최종연구보고서 네트워크접근통제 기술동향파악및시험방법론… 최종연구보고서 네트워크접근통제 기술동향파악및시험방법론개발(nac)

최 종 연 구 보 고 서

네트워크접근통제 기술동향 파악 및 시험방법론 개발(NAC)

수탁기관 강원대학교 산학협력단:

한 국 정 보 통 신 기 술 협 회

제 출 문

한국정보통신기술협회 귀하

본 보고서를 네트워크접근통제 기술동향 파악 및 시험방법론 개발에 관한 연구(NAC)의 최종 연구보고서로 제출합니다.

년 월 일2012 11 30

수 탁 기 관 강원대학교 산학협력단:수 탁 기 관 장 이 정 우 인: ( )연 구 책 임 자 김 상 춘:참 여 연 구 원 이 세 헌:

한 도 석주 용 주최 용 락송 영 민홍 지 웅김 우 찬

- 1 -

요 약 문제 목1.

네트워크접근통제 기술동향 파악 및 시험방법론 개발(NAC)

연구의 목적 및 중요성1.

연구의 목적1)

본 연구의 목표는 국내 제품 및 솔루션 업체가 실질적으로 활용 가능한NAC BMT(Bench평가 모델을 개발하여 관련 분야의 경쟁력을 강화하는 것이다Mark Test) .

본 연구에서는 차후 제품 및 솔루션의 지속적인 성장에 따라 서비스를 제공하기NAC BMT위한 품질평가 항목들을 검토하고 이를 기반으로 국내 외 시장에서 높은 인지도를 유도하기·위한 품질평가 모델을 개발하는 것을 목표로 한다BMT .

본 연구의 최종 연구 목표는 다음과 같다.

기술 특성 분석NAC●기술 동향 조사NAC●제품 및 솔루션 평가 항목 도출NAC●제품 및 솔루션 평가 모델 개발NAC BMT●

연구의 중요성2)

여러 정보보호 업체 및 네트워크 솔루션 개발사들이 관련 제품 및 솔루션을 개발하고NAC있다 이들 제품 및 솔루션은 새로운 수익 모델 창출이 기대되어 성장기 단계로 진입할 것으.로 보인다.하지만 관련 솔루션에 대한 객관적인 평가는 부족한 실정이다, NAC .따라서 관련 솔루션 평가모델을 개발하여 이들 제품에 대한 객관적인 비교 기준NAC BMT을 마련할 필요가 있다.

관련 솔루션에 대한 평가모델이 필요한 구체적인 이유는 다음과 같다NAC BMT .

첫째 관련 솔루션 성능에 대한 검증이 필요하다, NAC .각기 다른 및 하드웨어 플랫폼의 구조적 특성에 따라 하나의 솔루OS(Operating System)션으로 성능 검증이 어려울 수 있다.그리고 이들 제품이 이제 막 성장기 단계로 진입하고 있기 때문에 제공된 기능이 제대로 발

- 2 -

휘되고 있는지를 확인하여 제품들 간에 품질 비교 분석에 대한 공통의 주제와 검증이 필요하다.

둘째 관련 솔루션은 이런 및 하드웨어 플랫폼의 구조적인 특성 문제 때문에 범용, NAC OS적으로 개발을 할 수 없는 경우가 있다.이러한 특성을 고려하지 않은 검증은 오히려 시장에서 사양되기 때문이다.따라서 정교하고 객관적인 서비스를 제공하기 위해 품질평가 모델 개발이 시급하BMT BMT다고 할 수 있다.

셋째 다양한 및 하드웨어 플랫폼에 맞는 시험 검증이 필요하다, OS .따라서 이들 문제들에 대해 정교하고 객관적인 서비스를 제공하기 위해 평가 모BMT BMT델 개발이 시급하다고 할 수 있다.

국내 정보보호 제품 평가기관은 한국인터넷진흥원 한국산업기술시험원 한국시(KISA), (KTL),스템보증 한국 평가원 한국정보통신기술협회 등이 있다(KOSYAS), IT (KSEL), (TTA) .그러나 아직 관련 솔루션에 대한 시험 체계를 구축한 곳은 없는 실정이다NAC .따라서 국내 유사 제품 및 솔루션 시험 체계 및 방법론을 조사 연구하고 국외 시험 및 인증,제도와 사례를 조사 분석하여 국내 환경 및 해외 시장에서 경쟁이 가능한 관련 솔루션, NAC의 평가모델 개발 시험 체계 정립 및 시험방법론 제시가 필요하다BMT , .

연구의 내용 및 범위2.

본 연구의 연구 내용 및 범위는 다음과 같다.

기술 시장 동향 조사NAC●기술 시장의 국내 외 시장 점유율 분석NAC ·�

제품 및 솔루션 개발 동향NAC�

제품 및 솔루션 기반기술 분석NAC●제품 및 솔루션 취약점 정의NAC�

제품 및 솔루션 주요기능 및 메커니즘 분석NAC�

제품 및 솔루션 내부구조 및 주요기술 분석NAC�

제품 및 솔루션 평가 모델 개발NAC BMT●제품 및 솔루션 기능 정의NAC�

제품 및 솔루션 평가항목 도출NAC�

제품 및 솔루션 평가모델 개발NAC�

- 3 -

연구 결과3.

기술 및 관련 산업동향NAC●정의 및 기술 개요NAC�

기술 특성 분석NAC�

기술 시장 현황NAC�

제품 평가모델 개발NAC BMT●제품 기본 기능 정의NAC�

제품 평가항목 도출NAC BMT�

제품 평가모델 개발NAC BMT�

활용에 대한 건의4.

본 연구에서 개발한 기술동향 파악 및 시험방법론 개발은NAC(Network Access Control)여러 제품에 대한 평가를 위하여 활용될 수 있다BMT .개발한 모델은 여러 제품에 대하여 특정 업체에 편향되지 않은 공통적이고 포괄적인 항목을포함하고 있다.따라서 본 모델은 평가 사업을 수행할 때 평가항목을 선택하여 사용할 수 있다BMT .향후 본 연구의 결과는 표준으로 재정하여 산업계에 널리 보급하여 활용할 필요가 있다TTA .

기대 효과5.

기술적 측면1)

제품 및 솔루션에 대한 평가모델 개발 솔루션에 대해 국내 외적으로 제시- NAC BMT /된 공통 표준 기능 및 요구된 기본 구조에 맞는 제품 인증 기술 체제 구축BMT

제품 및 솔루션에 대한 평가모델 개발 솔루션의 평가 기준을 제시함- NAC BMT BMT으로써 외국 제품과의 비교분석을 통해 품질향상에 기여

산업적 측면2)

국내 제품에 대한 신뢰도 회복으로 해외 의존도 감소-국내 제품 및 솔루션에 대한 사용자 요구 변화에 적절히 대처- NAC국내 제품 및 솔루션에 대한 국제 경쟁력 확보에 기여- NAC

경제적인 측면3)

개발 업체에서 부담해야 할 평가 모델 개발에 대한 비용 및 인력의 부담해소- BMT

- 4 -

- 체계적인 제품 및 솔루션에 대한 평가모델 개발로 인한 효율증가NAC BMT제품 및 솔루션에 대한 시장의 안정성 확보- NAC

- 5 -

목차제 장 서론1 ·································································································· 10제 절 연구의 배경 및 필요성1 ······································································· 10제 절 연구의 목표 및 내용2 ·········································································· 12제 절 필요성3 NAC ······················································································

제품 분류1. NAC주요기능2. NAC

13

제 장 기술2 NAC ···························································································· 19제 절 정의 및 기술개요1 NAC ·······································································

개요1. NAC기능2. NAC특성3. NAC

19

제 절 기술 특성 분석2 NAC ··········································································개요1.

기술의 변화2. NAC에서의 네트워크 세부기술 내용3. NAC

23

제 절 의 목적3 NAC ····················································································· 29제 장 관련 산업 동향3 NAC ············································································ 33제 절 국내 시장 동향1 33제 절 국외 시장 동향2 36제 절 국내외 대표 업체 현황3 NAC ·······························································국내 대표 업체 현황1.국외 대표 업체 현황2.

37

제 장 국내 외 규정 법령 표준 가이드라인4 · NAC , , ············································ 41제 절 국내 규정 및 법령1 ·············································································· 41제 절 국외 규정 및 법령2 ·············································································· 45제 장 제품 평가모델 개발5 NAC BMT ······························································ 49제 절 제품 기본 기능 정의1 NAC ·································································· 49제 절 제품 기존 시나리오2 NAC BMT ···························································· 50제 절 제품 평가항목 도출3 NAC BMT ····························································

솔루션 기능성1. NAC (Functionality)솔루션 사용성2. NAC (Usability)솔루션 이식성3. NAC (Portability)솔루션 효율성4. NAC (Efficiency)

65

제 절 제품 평가모델 개발4 NAC BMT ····························································장비 선택시 고려사항1. NAC의 구현방식2. NAC

기반 선택 방법3. Agent-base, Agent-less평가표4.신뢰성 평가항목5.기술 평가항목6.

69

제 장 결론6 ···································································································· 90참고문헌[ ] ······································································································· 91

- 6 -

표 목 차< >표 보안제품설명< 1> ························································································· 13

표 정보보안 제품의 매출 현황< 2> ····································································· 16

표 대표밴더< 3> NAC Type·············································································· 17

표 시장의 예상 발전 방향< 4> NAC ··································································· 24

표 비교< 5> Agent-base/Agent-less ································································ 26

표 국내 밴더 별< 6> NAC Type········································································ 33

표 해외 회사별< 7> NAC Type········································································· 36

표 국내 대표 업체 현황< 8> ·············································································· 37

표 국외 대표 업체 현황< 9> ·············································································· 39

표 제품 기능< 10> NAC ··················································································· 49표 솔루션 세부 평가 항목< 11> NAC ································································· 68표 고려사항 및 부담사항< 12> Agent-base, Agent-less ····································· 70표 평가표< 13> ································································································ 71

표 성숙성 평가항목< 14> ··················································································· 72

표 오류허용성 평가항목< 15> ············································································· 72

표 회복성 평가항목< 16> ··················································································· 73표 평가 항목의 목적< 17> ················································································· 73표 문제 해결률 점검표< 18> ·············································································· 73

표 결함 회피율 점검표< 19> ·············································································· 74

표 결함발생 평균시간 점검표< 20> ····································································· 74

표 오류허용성 점검표< 21> ················································································ 74

표 장애 회피율 점검표< 22> ·············································································· 75

- 7 -

표 데이터 복구율 점검표< 23> ··········································································· 75

표 장비 설치의 용이성에 대한 평가< 24> ···························································· 76

표 기존업무 영향도 테스트< 25> ········································································ 76

표 모니터링 의 편리성에 대한 평가< 26> Tool ····················································· 76

표 인프라 자원 수집 통계 기능 테스트< 27> ······················································· 77

표 미러링 모니터링 지원 여부 테스트< 28> , VLAN ············································· 77

표 네트워크에 운영되고 있는 장비에 대한 검출 테스트< 29> ································ 78

표 주소 기반 차단 정책 테스트< 30> IP/MAC ····················································· 78

표 사용자 계정 를 이용한 사용자 인증 기능< 31> DB ··········································· 79표 보안패치 정책설정에 따른 차단 정책 기능 테스트< 32> ··································· 79표 백신 및 표준 프로그램 사용여부에 따른 네트워크 차단 및 치료 정책< 33> ········ 80

표 사용자 의 보안준수 강제화 기능 테스트< 34> PC ············································· 81

표 우회 경로 탐지 및 제어 기능 테스트< 35> ······················································ 82

표 단말에서 발생하는 유해 탐지 및 차단 기능 테스트< 36> Traffic ······················ 82

표 공격에 대한 대응 여부< 37> DDoS ······························································· 83

표 공격에 대한 대응 여부< 38> ICMP Flood ······················································ 83

표 공격에 대한 대응 여부< 39> UDP Flood ······················································· 83

표 특정 서버로의 접속시 탐지 및 차단 여부 테스트< 40> ····································· 84

표 공격에 대한 대응 여부< 41> HTTP Flood ······················································ 84

표 메일서버 공격에 대한 대응 여부< 42> SMTP Syn ·········································· 84

표 공격에 대한 대응 여부< 43> Fishing Port Scan ············································ 85

표 공격에 대한 대응 여부< 44> FTP Server Scan ············································· 85

표 공격에 대한 대응 여부< 45> RDS ·································································· 85표 네트워크 공유 드라이브 에 대한 대응 여부< 46> Scan ····································· 86

- 8 -

표 에 대한 대응 여부< 47> Backdoor ································································ 86

표 해킹에 대한 대응 여부< 48> Host ································································· 86

표 패킷변조 공격에 대한 대응 여부< 49> ···························································· 87

표 사용 단말에 대한 탐지 여부< 50> P2P ··························································· 87

표 특정 프로그램 사용자에 대한 탐지 여부< 51> Messenger ······························· 87

표 차단된 단말이 통신한 통신 내역에 대한 조회< 52> ········································· 88표 완벽하게 네트워크로부터 차단되는지 테스트< 53> ··········································· 88표 보안정책 설정 및 예외처리 지원< 54> ···························································· 88표 관리 및 운영 편의성 테스트< 55> NAC ·························································· 89

- 9 -

그 림 목 차[ ]그림 년도 별 해킹신고 접수 현황[ 1] ·································································· 14

그림 월별 해킹신고 접수현황[ 2] ········································································ 14

그림 기능[ 3] NAC MAP··················································································· 19

그림 시스템 개요[ 4] NAC ················································································· 23

그림 차단 방식[ 5] NAC ···················································································· 28

그림 정보보안 기업의 매출 현황 출처 한국인터넷 진흥원[ 6] ( : (KISA))······················ 34

그림 정보보안 업체의 수출현황 출처 한국인터넷진흥원[ 7] ( : (KISA))························· 34

그림 정보보안 업체의 수입현황 출처 한국인터넷진흥원[ 8] ( : (KISA))························· 35

그림 국내 평가인증 체계도[ 9] ··········································································� 44

그림 조직 구성도[ 10] CNSS ············································································· 46

그림 평가인증 체계[ 11] ···················································································� 48

그림 미라지 셋팅[ 12] BMT Test ······································································· 50

- 10 -

제 장 서론1

제 절 연구의 배경 및 필요성1

년 미국의 벨코어가 주문형 비디오 의 상용화 서비스를 위해 개발된 기술인1988 (VOD)는 상용화가 진척되지 않아 크게 부각되ADSL(Asymmetric Digital Subscriber Line) VOD

지 못하였다.년 인터넷 붐과 함께 통신 속도가 문제가 되면서부터1995 ADSL(Asymmetric Digital

이 관심이 일기 시작하였다Subscriber Line) .

