인프라넷 에이전트/인프라넷 콘트롤러/넷스크린 방화벽으로 완벽 구현
1.사용자 접속제어 솔루션의 필요성
사용자 접속 제어 솔루션의 매력
사용자 접속 제어 솔루션의 가장 큰 매력은 첫번째, 네트워크에 접속하는 PC의 사용자가 올바른 사용자인지 먼저 인증(Authentication)을 하고, 두번째, 사용자가 사용하는 PC가 현재 보안위협에 적절히 방어할 수 있는 메카니즘(Anti-Virus, Patch 등)이 제대로 운용되고 있는지 확인하며, 세번째, 이렇게 인증된 결과에 따라 최종적으로 사내 접속할 수 있는 권한을 부여 또는 제한(Authorization)할 수 있기 때문에 '적절한 권한을 가진 사용자가 보안 검증이 된 안전한 PC로 사내 네트워크 자원에 접속할 수 있도록 제어 할 수 있게 되는 것'이다.
이러한 올바른 사용자가 바이러스/웜 그리고 악성코드에 안전하다고 검증된 PC로 우리 네트워크에 접속한다면, 본 PC가 어디서 사용했건, 어디에서 접속하건 IT관리자는 사내망 보호와 보안을 보다 손쉽게 관리 운용할 수 있게 되는 것이다.
사용자 접속 제어 솔루션은 아래 3가지 구성요소를 가지고 있다.
1. 사용자 PC 에이전트(Endpoint Agent)
2. 인증 및 접속 정책 관리 장비(Policy Controller)
3. 접속 정책 실행 장비(Policy Enforcer)
정책 관리 장비(Policy Controller)는 사용자의 인증 및 권한 그리고 모든 접속 정책에 대한 내용을 관리하고 있게 된다. 그리고 사용자 PC는 정책 관리 서버와 통신하며 사용자 PC의 정보(사용자 및 PC 정보)를 정책 관리 서버로 보내어 주게 되는데 이러한 일련의 통신이 이루어지기 위해선 특정 소프트웨어 Agent가 반드시 사용자 PC에 설치되어야 한다. 마지막으로 정책 관리 장비는 사용자 PC 인증과 검증 후 접속 정책 실행 장비(Policy Enforcer)로 해당 사용자의 접속 정책을 내려주어 접속 제어를 실행하게 된다(<그림 1> 참조).
사용자 접속 제어 솔루션의 적용성과 운용성
아무리 좋은 개념과 기능이라고 하더라도 얼마나 간편하게 우리 네트워크 환경에 적용하고 운용할 수 있는지에 대하여, 네트워크 접속 제어 솔루션이 지금까지 합격점을 받았는지 확인해볼 필요가 있을 것이다.
오늘날 제공되는 접속 제어 솔루션은 대부분 스위치와 라우터와 같은 네트워크 장비에서 접속의 허용 여부 (Policy Enforcer-접속 정책 실행 장비)를 결정하게 된다. 네트워크 장비에서 접속 제어 정책이 실행되게 됨으로써 사용자의 최초 네트워크 접속시에 사용자 보안 상태 확인을 한다는 점에서 보다 근원적인 접속 제어 솔루션이 될 수 있으리라 많이 기대를 했었다.
하지만 스위치와 라우터에서 이러한 접속 제어를 제공하기 위해선 극복해야할 많은 과제들이 있었다. 우선 현재 사용되고 있는 네트워크 접속 지점의 모든 네트워크 장비에 대하여 본 기능이 지원되는 Code Upgrade 또는 심지어 새 장비로의 변경이 불가피하다. 또한 앞에서 언급한 구성요소 중 사용자 PC에 설치되는 에이전트를 어떻게 손쉽고 효율적으로 사용자 PC에 설치할 것인지가 또하나의 큰 이슈가 된다. 현재로선 개별적으로 사용자 PC에 설치해야하는 부분이 큰 부담이 될 수 밖에 없을 것이다. 그리고 보안 장비가 아닌 네트워크 장비에서 보안 정책을 적용하고 실행하는 부분에 있어 네트워크 장비의 부하 증가와 함께 효율적인 정책 실행에 한계점이 있을 수 밖에 없다.
이에 대하여 최근에 주니퍼 네트웍스에서 발표된 사용자 접속 제어 솔루션인 UAC(Unified Access Control:통합 접근 제어)는 현재 제공되는 솔루션의 한계점을 뛰어 넘은 솔루션이라 할 수 있다.
주니퍼 UAC 구성요소는 <표 1>에서와 같이 3가지 구성요소로 사용자 접근 제어 솔루션을 제공한다. 첫번째는 사용자 PC에 설치되는 EI 에이전트(Enterprise Infranet Agent)와 인증 및 접속 정책 관리를 하는 인프라넷 콘트롤러(Infranet Controller), 그리고 인프라넷 콘트롤러에서 접속 정책을 다운로드 받아 정책을 실행하는 넷스크린 방화벽 3가지로 구성된다.
