을 처리하고 사용자에게 알리는 데 필요한 모든 기능을 포함시킬 것인가?
NAC 시스템 중에는 독립적으로 실행이 가능하여 프로그래밍을 통해 원하는 대로 사용할 수 있는 제품도 있습니다. 이와는 달리, 기존에 설치된 구조와 시스템을 이용할 수 있을 때만 작동하여 통합이 필요한 제품도 있습니다.
두 옵션마다 장단점이 있습니다. 예를 들어 구형 프로토콜을 사용해 작은 회사를 운영하는 경우에는 독립적으로 실행되는 새 소프트웨어를 사용해 새롭게 시작하고 싶을 것입니다. 하지만 소프트웨어에 이미 엄청난 예산을 투자했다면 통합하는 편이 낫습니다.
누가 NAC를 사용하는가?
사용자가 있는 기업이라면 누구나 NAC 소프트웨어를 이용할 수 있습니다. 이 툴을 사용하면 적합한 권한을 가진 사용자에게만 액세스를 허용하고 위협 행위자를 차단할 수 있습니다.
하지만 NAC 솔루션에 지나치게 의존하는 산업들도 있습니다. 여기에 속하는 기업들의 특성은 다음과 같습니다.
- 원격 근무자. 전체 미국 인구 중 약 1/4이 올해 재택근무에 돌입할 것으로 예상됩니다. 이들은 기업 소유의 디바이스 외에 개인용 디바이스까지 사용합니다. NAC는 관리 복잡성을 줄여 이러한 디바이스까지 사용할 수 있도록 지원합니다.
- 엄격한 규제 환경. 느슨한 액세스 제어는 결국 위협 행위자의 침입을 허용하고 맙니다. 금융 분야의 기업을 포함해 일부 업계에서는 이러한 침입이 발생할 경우 엄청난 벌금을 물게 됩니다. 이때 컴플라이언스를 입증하려면 NAC가 필요할 수 있습니다.
- 사물 인터넷(IoT) 디바이스. 혈압 측정기나 혈당 측정기와 같은 의료 부대용품을 포함한 커넥티드 디바이스는 서버에 거의 끊임없이 액세스해야 합니다. NAC를 사용하면 이러한 액세스를 보다 쉽게 관리할 수 있습니다.
- 직원 수가 적은 기업. NAC 솔루션이 없는 기업은 모든 요청을 직접 관리해야 합니다. 직원 수가 적은 기업이라면 이러한 관리 작업이 버겁게 느껴질 것입니다.
적합한 NAC 공급업체 선택
NAC 소프트웨어 솔루션 공급업체 중에는 우수한 성능으로 정평이 나 있는 기업들이 많이 있습니다.
- 그렇다면 어떤 기업을 선택해야 할까요? 기업을 선택할 때는 다음과 같은 문제를 고려해야 합니다.
- 지원: 소프트웨어를 설치하여 실행하려면 지원이 얼마나 필요한가? 전문 기술자가 직접 현장을 방문하여 지원해야 하는가, 아니면 모바일 지원을 선호하는가?
- 통합: 선택하려는 툴이 현재 사용 중인 소프트웨어 솔루션과 원활하게 호환되는가? 앞으로 추가하려는 옵션들에 적합한가?
- 컴플라이언스: 선택하려는 툴이 규제 환경에 필요한 보고서를 제공하는가? 충실한 컴플라이언스를 입증하는 데 필요한 옵션을 모두 제공하는가?
참고 자료
Network Access Control Market Size. (2016년 2월). Grand View Research.
Network Access Control (NAC). Gartner.
1 in 4 Americans Will Be Working Remotely in 2021, Upwork Survey Reveals. (2021년 2월). CNBC.
Connected Medical Devices, Apps: Are They Leading the IoT Revolution or Vice Versa? (2014년 6월). Wired.