을 시작으로 초고속 인터넷 시장이 열렸으며 그 이후ADSL , VDSL(Very high-bit rate광섬유를 이용한 에 이르기까지 예전Digital Subscriber Line), FTTH(Fiber To The Home)

의 하이텔 천리안 등 모뎀을 사용한 인터넷보다 빠른 속도를 제공하며 현재는 그런 회선을,이용한 무선 까지 활성화되어 에 연결만 되면 어디서든지 초고속 인AP(Access Point) Wi-Fi터넷 망을 활용 할 수 있게 되었다.

이렇게 빠른 초고속 인터넷 망의 발전과 더불어 네트워크 보안도 활성화되기 시작했는데 그중 는 사실상 오래전부터 논의되고 적용되어 온 분야라 할NAC(Network Access Control)수 있다.다만 정해진 구역의 서버장비와 사용자 단말 간의 물리적 논리적 접근 통제가 대부분이었던, /과거와 달리 최근 대두되고 있는 는 클라우드 환경에서 새롭게 정의되는 네트워크 시스, NAC템에 대한 접근통제라 할 수 있다.

기존과 동일하게 사전에 인가되지 않는 사용자 및 보안문제를 가지고 있는 사용자에 대하여클라우드 유비쿼터스 환경에서의 네트워크 접속을 근본적으로 차단 제어하는 네트워크 보안/ ,체계로서 네트워크 보안과 사용자단 보안을 동시에 해결할 수 있는 차세대 통합 보안 패러다,임이라 할 수 있으며 이미 많은 기업에서 다양한 시스템을 개발하여 출시하고 있다, NAC .

다만 이들 출시 제품에 대한 품질과 성능에 대한 체계적인 검증이 뒷받침되어 있지 않다, .각 제품의 특성은 각기 다르며 지원되는 인터페이스 각 네트워크 환경의 호환성 등 해당 제,품의 사용자들이 균일한 수준의 제품 보장을 받기가 어려운 상황이다.따라서 각 기관에서는 제품 도입시 고려해야 할 사항이 복잡하며 각 회사별 제품을 조사하,여 현재 사용하고 있는 네트워크상에 가장 알맞은 제품을 검토하여야 한다.

그렇게 검토를 진행하고 도입하기 위해 준비하는 과정에서도 각 기관 및 회사에서는 외부에서의 공격 및 위협요소 내부에서의 공격 및 위협요소에 노출되어 있어 큰 손실을 야기할 수,있다.따라서 이들 제품에 대하여 인증이 가능한 시험 체계와 방법에 대한 정립이 필요한 단계라,

- 11 -

할 수 있다.

조직 내 정보유출 차단을 위한 핵심 솔루션인 솔루션 에 필요한 최신 기술동향을NAC BMT파악하고 제품 및 솔루션에 적합한 시험 체계와 시험방법론을 개발하여 관련 제품의, NAC ,신뢰도 향상을 도모하고자 한다.

관련 솔루션에 대한 평가모델이 필요한 구체적인 이유는 다음과 같다NAC BMT .

첫째 관련 솔루션 성능에 대한 검증이 필요하다, NAC .각기 다른 및 하드웨어 플랫폼의 구조적 특성에 따라 하나의 솔루OS(Operating System)션으로 성능 검증이 어려울 수 있다.그리고 이들 제품이 이제 막 성장기 단계로 진입하고 있기 때문에 제공된 기능이 제대로 발휘되고 있는지를 확인하여 제품들 간에 품질 비교 분석에 대한 공통의 주제와 검증이 필요하다.

둘째 관련 솔루션은 이런 및 하드웨어 플랫폼의 구조적인 특성 문제 때문에 범용, NAC OS적으로 개발 할 수 없는 경우가 있다.이러한 특성을 고려하지 않은 검증은 오히려 시장에서 사양되기 때문이다.따라서 정교하고 객관적인 서비스를 제공하기 위해 품질평가 모델 개발이 시급하BMT BMT다 할 수 있다.

셋째 다양한 및 하드웨어 플랫폼에 맞는 시험 검증이 필요하다, OS .따라서 이들 문제들에 대해 정교하고 객관적인 서비스를 제공하기 위해 평가 모BMT BMT델 개발이 시급하다 할 수 있다.

국내 정보보호 제품 평가기관은 한국인터넷진흥원 한국산업기술시험원 한국시(KISA), (KTL),스템보증 한국 평가원 한국정보통신기술협회 등이 있다(KOSYAS), IT (KSEL), (TTA) .그러나 아직 관련 솔루션에 대한 시험 체계를 구축한 곳은 없는 실정이다NAC .따라서 국내 유사 제품 및 솔루션 시험 체계 및 방법론을 조사 연구하고 국외 시험 및 인증,제도와 사례를 조사 분석하여 국내 환경 및 해외 시장에서 경쟁이 가능한 관련 솔루션, NAC의 평가모델 개발 시험 체계 정립 및 시험방법론 제시가 필요하다BMT , .

- 12 -

제 절 연구의 목표 및 내용2

본 연구 개발의 최종 목표는 국내 제품 및 솔루션 업체가 실질적으로 활용 가능한NAC평가 모델을 개발하여 관련 분야의 경쟁력을 강화하는 것이다BMT(Bench Mark Test) .

차후 제품 및 솔루션의 지속적인 성장에 따라 서비스를 제공하기 위한 품질평가NAC BMT항목들을 검토하고 이를 기반으로 국내 외 시장에서 높은 인지도를 유도하기 위한 품, · BMT질평가 모델을 개발하는 것을 목표로 한다.

가 본 연구의 세부 연구 목표는 다음과 같다. .기술 특성 분석NAC●기술 동향 조사NAC●제품 및 솔루션 평가 항목 도출NAC●제품 및 솔루션 평가 모델 개발NAC BMT●

나 내용 및 범위.본 연구의 연구 내용 및 범위는 다음과 같다.

기술 시장 동향 조사NAC●기술 시장의 국내 외 시장 점유율 분석NAC ·�

제품 및 솔루션 개발 동향NAC�

제품 및 솔루션 기반기술 분석NAC●제품 및 솔루션 취약점 정의NAC�

제품 및 솔루션 주요기능 및 메커니즘 분석NAC�

제품 및 솔루션 내부구조 및 주요기술 분석NAC�

제품 및 솔루션 평가 모델 개발NAC BMT●제품 및 솔루션 기능 정의NAC�

제품 및 솔루션 평가항목 도출NAC�

제품 및 솔루션 평가모델 개발NAC�

- 13 -

제 절 의 필요성3 NAC

년 인터넷 붐이 일어남과 동시에 초고속1995 ADSL(Asymmetric Digital Subscriber Line)인터넷 망이 활성화 되어 현재 까지 개발된 상황이다FTTH(Fiber To The Home) .초고속 인터넷이 활성화되므로 인하여 따라 오는 위험이 발생 하였는데 이것이 바이러스 악,성코드 해킹 등이다, .인터넷 망이 발달함에 따라 인터넷에는 무궁무진한 컨텐츠들이 올라오며 서로 공유 배포, ,다운로드를 받게 된다.이러한 활동에 따라 바이러스 악성코드는 빠른 시간 내에 퍼지게 된다, .인터넷과 네트워크가 발달함에 따라 많은 네트워크 보안 제품들이 등장하였는데 네트워크보안 제품은 다음 표< 1>과 같다

표< 1> 네트워크 보안 제품보안제품 설명

방화벽(Firewall) 외부 네트워크의 불법적인 침입으로부터 안전하게 보호하기 위한 시스템

침입탐지 시스템(IDS) 실시간으로 침입을 파악하여 보다 빨리 침입에 대응할 수 있도록 하는 보안 시스템

침입방지 시스템(IPS) 능동적 개념의 솔루션으로 와 달리 탐지IDS와 동시에 공격을 실시간으로 대응한다.

위협관리 시스템(TMS)위협을 조기에 감지하고 발생한 위협을 감소 또는 제거하는 것을 목표로 만든 통합보안관리 시스템

통합위협관리(UTM) 다양한 보안 솔루션들을 하나의 장비에 탑재한 네트워크 보안 솔루션을 의미한다.

확장형위협관리(XTM) 여러 개의 보안도구를 이용한 관리 시스템

- 14 -

하지만 대부분의 유 무선 네트워크 보안 시스템들의 기능과 보안 쟁점 은 네트워크 외(Issue)�

부로부터 해킹 등을 막기 위한 보안 목적을 가지고 있으며 현재 기가 급 이상의 네트워, (Giga)크 환경에서 내부 사용자단의 보안 요구사항에 대한 완벽한 해결 방안을 가지고 있지 않다.특히 로 인한 등 내부 관리에서는 많은 문제점들Worm, Virus Internal Attack End-Point을 드러내고 있다.그림 그림[ 1], [ 2]은 해킹피해 사례가 늘어남에 따라 현재 보안제품의 문제점을 보여주는 예

이다.그림[ 1]을 보았을 때는 년도 해킹 피해가 적은 것 같지만2012 , 그림[ 2]의 월별 해킹신고

접수 현황을 보면 전년 대비 해킹 피해 신고 사례가 늘어난 것을 알 수 있다.

그림[ 1] 년도 별 해킹신고 접수현황 출처 한국인터넷진흥원( : (KISA))

그림[ 2] 월별 해킹신고 접수현황 출처 한국인터넷진흥원( : (KISA))이처럼 시중에 많은 보안 장비가 있음에도 해킹 피해사례가 늘어나는 이유는 기존의 보안

- 15 -

시스템은 외부로 부터의 공격차단 위주이기 때문이다.

지난 년 발생한 대란 이후 내부 보안의 필요성이 대두되었고2003 1.25 End-Point라는 새로운 네트워크 보안제품이 탄생하게 되었다NAC(Network Access Control) .

등 전문기관에서 대규모 시장을 예측하였고 매년 꾸준한 성장으로 시장을 확Gartner, IDC대해 나가고 있다.

표< 2>에서 보면 특히 는 성장률 억원 으로 년 대비 높은 증가율을 보였NAC 58.6%(268 ) 2009다 의 경우 단순히 의 네트워크 접근성에 대한 관리뿐만 아니라 보안 위협을 점. NAC , PC PC검하고 대비하는 기술로 발전하면서 체계적인 보안 관리도 가능하다는 인식에 따라 수요PC가 증가하는 것으로 보인다.

- 16 -

표< 2> 정보보안 제품의 매출 현황 출처 한국인터넷진흥원( : (KISA))

구분 년2009십 만원( )

년2010십 만원( ) 증감률(%)

정보보안제품

네트워크보안

웹 방화벽 43,411 49,957 15.1네트워크 방화벽 41,602 49,572 19.2

침입방지시스템(IPS) 62,850 71,337 13.5차단시스템DDoS 13,048 18,850 44.5

통합보안시스템(UTM) 42,283 62,336 47.4가상사설망(VPN) 51,357 45,714 -11.0

네트워크접근통제(NAC) 16,940 26,875 58.6무선 모바일보안/ 14,872 26,672 79.3

시스템보안

방화벽PC 2,753 2,793 1.5백신Virus 43,485 44,470 2.3

스파이웨어Anti 14,881 15,341 3.1피싱Anti 1,100 1,320 20.0

스팸차단 S/W 9,082 12,123 33.5보안운영체제 29,511 40,726 38.0

컨텐츠/정보유출방지보안

보안DB 33,153 39,678 19.7암호DB 11,581 18,708 61.5보안PC 35,487 40,890 15.2

보안 USB 20,147 23,268 15.5디지털저작권관리(DRM) 49,868 58,671 17.7

암호/인증

보안 스마트카드 14,320 16,700 16.6토큰H/W 1,286 1,037 -19.4

일회용비밀번호(OTP) 982 953 -2.9공개키기반구조(PKI) 24,392 30,397 24.6통합접근관리(EAM) 4,118 4,963 20.5싱글사인온(SSO) 7,660 8,343 8.9

통합계정관리(IM/IAM) 3,386 3,475 2.6공인 사설 인증 툴/ 2,697 2,656 -1.5

보안관리

기업보안관리(ESM) 27,251 35,856 31.6위협관리시스템(TMS) 26,186 30,287 15.7패치관리시스템(PMS) 5,715 7,526 31.7자산관리시스템 8,441 12,555 48.7로그 관리 분석 툴/ 15,347 14,583 -5.0취약점 분석 툴 7,117 8,362 17.5

기타제품 기타 70,821 89,807 26.8소계 757,130 916,803 21.1

- 17 -

제품 분류1. NAC

솔루션은 장치인증 암호화 인증 격리 치료 가상방화벽 행위기반NAC , , AD/Radius , / , , IPS,자산관리 컴플라이언스 제공 등의 기술들을 포함하고 있다, .표준과 관련해서는 SNMP Community IEEE 802.1x, Wi-Fi WPA/WPA2, EAP,

수용 등 많은 표준을 충족시켜야 할 요건들을 가지고 있다Switch/Router Protocol ,

전 세계적으로 여개 이상의 전문 업체들이 있으며 국내에서도 개의 전문10 NAC 3 ~ 4 NAC업체들이 제품을 개발하고 있다.

는 제품의 구현형태 구성형태 제품간 융합에 따라 다양한 의 제NAC , Network Infra , Type품들이 출시되고 있으며 구체적인 분류는 아래, 표 과< 3> 같다.

표< 3> 대표밴더 NAC Type기술 회사

기술기반Out-of-Band 포어사이트 국내 지니네트웍스 국내 미라지( ), ( ),기술기반In-Line 닉스테크 국내 시스코( ),

인증기술 기반 에어큐브 국내 닉스테크 국내( ), ( )기술기반OS 마이크로소프트

네트워크 기술 기반 시스코 엔테라시스,

보안기술 기반 포티넷 컨센트리 시만텍 닉스테크 기반/ (IPS), / (Client ),맥아피 트렌드마이크로 안티바이러스 기반/ ( )

복합기술 기반 주니퍼 쓰리콤 체크포인트 등, ,

주요기능2. NAC

솔루션은 방화벽이나 등 외부망 보호제품과 달리NAC UTM(Unified Threat Management)내부망을 보호하는데 중점적인 기능을 두고 있다.단말 장비의 취약성은 네트워크 전체에 큰 영향을 줄 수 있다.

기본적으로 단말 장치 보안으로 장치 사용자 인증 및 무결성을 통한 보안PC End-Point ,유해 차단을 통한 공격 차단 역할에 기반한 백신 및Worm/Virus Traffic Zero-Day , NAC,

패치 관리 기반 저장 매체 통제 보안정책 위반에 대한 격리 및 차단 취약성 평가OS , USB , ,진단 가상 방화벽 행위기반 침입탐지 및 차단 자산, (Virtual Firewall), (Behavior based IPS),관리 뿐만 아니라 최근에는 보안 컴플라이언스를 적용함으로써 정보보호 관리(Asset Portal)체계 통제 기능까지 제공하고 있다.

