네트워크 액세스 제어
네트워크 액세스 제어의 정의
네트워크 액세스 제어란 미승인 사용자와 기기가 프라이빗 네트워크에 연결하지 못하도록 수행하는 조치를 말합니다. 조직 외부의 특정 기기 또는 사용자에게 일시적인 네트워크 액세스 권한을 부여하는 조직에서는 네트워크 액세스 제어를 사용하여 해당 기기가 기업의 보안 규정 준수 규제를 따르도록 할 수 있습니다.
기업 소유가 아니면서도 기업 네트워크에 액세스할 수 있도록 허가된 기기가 점차 많아지면서 비즈니스에서는 액세스 허용 대상을 비롯한 네트워크 보안에 대해 특별한 주의가 필요하게 되었습니다. 네트워크 보안은 승인된 사용자와 기기만 액세스 권한을 보유하고, 해당 기기에 유해한 요소가 없으며, 기기 사용자의 본인 여부를 확인함으로써 네트워크의 기능을 보호합니다.
네트워크 액세스 제어(NAC)는 네트워크 보안의 양상 중 하나입니다. 다양한 NAC 도구가 출시되어 있으며, 네트워크 액세스 서버에서 기능이 실행되는 경우가 많습니다. 효과적인 네트워크 액세스 제어는 승인되었으며 보안 정책을 준수하는 기기로 액세스를 제한하므로, 필수 보안 패치와 침입 방지 소프트웨어를 모두 확보할 수 있습니다. 네트워크 운영자는 엔드포인트 보안 요구 사항을 준수하고 네트워크 액세스를 허용할 기기 또는 애플리케이션을 판단하도록 보안 정책을 정의합니다.
네트워크 액세스 제어의 장점
네트워크 액세스 제어의 한 가지 장점은 사용자가 다단계 인증을 통해 인증을 받아야 한다는 점이며, 이러한 다단계 인증 방식은 IP 주소 또는 사용자 이름과 비밀번호의 조합을 바탕으로 사용자를 인식하는 방식에 비해 훨씬 안전합니다.
또한, 안전한 네트워크 액세스 제어는 사용자가 액세스 권한을 획득한 후에도 네트워크의 개별 부분에 대한 추가적인 보호 수준을 제공하므로 애플리케이션 보안까지 확보할 수 있습니다. 일부 네트워크 액세스 제어에는 암호화, 향상된 네트워크 가시성 등 호환되는 보안 제어가 포함될 수 있습니다.
일반적인 네트워크 액세스 제어 사용 사례
조직의 보안 정책에서 다음과 같은 상황을 허용한다면 기업 보안을 위해 네트워크 액세스 제어를 신중하게 고려해야 합니다.
- BYOD(Bring Your Own Device): 직원이 자신의 기기를 사용하거나 회사 기기를 집으로 가져가도록 허용하는 조직에서는 방화벽 이상의 네트워크 보안 방안을 고려할 필요가 있습니다. 이러한 각 기기에는 사이버 범죄자가 전통적인 보안 제어를 우회하도록 허용하는 취약점이 내포될 수 있습니다.
- 직원이 아닌 사용자의 네트워크 액세스: 일부 조직에서는 조직 외부에 있어 동일한 보안 제어의 대상이 아닌 인원이나 기기에 액세스 권한을 부여해야 합니다. 벤더, 방문자, 협력업체 등이 간혹 기업 네트워크에 액세스해야 하는 경우가 발생하지만, 이들이 매일 네트워크의 모든 부분에 액세스해야 하는 것은 아닙니다.
- IoT 기기의 사용: 사물 인터넷의 영향으로 인해, 기존 보안 제어의 영향을 받고, 기업의 물리적인 건물 외부에 상주하는 경우가 많지만 여전히 기업 네트워크에 연결되는 있는 기기가 급격하게 확산되었습니다. 사이버 범죄자는 적절한 네트워크 액세스 제어 없이 네트워크의 중심으로 침투할 수 있는 경로를 찾기 위해 이처럼 감시망 외부에 놓인 기기를 손쉽게 공격할 수 있습니다. 네트워크 액세스 제어는 엣지 보안 솔루션의 중요한 부분입니다.
네트워크 액세스 제어의 기능
네트워크 액세스 제어의 중요한 기능 중 하나는 네트워크 액세스를 특정 사용자와 네트워크의 특정 영역으로 제한하는 것입니다. 따라서, 방문자가 기업 네트워크에는 연결할 수 있지만 내부 리소스에는 접근할 수 없게 됩니다. 이러한 유형의 보안 제어를 갖추고 있었다면 Target에서는 해커가 타사 벤더의 네트워크 액세스 권한을 획득하여 벤더가 네트워크에 액세스했을 때 자사를 공격했던 2013년의 공격을 방지할 수 있었을 것입니다.
또한 네트워크 액세스 제어는 직원의 무단 데이터 액세스를 방지할 수 있습니다. 이러한 방식을 사용할 경우, 직무상 민감한 고객 데이터를 사용할 이유가 없고 액세스 권한이 없는 직원에게 기업 인트라넷 액세스 권한을 부여하면서도 앞서 언급한 고객 데이터에는 액세스할 수 없도록 제어할 수 있습니다.
