날이 갈수록 치열해지는 기업간의 경쟁에 의해 제품의 라이프 사이클이 무척이나 짧아졌다. 이에 따라 기업들마다 경쟁 업체의 전략에 대한 대응책 마련에 고심하고 있다. 이외에도 무차별적인 해킹이나 보안 사고로 입을 수 있는 피해의 규모가 예전과는 비교도 할 수 없을 정도로 높아졌다.이에 따라 기업들은 저마다 보안 문제에 많은 관심을 기울이고 있으며, 이중에서도 기업 IT 환경의 중추 역할을 담당하고 있는 네트워크에 대한 보안의 중요성은 거듭 강조해도 모자람이 없다. 특히 라우터와 스위치 등 네트워크 장비에 대한 보안은 일단 인가받지 못한 사용자의 접속을 차단하며, 각각의 사용자에게 권한을 설정할 수 있다는 점에서 외부뿐 아니라 내부 보안까지 책임질 수 있는 유리한 위치에 있다.보안의 4대 요소보안의 주요 요소에는 정확성(Authenticity), 제한성(Access Control), 무결성(Integrity), 기밀성(Confidentiality) 등의 4가지가 있다. 정확성이란 사용자나 장비를 인식을 하는데 있어 아주 중요한 요소다. 사용자 인증에 있어서 가장 간단한 방법은 ID와 패스워드를 사용하는 방법이며, 두 가지 이상의 요소를 이용해 인증하는 방법(Clear Text+Smart Card등), PIN과 카드를 동시에 일치시키는 방법, 토큰을 이용하는 방법 등은 좀 더 강화된 인증방법으로 사용된다.또한 지문, 손, 안면, 홍채 등 신체적 특성을 이용한 생체인식 장치가 이에 사용되고 있다. 또한, PC와 같은 장비의 인증은 네트워크를 사용하는데 있어서 필요한 요소 즉, 스위치 포트, MAC 어드레스, IP 어드레스 프로토콜의 조합으로 네트워크 접속을 제한할 수 있다.두번째 요소인 제한성이란 정확성의 연장에서 이뤄지는 요소로, 어떤 부분의 서비스를 위한 네트워크 접근 시도인지를 파악해 접근에 제한을 두는 방법이다. 파이어월이 바로 제한성을 이루는데 필요한 장비 중 하나다. 네트워크 접속에 필요한 요소를 확인하면 장비, 애플리케이션, 프로토콜, 사용자, 사용자 그룹(서브넷)을 파악할 수 있으며, 권한까지도 쉽게 알 수 있다. 이를 이용해 비즈니스, 업무 환경 등을 종합해 보안 정책을 수립하며 접근을 제한한다.무결성은 원래의 데이터가 전송된 후에 어떻게 변경됐는지 등의 상태를 점검하는 것이다. 이는 비 인가된 자에 의한 정보의 변경, 삭제, 생성 등으로부터 데이터를 보호해 정보의 정확성과 완전성이 보장돼야 한다. 디지털 서명과 메시지의 정확성 확인 등은 이런 데이터의 무결성을 확인할 수 있는 기술이다.기밀성이란 정보의 비밀이 어느 정도 보장될 수 있는가에 대한 부분이다. 전자우편을 예로 들면 완전한 텍스트 형식으로 전송되고 있기 때문에 보고자 한다면 그리 어렵지 않은 방법으로 확인할 수 있다. 그러나 전자우편에 아주 중요한 정보가 들어 있는 경우도 있기 때문에 이를 감추기 위해 암호화(Scrambling)를 한다. 그럼으로써 복호화(Unscrambling) 키가 있는 사용자만이 정보를 확인할 수 있게 된다. 이런 암호화/복호화 기술을 암호화(Encryption)라고 말한다.한편 네트워크의 보안 영역은 2계층 인증과 방화벽/액세스 컨트롤, VPN 등 크게 세 개의 영역으로 나눌 수 있다.2계층 인증은 네트워크를 이용하는데 있어서 가장 기본적인 부분에서 인증을 요구해 내부적인 보안을 이룰 수 있는 방법이다(장비와 사용자에 대한 인증).방화벽과 액세스 컨트롤은 내부 서버들이 접속하는 부분, 원격 사용자의 검색을 위해 보통 두개 또는 그 이상의 방화벽을 설치해 목적에 맞게 동작을 구현시킨다. 한편 VPN은 회선 비용을 절감하기 위해 인터넷을 이용한 본사/지사간 접속 솔루션이다.2계층 인증 기반의 내부 보안보안에 대한 중요성은 데이터 통신을 시작한 이래 전통적인 ID/패스워드 방법부터 파이어월, 암호화 등 기술적으로 많은 발전이 있었다. 이같은 기술 자체는 서로 조금씩 틀리겠지만 인터넷을 통한 접근을 차단하고자 하는 목적 자체에는 다름이 없다.