특히 보안 컴플라이언스는 도입기관의 보안수준을 국제적인 수준으로 개선할 수 있는NAC

- 18 -

다양한 관리체계 등 를 제공함으로써 보안통제 요건과 감사 요건(PCI DSS, ISO 27001, SOX )을 동시에 적용할 수 있다는 큰 장점을 가지고 있다.

또한 의 큰 위력은 위의 기술들을 사용하여 공격NAC DDoS (Distributed Denial of Service을 약화 시킬 수 있다Attack) .

공격은 일반 에 악성코드를 감염시켜 분산된 여러 의 네트워크 을 지정된DDoS PC PC Traffic타깃에 집중시켜 공격을 시도하기 때문에 조직 내에서 비정상적인 네트워크 Tr 을 검출해affic감염된 좀비 를 찾아내고 이를 격리한 후 치료함으로써 공격의 위력을 감소시킬 수 있다PC DDoS .

- 19 -

제 장 기술2 NAC

제 절 정의 및 기술개요1 NAC

개요1. NAC

를 우리말로 번역하면 네트워크접근통제이다NAC(Network Access Control) .가 접근통제를 위하여 사용하는 방법은 인증이다NAC .

사용자에 대한 인증 단말에 대한 인증 에 대한 인증을 는 수행하게 된다, , Traffic NAC .

는 모든 네트워크를 경계선으로 본다NAC .어떤 사용자가 어떠한 경로를 통하여 들어오든지 사용자 및 단말은 검사를 통과하여야 내부,네트워크로 진입할 수 있다.예를 들어 방문한 외부직원이 가 설치되어 있는 네트워크에 접근하였다고 하면 네트워NAC ,크를 사용하기에 앞서 사용자에 대한 인증을 받아야 하며 사용하는 노트북이 네트워크에 연,결하여도 안전하다는 검사를 받아야 한다.

또한 네트워크를 사용하면서 조금이라도 이상한 통신 을 수행한다면 이는 바로(Traffic) NAC에 의하여 감지가 되어 외부 직원의 노트북은 네트워크로부터 격리되게 된다.

기능2. NAC

그림[ 3] 기능NAC MAP

- 20 -

초기에 가 국내에 소개 되었을 때 라는 것이 인증을 통한 접근통제 솔루션NAC NAC 802.1x으로 대부분의 사람들에게 인식이 되었다.

하지만 현재 국제 표준화 기구에서 표준을 만들면서 정리한 내역을 보면 는 크게 가지NAC 3의 기능을 수행한다.진입 전 인증 진입 후 인증 및 격리 차단 가 그 것이다(Pre-Admission), (Post-Admission) ( ) .

은 세부적으로 사용자에 대한 인증 및 단말에 대한 인증 의Pre-Admission (Health Check) 2가지 기능을 포함하고 있다.

가 사용자 인증 및 단말 인증 이란. (Pre-Admission) ?

솔루션은 항상 네트워크를 감시하고 있다NAC .이 과정에서 무언가 새로운 단말이 네트워크로 진입하게 되면 이를 감지하고 우선 사용을차단하게 된다.그리고는 접근하려는 사용자에게 인증을 요청한다.인증을 수행하는 방법은 주로 내부에 존재하는 인증 와 연동하여 인증을 수행하게 된다DB .

예를 들어 인사 와 연동을 하였다고 하면 사용자는 인사 에 있는 사용자번호와 그 비, DB DB밀번호를 입력하여야 한다.다음으로 는 단말에 대한 인증을 수행하게 된다NAC .상태점검 이라는 과정을 통하여 단말의 상태를 점검하게 되는데 어디까지 검(Health Check) ,사를 할 것인지는 네트워크 관리자가 정하게 된다.주로 확인하는 항목은 단말의 가 최신 패치인지 단말에 백신프로그램 이 구OS , (Anti-Virus)동되고 있고 최신 인지 단말에 최신 가 된 스파이웨어 프로그램Update , Update

이 구동되는지 단말에 방화벽이 설치되어 있는지 정도이다(Anti-Spyware) , .

앞에서 언급한 주로 확인하는 항목 외에 준수하여야 하는 보안 정책들이 늘어나면서 진입과,정에서 점검하여야 하는 단말 점검 목록들은 늘어나고 있다.화면 보호기가 구동되고 있는지 명이 회사의 규칙에 따라 설정되어 있는지 비밀번호를, PC ,단말이 사용하고 있는지 회사에서 설치를 요구하는 필수 소프트웨어들이 설치되어 있는지, ,불필요한 소프트웨어가 설치가 되어 있는지 등을 또한 점검하게 된다.

이런 단말의 상태 점검을 위해서는 단말에 특별한 소프트웨어 를 설치하여야 하는데(Agent) ,이 의 설치 유무에 따라 제품은 와 로 구분할 수 있다Agent NAC Agent-less Agent-base .이 는 상태점검 외에 여러 가지 부가 기능들을 수행하게 되는데 제품의 종류에 따라Agent관리 기능 매체제어 기능 사용금지 사용금지 등 등을 수행할 수 있다IP , (USB , Wibro ) .

- 21 -

나 네트워크 사용 모니터링 이란. (Post-Admission) ?

사용자 및 단말 인증을 거쳐 네트워크 접속한 단말은 이제 네트워크를 이용할 수 있다.하지만 자신에게 허용된 범위 내에서만 사용이 가능하다.사용할 수 있는 범위는 이미 사용자 인증 과정에서 정해질 수도 있으며 진입한 후에 정해질,수도 있다.가령 사용자가 네트워크 진입과정에서 외부 협력업체 직원으로 인증을 받았다고 하면 그 사,용자는 내부 네트워크는 사용할 수 없고 인터넷만 사용이 가능하게 사용 범위가 제한될 수 있다.

전체 네트워크를 사용할 수 있는 사용자라고 하더라도 정책에 위반되는 통신 또는 유해을 발생시킨다고 하면 는 그 단말을 검출하여 네트워크로부터 격리시키는 작업을Traffic NAC

수행하게 된다.이를 위하여 는 내부 네트워크에서 통신되는 모든 을 감시하는 기능을 가지고NAC Traffic있다.제품의 종류에 따라 간단한 정책위반을 검사 할 수 있고 어떤 제품은 단말에 가, Backdoor설치되어 내부의 데이터를 외부로 유출하려는 시도까지도 검출이 가능하다.

또한 종류에 따라서는 네트워크에서 사용하지 않는 를 활용하여 가상의 단말IP Address미끼 을 생성하고 이 가상의 미끼들이 보안에 취약한 허점들을 하고 있으면서(Decoy : ) Open ,

웜 등의 공격을 자신에게 유도하면서 네트워크를 보호하고 웜 등을 발생시킨 단말을 검출하여격리하는 기능도 가지고 있다.

의 기능 외에 조직은 이미 네트워크에 진입한 후에 단말의 행동을 감NAC Post-Admission지할 수 있는 시스템을 여러 종류 가지고 있다.경계선 보안 제품의 경우에도 내부에서 외부로 이상한 을 전송하는 단말에 대한 탐지Traffic가 가능하고 관리 솔루션의 경우 인터넷 을 과다하게 사용하는 단말에 대한, Traffic Traffic탐지가 가능하다.특정 서버에 대한 접근통제 솔루션의 경우에는 허용되지 않은 단말이 접근을 하는지 파악을할 수 있다.

이런 경우 기존의 솔루션들은 허용되지 않은 을 차단할 수 있고 접근을 차단할 수Traffic ,있지만 허용되지 않은 을 유발하였거나 접근한 단말 자체를 차단할 수 없다Traffic , .이런 경우 와 연동을 통하여 단말 자체에 대한 차단이 가능하다NAC .

그리고 단말에 적절한 안내 메시지 전송을 통하여 단말 스스로 문제를 해결할 수 있도록 유도 할 수 있다.이러한 조치들은 단말의 사용자가 의도하였건 의도하지 않았건 단말 사용자에게 문제가 있,다는 사실을 알려주게 되어 재발방지에 효과적이다.

- 22 -

특성3. NAC

현재 국내에서 판매되는 제품은 국산 외산을 모두 포함하여 대략 개 정도의 제품NAC , 15이 있다.판매되는 제품의 수량이 많은 것도 제품을 선택하는 데 어려움을 주지만 판매되는 제품의,종류 구현 방식 가 많은 것도 담당자가 제품을 선택하는 데 어려움을 주고 있다( ) .

의 종류는 크게 의 유무에 따라 와 로 구분할 수 있으며NAC Agent Agent-base Agent-less ,제품을 생산하는 벤더에 따라 의 제품 의 제품 전문Software Vendor , Switch Vendor , NAC

의 제품 등으로 구분할 수 있다Vendor .하지만 이렇게 구분을 한다고 하더라도 동일한 구분 하에 위치한 제품들의 성격이 조금씩,다른 경우가 많다.

가령 의 전문 제품으로 구분되는 가지의 제품의 특성 및 강점이Agent-base NAC Vendor 2모두 다른 경우가 존재하여 같은 기준으로 평가하기 힘든 경우가 대부분이다, .

는 장 절에서 자세하게 알아보도록 한다Agent-base, Agent-less 2 2 .

- 23 -

제 절 기술 특성 분석2 NAC

개요1.

솔루션은 기존의 방화벽이나 등 외부망 보호제품과 달리 내부망을 보호하NAC , UTM, XTM는데 중점적인 기능을 두고 있다.현재의 보안 장비는 외부에서의 공격은 차단할 수 있지만 악성코드에 감염되어 있는, Virus,단말기 혹은 가 내부 네트워크를 사용할 시에는 속수무책이다PC .스마트 폰 같이 네트워크를 사용하는 이동단말기 사용의 급증으로 인하여 내부공격 위협요소가 증가하게 된다 다음. 그림[ 4]는 시스템 개요이다NAC .

그림[ 4] 시스템 개요NAC

기술의 변화2. NAC

에는 네트워크 통제 기술이 필요하기 때문에 주로 네트워크 벤더들이 자사의 제품을NAC ,중심으로 기술을 구현해 왔다NAC .그러나 이 방식은 장비 호환성 문제를 해결 할 수 없다는 한계가 있다.이런 문제를 해결하기 위해 네트워크 접근 강제 기능을 제공하는 별도의 어플라이언스 장비,를 사용하는 방법과 단말에 에이전트 프로그램을 설치하여 접근 강제 기능을 수행하는 형태,의 제품들이 출시되고 있다.

등의 제품이 이에 해당한다Lockdown Networks, Nevis Networks, Mirage Networks .

- 24 -

인포메틱스 리서치는 향후 시장은 다음과 같은 제품들이 발전할 것으로 예상하고 있다NAC .

표< 4> 시장의 예상 발전 방향NAC

구분 설명

네트워크 통합 적용장비NAC

인증을 지원하고 정책IEEE 802.1x NAC�

서버와 통신을 주고받는다.정책을 적용하는 지점의 역할을 수NAC�

행하는 스위치 라우터 등의 보안장비 분,야

적용 어플라이언스NAC 정책 적용지점의 역할을 수행하는NAC�

독립형 네트워크장비

를 적용한 가상사설망NAC SSL사용자 인증 및 무결성 검사 결과를 바탕�

으로 네트워크 자원에 대한 접근 제어가,적용되는 게이트웨이가 이에 해당한다, .

현재 시장에는 다양한 솔루션들이 혼재되어 있으나 아키텍처를 토대를 구NAC NAC , NAC분해보면 의 의 사의 로 나눌 수 있는데 이중 가장 주목TCG TNC, ITEF NEA, Microsoft NAP ,해 보아야 할 아키텍처는 의 이다TCH TNC .

왜냐하면 는 와 같은 아키텍처를 가지고 있을 뿐 아니라 와도 이미 호환성을, TNC NEA , NAP확보한 상태이고 현재 에 제조사들이 도입하기 시작한 의, PC TCG TPM(Trusted Platform

과도 연동이 가능한 구조를 가지고 있기 때문이다Module) .

에서의 네트워크 세부기술 내용3. NAC

는 고도화되고 지능화되는 해킹으로부터 네트워크의 무결성을 유지하기 위하여 만들어NAC진 장비이다.네트워크에 접근하는 모든 사용자와 단말의 보안성 검사를 수행해 악성코드에 감염된 기기를 차단함으로써 네트워크를 보호하는 것이다.

의 기술은 크게 두 가지로 나눠지는데 별도의 를 설치하거나 기존의 를 사NAC Agent Agent용하는 방식 를 사용하지 않는 방식이 있다Agent-base , Agent Agent-less .

본 절에서는 의 가 무엇인지 설명하였다NAC Agent-base, Agent-less .

- 25 -

가 차이점. Agent-base/Agent less–

의 제품은 말 그대로 단말에 특별한 기능을 가진 프로그램 을 설치하는Agent-base (Agent)형태의 제품이다.앞에서 언급하였듯이 이 들은 단말에 설치가 되어 단말의 상태를 점검하게 된다Agent .

제품은 프로그램을 설치하지 않는다Agent-less .

를 설치하는 제품의 경우 단말의 상태 점검에 강점을 가지고 있으며 제Agent , Agent-less품의 경우 모니터링 에 강점을 가지고 있다Traffic (Post-Admission) .

를 설치하고 설치하지 않고의 결정은 네트워크 상황 및 현재 네트워크상에서 필요로Agent하는 기능이 무엇이냐에 따라 결정하게 된다.

우선 상황을 검토하게 되는데 기존에 단말에 설치되어 있는 들의 종류 및 기능을 확인Agent하게 된다.기존에 설치되어 있는 의 수량이 너무 많고 설치되어 있는 들이 단말의 상태Agent , Agent점검 기능을 가지고 있다고 하면 제품을 사용하는 것이 설치 및 유지보수적인 측Agent-less면에서 효과적이다.물론 도입하려는 제품과 기존에 설치되어 있는 와의 연동에 문제가 없는Agent-less Agent지를 확인하여야 한다.하지만 설치되어 있는 수가 적고 기능이 중복되지 않는다면 의 제품의Agent Agent-base사용이 효과적일 수 있다.

기능적인 측면에서 보면 의 제품은 단말 상태 점검에 강점이 있고Agent-base , Agent-less의 제품은 언급하였듯이 유해 탐지를 포함한 모니터링에 강점이 있다Traffic Traffic .최근에 유행하고 있는 공격 및 각종 유해 으로 인해 네트워크가 문제 된다Spoofing Traffic고 한다면 제품의 도입을 권장한다Agent-less .하지만 상태 점검이 우선시 되는 조직의 경우 의 제품 도입이 권장된다Agent-base .

- 26 -

나 상세 비교. Agent-base/Agent less–

의 상세비교는 간결하게Agent-base, Agent-less 표< 5> 에 정리 하였다.

