BLOGS

[Security Insight #5] NAC를 이용한 안전한 학교 네트워크 환경 구축

    안녕하세요!
    Security Insight를 포스팅 하고 있는 컨설팅팀 팀장 이재열입니다.
    이번 포스팅 내용은 “NAC를 이용한 안전한 학교 네트워크 환경 구축”에 관한 내용입니다.

    2015년을 따듯하게 마무리하고 2016년을 활기차게 시작하기 위한 보안업체들의 움직임이 부산히 이루어지고 있습니다. 보안시장에서 큰 부분을 차지하고 있는 공공부분 중에서도 교육 부분이 가장 뜨겁다고 할 수 있습니다.

    영업적으로 보면 프로젝트를 수주하고 경쟁에서 이겨야 살아남지만, 영업을 떠나 제가 지원하고 있는 제품이 진짜 시장에서 필요한 제품인지 고민을 해 볼 필요가 있었습니다.
    “과연 NAC는 교육 부분, 그 중에서도 영업적으로 가장 큰 부분을 차지하고 있는 학교에서 어떤 도움을 줄 수 있을까? 어떻게 하면 잘 활용 할 수 있을까?”

    위의 물음에 대한 해답을 찾기 위해 학교의 보안 문제점이 무엇이고, 발견된 문제점을 NAC로 어떻게 해결할 수 있는지에 대하여 크게 네 가지로 나누어 살펴보았습니다.

    보안 관점에서 보면 첫 번째로 학교에서 가장 시급하게 적용해야 하는 부분이 IP관리 및 IP실명제입니다.
    전국의 교육청마다 상황의 차이가 있겠지만, 다수의 학교에서 체계적인 IP관리 체계를 수립해서 사용하고 있지 않습니다. 체계적인 IP 관리 체계의 부재로 인하여, 학교간의 중복 IP 사용 등의 문제가 발생하고, 인터넷 사용 시 NAT(Network Address Translation)를 학교에서 수행해야 하기 때문에 유해트래픽을 발생하는 단말이나, 보안 문제를 발생시키는 장비에 대한 정확한 추적이 어려운 상황입니다.
    TMS(Threat Management System, 위험관리시스템)나 ESM(Enterprise Security Management, 통합보안관리 시스템)에서 보안 문제를 발생시킨 단말의 IP를 확인해도, 이는 NAT된 IP이기 때문에 어느 학교인지는 알수있어도 어떤 단말인지는 확인 할 수 없습니다. 이런 IP 관리 체계의 부재를 해결하려면 1차적으로 시,도 교육청 단위의 IP 사용(할당) 정책이 필요하고, 이를 강제화 할 수 있는 솔루션이 필요합니다. 이러한 상황에서 NAC의 IP관리 기능을 이용하면 할당된 IP의 사용을 강제화 할 수 있고, 나아가서 사용자 인증을 통한 IP 실명제를 구현 할 수 있습니다.
    여기서 고려해야 할 부분이 학교라는 특수한 상황입니다. 학교는 보안도 중요하지만 보안보다 더 중요한 점이 서비스 연속성입니다. IP 관리 시스템의 장애가 학교의 수업이나 업무에 방해가 되지 않도록 해야 합니다. 이런 관점에서 보면 인라인 장비에서 IP관리를 하기 보다는 가상 인라인 방식으로 동작하는 NAC가 학교 환경에는 더 적합한 IP관리 솔루션이라 판단이 됩니다.