이는 결과적으로 크게 인터넷, 인트라넷, 익스트라넷 등 세가지 네트워크 형태를 유지하고 이를 이용해 비즈니스를 이루고 있는 기업이 대부분이기 때문이다. 지금까지 기업에서 적용하고 있는 보안 장비는 인터넷, 익스트라넷 등 외부로 개방된 네트워크로의 접근을 차단하기 위한 파이어월 기능을 제공하는 제품이 대부분이었다.전통적인 파이어월은 3계층이나 그이상의 계층(IP, TCP, UDP 등)에서 수행되고 있다. 하지만 현재의 네트워크 환경에서는 대부분의 사용자가 2계층 브로드캐스트 도메인에 속해있기 때문에 결국 사용자가 내부 VLAN 밖으로 나가기 전에는 파이어월로 방어할 수 없어 내부적인 보안에 허점을 드러낸다.현재의 보안 정책들은 거의 스위치에서 이뤄진다고 볼 수 있다. 스위치는 네트워크에서 가장 기본이 되는 장비이기 때문에 모든 데이터는 백본/워크그룹 스위치를 통해 전달된다. 그렇기 때문에 현재의 스위치에서는 데이터의 보안을 위해 인증, 권한부여, 보안 정책수립 등 많은 부분들을 수행하고 있다. 그 중에서도 2계층 인증에 대한 부분은 내부 보안을 수립하는데 있어서 아주 중요한 솔루션이다. 또한, 사용자에 대한 이동성보장, 정책기반 네트워크 구축 등은 인증에 대한 장점을 부각시킬 수 있는 요소들로 현재의 인증방법을 이용한 2계층 인증은 좀 더 편리한 보안 솔루션으로 이용할 수 있다.인증을 이용하는 추세를 보면 부여된 권한을 바탕으로 허가된 네트워크의 이용이나 사용자 그룹들을 분리해 연결하는 방향으로 흐르고 있다. 사용자가 인증을 마치면 이미 인증이 끝난 하나 또는 여러 개의 사용자 그룹에 속하게 된다. 그 사용자들 간에 통신은 라우터나 스위치가 방화벽의 정책에 따라 통신의 허가 여부를 결정하게 된다. 즉, 2계층 인증이란 오직 연결된 스위치의 포트를 사용하기 위해 이뤄지는 것이며 정해진 정책에 따라서 연결이 가능하게 됨으로써 사용자에 대한 이동성을 제공된다. 여기에는 장비 인증, 사용자 인증 등 두가지가 있다.네트워크 보안을 위한 인증 솔루션많은 네트워크 허점들은 공중 네트워크와 사설 네트워크들이 서로 다른 사용자들 간에 가상으로 공유돼 있기 때문이다. 오늘날의 LAN 사용 대상을 보면 내부적으로 비 인가된 사용자에 의해 네트워크 자원을 보호할 수는 있어도 네트워크 장비(스위치 등)가 노출되는 것을 막을 수 없다는 것을 알 수 있다. 이는 현재 공개되어 있는 많은 분석도구를 이용해 네트워크 자원까지도 노출될 수 있다는 것을 보여준다.
장비 인증 솔루션장비 인증이란 해당 스위치 포트에 특정한 MAC 어드레스, 사용 프로토콜, IP 어드레스 등을 바인딩시켜 인증하는 것을 말한다. 장비 인증은 프린트 서버, 내부 서버, 관리용 워크스테이션 등 이동성을 필요로 하지 않는 보안 시스템에 대해 적용할 수 있다.
사용자 인증 솔루션사용자 인증 솔루션은 하나 또는 그 이상의 VLAN에 지정해 놓은 보안정책에 따라 허가받은 사용자를 할당하는 방법으로 개개인의 사용자에 대한 인증이고 장비 인증 솔루션과는 달리 이동성을 보장한다. 구성을 위한 요소로는 크게 인증서버, 인증 에이전트, 인증 클라이언트 등이 필요하다.인증 서버는 사용자의 ID와 패스워드를 저장한 데이터베이스를 보유하고 있으며, 사용자에 대한 권한까지 설정돼 있다.인증 에이전트는 스위치에 로딩되는 하나의 모듈로 구성되며, 인증받을 클라이어트와 인증 서버 사이의 통신을 중계하는 역할을 담당한다. 에이전트는 MAC 기반, HTTP 기반, 생체 인식 장치, 텔넷 방식 등 려러가지 방법의 인증 요청을 수용할 수 있는 장점을 갖고 있기 때문에 다양한 운영체제와 플랫폼에 관계없이 동작할 수 있다.인증 클라이언트는 사용자가 인증을 시도하는 PC 등을 말한다. 윈도우, 유닉스, 리눅스, 매킨토시 등 다양한 운영체제에서 제공하는 표준 텔넷을 지원하며, 특히 생체 인식 장치나 스마트 카드, IC 카드 등의 다양한 인증 입력 장치와도 호환이 가능하다.