표< 5> 비교Agent-base/Agent less–

구분 방식 비교 내용

개요

Agent–base

표준 모델 기반은 존재(IEEE802.1x, TCG, TNC, IETF NEA) agent•• 의 대 근본 기능인 사용자 식별인증 보안정책 검증 기능의 충실도 높음NAC 2 / ,특징 무선 인증 암호화 인증기술 기반 뛰어난 단말 통제력: / ( ),•

Agent-Less

인증서버 별도 도입 또는 단의 인증L7 Web•의 경우 인증 시에는 경량 에이전트 필요 (agent-less , web active-x )

단말단의 통제력 약화로 식별 인증 보안정책 검증 부문보다는 모니터/ ,•링 및 탐지 부문의 강점이 존재특징 네트워크 의 보안 취약점 탐지 차단: Traffic /•

구축모델

Agent–base

특성 구축 및 단말 통제 강화를 위한 제공: infra framework•특정 환경을 위한 모듈화 구성•

Agent-Less

네트워크 구성에 독립적 또는 인라인으로 통제장비 구축•또는 : OoB(Out-of-Band) in-line

기반기술

Agent–base

인증기술 기반 연동, 3rd party agent•보안기술 기반 통합Host (PC ) , agent•

매체제어 모듈별로 : AV/Anti-spyware/Anti-SPAM/H-FW/H-IPS/클라이언트부를 구성

Agent-Less

조작 기술 통제 기술Virtual in-line(ARP ), VLAN•등의 경량 기술Active-X, java application agent•

기술Network scanning, DPI (Deep Packet Inspection), IPS ,• NBA(Network Behavior Analysis), remote registry, …

기술특성

Agent–base

단말 통제 시점 네트워크 접속 전 보안성 우수 인증기술 기반: ( , )•대상End-point : PC, PDA, Printer•

위협탐지 전문업체 연동 인증기술 벤더 자체 기술 기반: ( )/ (Host )•Agent- 단말 통제 시점 네트워크 접속 후:•

- 27 -

는 각각의 특 장점을 가지고 있기 때문에 장비 도입시 최우선Agent base, Agent-less NAC– �

적으로 고려해야 할 사항으로 중요한 부분이기도 하다.

Less 대상 단 네트워크 장비End-point : Edge•위협탐지 탐지 전문업체 연동: abnormally (in-line), (OoB)•

주요기능

Agent–base

식별 인증 등 무선인증 지원 부가 특수 인증 지원/ : EAP , HDD /•정책검증 다양한 단말 상태 값 활용 보안정책 검증 수행:•차단 격리 등을 이용한 세밀한 정책 집행/ : ACL driver•사용자 권한관리 및 등 지원: DAC RBAC•모니터링 탐지 단말 정책 위반 모니터링 차단& : , HIPS, HSDPA•

Agent -Less

무선을 지원하는 별도의 인증서버 도입 필요•에 비해 수집되는 단말 정보가 제한 됨 기본 기능 정도 수행Agent .•

네트워크 장비 설정 조작 변경 을 통한 제한적 격리 지원(VLAN )•및 지원DAC RBAC•기능 기능 활용NIPS , virtual FW•

대표벤더

Agent –base

국내 유넷시스템: Anyclick NAC•국외 : Cisco ACS, MS NAP, Juniper UAC, Symantec SNAC/SEP•

Agent -Less

국내 지니네트웍스: Genian•국외 : ForescoutCounterACT v6.x, Mirage NAC•

장점

Agent –base

구축 원 목적 및 도입효과에 맞는 인프라 시스템 구축NAC /•단말 통제력 우수 세밀한 정책 제어 가능,•미래지향적이고 기 투자보호가 가능한 시스템 구축 가능NAC•기존 인증체계 연동 및 단말 보안시스템 연동 능력 우수•

Agent -Less

비용 측면에서 상대적으로 다소 우세 인증서버 미 구축 시( )•보안 위협 탐지 차단 기능 우수/•

단점

Agent –base 에이전트 관리 부담•

Agent -Less

비용 측면에서 상대적으로 다소 우세 인증서버 미 구축 시( )•보안 위협 탐지 차단 기능 우수/•

- 28 -

다 솔루션 구조 및 응용기술 및 위험도 분석.

솔루션의 구조는 세세하게 구분하지 않고 차단 방식으로 접근하였으며 그림 는NAC , [ 5]대표적인 세 가지 방식과 각 방식의 문제점을 나타낸 것이다.

그림[ 5] 차단 방식NAC

차단 방식Gateway●• 의 을 변조하는 방식Gateway MAC

를 벗어나는 것을 차단Gateway•문제가 발생하는 경우 내부로 확산을 방지할 방법 없음Gateway•실제 인천공항 에서 를 통하여 을 고정하는 경우BMT arp-s Gateway MAC•차단이 불가

포트 차단 방식Switch●와 연동하여 포트를 차단하는 방식Switch Switch•

일부 의 경우 연동이 되지 않는 문제 발생Switch•와 연동시 장비에 문제 발생 가능성Switch Switch•을 사용하는 경우 과 가 동시에 차단됨IP Phone Phone PC•

단말 접점 차단 방식●단말을 네트워크 접점에서 차단•문제가 되는 단말은 네트워크 사용이 불가•

표준화 기관에서 권장하는 차단방식NAC•

- 29 -

제 절 의 목적3 NAC

목적1.

는 차세대 네트워크 보안 기술로써 안전한 네트워크 사용을 위협하는 각종 보안 위협 및 공NAC ,격으로부터 효과적으로 네트워크를 보호하고 보안 위협을 차단 및 해소시키는 데에 그 목적이 있,다.기존의 보안 솔루션들이 보안 위협이 발생한 이후의 사후 대응에 중점을 두었다면 는 네트워, , NAC크 접속 순간부터 사용 중 접속이 끝날 때 까지 전 부문에 있어 예상되는 보안위협을 효과적으로, ,예방 탐지 통제 치료할 수 있도록 한다, , , .

또한 보안 위협요소로 분류하여 차단시킨 단말에 대한 중앙 집중 관리 기능을 제공하여 보안위협, ,요소 해소 작업 바이러스 예방 및 치료 패치 그룹 내 필수 소프트웨어의 설치 등 을 자동화 하( , OS , )고 관리자가 보다 효율적이고 원활하게 관리업무를 수행할 수 있도록 한다, .

이러한 목적을 이루기 위해 는 다음과 같은 가지 동작을 수행한다NAC 4 .●접속한 네트워크 경로에 관계없이 사용자 인증을 수행한다.●사용자의 단말에 대한 무결성 검사를 수행한다 패치 바이러스 백신 설치 및 검사 등(OS , ).●사용자 인증 및 무결성 검사 결과에 따라 네트워크 접근 제어 정책을 수립한다, .●네트워크 제어 정책 전파하고 적용한다, .

목적 웜 바이러스와 같은 악성 프로그램 피해 감소[ 1] ,웜 바이러스와 같은 악성 프로그램으로 인한 폐해는 설명하지 않아도 알 것이다, .사용자가 의도하였든 의도하지 않았든 감염된 단말이 네트워크에 접속하게 되면 전체 네트워크가, ,감염에 노출되게 되고 이는 정상적인 업무수행을 방해한다, .

이 위험으로부터 네트워크를 보호하기 위해서는 엔드포인트 보안성 평가에 중점을 두어야 한다.엔드포인트 보안성 평가에는 다운로드 받아 설치해서 사용하는 도구와 외부에서의 스캐닝 기술 혹은 침입방지탐지시스템과 결합한 기술을/ 사용할수있다.

목적 정책 정합성 확보[ 2]네트워크에 접속된 단말이 회사에서 정한 보안정책을 준수하기를 원하는가?

이것은 보안정책 목표가 악성소프트웨어로 부터 네트워크를 안전하게 지키는 것과 더불어 법 혹은규제에 따르기 위한 경우이다.이를 실행하기 위해서는 주기적인 엔드 포인트 보안성 평가와 치료에 주안점을 두어야 한다.

목적 네트워크 공격 예방[ 3]

- 30 -

네트워크를 공격자로부터 안전하게 보호하기를 원하는가?

이 경우는 유무선 네트워크가 혼재된 환경에서 좀 더 고려해야 할 사안으로 외부에 비인가된 사용,자의 접근이 용이한 장소가 존재하는 경우이다.공격자는 단순히 악성소프트웨어를 유포하기 보다는 정보를 훔치거나 서버 상에 있는 어플리케이,션을 이용하는데 좀 더 관심을 둔다.이것이 중대한 위험이라면 구현계획에서 인증 매커니즘과 접근통제 정책에 중점을 두어야 한, NAC다.

목적 네트워크 무단접속 방지[ 4]이것은 보안관점에서 통제되지 않는 네트워크를 다수 보유하고 있는 경우로 자신이 속한 네트워크,외에 다른 네트워크로의 접근을 통제할 수 있는 경계선과 통제점을 필요로 한다.

전통적인 방법으로는 직무별로 구분된 사용자를 다른 장소에 모아놓고 이들이 사용할 수 있는 네,트워크를 물리적으로 구분하는 것과 같은 방법을 사용할 수 있는데 이는 에도 그대로 사용할, NAC수 있다.보다 향상된 방법으로는 사용자가 물리적으로 어디에 위치하고 있는지 보다는 사용자가 누구인지에 따라 접근을 통제하는 것이다.여기에서는 인증과 기반의 접근통제에 중점을 두어야 한다IEEE 802.1X VLAN .

목적 네트워크 오용 감소[ 5]네트워크 사용을 추적하여 네트워크의 잘못된 사용을 방지하는 절차를 구현하고자 하는 경우이다.

이 경우는 접근통제보다는 인증된 사용자와 엔드포인트 단말에서 발생된 을 서로 맵핑하여Traffic네트워크 사용을 규제하는 것이 될 수 있다.

제대로 구현되기 위해서는 사용자 인증과 장비 인증이 반드시 구현되어 있어야 하고 인증 이후에,는 인증된 사용자와 세션을 맵핑할 수 있는 수단을 함께 강구하여야 한다.이것을 신뢰할 수 있는 단계까지 제공하는 업체는 아직까지 없지만 앞으로 혹은 점차 확IDS/IPS산되고 있는 네트워크 행태분석 기술 과의 연동 혹은 통합이 유력시(Network Behavior Analysis)되는 부분이다.

목적 방문객에 의한 네트워크 사용으로부터의 보호[ 6]기업에서 일시적으로 네트워크를 사용하는 방문객에 의한 위협이 내부직원에 의한 보안 위협보다좀 더 신경써야 할 부분이라면 방문객에 대한 보안전략을 추가하여 이들을 통제할 수 있는 절차를만들어 두어야 한다.

즉 방문객을 식별하여 내부직원과는 다른 보안정책을 가지고 네트워크 사용을 제한할 수 있어야 한, ,다.

- 31 -

방문객이 사용할 수 있는 네트워크를 물리적으로 구분해 두는 것도 좋은 방법이 될 수 있다.

목적 무선랜 보안위험 감소[ 7]무선랜 환경에서 제기되는 보안위협인 정보자산에 대한 비인가된 접근 네트워크 무단접속 데이터, ,도청 그리고 인증정보 분산에 따른 해킹위험을 방지하기 위한 경우이다, .

가 기본적으로 기반으로 혹은 표준을 지원한NAC IEEE 802.1X Wi-Fi WPA/WPA2 IEEE 802.11i다면 무선랜에 대한 보안을 같이 고려할 수 있다.

년 초 무선랜에 대한 새로운 이정표가 될 만한 사건이 있었는데 그 하나는 이론상 최고2007 , ,속도를 지닌 무선랜의 새로운 표준인600Mbps IEEE 이 발표된 것과 국가보안기술연구소에802.11n

서 발표한 무선랜 인증시스템 보호프로파일이 그것이다‘ ’ .

은 다중 비디오 스트리밍 등에 적합한 고속 무선 환경으로 무선랜 인증시스템IEEE 802.11n VoIP, , ‘보호프로파일은 이에 대한 보안표준으로 무선랜 도입이 증가 될 것으로 예상된다’ .

는 다양한 보안 위협에 대응하기 위해 다음과 같은 세부 구성요소들을 통합하여 하나의 솔루NAC , ,션을 구성하고 있다.

●사용자 인증 서버●정책 적용이 가능한 네트워크 접점 스위치 라우터( , )●단말 무결성 검사• 화면보호기 설정• 안티바이러스 설치 검사• 휴대인터넷 차단(Wibro)• 호스트 IPS• 필수 보안 소프트웨어 설치 검사 클라이언트 패킷관리 보안 툴 등(DRM , , PC )• 금지 프로세스 검사

●비정상 검사Traffic●호스트 상태 분석 및 서비스NAC●리포팅

구성요소에 대한 설명2.

● 사용자 인증 서버사용자가 제시한 를 통해 접근 권한을 검사하고 허가 받지 않은 네트워크 영역에 접근하Identity ,는 것을 금지하도록 접근통제 정책 을 수립하는 역할을 한다, (ACL) .

인증 서버가 주로 사용되며 접근 제어정책을 수립할 때 사용하는 기초 정보로써 사용IEEE 802.1x ,자의 접속 위치 접속시간 소속 그룹 등의 정보를 사용한다ID, , , .

● 정책 적용이 가능한 네트워크 접점

- 32 -

사용자에게 네트워크에 연결할 수 있는 접점을 제공한다.또한 인증 서버가 수립한 사용자별 접근 정책을 실제로 적용함으로써 허가받지 않은 네트워크로, ‘ ’ ,의 접근 시도를 봉쇄한다.정책에 따라 사용자의 네트워크 사용량을 제어할 수 있다.

● 단말 무결성 검사또는 와 같은 단말들이 보안 위협요소로 분류되는 기준은 웜 또는 바이러스 감염PC PDA , PC,패치가 적용되지 않은 조직 내 필수 보안 프로그램이 설치하지 않은 경우 등이다OS PC, .

이와 같은 보안 위협요소를 해제하기 위해 패치관리시스템, (PMS : Patch Management System),안티바이러스 관리 소프트웨어 관리 시스템 등이 사용 된, (SMS : Software Management System)다.

솔루션은 이들과의 긴말한 상호 정보 교환을 통해 호스트 단말의 보안상태를 점검하고 문제NAC , ,가 발견된 단말을 네트워크로부터 격리하여 자동화된 치료 과정을 거친 후 다시 네트워크 접속을,시도하게 된다.

● 비정상 감지 시스템Traffic웜 및 바이러스 치료 시스템을 도입하였음에도 불구하고 신규 웜이나 바이러스가 유입되는 것을,완벽하게 예방할 수 없다.이와 같은 보안 위협요소를 제거하기 위해 알려지지 않은 웜 및 바이러스가 유입되었더라도 이들, ,단말이 발생시키는 비정상적인 대량의 을 감지하여 자동으로 단말을 네트워크로부터 격리시Traffic키는 시스템이 필요하다.

