금융회사 Endpoint 보안(NAC)

NAC

Endpoint 보안의 네 번째는 NAC이다. Network Access Control의 약자로 네트워크에 접속하는 장치에 대해 접속 가능 여부를 확인하여 허용된 장치만 접속되도록 통제하는 솔루션이다.

인가되지 않은 IP를 마음대로 사용하여 개인 단말을 회사 내부망에 연결할 수 있다면, 큰 보안 홀이 될 것이다. 만약 랜섬웨어에 감염된 PC를 들고 와서 임의로 IP를 할당하고 내부망에 연결했다면 회사 전체가 난리가 날 것이다.

이러한 문제들을 사전에 예방하고 관리하기 위해 NAC을 사용한다. 먼저 업무용 PC에 IP를 셋팅하고 난 후 NAC agent를 설치한다. 관리자는 사전에 협의된 IP를 쓰는지 확인 후, 사용승인을 한다.

IP 관리뿐만 아니라 NAC은 여러 가지 기능도 갖고 있어 담당자 입장에선 유용하게 활용할 수 있다. 기본적인 PMS(Patch Management System) 기능도 가지고 있으며 조건을 걸어 파일을 배포하거나 네트워크를 통제할  수 있다. 

업무 PC는 다양한 이유로 프로그램이 설치가 안되거나 실행이 제대로 되지 않는 경우가 있다. 이런 경우엔 NAC을 통해 특정 보안 프로그램을 체크한 후 정상인 경우에만 네트워크를 허용하는 조건을 걸어 운영할 수 있다. 동시에 SSO연동을 통해 NAC로그인 시 사내 메신저, DRM 등 로그인이 필요한 소프트웨어를 자동 로그인되도록 환경을 구성할 수 있다. 

필자는 필수 보안 프로세스가 실행되어있지 않으면 비정상 실행/설치로 보고 백그라운드로 강제 재설치를 수행한다. 대부분의 보안 프로세스는 자체 보호 기능이 있기 때문에 프로세스가 죽는다면 문제가 있는 것이다.

NAC이 장애 나면 사내 NW를 못쓰게 되나요?

NAC은 네트워크를 통제하는 시스템이기 때문에 장애 시엔 네트워크를 사용 가능하도록 해야 한다.

보안엔 취약할 수 있으나 통제가 회사의 비즈니스보다 앞서 나가면 안 된다. 이밖에도 업무 PC의 OS정보라던가, 설치된 프로그램 목록 등 다양한 기능이 있으니 제조사별 소개자료를 찾아보길 바란다.

증권사에서 NAC 장애로 업무 PC에서 주문업무를 처리하지 못한다면 회사의 영업적인 손실이 어마어마할 것이다.

슈퍼 DMZ로 NAC이 우회된대요.
그럼 랜섬웨어에 걸리지 않나요?

슈퍼 DMZ(TwinIP라고도 함)는 공유기만 있으면 NAC우회가 가능하다. 일반적으로 NAC은 IP와 MAC값을 체크해서 기존에 없던 IP나 MAC이 감지되면 탐지/차단하는 구성이다.

기존에 인가된 IP와 MAC값을 외부 공유기에 설정한 다음 슈퍼 DMZ 구성을 하게 되면, 외부 공유기에 연결되는 모든 PC는 인가된 PC처럼 내부망에 접속이 가능하다. 

다행히도 NAC에선 복제된 IP와 MAC을 탐지 가능하다. 주기적으로 arp request를 보내 두 개 이상의 응답이 오는 경우 의심하여 탐지한다.

슈퍼 DMZ까지 탐지/차단하는 금융회사는 아직까지 몇 곳 없다고 한다.

지금까지 설명한 Endpoint 보안장비 외에도 시장엔 많은 솔루션들이 나와있다. DLP, SOAR, EDR 등. 다양하고 지속적으로 나오고 있으나 모두 설치를 해야 하는지 고민을 해봐야 한다. 여러 솔루션들이 설치되면 PC는 느려지기도 하고 서로 충돌이 일어나는 등 관리 포인트가 늘어나기 때문에 무작정 도입하기보단 각 회사의 문화와 정보보안 컨셉에 맞는 보안솔루션을 도입해야 한다.