    두 번째 해결해야 하는 부분은 학교에서 운영하는 망(Network) 간의 접근 제어입니다.
    학교에도 성격이 다른 여러 망(Network, 네트워크)들이 존재하는데, 대표적으로 선생님, 교직원들이 사용하는 업무망, 학생들이 주로 사용하고 실습실 PC들이 연결되어 있는 학생망, 그리고 스마트 스쿨을 위한 무선망으로 구분할 수 있습니다.
    성격이 다른 망 간의 접근을 제어할 수 있는 보안 제품이 없기 때문에, 보안이 취약한 학생망 또는 무선망에서 업무망으로 접근이 가능합니다. 학생망의 경우 악성코드, 멜웨어 등에 감염된 단말들이 존재할 가능성이 많기 때문에, 보안에 취약한 학생망을 이용한 업무망 접근으로 학교의 주요 정보 자산이 유출될 가능성이 존재할 수 있습니다. 그리고 망 간에 이동되는 단말에 대한 통제가 이루어지지 않기 때문에, 학생망에 사용하던 단말을 업무망으로 이동해서 사용할 수도 있습니다. 이런 경우 이동된 단말에 멜웨어 등의 악성코드가 있으면 업무망 전체 단말이 위험해 질 수도 있습니다.
    위와같은 상황에서 NAC의 접근 통제 기능을 이용한다면 망 간의 접근 통제도 할 수 있고, 망 간의 단말 혼용 방지도 할 수 있습니다. 그리고 하나의 망에서라도 악성코드에 감염된 단말이 발생하면 해당 단말을 격리하여 망 전체에 위험이 확산되지 않게 통제 할 수 있습니다.

    세 번째 적용해야 할 부분은 단말 무결성의 확보입니다.
    학교에도 보안에 필요한 여러 보안 솔루션 및 Agent들을 도입해서 운영하고 있습니다. 보안 시스템들이 다수 존재하지만 내부보안 정책의 미비 및 프로세스 상의 문제로 100% 활용하지 못 하고 있는게 현실입니다. 이러한 상황에 NAC를 적용한다면 기존에 도입해서 사용하고 있거나 추가적으로 도입할 예정인 각종 보안 솔루션 및 Agent들의 활용성을 높일 수 있습니다. 또한 필수 소프트웨어 및 불법 소프트웨어의 설치 유무를 추적하여 학교 환경에 맞는 적절한 통제 절차를 구현 할 수 있습니다. 학교라는 특성을 고려하여 본연의 업무인 교육에 지장이 없도록 강제적인 통제(네트워크 차단 등)가 아닌 사용자들이 스스로 협조할 수 있는 부드러운 통제(주기적인 메세지 등)가 필요하다고 생각됩니다.

    네 번째 타 보안시스템과의 연동을 이용한 운영 효율성 향상입니다.
    교육청에는 보안사고 예방 및 추적을 위한 다양한 관제 시스템을 운영하고 있습니다. 기존에는 IP관리 및 IP실명제의 미비로 보안사고 발생 시 문제 단말을 추적하기 힘들었고, 정확한 단말을 찾는다 하더라도 자동으로 통제하기가 어려웠습니다. 이와같은 상황에 NAC와 보안관제 시스템과의 연동을 한다면, 문제 단말을 빠르고 정확하게 추적할 수 있고, 나아가서 보안사고가 확산되지 않도록 단말에 대한 알람, 격리 조치 등을 자동으로 수행할 수 있습니다. 그리고 NAC에서 만들어지는 내부보안에 대한 다양한 이벤트 등을 활용한다면, 관제 시스템에서 보안위협에 대한 정확하고 신속한 정보를 찾을 수 있다고 생각합니다.

    그림2
    <그림> NAC를 이용한 내부보안 프로세스 확립

    하나의 보안 시스템 도입으로 모든 문제를 해결 할 수는 없습니다. NAC의 도입으로 학교의 모든 보안 문제점을 해결 할 수는 없지만, 학교의 안전한 네트워크 환경 만들기를 위한 중요한 첫 걸음이 될 것이라 생각합니다.

    GENIANS

    GENIANS

    지니언스는 BYOD, IoT 시대 안전한 내부 네트워크 운영을 위한
    글로벌 보안 소프트웨어 전문기업입니다.
    고객의 소중한 정보 자산을 보호하고 IT인프라의 효율성을 높이는데 필요한
    핵심기술을 바탕으로 내부 보안관리의 어려움을 겪는 기업을 돕고자 합니다.
    고객이 필요한 기술, 그 가장 가까운 곳에 지니언스가 있습니다.