구현 방법에 따라 별도의 시스템을 통해 격리하거나 에이전트에 의해 자체 격리하는 방법이NAC , ,있다.

● 호스트 상태 분석 및 네트워크 접근 제어 서비스각 호스트 단말에 탑재되는 소프트웨어 형태의 구성요소이다PC , NAC .현재 단말이 보안 위협요소를 내포하고 있는지 여부를 검사한 후 해당되는 위협요소가 발견될 경,우 스스로를 중요 네트워크로부터 격리하고 보안 위협요소 해제 서버로 접속 위협요소를 자동으, , ,로 해제하는 기능을 한다.

인증서버와 연동하는 경우 기반의 사용자 인증 기능을 담당하기도 한다IEEE 802.1X , Identity .

● 리포팅(Reporting)사용자와 시스템의 네트워크 접근 이력 및 보안 위협요소 발견 상황 조치 내역을 저장하여 네트, ,워크 보안 관리에 유용한 정보를 제공한다.

- 33 -

제 장 관련 산업 동향3 NAC

제 절 국내 시장 동향1

년 발생한 대란 전에는 와 같은 외부의 침입2003 1.25 Firewall, IDS, IPS, TMS, UTM, XTM으로부터 보호하는 솔루션이 대다수였으며 같은 장비는 앞의 기술들을 통합하고, UTM, XTM

과 같은 소프트웨어를 추가하여 통합위협관리 시스템을 만들었다Anti-Spam .

하지만 대란 이후 내부 보안의 필요성이 대두되었고1.25 End-Point NAC(Network Access라는 새로운 네트워크 보안제품이 탄생하게 되었다Control) .

그 후로 꾸준하게 성장하는 국내 업체들이 생겨나기 시작하였으며 인증을 받음으로써 세CC계 시장에 외국 업체들과 함께 나란히 설 수 있는 기술력도 확보하게 된다NAC .

국내 각 회사들의 네트워크 접근 제어 기술은 다음NAC( ) 표< 6>과 같다.

표< 6> 국내 밴더별 NAC Type기술 회사

기술기반Out-of-Band 포어사이트 국내 지니네트웍스 국내( ), ( )기술기반In-Line 유넷 국내( )

인증기술 기반 에어큐브 국내 유넷 국내( ), ( )

국내 네트워크접근통제 의 수요가 빠르게 증가하면서 년 억원 규모의 시장을(NAC) 2011 300형성하였다.

가 단순히 의 네트워크 접근성에 대한 관리뿐만 아니라 보안 위협을 점검하고 대비NAC PC하는 기술로 발전하고 있어 그 관심이 높아지고 있기 때문이다.

년도가 도입단계였다면 년도부터는 확산단계로 전 산업 분야에서 도입을 하였다2010 2011 .공공기관 뿐만 아니라 민수 금융 의료 심지어 군대에서도 의 필요성이 부각되고 있다, , , NAC .국내 지니네트웍스의 경우 지니안 로 지난해 금융 분야와 일반기업 분야까지 고객을 대‘ NAC’거 확보하면서 다양한 산업군의 여 레퍼런스를 확보하고 있다230 .

포어사이트는 기존의 공공 국방 연구소 금융 외에 다수의 민수기업에 를, , , ‘Counter ACT’공급하였다.국내 정보보안 기업의 전체 매출 현황은 그림[ 6]을 보게 되면 총 매출은 년 천2010 123,776만 원에서 증가하여 년에는 천만 원으로 증가한 것을 볼 수 있다15.0% 2011 142,317 .

- 34 -

그림[ 6] 정보보안 기업의 매출 현황 출처 한국인터넷 진흥원( : (KISA))

이렇듯 시장이 커지면서 정보보안 관련 제품 및 서비스 수출도 년도에 비해 년2010 2011증가하였다20.0% .

수출액을 사업체 매출액 기준으로 살펴보면 매출액 억 이상의 사업체들이 전체 수출의, ‘100 ’를 차지하고 있어 년도 와 마찬가지로 매출이 큰 사업체들이 수출을 많이57.0% , 2010 (43.0%)

하고 있는 것으로 보인다.기업 형태별로 살펴보면 벤처기업이 전체 수출의 이며 나머지 를 일반 기업이, 74.8% 25.2%담당하고 있어 년도 와 마찬가지로 벤처기업들이 수출을 주도하고 있는 것으로 나2010 (72.3%)타났다.

그림[ 7] 정보보안 업체의 수출현황 출처 한국인터넷진흥원( : (KISA))

이렇게 수출도 높지만 국외에서의 수입도 증가한 추세이다.년도 정보보안 관련 제품 및 서비스의 수입 총액은 천만 원으로 년도2011 4,318 2010 2,505

천만 원보다 증가한 것으로 조사 되었다72.3% .

- 35 -

수입액을 사업체 매출액 규모별로 살펴보면 억 억 미만의 사업체들이 천만 원, ‘10 ~ 50 ’ 1,904을 수입하여 를 차지하는 것으로 조사되었으며 억 미만의 사업체들은81.2% ‘50 ~ 100 ’ 2,098천만 원을 수입하여 억 미만의 사업체들은 천만 원을 수입하여 억13.9%, ‘10 ’ 556 3.9%, ‘100이상의 사업체들은 천만 원을 수입하여 를 차지한 것으로 조사되었다’ 156 0.1% .기업 형태별로 살펴보면 벤처기업이 천만 원을 수입하여 를 차지하는 것으로 조, 2,182 95.9%사되었으며 일반기업은 천만 원을 수입하여 를 차지하는 것으로 조사되었다92 4.1% .

그림[ 8] 정보보안 업체의 수입현황 출처 한국인터넷진흥원( : (KISA))

- 36 -

제 절 국외 시장 동향2

년도 전 세계 보안시장 규모는 약 억 달러에 달한 것으로 추산되며 올해는 약2011 1,000 7%성장률을 보일 것으로 전망된다.

경기 침체에도 불구하고 올해 전 세계 보안시장은 부진하지는 않을 것이며 일부 몇몇 지역,시장 만이 성장을 멈추거나 마이너스 성장을 할 것으로 전망된다.보안업체들이 경기침체의 악조건 속에서도 기민하게 움직이고 신흥시장 진출에 박차를 가한다면 년 이후 다시 고성장이 시작될 것으로 예상된다2010 .

년 가장 큰 성장이 기대되는 지역은 아시아 동유럽 아프리카 중동 중남미이다2012 , , , , .이들 지역의 보안시장은 대부분 저 개발되어 있으며 제품 수요를 일으키는 요인은 대체로,활발한 경제 환경 신사업 형성 외자 투자활동 도시화 증가로 인한 사회적 긴장과 범죄 증, , ,가 중산층의 증가 등이 있다, .

중국 인도 러시아 브라질은 가장 큰 판매 증가를 보이며 현재 중국은 일본을 제치고 위, , , 1인 미국에 이어 세계 위의 보안기기 시장이 되고 있다2 .

터키 인도네시아 이스라엘 등 볼륨이 낮은 시장의 성장도 더욱더 커질 것으로 예상된다, , .현재 가장 큰 시장인 미국은 경기침체로 인하여 보안시장의 성장이 부진했다.하지만 여전히 큰 보안시장을 지니고 있어 잘 알려진 보안 업체들이 많이 있다.

해외의 네트워크 접근 제어 보안 솔루션 업체인 경우 미라지 시스코 마이크로소프트NAC( ) , , ,시만텍 등 국내에도 영향을 많이 끼치는 업체들이 많이 있다.국내와는 다르게 네트워크 접근 제어 기술이 고루 분포 되어 있으며 각 회사들의NAC( ) NAC기술은 다음 표< 7>과 같다.

표< 7> 해외 회사별 NAC Type기술 회사

기술기반Out-of-Band 미라지기술기반In-Line 시스코

기술기반OS 마이크로소프트네트워크 기술 기반 시스코 엔테라시스,

보안기술 기반 포티넷 컨센트리 시만텍 유넷 기반/ (IPS), / (Client ),맥아피 트렌드마이크로 안티바이러스 기반/ ( )

복합기술 기반 주니퍼 쓰리콤 체크포인트 등, ,

- 37 -

제 절 국내외 대표 업체 현황3 NAC

국내 대표 업체 현황1.

현재 국내에서 제품을 출시 판매하고 있는 업체는 포어사이트 지니네트웍스 유넷NAC , , , ,에어큐브 등이 있으며 각 업체별로 인증기술 기반의 제품을 판매하, Out-of-Band, In-Line,고 있다.

아직까지는 초기 시장이라 볼 수 있기 때문에 각 업체 제품별 시장 점유율 등은 조사된 자,료가 없다.또한 각 회사의 브로셔 자료에는 자 회사들의 장점만 부각시켜 놓았기 때문에 객관적인 판단을 하기 힘들어 장비 도입시 참고만 할 수 있도록 국내 대표 업체를 정리하였다NAC .표< 8> 은 현재의 국내 대표 업체이기 때문에 신생 업체 벤더 업체는 정리 되어있지 않다, .

표< 8> 국내 대표 업체 현황기능 지니 유넷

설치 및 운영

기존네트워크변경 없음

있음를 지원하지 않는 경우(802.1x형태의 장비 필요In-line )

형태NAC Agent-less/base Agent-base설치형태 Out-of-band In-line연결형태 Trunk In-line

구분Agent Application Application

Pre-Admission

사용자인증

802.1x지원 미지원 지원

지원AD 지원 지원

Web인증지원

지원 지원일반DB연동

지원 지원

RADIUS등 지원 지원 지원

- 38 -

단말인증

IP/MAC인증 지원 지원

서비스포트인증

지원 지원필수소프트웨어인증

기반에서 지원Agent의 경우(Agent-less

타 시스템과 연동)지원

PMS기능 지원 미지원

Post-Admission

미러링 여부 미지원 미지원

가상단말지원 지원 수동설정( ) 미지원

Day-Zero 부분적 미지원

특정탐지Traffic 미지원 미지원

Enforcement

타 시스템과차단 연동 지원 지원

차단방식변조Gatewat ARP

동일 네트워크로 통신(가능)

방식을 이용한 차단In-line

모든단말 차단 지원 미지원

특정 사이트차단 허용, 미지원 환경인 경우 지원802.1x

차단안내메시지 지원 지원

- 39 -

국외 대표 업체 현황2.

국외 업체도 국내 업체 현황과 마찬가지로 국외 대표 회사로 잡았으며 정리되어 있지 않은,회사도 있다.

표< 9> 국외 대표 업체 현황기능 포어스카우트 미라지

설치 및 운영

기존네트워크변경 있음 없음

형태NAC Agent-base Agent-less/base설치형태 Out-of-band Out-of-band연결형태 Trunk+mirror Trunk+mirror

구분Agent Socker Application

Pre-Admission

사용자인증

802.1x지원 미지원 미지원

지원AD 지원 지원

Web인증지원

지원 지원

일반DB연동

지원 지원

RADIUS등 지원 지원 지원

단말인증

IP/MAC인증 지원 지원

서비스포트인증

미지원 지원 자동설정( )

필수소프트웨어인증

지원기반에서 지원Agent의 경우 타 시스템과(Agent-less연동)

- 40 -

PMS기능 미지원 미지원

Post-Admission

미러링 여부 지원 지원

가상단말지원 미지원 지원 자동 설정( )

Day-Zero 부분적 지원

특정탐지Traffic 부분적 지원

Enforcement

타 시스템과차단 연동 지원 지원

차단방식포트 차단Switch

을(IP-Phone사용하는 경우 포트차단으로 통신불가)

전체 변조방식ARP허용되지 않은 모든 통신 불가( )

모든단말 차단 지원 지원특정 사이트차단 허용�

미지원 지원차단

안내메시지 지원 지원

- 41 -

제 장 국내외 규정 법령 표준 가이드라인4 NAC , ,

제 절 국내 규정 및 법령1

가 국내 표준 법령.국내의 표준 법령은 다음과 같다 다음 법령들은 법제처에서 발췌 하였으며 아직까지 에. NAC관한 규정 법령 표준 가이드라인은 없는 상태이다, , .

ㅇ 조 적합성평가체제의 구축21 ( )정부는 적합성평가체제의 인정 및 인증사업을 추진하고 적합성평가절차를 국제가이드 및 국①제표준 이하 국제기준 이라 한다 과 일치시키기 위하여 노력하여야 한다( " " ) .제 항에 따른 적합성평가체제의 구축을 위하여 추진하는 인정 및 인증사업은 다음 각 호와1②같다 개정. < 2010.4.5>산업표준의 제정 및 보급1.제품인증체제 구축2.시험 검사기관 인정3. ㆍ교정기관의 인정4.품질경영체제 및 환경경영체제 인증5.표준 및 적합성평가에 대한 국제상호인정6.민간단체의 규격 및 기준에 대한 승인7.제 조의 에 따른 국가통합인증마크의 운영8. 22 4그 밖에 체제 인증 등 신규 인증제도 구축에 필요한 사항9.전문개정[ 2009.4.1]

ㅇ 제 조 제품인증 등22 ( )중앙행정기관의 장은 제품에 대한 인증 검정 등록 인정 심사 검사 신고 형식승인 등① ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ ㆍ이하 인증등 이라 한다 의 제도를 도입할 때에는 지식경제부장관에게 통보하여야 한다 다만( " " ) . ,법령을 제정하거나 개정하여 제품에 대한 인증 등을 반드시 받도록 하거나 인증 등의 마크를표시하도록 하려면 그 내용에 관하여 지식경제부장관과 협의하여야 한다.관련 중앙행정기관의 장은 새로운 제품인증제도가 국제기준에 맞는지 등을 종합적으로 검토②

하고 그 결과를 심의회에 제출하여야 한다.전문개정[ 2009.4.1]

ㅇ 제 조의 표준인증심사제의 도입22 2( )제품에 대한 인증 등을 반드시 받도록 법령에 규정하는 경우 소관 중앙행정기관의 장은 이①법에 따른 표준인증심사제를 도입하여 인증 등을 하여야 한다.표준인증심사제의 구체적인 심사유형 및 운영에 필요한 사항은 대통령령으로 정한다.②

- 42 -

본조신설[ 2009.4.1]

ㅇ 제 조의 신제품의 인증 등22 3( )법령에서 인증 등을 반드시 받도록 규정된 제품에 대한 인증 등의 신청이 있는 경우 소관①중앙행정기관의 장은 현행의 기준 또는 규격이 없거나 이를 적용하는 것이 불합리하다고 인정되는 제품에 대하여 별도의 기준이나 규격 또는 절차를 정하여 신제품으로 인증을 할 수있다 이 경우 별도의 기준이나 규격 또는 절차는 조속한 시일 내에 관련 법령에 따라 정비.하여야 한다.현행의 기준 또는 규격에 관하여 이해관계가 있는 자는 소관 중앙행정기관의 장에게 기준②