(그림 1) 네트워크 보안을 위한 인증 솔루션
모바일 환경에 대한 대비최근에는 내부적으로 중요한 자원을 외부의 공격으로부터 보호하고, 각 통신 계층 사이에 기존의 전통적인 ID/패스워드와 같이 보안에 취약한 방법을 사용하지 않고, 스마트키, IC 카드, 토큰, 홍체, 지문 등 보다 안전한 인증 장치를 이용해 각 계층 간의 연결 구간에서 보안을 실행함으로써 네트워크의 자원을 외부로부터 보호하는 솔루션을 이룰 수 있다.여기에는 장비 자체에 대한 보안과 장비로 들어오는 트래픽에 대한 보안과 여기서 더욱 발전된 보안 등이 포함된다.
장비 자체에 대한 보안 ID/패스워드를 통한 기본적인 장비의 보안 DoS공격에 대한 대응 바이러스나 웜에 대한 대응 코드와 설정 파일에 대한 보안
장비로 들어오는 트래픽에 대한 보안 MAC 어드레스, IP 어드레스, 텔넷에 대한 보안 장비에 대한 접근 제한(1계층~4계층) RADIUS나 LDAP을 통한 사용자 접근 제한 트래픽의 암호화( SSH, SSL, TLS)
확장된 보안 VLAN 바인딩( 1계층~4계층을 이용한 장비의 접근 제한) 인증 VLAN( 인증장치를 이용한 사용자의 접근 제한) 파이어월 기능
디렉토리 기반의 관리 기능한편 최근에는 기존의 차단 중심의 보안이 아닌 디렉토리 서비스를 기반으로 각각의 조직과 사용자의 필요에 따라 네트워크 사용 권한을 부여하는 인증 중심의 통합 보안 솔루션 도입이 추진되고 있다.이것은 초기화, 인증, 권한 부여라는 세가지 단계를 거쳐 수행되며, 초기화 단계에서는 사용자가 인증 포트로 구성된 스위치 포트에 접속하면, 스위치의 인증 에이전트가 사용자에게 다이얼로그 박스를 전송한다. 인증 단게에서는 스위치가 사용자로부터 전송돼 온 사용자의 프로필을 인증 서버로 전송해 사용자의 신원 확인을 요청하며, 스위치로부터 전송된 프로필과 인증 서버에 저장된 사용자의 프로필이 일치하는 경우 사용자 정보를 스위치에 전달하는 방식으로 수행된다.이같은 네트워크 보안 솔루션은 디렉토리 기반의 사용자 관리라는 것에서 몇가지 장점을 찾을 수 있다. 우선 네트워크 사용 인증을 받을 사용자의 자료가 LDAP 서버에 저장되며, 인증에 필요한 사용자 ID, 패스워드, 소속 스위치, VLAN 정보가 서버에 의해 통합 관리된다. 이에 따라 디렉토리의 계층 구조에 따라 기업의 조직 단위에 맞춰 사용자를 관리할 수 있다는 것이다.이외에도 동시에 접속할 수 있는 로그온 수를 사용자나 부서별로 지정해 동일한 ID가 여러 PC에서 사용되는 것을 제한할 수 있으며, 네트워크 카드의 MAC 어드레스에 의한 로그온과 같은 제한 정책을 통해 특정 사용자가 특정 PC에서만 로그온할 수 있도록 지정하는 것도 가능하다.그리고 현재 네트워크에 로그온한 사용자에 대한 정보를 모니터링할 수 있으며, 로그온 시간, 사용자 ID, 소속 위치, IP 어드레스, MAC 어드레스 등의 세부 정보를 확인할 수도 있다.이때 보안 관리 서버는 인증을 요청한 모든 클라이언트의 이벤트를 날짜별 로그에 기록해 보안 사고 발생시 이를 이용해 사용자의 컴퓨터 사용 실태를 파악해 추적 자료로 활용할 수 있다. 로그 기론은 이벤트 발생 시간, 이벤트 유형, 인증 성공 여부, 실패시 오류 원인 설명, 인증을 요구한 클라이언트에 대한 자세한 정보 등을 담고 있다.
