“BYOD 확산, NAC 중요성 더욱 높아져”

인증 강화해 차세대 기술로 발전 … 802.1x로 무선 인증 지원

2013년 07월 10일 (수) 18:47:36 김선애 기자  iyamm@datanet.co.kr

기업에게 BYOD는 양날의 검이다. 언제, 어디서나 네트워크에 연결될 수 있어 스마트워크 구축이 용이해 업무 생산성을 높이고, 비즈니스 민첩성도 확보할 수 있다. 직원들이 자신이 소유한 기기로 업무를 하기 때문에 단말 환경에 대한 만족도가 높아지며, 기업은 단말기 구입비용을 아낄 수 있다. 그러나 직원 소유의 기기는 기업이 강력하게 통제할 수 없어 심각한 보안홀이 될 수 있다. 직원은 자신의 기기를 회사가 제어하면서 모바일 기기에 담긴 사적인 정보를 볼 수 있다는 점을 우려한다. 기업은 기업 정보를 통제되지 않는 기기에서 다루는 것을 경계한다. 악성코드에 감염돼 있을지 모르는 기기가 회사 시스템에 접속해 어떤 문제를 일으킬지 모르기 때문이다. 박영철 포어사이트 상무는 “지능형 공격은 단말기의 취약성에서 시작해 긴 시간 동안 은밀하게 진행된다. 그래서 최근 기업에서는 사용할 수 있는 기기 리스트를 정해주는 ‘CYOD’를 채택하는 경우가 많다”며 “어떠한 형태이든 BYOD는 거스를 수 없는 대세로, 보안 취약성을 해결할 수 있는 방법이 시급하다”고 지적했다. BYOD 보안을 위해 모바일 기기에서 사적인 영역과 업무 영역을 구분해 업무영역만을 통제하는 방법이 다양하게 모색되고 있으며, 모바일 기기 관리(MDM), 모바일 애플리케이션 관리(MAM)가 유행하고 있다. 그러나 모바일 기기와 애플리케이션을 강력하게 통제한다고 해서 위협이 모두 사라지는 것은 아니다. 알려지지 않은 악성코드를 모바일 기기에 몰래 심어 MDM/MAM 솔루션이 알아차리지 못하게 기업 시스템으로 침투시킬 수 있다. 네트워크 접근제어(NAC)는 네트워크 사용부터 단말기 상태까지 검사해 보안 취약점을 개선하거나 문제가 되는 사용자와 기기를 차단하는 솔루션으로, BYOD 환경에서 중요성이 더욱 높아지고 있다.     ▲ BYOD 환경에서의 NAC BYOD 위해 유무선 통합 인증 체계 필요 BYOD에서 NAC가 필수 솔루션으로 인정받고 있지만, 모든 NAC 솔루션이 BYOD를 보호하는 것은 아니다. 기존의 NAC는 유선 네트워크에 연결된 단말기의 무결성을 검증했으며, 무선 네트워크 환경에서 사용하기에는 많은 제약이 있다. 그 중 하나가 인증 문제다. NAC는 단말기와 사용자에 대한 인증을 통해 네트워크에 접속하는 단말기 제어 정책을 적용하며, 유무선 표준 인증 기술인 802.1x가 가장 강력하다. 김계연 지니네트웍스 연구소장은 “유선 네트워크는 랜 케이블을 연결해 사용하며, 대부분의 직원들이 회사에서 관리하는 단말기를 이용해 정해진 장소에서 네트워크에 연결하기 때문에 ID/PW, MAC·IP 주소 인증만으로 가능했다. 그러나 BYOD에서는 직원의 단말기를 이용해 정해지지 않은 장소에서, 랜 케이블 없이 다양한 무선신호를 이용해 시스템에 접근하기 때문에 보다 강력한 인증 시스템인 802.1x가 필요하다”고 말했다. 이상준 유넷시스템 연구소장은 “BYOD 환경을 보호하기 위해 NAC를 도입한다면 유무선 네트워크 모든 환경에서 사용할 수 있는 인증 시스템이 필요하다. 대부분의 NAC 솔루션이 802.1x를 지원한다”며 그러나 “현재 기업에 구축된 네트워크 장비들이 모두 802.1x를 지원하는 것은 아니기 때문에 장비 교체에 대한 부담이 상당히 크다”고 말했다. ARP 기반 기술을 이용하는 NAC는 MAC과 IP 주소를 함께 비교해 기기인증을 수행한다. 단말기의 MAC 주소와 IP 주소를 등록해 두가지가 모두 맞는 단말기만 네트워크에 접근하도록 하는 방식이다. 그러나 MAC 기반 인증은 네트워크 세그먼트 별로 어플라이언스를 설치해야 해 네트워크 구성이 복잡해지고, MAC 주소 위변조가 쉬워 공격에 취약하다. 모바일 기기는 변동IP를 사용하기 때문에 BYOD에서 IP 기반 인증은 사용할 수 없다. 이상준 소장은 “인증을 위해서는 다양한 여러가지 방법을 사용해서 보안 취약성을 낮출 수 있다. 모바일 기기는 VPN을 이용해 접속하도록 하거나, 다중인증 방식을 적용해 사용자 인증을 강화하는 등의 방법도 제안할 수 있다”며 “기업 환경과 비즈니스 특성을 잘 파악해 자사에 맞는 인증 시스템을 도입해야 한다”고 강조했다.