UAC는 어떻게 동작할까?
1. 사용자가 먼저 인프라넷 콘트롤러에 Web으로 접속을 하게 된다.
2. 사용자 ID/PW를 입력하여 먼저 사용자 인증을 받게 된다.
3. 사용자 인증이 되면, 인프라넷 에이전트(I.A.)를 자동적으로 다운로드 받게 된다.
4. 다운로드된 인프라넷 에이전트(I.A.)가 사용자 PC의 보안 상태 점검을 하게 된다. (Anti-virus, Patch Update 등등)
5. 인프라넷 콘트롤러에서 사용자 별 접속 권한 및 상태에 따라 정책이 결정된다.
6. 인프라넷 콘트롤러에서 결정된 정책은 인프라넷 에이전트와 넷스크린 방화벽에 하달(Push)되어 보안 정책이 실행되게 된다.
UAC는 뜻 그대로 통합 접근 제어 솔루션(Unified Access Control)이다. 별도의 네트워크 장비, 구성, 소프트웨어 변경 및 Upgrade 필요없이, 기존 주니퍼 보안 인프라(넷스크린 방화벽)을 그대로 활용하여 사용자 통합 접근 제어를 제공할 수 있는 것이다. 기존의 네트워크 인프라를 그대로 사용할 수 있을 뿐 아니라, 사용자 인증을 위하여 기존의 Radius, AD, 그리고 LDAP 등의 인증 서버와도 완전한 인증 연동을 제공하게 되며, 사용자의 PC에 설치되어 사용자 PC의 보안 상태 점검을 해주는 Agent또한 수동이 아닌 자동적으로 설치되도록 되어 있다. 따라서 운용성과 적용성이 매우 뛰어 나다고 할 수 있다.
사용자 접속 제어 솔루션을 어디에 어떻게 사용할까?
1. 기업 데이터 센터 보호- 기업 데이터 센터로의 접속을 사용자의 권한과 보안 상태에 따라 접속권한을 다르게 부여하고자 할 것이다. 모바일 사용자의 급증으로 사용자 PC의 관리 상태를 항시 사내 환경 사용자 수준으로 유지하도록 관리하는 것이 쉽지 않다. 이러한 모바일 사용자의 데이터 센터 접속시에도 사용자 PC의 보안상태 점검을 통하여 접속을 허용할 수 있을 것이다.
2. 대학 - 단대별 운용되는 서비스들과 전체적으로 사용되는 서비스에 대하여 해당 사용자의 권한에 따라 차등 서비스를 제공할 수 있다. 예를 들어 공과대학의 연구 공유 서비스 서버와 학사 일정 서비스 등을 단일 서버팜에 관리 운용하면서 사용자 인증을 통하여 일반 학생은 공과 대학 연구 공유 서비스 서버에 접속하지 못하도록 서버팜 접속을 차단할 수 있을 것이다. 또한 서버팜 접속시에도 언제 누가 인증 받았는지, 그리고 접속하였는지에 대한 모든 기록을 확인할 수 있다.
3. 사내망 보호 - 사내망의 경우 사용자 접속 제어를 전체적으로 구현하기에는 어려움이 있을 수 있다. 하지만 특정 사용자 그룹, 즉 연구 개발실 등이 사용하는 네트워크단에 넷스크린 방화벽을 두어 해당 연구 개발실 다른 PC 또는 서버로의 접속시 사용자 인증을 통하여 네트워크 접속이 될 수 있도록 적용할 수 있을 것이다.
2. 표준 기반의 차세대 사용자 접속 제어
사용자 접속제어 솔루션은 아래의 3가지 구성요소를 가지고 있다.
1.사용자 PC 에이전트(Endpoint Agent)
2.인증 및 접속 정책 관리 장비(Policy Controller)
3.접속 정책 실행 장비(Policy Enforcer)
사용자 접속 제어 솔루션은 위의 3가지 구성요소가 아래와 같이 유기적으로 정보를 교환하고, 인증하며, 실행해야 한다
① ( PC를 사용하는 사용자와 PC 보안 상태에 대한 정보를 PC 에이전트가 수집.
② ( 인증 및 접속 정책 관리 장비로 보내어 인증을 받고, 이렇게 인증을 받은 PC와 사용자에 대한 접속 정책을 해당 접속 정책 실행 장비로 전달.
③ ( 접속 정책 실행장비는 이렇게 내려받은 정책을 기반으로 해당 PC에 대한 접속 제한을 실행.