(그림 2) 디렉토리 서비스를 이용한 인증 관리
효율적인 네트워크 활용이 장점이같은 네트워크 장비 기반의 보안 시스템은 IDS와 같은 전용 보안 솔루션보다 효율적으로 네트워크를 사용할 수 있다는 것이 장점이다.IDS 등의 보안 솔루션은 네트워크를 통해 전송되는 패킷을 실시간으로 분석하는 과정이 필연적인데, 이 과정에서 속도 지연이 발생해 네트워크 자원의 효율이 저해된다. 또한 최초 네트워크 인증 절차 후부터는 보안으로 인한 어떠한 속도 지연 없이 네트워크 장비의 지원 속도를 그대로 이용할 수 있고, 최초 사용자 인증 보안 시스템으로 로그인하면 사전에 사용자별로 형성한 VLAN에 바로 접속되기 때문에 필요없는 트래픽이 다른 VLAN으로 전달되지 않는다.또한 기존의 보안 장비는 패킷의 패턴을 분석하는 방식으로 동작하기 때문에 지속적인 업그레이드가 필요하지만, 네트워크 장비 기반의 보안 솔루션은 사용자 인증 절차를 통해 스위치 포트에서 PC의 네트워크 자원을 사용할 수 없도록 하므로 원천적인 봉쇄가 가능하다.대부분의 기업이나 기관은 네트워크 보안을 위해 파이어월과 서버 기반의 암호화 방법 등을 사용하고 있다. 파이어월은 네트워크 외부로부터 접근을 차단하는데 초점을 맞추고 있으며, 통상적으로 내부의 접속은 아무런 제약이 없이 허용되고 있는 실정이다.그러나 실제 네트워크 내불에서는 네트워크 인프라를 협력 업체나 직원, 방문객이 네트워크에 연결된 포트에 접속했을 때 내부 직원과 네트워크 사용에 있어 차이가 없기 때문에 어느 자원에나 접근할 수 있는 구성이다. 그러나 네트워크 기반의 내부 보안 솔루션은 이를 근본적으로 분리할 수 있는 아키텍처를 제공한다.또한 클라이언트가 2계층 인증 젗라를 마치면 바로 소속된 VLAN에 등록해 동작하므로 회선 속도로 사용자에게 서비스할 수 있다. 또한 인증의 대상이 되는 사용자 정보는 디렉토리 서버에 관리되고, 사용자가 인증 후 소속될 VLAN 번호를 사용자 속성으로 갖게 됨으로써, 사용자는 장소에 구애받지 않고 원하는 VLAN에 접속할 수 있는 이동성을 보장받을 수 있다. 즉 VLAN의 구분이 포트에 의한 것이 아니라, 조직 변동에 따라서 유연하게 대응할 수 있기 때문에 관리자에게 편의성을 제공한다.이같은 네트워크 기반 보안 솔루션의 장점은 다음과 같다.
· 네트워크 사용을 제한, 감시하므로 중요 자원을 보호할 수 있다.· 과도기적 환경 변화에 유출되기 쉬운 문서 보호와 감시할 수 있다.· 네트워크 인증 서버로 개인별 PC를 관리, 감시, 추적할 수 있다.· 향후 e비즈니스 체계의 환경 변화에서도 자원 보호의 체계적인 대처가 가능하다.· 내, 외부 변화시 구성의 변화가 없어 관리 효율성을 제공한다.· 서버 주소 변경과 네트워크 세그먼트의 효율적 배분이 가능하다.· IP 어드레스 보호와 효율적 배분이 가능하다.· 부가적으로 PC 현황 파악과 관리의 효율성을 제공한다.
최근 네트워크 환경은 이동성과 편리성, 보안성이 차지하는 부분이 점차 커지고 있다.이에 따라 많은 보안업체에서도 사용자의 요구에 맞춰 이동성에 따른 보안 정책이 포함된 솔루션을 개발하는 것이 주류를 이루고 있다. 이같은 경우, 사용자는 어느 장소에서도 네트워크의 구성 변경 없이 해당 사용자가 접근해야 하는 자원들만 접속을 해야 하고, 그렇지 않는 자원에 대해서는 접근을 차단해야 한다(802.11x). 나아가서 각 시스템에 대해서는 사용자 등급별로 체계적인 접근 권한을 관리해 내부 네트워크 자원을 외부로 유출하거나 오, 남용을 막을 수 있는 솔루션이 필요하다.VLAN에서의 이동성, QoS, 트래픽 제어, 디렉토리 서비스에서의 다양한 정책, 개방성, 무결성, 관리성, 스위치의 다양한 기능을 인증이라는 도구를 이용해 유기적으로 결합한다면 보다 완벽한 보안 정책을 수립할 수 있을 것이다.@