또는 규격의 제정 개정을 신청할 수 있다.ㆍ중앙행정기관의 장은 제 항에 따른 제정 개정의 신청이 있는 경우 제정 개정 여부를 신2③ ㆍ ㆍ

속히 검토한 후 그 결과를 신청인에게 통보하여야 한다.본조신설[ 2010.4.5]종전 제 조의 은 제 조의 로 이동[ 22 3 22 4 <2010.4.5>]

ㅇ 제 조의 국가통합인증마크의 도입22 4( )인증 등을 받은 제품에 마크를 표시하도록 법령에 규정하는 경우 소관 중앙행정기관의 장①은 국가통합인증마크를 도입하여야 한다 다만 국제협약 조약을 포함한다 또는 국가 간 협. , ( )정을 준수하거나 통상마찰을 방지하기 위하여 관련 중앙행정기관의 장이 국가통합인증마크의 도입을 제외하는 것이 필요하다고 인정하는 경우에는 그러하지 아니하다.중앙행정기관의 장은 제 항 단서의 사유가 소멸되었다고 판단되는 경우 국가통합인증마크를1②

도입하여야 한다.제 항에 따른 국가통합인증마크의 표시기준 및 방법 등에 필요한 사항은 대통령령으로 정1③

한다.본조신설[ 2009.4.1]제 조의 에서 이동[ 22 3 <2010.4.5.>]

ㅇ 제 조 시험 검사기관 인정23 ( )ㆍ정부는 제 조에 따른 적합성평가체제를 구축하기 위하여 시험 검사기관 인정제도의 선진21① ㆍ화에 필요한 조치를 마련하여야 한다.시험 검사기관 인정제도의 확립에 필요한 인정기구와 운영기관의 지정 인정기준 및 절차,② ㆍ

등에 필요한 사항은 대통령령으로 정한다.관련 중앙행정기관의 장은 시험 검사기관 인정제도를 도입할 때에는 제 항에 따른 인정기2③ ㆍ

구를 활용하여야 한다.전문개정[ 2009.4.1]

ㅇ 제 조 품질경영체제 및 환경경영체제 인증24 ( )정부는 품질경영 및 환경경영 촉진을 위하여 품질경영체제 표준시리즈 및 환경(ISO 9000 )①경영체제 표준시리즈 를 인증하는 제도를 도입할 수 있다(ISO 14000 ) .

- 43 -

정부는 품질경영체제 및 환경경영체제 인증제도의 효율적인 관리 운영을 위하여 관련 민간② ㆍ기구를 활용할 수 있다.제 항 및 제 항에 따른 품질경영체제의 인증 및 그 인증제도의 관리 운영에 관한 사항은1 2③ ㆍ품질경영 및 공산품안전관리법 에서 정하는 바에 따르며 환경경영체제의 인증 및 그 인증제,「」

도의 관리 운영에 관한 사항은 환경친화적 산업구조로의 전환촉진에 관한 법률 및 환경기ㆍ 「」「술 및 환경산업 지원법 에서 정하는 바에 따른다 개정. < 2011.4.28>」전문개정[ 2009.4.1]

ㅇ 제 조 적합성평가에 대한 상호인정25 ( )정부는 국내 인정기구와 국제인정협력기구 간의 적합성평가에 대한 상호인정협정 체결을 권①장하여야 한다.지식경제부장관은 제 항에서 규정한 협정이 세계무역기구의 무역에 대한 기술장벽 협정1② 「」

과 조화를 이루며 관련 국제기준에 규정된 공정관행 요건을 충족시키도록 관련 기관( )公正慣行에 권고하여야 한다.전문개정[ 2009.4.1]

ㅇ 제 조 국제표준의 협력증진 정부는 국내 표준 관련 기관과 국제표준기구 또는 다른 국가표26 ( )준기관과 협력체계를 유지하거나 강화하고 학술 및 기술교류의 증진을 위하여 노력하여야한다.전문개정[ 2009.4.1.]

국내 평가 인증제도2. �

정보보호 시스템 평가 인증제도는 정보보호시스템의 객관적이고 공정한 평가를 통하여 제 3�

자로부터 안전성과 신뢰성이 검증된 정보보호시스템 사용을 권장함으로써 보다 안전한 정보사회 구축에 기여하는 것이다.하지만 해당 자료는 년도 에서 발행한 정보보호시스템 평가 인증 가이드에서 발췌2004 KISA한 자료이다.그림[ 9]는 국내 평가 인증 체계도이다.�

- 44 -

그림[ 9] 국내 평가 인증 체계도�

가 정보보호시스템 평가기준.

정보보호시스템 평가기준은 다음과 같다.은 년 국제표준으로 제정된 과 동일한 내용으로 보안성 평CC V2.1 1999 ISO/IEC 15408 IT●

가를 위하여 제품의 구분에 관계없이 모든 제품 시스템에 적용 가능하도록 개발되었다/ .년 월 정보통신부는 을 한글화하여 침입차단시스템 침입탐지시스템 가상사2002 8 , CC V2.1 , ,●

설망제품 평가에 적용할 수 있도록 정보보호시스템 공통평가기준을 제정하였다.년 정보통신부는 스마트카드 지문인식시스템 운영체제보안시스템을 추가하여 총 개2003 , , 6●

제품 평가에 적용할 수 있도록 정보보호시스템 공통평가기준을 개정하였다.

- 45 -

제 절 국외 규정 및 법령2

국외 평가 및 인증제도1.

가 미국의 보안 평가 관련조직.

◆ 국가보안시스템위원회 구성(CNSS)

는 년 월 일 행정명령 에 의해 를 재정비하여 구성CNSS 2001 10 16 (E.O. 13231) NSTISSC되었다.

년 월 발효된 국가보안령 에 근거하여 국방부 차관을 의장으로 국가보안위1990 7 No.42 ,원회 국립표준기술연구소 관리예산청 농림부 상무부 국방부 등 주요 국가기관이, (NIST), , , ,참여하여 구성되었다.

의 의장은 에서 맡고 있으며 대통령직할 핵심인프라보호위원 회의 상임 위원CNSS DoD ,회로서 주기적으로 모든 사항을 햄심 인프라 보호 위원회에 의 활동 내역을 보고하CNSS였다.

는 정보시스템 보안 분과 위원회와 통신 보안분과위원회 등 개의 분과가 구성되CNSS 2어 있으며 산하에 개의 연구반을 운영하고 있다 개의 연구반은 아래와 같다, 8 . 8 .

○ 키 관리기반 연구반○ 국가평가 연구반○ 용어 연구반○ 정보보증 연구반CNSS○ 교육 연구반○ 공간정책 연구반○ 민감한 정보의 보증 연구반○ 암호현대화 연구반

업무●

국가 정책 및 표준을 개발 및 발간•• 가이드라인 지침 권고사항 기술 속보와 해킹 사고 보고서를 개발 및 발간, , ,• 국가보안시스템 실태에 대한 평가 제출• 정보보호제품과 정보를 정부에 공개여부 승인• 국가 발급 시스템을 개발 및 관리• 다른 보안포럼과 협력 관계 구축

- 46 -

그림[ 10] 조직 구성도CNSS◆ 국가보안국(NSA)

●구성

• 국방부 산하 정보기관으로 운영 기술 및 시스템 정보시스템 보안 기획 정책 및 프로, , , ,그램 지원 서비스 등 개 이사회로 구성되어 있다, 5 .

• 산하에 개 그룹이 있다는 것 외에는 내부 조직은 알려지지 않다NSA 22 .

●업무

• 정보보호 표준 개발 및 평가• 정보보호 프로그램 개발 및 관리• 보안권고 보안제품의 승인, CCEP(Commercial COMSEC/COPMUSEC Endorsement

의 수행책임Program)• 암호국가보안시스템 기술보안자산 정보 및 기술 공개에 대한 승인, ,

◆ 국립표준기술원(NIST)

●구성

는 상무부 산하 표준연구소로서 측정 및 표준 시험기관 고등기술 프로그램 제조업NIST , ,

- 47 -

확장 협의체 말콤 볼드리지 품질 상 등 개의 프로그램을 운영하면서 측정기준및 표준, 4 ,을 개발하여 산업체에 적용시키는데 노력 하였다.

●업무

• 국가기반기술 체계구축 소규모의 제조업자가 사용할 수 있는 정보통신망 제공,• 제조 및 서비스 업계의 품질관리 개선• 연방표준을 준수한 제품 시험을 위한 시스템 제공 및 시험방법 개발

◆ 국가정보보증협의체(NIAP)

●목적

기존의 제품에 대한 보안성 평가가 정부기관의 사용 목적을 중심으로 진행되어 왔으IT나 기술의 발전과 민간 분야에 사용되는 정보시스템의 확산에 따라 정보시스템의 보안기,능에 대한 보증의 중요성을 인지하여 민간분야에 대한 확대 지원을 위해 설립하였다.

●업무

• 평가된 제품 및 시스템의 사용과 개발을 촉진IT• 보안성을 위한 국내 및 국제 표준의 사용과 개발을 촉진IT• 보안 요구사항 정의 시험방법 시험도구 시험기술 보증방법의 연구개발 육성IT , , , ,• 국제상호인정체계 구축 지원• 미국내 상용 보안평가산업의 개발과 성장을 촉진

●주요활동

• 평가 인증 평가기관 인정프로그램 운영CC• 기반 시험평가 및 국제상호인정 체계구축CC• 인정된 평가시험기관 평가결과 보고서 및 평가제품목록 관리,• 인정된 민간평가기관에 전반적인 전문 기술 서비스 제공• 표준 정보보호제품군에 대한 시험 및 검증 프로그램을 구축하고자 하는 기관지원,• 제품 개발자와 평가기관에서 사용할 툴 개발IT• 정보보호시스템 평가에 사용될 고도의 기술개발을 위한 산업과 민간 평가기관 간의 협력 지원• 기반으로 한 보호프로파일 개발 및 평가 방법 개발CC• 정보보호제품 시험 평가 관련 워크샵 및 교육 프로그램 개발 및 운영∙• 평가 인증서 발급

- 48 -

◆ 평가 � 인증 프로그램

● 평가인증체계CC (CCEVS)

는 를 이용한 평가CCEVS CC 인증 프로그램으로서 미국의 에서 운영한다 초기에는, NIAP .∙로 불리다가 년 월에 로 변경됨 현재 평가인증 제CCEP 1999 5 CCEVS . , � 도를 운영하는 문서인 종6

의 스킴이 발표되었으며 년 월 개의 평가기관을 운영하고 있음 최근에 는 인증, 2004 12 9 NSA기관 운영 및 인증업무를 맡고 있으며 신규 인정 및 재인정 업무를 맡고 있다, NIST CCTL .

● 의 평가CCEVS ∙인증 체계

의 평가 인증 체계는CCEVS � 그림[ 11] 과 같다.

그림[ 11] 평가�인증 체계

● 목적CCEVS

• 정보보호시스템 평가의 비용효과에 대한 정부와 산업체의 요구에 부응• 민간 시험소의 보안시험 기술개발 지원• 에 기반한 정보보호시스템 평가 인증CC• 정보보호시스템의 유용성 확대

- 49 -

제 장 제품 평가모델 개발5 NAC BMT

제 절 제품 기본 기능 정의1 NAC

무선인터넷 기술의 발달로 인하여 기존의 폐쇄적인 환경을 개방적인 환경으로 변화시키고 있다.또한 휴대용 무선 단말기의 사용으로 인터넷 이용 편의성 및 이동성이 증진되면서 사용자들은 시간과 장소에 구애받지 않고 인터넷 망을 이용하고 있다.

스마트 폰을 위한 이동통신망과 통신망 인프라가 활발하게 구축되어 뱅킹 위치3G Wi-Fi Mobile ,기반 서비스 멀티미디어 파일전송 등 실내 내부에서만 이루어지는 작업들이 점점 밖으로 나오고, ,있는 추세를 보이고 있다.

이러한 휴대용 무선 단말기 서비스의 다양화 및 증대에 따라 네트워크는 각종 공격의 위협과 개인정보 유출들 보안 위협이 증가 되고 있다.가장 기본적인 보안 위협으로는 휴대용 무선 단말기를 통한 악성코드 감염 공격 등이 있다, DDoS .

현재 보안시스템은 외부에서 들어오는 공격만 막게 되어 있는데 악성코드에 감염된 휴대용 무선단말기가 내부의 인트라넷 망에 연결되면 현제의 보안 시스템은 무용지물이다.이에 내부로부터 오는 공격을 관리하기 위하여 제품이 개발 되었는데 기본 기능은 표 과NAC < 10>같다.

