네트워크 액세스 제어의 정의

네트워크 액세스 제어의 장점

네트워크 액세스 제어의 한 가지 장점은 사용자가 다단계 인증을 통해 인증을 받아야 한다는 점이며, 이러한 다단계 인증 방식은 IP 주소 또는 사용자 이름과 비밀번호의 조합을 바탕으로 사용자를 인식하는 방식에 비해 훨씬 안전합니다.

또한, 안전한 네트워크 액세스 제어는 사용자가 액세스 권한을 획득한 후에도 네트워크의 개별 부분에 대한 추가적인 보호 수준을 제공하므로 애플리케이션 보안까지 확보할 수 있습니다. 일부 네트워크 액세스 제어에는 암호화, 향상된 네트워크 가시성 등 호환되는 보안 제어가 포함될 수 있습니다.

일반적인 네트워크 액세스 제어 사용 사례

조직의 보안 정책에서 다음과 같은 상황을 허용한다면 기업 보안을 위해 네트워크 액세스 제어를 신중하게 고려해야 합니다.

• BYOD(Bring Your Own Device): 직원이 자신의 기기를 사용하거나 회사 기기를 집으로 가져가도록 허용하는 조직에서는 방화벽 이상의 네트워크 보안 방안을 고려할 필요가 있습니다. 이러한 각 기기에는 사이버 범죄자가 전통적인 보안 제어를 우회하도록 허용하는 취약점이 내포될 수 있습니다.
• 직원이 아닌 사용자의 네트워크 액세스: 일부 조직에서는 조직 외부에 있어 동일한 보안 제어의 대상이 아닌 인원이나 기기에 액세스 권한을 부여해야 합니다. 벤더, 방문자, 협력업체 등이 간혹 기업 네트워크에 액세스해야 하는 경우가 발생하지만, 이들이 매일 네트워크의 모든 부분에 액세스해야 하는 것은 아닙니다.
• IoT 기기의 사용: 사물 인터넷의 영향으로 인해, 기존 보안 제어의 영향을 받고, 기업의 물리적인 건물 외부에 상주하는 경우가 많지만 여전히 기업 네트워크에 연결되는 있는 기기가 급격하게 확산되었습니다. 사이버 범죄자는 적절한 네트워크 액세스 제어 없이 네트워크의 중심으로 침투할 수 있는 경로를 찾기 위해 이처럼 감시망 외부에 놓인 기기를 손쉽게 공격할 수 있습니다. 네트워크 액세스 제어는 엣지 보안 솔루션의 중요한 부분입니다.

네트워크 액세스 제어의 기능

네트워크 액세스 제어의 중요한 기능 중 하나는 네트워크 액세스를 특정 사용자와 네트워크의 특정 영역으로 제한하는 것입니다. 따라서, 방문자가 기업 네트워크에는 연결할 수 있지만 내부 리소스에는 접근할 수 없게 됩니다. 이러한 유형의 보안 제어를 갖추고 있었다면 Target에서는 해커가 타사 벤더의 네트워크 액세스 권한을 획득하여 벤더가 네트워크에 액세스했을 때 자사를 공격했던 2013년의 공격을 방지할 수 있었을 것입니다.

또한 네트워크 액세스 제어는 직원의 무단 데이터 액세스를 방지할 수 있습니다. 이러한 방식을 사용할 경우, 직무상 민감한 고객 데이터를 사용할 이유가 없고 액세스 권한이 없는 직원에게 기업 인트라넷 액세스 권한을 부여하면서도 앞서 언급한 고객 데이터에는 액세스할 수 없도록 제어할 수 있습니다.

네트워크 액세스 제어는 사용자 액세스 제한뿐 아니라 기업 보안 정책을 준수하지 않는 엔드포인트 기기의 액세스도 차단합니다. 그러면 조직 외부에서 비롯된 기기의 바이러스가 네트워크에 진입할 수 없도록 할 수 있습니다. 회사 업무에 사용되는 모든 직원 기기는 네트워크에 액세스하기 전에 반드시 기업 보안 정책을 준수해야 합니다.

네트워크 액세스 제어의 중요성

네트워크 액세스 제어가 모든 조직에 효과적인 것은 아니며, 기존 보안 제어 중에는 이와 호환되지 않는 경우도 있습니다. 그러나, 네트워크 액세스 제어를 적절하게 구현할 시간과 인력을 갖춘 조직이라면 중요하거나 민감한 자산에 훨씬 강력하고 종합적인 보호 계층을 제공할 수 있습니다.

데이터 센터의 일부로 가상 머신을 사용하는 IT 부서는 네트워크 액세스 제어로 혜택을 볼 수 있지만, 이는 다른 보안 제어 기능에 대해서도 경계를 늦추지 않을 경우에만 가능합니다. 가상 서버가 데이터 센터 내에서 계속 이동하고 동적 가상 LAN(Local Area Network)이 서버의 이동에 따라 변경이 가능하기 때문에 가상화는 NAC에 특별한 과제를 안기게 됩니다. 가상 머신을 위한 네트워크 액세스 제어로 인해 의도치 않은 보안의 구멍이 생길 수 있을 뿐 아니라 조직이 데이터 감사 제어 표준을 준수하기도 어려워질 수도 있습니다. 이는 기존의 보안 방식이 IP 주소를 통해 엔드포인트의 위치를 파악하기 때문입니다. 가상 머신은 동적이며 위치가 바뀌므로 그만큼 보안이 더 까다롭습니다.

또한, 가상 머신은 매우 쉽고 빠르게 장비할 수 있으므로, 관련 경험이 많지 않은 IT 관리자가 적절한 네트워크 액세스 제어를 모두 갖추지 않은 상태라 할 지라도 가상 머신을 시작할 수 있습니다. 하지만 가상 머신이 미사용 상태에서 복원될 경우 다른 취약점이 발생합니다. 서버가 미사용 상태일 때 새로운 패치가 나타나면 머신이 재배포되기 전까지 해당 패치가 적용되지 않을 수 있습니다. 애플리케이션 수준에 이르기까지 네트워크상의 모든 요소를 안전하게 유지하기 위해 애플리케이션 보안을 네트워크 보안 제어에 추가하는 조직의 수가 점점 늘어나고 있습니다.

네트워크 액세스 제어의 유형

네트워크 액세스 제어에는 두 가지 기본 유형이 있습니다. 두 가지 유형 모두 다음과 같은 네트워크 보안의 중요한 측면을 담당합니다.

• 사전 승인: 첫 번째 유형의 네트워크 액세스 제어는 사전 승인이라 하며, 이는 네트워크에 대한 액세스 권한이 부여되기 이전에 사용자 또는 엔드포인트 기기에서 네트워크 액세스 요청을 시작할 때 발생하기 때문입니다. 사전 승인 네트워크 제어는 액세스 시도를 평가하고 요청하는 기기 또는 사용자가 기업 보안 정책을 준수하고 네트워크 액세스에 대한 승인을 받았다는 사실을 입증하는 경우에만 연결을 허용합니다.
• 사후 승인: 사후 승인 네트워크 액세스 제어는 사용자 또는 기기가 네트워크의 다른 부분에 연결하려고 시도할 경우 네트워크 내에서 이루어집니다. 사전 승인 네트워크 액세스 제어에 실패하면 사후 승인 네트워크 액세스 제어로 네트워크 내의 수평 이동을 제한하여 사이버 공격으로 인한 피해를 줄일 수 있습니다. 사용자 또는 기기는 네트워크의 다른 부분으로 이동하려는 요청이 있을 때마다 다시 승인을 받아야 합니다.