이러한 '유기적인 연동'을 위하여 네트워크 벤더들은 개별적으로 사용자 PC에이전트와 정책 관리 장비를 개발하고, 이를 네트워크 또는 보안 장비와의 연동 프로토콜을 개발하여, 이를 2004년부터 시장에 출시하기 시작하였다.
하지만 개별적으로 개발되다 보니 제조사간에 연동은 지원되지 못하고 있다. 즉 A사에서 만든 사용자 PC에이전트가 B사의 네트워크 스위치와 연동되지 못하며, C사의 접속 정책 관리 장비로부터 정책을 내려받아 실행할 수 없게 된다.
이는 결국 고객이 여러 개의 제조사 네트워크 장비를 사용하는 환경 하에서는 네트워크 기반 사용자 접속 제어 솔루션을 도입할 수 없게 된다. 따라서 고객의 환경을 만족시키면서 접속 제어 솔루션을 도입하기 위해선 표준 기반의 연동 메카니즘이 반드시 필요하게 되는 것이다.
그럼 과연 누가 표준을 만들까?
고객의 환경이 단일 제조사로 되어 있지 않기 때문에, 비영리 조직인 TCG (www.trustedcomputinggroup.org)에선 '다양한 플랫폼간의 신뢰성 있는 컴퓨팅 블럭과 소프트웨어 인터페이스를 위하여 공개적(Open)이고, 제조사 독립적이며, 업계 표준 사양을 개발하고 지향한다'는 미션으로 2004년부터 본격적으로 표준 아키텍쳐를 개발하기 시작하였고, 지금까지 1.1버전까지 Upgrade된 표준지향 아키텍쳐를 제시하기에 이르렀다.
TCG는 현재 Intel, IBM, HP, Microsoft, SUN, Juniper, 삼성 등 시스코를 제외한 135개의 회원사가 가입되어 있고, 현재 TCG하의 8개의 Working Group에서 활발하게 활동하고 있다.
8개의 Working Group중 우리가 주목하는 Working Group은 바로 TNC (Trusted Network Connect: 신뢰성 있는 네트워크 연결) 그룹과 TPM (Trusted Platform Module:신뢰성 있는 플랫폼 모듈) 그룹 2개이다.
TNC는 TCG산하 워킹그룹으로, 바로 네트워크 기반 사용자 접속 제어 솔루션 (NAC¹): Network Access Control)에 대한 표준 연동 아키텍쳐를 개발하고 제공하는 그룹으로, 현재 주니퍼 네트웍스의 Steve Hanna가 공동 의장으로 본 표준화 작업을 이끌고 있다. 그리고 PC에 대한 보안과 인증을 기존에 소프트웨어적인 방법에 의존하였다면, TPM은 하드웨어 칩을 PC에 삽입하여 인증과 보안을 제공하려 한다.
어떻게 사용자 접속 제어 솔루션을 도입해야 하나?
그럼 TNC에서 표준 아키텍처가 다 완료되고, 모든 네트워크 제조사가 지원할 때 까지 기다려야 한다면 네트워크 기반 사용자 접속 제어 솔루션은 하나의 마케팅 솔루션에 불과할 것이다. 그렇다고 마냥 표준이 확정되고 모든 장비에서 해당 표준을 지원할 때까지 기다리기엔 네트워크 접속 제어 솔루션이 제공할 수 있는 보안 혜택에 대한 희생이 클 것이다.
따라서 고객은 현재 시점에서 네트워크 기반 사용자 접속 제어 솔루션에 대한 검토를 함에 있어, 아래의 사항을 고려해야 할 것이다.
1. 표준 연동: 표준을 주도하고 있는 TNC의 공개 기반 아키텍쳐를 지원하거나, 호환성을 보장하는지, 또는 향후 TNC 아키텍쳐에 따라 호환성 제공 로드멥을 가지고 있는지에 대한 확인이 필요할 것이다.
이 부분은 결국 고객의 기 사용중인 네트워크 및 보안 장비와 연동하여 사용자 접속제어를 제공할 수 있는냐의 핵심이라 할 수 있다.
2. 관리성: 사용자 접속제어 솔루션 적용에 있어 가장 관심은 바로 사용자 PC에 설치되는 에이전터(Agent)를 얼마나 손쉽고 자동적으로 설치될 수 있느냐에 있을 수 있을 것이다. 따라서 에이전트를 자동적으로 설치 또는 설치 유도하게 하여 적용 및 운용성 면에서 사용자의 부담을 줄여 줄 수 있는지 확인해야 할 것이다.
3. 확장성: 향후 사용자 증대에 따른 사용자 접속 제어의 확장성이 보장되지 않는다면 이는 고려될 수 없는 솔루션일 것이다. 고객 환경 변화에 맞게 설계되고 적용될 수 있는, 즉 확장성이 용이한 솔루션인지도 중요한 검토 포인트가 될 것이다.