표< 10> 제품 기본 기능NAC기능 설명

진입 전 인증Pre-Admission

내부 네트워크에 접근하는 사용자 인증•네트워크에 진입하는 단말을 인증•

• 관리자가 요구하는 수준을 통과하지 못하는 단말 차단• 신규 접근 단말에 대한 인증

진입 후 인증Post-Admission

• 네트워크의 위협 요소들을 검출웜 및 바이러스에 감염된 단말을 검출•

• 정책을 위반한 사용자들에 대한 검출 가능

격리 차단( )• 문제가되는단말을네트워크로부터격리시키는행동• 를이용하는방식 을조정하는방식등사용Switch ARP Table• 차단후단말사용자및관리자에게차단에대한메시지전달

치료• 대부분의제품들이자동치료는지원하지않음• 기존의시스템등과연동하는방식및안내메시지전달을통해차단된사용자의자가치료를유도

- 50 -

제 절 제품 기존 시나리오2 NAC BMT

기존의 평가항목1. BMT

가 미라지 시나리오. BMT

방법TEST◆본사의 에 연결Workgroup Switch●

을 이용하여 설치Workgroup Switch Mirroring Mirage NAC●전체 개의 필요 개 필요3 Port (IP Address 2 )●

그림[ 12] 미라지 셋팅BMT Test

순서TEST◆항목 설명

설치 및 운영 테스트 장비를 설치하고 작업환경에 대한 테스트NAC

네트워크 스캔 테스트 사용하고 있는 네트워크에 대한 장비 검출이 가능한지 테스트

가상단말 테스트 가상 단말 생성 및 효율성 테스트

인증 기능 테스트IP/MAC 사용자 인증 테스트

MAC/IP Locking 테스트Address Locking

탐지 및 차단 각종 공격과 위협요소 탐지 및 차단 테스트

차단 위협요소 차단 테스트

- 51 -

설치 및 운영 테스트◆테스트항목 설치의 용이성에 대한 평가

테스트방법방법 장비의 설치가 용이한지에 대한 평가자의 평가

Tool확인 점검 내용/

설치장비가 기존 네트워크의 변경 없이 설치가 가능한지 여부장비에 대한 에서 가능한지 여부Upgrade Remote

장애대체장비의 장애가 전체 네트워크에 영향을 미치는 않는지 여부

을 통산 신속한 기존 설정 값 복구Backup file

테스트항목 모니터링 의 편리성에 대한 평가Tool

테스트방법방법 모니터링 에 대한 평가자의 평가Tool


항목장비와 암호화 통신을 하는지모니터링 의 편리성 상 중 하로 평가Tool ( , , )권한 별로 장비에 접속이 가능한지

테스트항목 미러링 및 모니터링 지원VLAN

테스트방법방법 스위치의 미러링 포트에 장비를 연결하고 미러링 분석여부 판단Traffic


모니터링미러링 을 통하여 전체 모니터링 가능 여부Traffic

별로 모니터링이 가능한지 여부VLAN

- 52 -

네트워크 스캔◆테스트항목 네트워크에 운영되고 있는 장비에 대한 검출 여부 테스트

테스트방법방법 장비에 접속하여 각 테스트 항목별로 정확하게 검출이 가능한지 테스트


검출

별로 검출이 가능한지 여부OS장비에 대한 검출 가능 여부Wireless

특정 를 사용하는 장비에 대한 검출 가능 여부Port네트워크에 연결된 모든 단말에 대한 정보 수집 기능IP/MAC

가상단말◆테스트항목 가상의 단말을 생성 기능테스트

테스트방법방법 가상의 단말을 생성하여 가상의 단말에 접속이 가능한지 테스트

Tool 일반적인 이용Network scanning tool확인 점검 내용/

검출

사용자가 손쉽게 가상의 단말 생성이 가능한지사용하고 있지 않은 모든 대역에 가상의 단말 생성이 가능 한지실제 단말이 접속하면 자동으로 가상의 단말을 해지 가능 한지가상의 단말을 등 별로 생성이 가능한지OS(XP, Linux )

테스트항목 가상 단말의 효율성에 대한 테스트

테스트방법방법 테스트 을 이용하여 가상의 단말의 효율성에 대한 테스트Tool

Tool 및X Scan Network Scanning tool확인 점검 내용/

검출가상의 단말에 해킹 시도가 되는지 여부

시간 지연 기능Scanning가상의 단말에 접속에 접속을 시도한 단말 검출 여부

- 53 -

인증 기능IP/MAC◆테스트항목 를 기반으로 한 단말 인증 기능 테스트IP/MAC Address

테스트방법방법 등록되지 않은 접근시 차단 테스트IP/MAC


검출등록되지 않은 접근 차단 기능IP/MAC차단에 대한 안내메시지 전송 기능

MAC/IP Locking◆테스트항목 와 기능Mac Address IP Address Locking

테스트방법방법 특정 과 를 하고 된 를 사용하는 단말 검출 테스트MAC IP Locking Locking IP


검출 기존에 된 를 사용하는 단말에 대한 검출Locking IP Address

탐지 및 차단◆테스트항목 공격에 대한 대응 여부DDoS

테스트방법방법 공격 을 이용하여 탐지 및 차단 성능을 테스트DDoS Tool

Tool DDoS Ping 2.00확인 점검 내용/

탐지 공격을 하는 단말에 대한 탐지 여부DDoS

격리탐지된 단말에 대한 격리 여부격리된 단말에 지정된 안내메시지 전송격리된 단말에 정해진 사이트 접속허용

- 54 -

테스트항목 공격에 대한 대응 여부ICMP Flood

테스트방법방법 공격 을 이용하여 탐지 및 차단 성능을 테스트ICMP Flood Tool

Tool Net Tools 4확인 점검 내용/

탐지 공격을 하는 단말에 대한 탐지 여부ICMP Flood


테스트항목 공격에 대한 대응 여부UDP Flood

테스트방법방법 공격 을 이용하여 탐지 및 차단 성능을 테스트UDP Flood Tool


탐지 공격을 하는 단말에 대한 탐지 여부UDP Flood


테스트항목 특정 서버로의 접속시 탐지 및 차단 여부 테스트

테스트방법방법 허용 되지 않은 특정 장비로의 접속을 시도하여 탐지 여부 테스트


탐지 특정 장비로 시도 시 감지 여부Telnet


- 55 -

테스트항목 공격에 대한 대응 여부HTTP Flood

테스트방법방법 공격 을 이용하여 탐지 및 차단 성능을 테스트HTTP Flood Tool


탐지 공격을 하는 단말에 대한 탐지 여부HTTP Flood


테스트항목 메일 서버 공격에 대한 대응 여부SMTP Syn

테스트방법방법 메일서버 공격 을 이용하여 탐지 및 차다 성능을 테스트SMTP Syn Tool


탐지 메일서버에 공격을 하는 단말에 대한 탐지 여부SMTP Syn


테스트항목 공격에 대한 대응 여부Fishing Port Scan

테스트방법방법 공격 을 이용하여 탐지 및 차단 성능을 테스트Fishing Port Scan Tool


탐지 공격을 하는 단말에 대한 탐지 여부Fishing Port Scan


- 56 -

테스트항목 공격에 대한 대응 여부FTP Server Scan

테스트방법방법 공격 을 이용하여 탐지 및 차단 성능을 테스트FTP Server Scan Tool


탐지 공격을 하는 단말에 대한 탐지 여부FTP Server Scan


테스트항목 공격에 대한 대응 여부RDS(Remote Desktop Scan)

테스트방법방법 공격 을 이용하여 탐지 및 차단 성능 테스트Remote Desktop Scan Tool


탐지 공격을 하는 단말에 대한 탐지 여부Remote Desktop Scan


테스트항목 네트워크 공유 드라이브 에 대한 대응 여부Scan

테스트방법방법 네트워크공유드라이브 공격 을이용하여탐지및차단성능을테스트Scan Tool

Tool Share Enum확인 점검 내용/

탐지 네트워크 공유 드라이브 공격을 하는 단말 탐지 여부Scan


- 57 -

테스트항목 에 대한 대응 여부Back Door

테스트방법방법 백도어공격 을이용하여탐지및차단성능을테스트IRC Heartbeat Tool


탐지 백도어 공격을 하는 단말에 대한 탐지 여부IRC Heartbeat


테스트항목 해킹에 대한 대응 여부Host

테스트방법방법 해킹공격 을이용하여탐지및차단성능을테스트Host Tool

Tool X-Scan-v3.3확인 점검 내용/

탐지 해킹 공격을 하는 단말에 대한 탐지 여부Host


테스트항목 패킷 변조 공격에 대한 대응 여부

테스트방법방법 패킷 변조 공격 을 이용하여 탐지 및 차단 성능을 테스트Tool


탐지 패킷 변조 공격을 하는 단말에 대한 탐지 여부


- 58 -

테스트항목 사용 단말에 대한 탐지 여부P2P

테스트방법방법 프로그램을 사용하여 탐지 여부 테스트P2P


탐지 프로그램 사용자에 대한 탐지 여부P2P


테스트항목 특정 프로그램 사용자에 대한 탐지 여부Messenger

테스트방법방법 메신저 프로그램을 이용하여 탐지 및 차단 성능을 테스트


탐지 메신저 프로그램 사용자에 대한 탐지 여부


테스트항목 특정 프로그램 사용자에 대한 탐지 여부Messenger

테스트방법방법 메신저 프로그램을 이용하여 탐지 및 차단 성능을 테스트


탐지 해킹 공격을 하는 단말에 대한 탐지 여부Host


- 59 -

테스트항목 차단된 단말이 통신한 통신 내역에 대한 조회 테스트

테스트방법방법 차단된 단말에 대한 통신내역이 조회 되는지 여부 테스트


탐지해킹 공격을 하는 단말에 대한 탐지 여부Host

단말이 어떠한 로 통신하였는지 여부 조회 기능Port통신한 단말이 전송한 용량에 대한 조회 기능 여부Packet

차단◆테스트항목 완벽하게 네트워크로부터 차단되는지에 대한 테스트

테스트방법방법 를 이용하는 방법 및 다른 단말에서 차단 단말로Static ARP접속하는 방식 사용Tool X-Scan-v3.3

확인 점검 내용/

방법하게 의 의 세팅한 경우에 차단Static Default Gateway MAC

다른 단말에서 차단된 단말로 접속이 되는지 여부인터넷만 차단하고 내부 네트워크는 사용 가능하게 차단

- 60 -

나 지니 네트웍스 시나리오. BMT

기존 업무 영향도 테스트◆테스트항목 시스템 설치 후 기존 업무 정상 사용 확인

테스트방법방법 기본 구성 시 정상 사용 여부 확인 테스트용 중에서 확인(BMT PC )


항목구성시 사용자 및 네트워크가 시스템에 영향을 받는지 점검PC

운영 모드 지원 여부 확인Simulation (Passive)

자산 관리 기능 테스트IT◆테스트항목 인프라 자원 수집 및 통계 기능 테스트IT

테스트방법방법 네트워크 자원 수집 및 모니터링


항목및 자신 관리 기능 검토IT PC

관리서버에서 운영자에게 적절하게 관리 현황 정보를 제공하는지 확인

테스트항목 인프라 자원 수집 및 통계 기능 테스트IT

테스트방법방법

사용자 자산 수집 및 모니터링PC자산 통계 현황 정보 확인


방법및 자산 관리 기능 검토IT PC

관리서버에서 운영자에게 적절하게 관리 현황 정보를 제공하는지 확인

- 61 -

비인가 주소 탐지 및 차단 기능 테스트IP/MAC◆테스트항목 주소 기반 차단 정책 기능 테스트IP/MAC

테스트방법방법 차단 정책 설정 및 동작 기능 평가IP/MAC


방법차단 및 허용 정책을 적용하여 동작 기능 평가IP/MAC

변경 금지 충돌보호 기능 평가IP , IP신규 에 대해 자동 감지 및 네트워크 허용 차단 기능 평가IP/MAC ,

사용자 인증 기능 테스트◆테스트항목 사용자 계정 를 이용한 사용자 인증 기능DB

테스트방법방법 사용자 인증을 위한 방법 제공 여부 확인


방법환경에서의 사용자 인증 연동 방안을 확인 점검AD/Radius /

임시방문자의 경우 자체 활용한 사용자 인증이 가능한지 확인DB

기능 테스트 역할별 접근통제 기능NAC◆ –테스트항목 네트워크 차단 허용 정책 기능 테스트/

테스트방법방법 사용자 에 별도 를 설치하지 않은 상태에서 네트워크 접근PC Agent차단 기능을 평가Tool


방법

단말기는 네트워크 접속 차단 정책을 단말기는 네트워크 허용A B정책을 적용하여 기능 평가단말기는 특정시간에만 네트워크 허용 정책을 이외 시간에는 차단C정책을 적용하여 동작 기능 평가

단말기의 사용 용도별로 네트워크 접속에 대한 차단 허용 정책에/대한 동작 기능 평가

- 62 -

기능 테스트 에이전트 설치NAC◆ –테스트항목 네트워크 차단을 통한 에이전트 자동 수동 설치 및 안전성 테스트( )

테스트방법방법

사용자 에 를 설치하지 않은 상태에서 설치 방안을 평가PC Agent Agent에이전트를 설치할 수 없는 네트워크 장비 네트워크 프린터, , IP등에 대한 방안 확인Phone


방법에이전트를 손쉽게 배포 설치 할 수 있는지 평가/에이전트 설치 후 안정성 영향도 평가PC자동 예외 처리 기능 평가

테스트항목 보안 패치 정책 설정에 따른 차단 정책 기능 테스트 및 패치 관리 현황 확인

테스트방법방법 사용자 의 보안 패치 상태 점검 후 보안 정책 위반 사용자의PC네트워크 차단 및 치료 기능Tool


방법

단말기에 대해 보안 패치 유무 확인 및 미적용 시 보안 패치A,B적용토록 정책 설정특정 보안 패치에 대해서 적용 필요 유무를 설정할 수 있는 점검보안 패치 시 시간대 조정 등의 옵션 기능 적용 여부

테스트항목 백신 및 표준 프로그램 사용 여부에 따른 네트워크 차단 및치료 설치 테스트( )

테스트방법방법 사용자 에서 백신 프로그램 등 필수프로그램 상태 점검 후 보안PC정책 위반 사용자의 네트워크 차단 및 조치 기능 확인Tool


방법

단말기는 백신 프로그램 등 필수프로그램 미 설치 시 네트워크A,B차단하고 자동 설치하도록 정책 설정적합 사용자는 인터넷 및 내부 네트워크에 연결될 수 있는지 확인단말기는 타 백신을 설치하고 타 백신 사용시에도 인터넷 및 내부C네트워크 접근이 가능하도록 설정

- 63 -

테스트항목 사용자 의 보안 준수 강제화 기능 테스트PC

테스트방법방법 윈도우 보안 설정 강제화 기능 여부PC


방법

윈도우 보안 센터 강제화사용자 계정 및 사용자 공유폴더 및 원격데스크톱 설정 외 윈도우PC설정 점검화면 보호기 및 바탕화면 강제화PC웹 브라우저 보안설정 강제화IE

사용자 보안 기능 테스트 정보 유출 및 우회 경로 탐지차단PC /◆ –테스트항목 우회 경로 탐지 및 제어 기능 테스트

테스트방법방법 내부 네트워크 우회 경로 탐지 및 차단 수행 여부(DATA/Voice)


방법정보 탐지 및 차단 기능 확인AD-hoc, illegal route

불법무선랜 등을 이용한 네트워크 사용 탐지 및, Wibro, T-Login차단 기능 확인포트 모뎀 등을 이용한 인터넷 사용 탐지 및Bluetooth, Serial ,차단 기능 확인

악성 탐지 및 차단 기능 테스트Traffic◆테스트항목 단말에서 발생하는 유해 탐지 및 차단 기능 테스트Traffic

테스트방법방법 비정상 유해 발생 시 이를 탐지하고 대응하는지와Traffic관리자에게 적절한 정보를 제공하는 지를 평가Tool


방법

불법 서비스 요청 탐지 및 차단 기능 평가임계치 초과한 포트 스캔 행위 탐지 및 차단 기능 평가과도한 행위 탐지 및 차단 기능 평가ARP Broadcast위험 이벤트 발생시 관리자 통보 기능 평가

- 64 -

관리 및 운영 부분 평가 정책설정 및 예외처리◆ –테스트항목 유연한 보안정책 설정 및 예외처리 지원

테스트방법방법 효율적인 제품 운영관리 부분 평가


방법주소 주소 이외에 보안정책 설정 조건 범위 확인IP , MAC다양한 예외처리 제공 수준 확인

관리 및 운영 부분 평가 운영관리 및 감사기록◆ –테스트항목 관리 및 운영 편의성 테스트NAC

테스트방법방법 효율적인 제품 운영관리 부분 평가


방법관리자 유형 및 접속 권한 관리감사기록 및 통계 현황 정보 수준이벤트 발생 시 관리자 알람

수행 능력 및 구축 경험BMT◆테스트항목 수행 만족도 레퍼런스 제품 향후 보완 발전 방향BMT , , /

테스트방법방법 수행 능력 및 제품 발전 방향 평가BMT


방법수행 능력 및 제품의 향후 보완 발전 방향 평가BMT /명 이상 레퍼런스 보유10,000

- 65 -

제 절 제품 평가항목 도출3 NAC BMT

1. 솔루션 기능성NAC (Functionality)

솔루션에 있어서 기능성이란 특정 조건에서 사용될 때 명시된 요구와 내제된 요구를 만족하NAC는 기능을 제공하는 제품의 능력으로 다른 품질 특성들은 주로 제품이 언제 어떻게 하는 것에 관련,이 있으나 기능성은 기능적 요구를 충족하기 위해서 제품이 무엇을 하는가에 평가의 관점이 있다고할 수 있다.