네트워크 액세스 제어는 사용자 액세스 제한뿐 아니라 기업 보안 정책을 준수하지 않는 엔드포인트 기기의 액세스도 차단합니다. 그러면 조직 외부에서 비롯된 기기의 바이러스가 네트워크에 진입할 수 없도록 할 수 있습니다. 회사 업무에 사용되는 모든 직원 기기는 네트워크에 액세스하기 전에 반드시 기업 보안 정책을 준수해야 합니다.
네트워크 액세스 제어의 중요성
네트워크 액세스 제어가 모든 조직에 효과적인 것은 아니며, 기존 보안 제어 중에는 이와 호환되지 않는 경우도 있습니다. 그러나, 네트워크 액세스 제어를 적절하게 구현할 시간과 인력을 갖춘 조직이라면 중요하거나 민감한 자산에 훨씬 강력하고 종합적인 보호 계층을 제공할 수 있습니다.
데이터 센터의 일부로 가상 머신을 사용하는 IT 부서는 네트워크 액세스 제어로 혜택을 볼 수 있지만, 이는 다른 보안 제어 기능에 대해서도 경계를 늦추지 않을 경우에만 가능합니다. 가상 서버가 데이터 센터 내에서 계속 이동하고 동적 가상 LAN(Local Area Network)이 서버의 이동에 따라 변경이 가능하기 때문에 가상화는 NAC에 특별한 과제를 안기게 됩니다. 가상 머신을 위한 네트워크 액세스 제어로 인해 의도치 않은 보안의 구멍이 생길 수 있을 뿐 아니라 조직이 데이터 감사 제어 표준을 준수하기도 어려워질 수도 있습니다. 이는 기존의 보안 방식이 IP 주소를 통해 엔드포인트의 위치를 파악하기 때문입니다. 가상 머신은 동적이며 위치가 바뀌므로 그만큼 보안이 더 까다롭습니다.
또한, 가상 머신은 매우 쉽고 빠르게 장비할 수 있으므로, 관련 경험이 많지 않은 IT 관리자가 적절한 네트워크 액세스 제어를 모두 갖추지 않은 상태라 할 지라도 가상 머신을 시작할 수 있습니다. 하지만 가상 머신이 미사용 상태에서 복원될 경우 다른 취약점이 발생합니다. 서버가 미사용 상태일 때 새로운 패치가 나타나면 머신이 재배포되기 전까지 해당 패치가 적용되지 않을 수 있습니다. 애플리케이션 수준에 이르기까지 네트워크상의 모든 요소를 안전하게 유지하기 위해 애플리케이션 보안을 네트워크 보안 제어에 추가하는 조직의 수가 점점 늘어나고 있습니다.
네트워크 액세스 제어의 유형
네트워크 액세스 제어에는 두 가지 기본 유형이 있습니다. 두 가지 유형 모두 다음과 같은 네트워크 보안의 중요한 측면을 담당합니다.
- 사전 승인: 첫 번째 유형의 네트워크 액세스 제어는 사전 승인이라 하며, 이는 네트워크에 대한 액세스 권한이 부여되기 이전에 사용자 또는 엔드포인트 기기에서 네트워크 액세스 요청을 시작할 때 발생하기 때문입니다. 사전 승인 네트워크 제어는 액세스 시도를 평가하고 요청하는 기기 또는 사용자가 기업 보안 정책을 준수하고 네트워크 액세스에 대한 승인을 받았다는 사실을 입증하는 경우에만 연결을 허용합니다.
- 사후 승인: 사후 승인 네트워크 액세스 제어는 사용자 또는 기기가 네트워크의 다른 부분에 연결하려고 시도할 경우 네트워크 내에서 이루어집니다. 사전 승인 네트워크 액세스 제어에 실패하면 사후 승인 네트워크 액세스 제어로 네트워크 내의 수평 이동을 제한하여 사이버 공격으로 인한 피해를 줄일 수 있습니다. 사용자 또는 기기는 네트워크의 다른 부분으로 이동하려는 요청이 있을 때마다 다시 승인을 받아야 합니다.
VMware 네트워크 액세스 제어 관련 제품, 솔루션, 리소스
최고의 기업용 네트워킹 및 보안 가상화 플랫폼
VMware NSX Data Center는 완전한 L2-L7 네트워킹 및 보안 가상화 플랫폼을 제공하며, 그 결과 단일 창 방식을 활용해 전체 네트워크를 단일한 엔티티로 관리할 수 있습니다.
네트워킹 및 보안 혁신
엔터프라이즈 네트워킹 및 보안의 다음 단계로 나아가십시오. 데이터 센터에서 클라우드와 엣지까지 확장되는 소프트웨어 계층을 통해 배포된 세상의 모든 것을 연결할 수 있습니다.
VMware 기업 보안 솔루션
VMware 솔루션을 통해 네트워크와 워크로드의 본질적 보안을 인프라 내에 구축하여 확보하십시오. 앱에 적응형 보호를 제공할 수 있으며 위치 또는...
VMware SD-WAN by VeloCloud
기업은 클라우드로 제공되는 소프트웨어 정의 모델로의 전환을 통해 네트워크와 인프라의 설계 및 활용 방식의 혁신을 이루고 있습니다. 이를 통해 조직은...
AirWatch 기반의 Workspace ONE Unified Endpoint Management(UEM)
데스크톱, 모바일, 러기드, IoT 등 모든 엔드포인트의 최신 OTA(Over the Air) 관리를 통해 비용을 절감하고 보안을 개선하며 Workspace ONE으로 모든 계층에서 기업 보안을...