제품의 경우 네트워크를 보호하기 위한 기능이 있으면 이러한 기능을 통하여 제공 되어지는NAC요소는 무엇인지 이러한 기능들이 제대로 작동하는지를 평가하여야 한다, .그 외에도 의 기능과 성능을 충분히 고려하여 평가가 이루어져야 한다NAC .

솔루션의 기능성은 평가항목을 안정성 검사 격리기능 네트워크 감시 기존장비와의 연동 크NAC , , ,게 가지로 구분하였으며 각각에 대한 세부평가항목도 제시하였다4 .기능성에서 체크되어져야 할 몇 가지를 기술하면 다음과 같다.

가 안정성 검사.

안정성 검사에는 실시간으로 내부네트워크에 연결되어있는 혹은 단말기의 악성코드 바이러스PC ( ,스파이웨어 웜 등 을 검사 및 치료 격리 조취하고 위험하다고 정의된 행위를 수행하는 어플리케이, ) ,션 메신저 등 을 탐지 하고 실행을 차단하는 검사가 필요하다( , P2P ) .

나 격리기능.

악성코드 바이러스 스파이웨어 웜등 는 내부네트워크에 있어서 치명적인 문제이다( , , ) .악성코드에 감염된 혹은 단말기가 네트워크에 연결되어 있으면 네트워크에 연결된 다른 들PC PC도 마찬가지로 악성코드에 감염되고 만다.

이것은 악성코드 감염으로 끝나는 것이 아니라 제 차 피해로 이어 질 수 있다2 .쉬운 예로 공격이 있으며 백도어 프로그램으로 인한 개인 정보 누출 내부 정보 유출까지로DDoS ,이어 질 수 있다.따라서 네트워크상 악성코드에 감염된 혹은 단말기를 색출해 냄으로써 다른 로의 점염을 막PC PC기 위해 격리 조취를 취한다.

하지만 다른 의 작업을 방해해선 안되기 때문에 격리된 상태에서도 전체 네트워크망은 살아 있어PC야 하며 속도의 변화가 있어서도 안된다.

- 66 -

다 네트워크 감시.

네트워크의 감시는 신뢰할 수 없는 환경에서 최대 임계치로 지정된 통신량 감시 허가되지 않은 접,속을 확인하고 차단하여야 한다.

라 기존 장비와의 연동.

기존에 사용하고 있는 등과 연동이 잘되지 않는다면 제품의 신뢰도는 떨Firewall, UTM, Router어지며 무용지물이 되어 버린다.기존의 장비와 탁월한 연동성을 보이며 제품의 성능 네트워크 속도는 변하지 않아야 한다NAC , .

솔루션 사용성2. NAC (Usability)

솔루션이 규정된 조건에서 사용될 때 사용자가 이해하고 학습되면 선호될 수 있게 하는 제품NAC의 능력이 사용성을 평가하는 평가 항목으로 구성되어지며 솔루션 사용자가 실제로 사전에, NAC예방의 기능에 대한 확인 여부 및 모니터링 하는 과정이 쉽게 학습할 수 있도록 구성되었는지 평가한다.사용성에서 체크되어져야 할 몇 가지를 기술하면 다음과 같다.

가 보고서.

보고서 작성에는 제품의 악성코드 검사 내역 차단된 어플리케이션 메신저 내역 격리 및 치, ( , P2P) ,료 내역이 제공되는지 확인한다.

나 환경설정.

환경설정은 네트워크의 실시간 감시 설정 및 치료 격리방법 설정의 사용설정 기능이 제공되는지,체크한다.

다 알림.

네트워크상 불필요한 악성코드에 감염된 혹은 단말기 허가 되지 않은 접근이 발생시Traffic, PC ,알림의 기능이 제공되는지 체크한다.

솔루션 이식성3. NAC (Portability)

다양한 환경에서 운영될 수 있는 장비의 능력을 평가하는 품질 특성인 이식성은 장비를 운영하기위하여 요구되는 하드웨어 운영체제 등의 환경을 평가하기 위한 항목이다, .

- 67 -

가 설치.

솔루션의 설치에 있어서 기존 솔루션 및 기타 시스템과의 연동이 검토되어야 한다NAC .웹 방화벽 등의 경계선 보안 제품들과는 달리 는 내부 네트워크에 대한 사용자 및 단말IPS, NAC ,

그리고 내부 에 대한 모니터링 등 제품이 관여하는 영역이 광범위하기 때문에 기존 솔루션과Traffic의 연동이 필수적이다.

나 업데이트.

장비의 펌웨어 업데이트를 사용할 경우 업데이트의 가능 여부와 주기 설정 여부를 확인하고 안전한 네트워크를 이용한 업데이트 가능여부를 체크해야 한다.

솔루션 효율성4. NAC (Efficiency)

효율성은 규정된 조건에서 사용되는 자원의 양에 따라 요구된 성능을 제공하는 제품의 능력을 평가하는 품질의 특성이다.

제품에서는 실시간으로 네트워크를 검사할 때 네트워크에 걸리는 부하 그리고 악성코드 탐지NAC시간 및 탐지율의 반응 사용자 및 단말 인증 격리 및 치료가 어떠한지 능력을 평가해야 한다, , .

가 탐지 시간.

제품에서 비정상적인 접근 비인가 접근 사용자 인증 악성코드 탐지 되어지는 시간 측정에NAC , , ,대한 평가를 한다.

나 탐지율.

내부에서 발생한 비인가 접속에 대한 솔루션의 탐지율이 어느 정도 발생되는지 파악한 후에NAC평가한다.

솔루션 세부 평가 항목은 다음NAC 표< 11>와 같다.

- 68 -

표< 11> 솔루션 세부 평가 항목NAC구분 항목 평가항목 세부평가항목

기능성 정보보호

안정성검사

실시간 악성코드 검사•외장 메모리 연결시 악성코드 검사•행위기반 위험 어플리케이션 탐지•

네트워크감시신뢰할 수 없는 사용자 차단•신뢰할 수 없는 단말기 차단•데이터 통신량 감시•

시스템 보호악성코드에 감염된 및 단말기 격리 치료PC ,•내부 중요 정보 보호•데이터 변조 방지•

사용성

보고서 보고서

신뢰되지 않은 사용자 단말기 차단 내역,•악성코드 검사 내역•검역소 관리 내역•행위기반 위험 어플리케이션 탐지 결과 내역•업데이트 내역•

관리기능

환경설정사용자 인증 단계 수준 설정•단말기 인증 단계 수준 설정•업데이트 주기 설정•

알림기능

허가되지 않은 사용자 접근 알람•비인가된 단말기 접근 알람•데이터 사용의 급증에 대한 경고 알람•악성코드 발견시 알람•격리조취 및 치료 알람PC•

효율성 자원효율성

탐지시간실시간 악성코드 탐지 시간 초( )•외장메모리 연결시 악성코드 탐지 시간 초( )•행위기반 위험 어플리케이션 탐지 시간 초( )•비인가 사용자 및 단말기 접속 탐지 시간 초( )•

탐지율실시간 악성코드 탐지율(%)•외장메모리 연결시 악성코드 탐지율(%)•행위기반 위험 어플리케이션 검사 탐지율(%)•비인가 사용자 및 단말기 접속 탐지율(%)•

오탐율실시간 악성코드 오탐율(%)•외장메모리 연결시 악성코드 오탐율(%)•행위기반 위험 어플리케이션 검사 오탐율(%)•비인가 사용자 및 단말기 접속 오탐율(%)•

이식성 장비운영설치 기존 보안 솔루션과의 연동•

기존 와의 연동 인 경우Agent (Agent-base )•

업데이트 업데이트 와 주기설정 기능 확인•• 안전한 네트워크를 이용한 업데이트 가능여부 확인

- 69 -

제 절 제품 평가모델 개발4 NAC BMT

기존에 있는 평가모델 같은 경우에는 단지 장비에 집중 되어 있는 경향이 크기 때문에BMT NAC장비 도입시 고려하여할 사항을 제대로 파악하지 못할 경우가 많다.

때문에 제품을 도입하려고 하는 업체 혹은 기관에서 도입시 고려하여야 할 사항을 먼저 평NAC ,가 비교하게 하는 을 만들어 주어야 한다Guide line .그 후에 장비 평가를 하는 방식으로 이루어져야 한다.

이 절에서는 장비 선택시 고려사항 구현방식을 통하여 각 업체 및 기관의 환경에 따른NAC , NAC장비 선택 및 제품 평가 모델을 개발하였다NAC .

장비 선택시 고려사항1. NAC

의 도입목적은 고도화 되고 지능화 되는 해킹으로부터 네트워크의 무결성을 유지하기 위함이NAC다.

는 네트워크에 접근하는 모든 사용자와 단말의 보안성 검사를 수행하여 악성코드에 감염된 기NAC기를 차단함으로써 네트워크를 보호한다.

도입시 가장 중요한 고려사항은 바로 표준이다NAC .그 이유는 현재 사용하고 있는 네트워크 장비와 클라이언트 소프트웨어에 대한 연동뿐만 아니라,향후에 추가될 새로운 장비와 클라이언트 소프트웨어에 대한 연동 부분도 염두에 둬야 한다,

예를 들면 스위치 등의 네트워크 장비와의 연동을 위해서는 표준인증 프로토콜을 이용/AP 802.1x한 사용자인증 및 대역폭 할당 표준 인증을 통한 폰 프린터 등의 무인 단VLAN/ACL/ , RADIUS IP ,말 접근통제 시스로그 에스플로우 표준 프로토콜을 이용한 중앙 모니터링이 구축되어야 한, SNMP, ,다.

또한 클라이언트와의 연동을 위해 윈도우 리눅스 맥 등에 대한 인증무결성 점검차단격리, , OS / / / /치료기능 연동 프로토콜을 이용한 다양한 안티바이러스스파에웨어 방화벽 등의 클, TCG/TNC / /PC라이언트 보안 소프트웨어에 대한 설치동작에 대한 점검 및 강제 업데이트 기능 연동 프/ , MS SOH로토콜을 이용한 윈도우 비스타의 클라이언트를 이용 에이전트 없이 인증무결성XP SP3, NAP , /점검 등의 제어기능 연동 표준을 이용한 사용자 인증 정보 교환이 이루어져야 한다, HTTPS .

인증서버와의 연동을 위해서는 액티브 디렉토리 레이우스 등을 통한 다양한 인, LDAP, , OTP, PKI증 서버와 사용자 인증 및 그룹 등이 필요하며 보안장비와의 연동을 위해 프로토콜을 이, TNC 2.0용한 방화벽 등의 보안 장비와의 연동과 시스로그 에스플루오 표준, IPSec/SSL VPN, IPS SNMP, ,프로토콜을 이용한 중앙 모니터링이 구현돼야 한다.

- 70 -

의 구현방식2. NAC

● 방식 과 방식Agent Agent-less방식은 단말에 가 설치되는 것이며 이 는 기본적으로 단말의 보안상태를 점Agent Agent , Agent

검하는 것 이외에도 패치 유무 백신 사용 유무 방화벽 사용 유무 등을 점검을 담당하며, , PC , Agent기능은 벤더사 마다 다양하다.

방식은 별도의 를 단말에 설치하지 않는다Agent-less Agent .따라서 편리한 점도 있지만 단말에 대한 상태를 점검 하는 데는 한계가 있다, .어떤 벤더사 제품은 방식 이라는 점을 강조하기도 하지만 단말에 대해 세밀한 조사나‘Agent-less ’ ,점검을 위해서는 에이전트 방식으로 가야한다.

방식은 제품의 설치 위치에 따라 인라인 방식과 대역외방식 으로Agent-less (In-line) (Out-of-band)구분된다.인라인 방식은 네트워크 연결 통로를 절단한 위치에 설치되어 통신되는 모든 을 모니터링Traffic하는 방식이고 대역외 방식은 스위치 미러링 포트 등을 이용해 기존 네트워크의 변경 없이 설치하,는 방식이다.고객에 따라서는 설치가 빠른 대역외 방식을 선호 할 수 도 있지만 이 방식은 스위치 미러링에 의,존함으로써 스위치의 성능을 떨어뜨릴 수 있다.

기반 선택 방법3. Agent-base, Agent-less

장비 도입시NAC 각 업체 및 기관은 각자의 네트워크 환경에 따라 기반을 사용할Agent-base것인지 기반을 사용할 것인지를 고려하여야 안정적인 네트워크 환경을 만들 수 있다Agent-less .이번 항목에선 가 도입될시 고려하여야 할 사항과 설치시 부담되는 것Agent-base Agent ,

도입시 고려하여야 할 사항과 도입시 부담되는 것을 간단하게 정리하였다Agent-less Agent-less .

표< 12> 고려사항 및 부담사항agent-base, Agent-less구분 Agent-base Agent-less

고려사항

관리해야 할 단말이 많은 경우•단말의 개체수가 적은 경우•

• 단말의 상태 점검이 우선시 되는 경우• 탐지가 원활한 경우Traffic

관리해야 할 단말이 없는 경우•각 단말들에 별도의 가 설치되어Agent•있는 경우유해 탐지 모니터링Traffic , Traffic•

이 취약한 환경

부담사항

관리 부담Agent•사용자 임의로 삭제 가능Agent•각종 유해 감지에Traffic•

보다 취약함Agent less–

사전인증을 거치지 않은 단말기에서 공•격 가능단말기의 상태점검 취약•기존에 설치되어 있는 와 연동에Agent•문제가 없는지 확인해야한다.

- 71 -

이렇듯 조직의 네트워크 상황에 따라 기능을 가진 를 도입하느Pre-Admission Agent-base NAC냐 기능을 가진 를 도입하느냐 선택을 하게 된다Post-Admission Agent-less NAC .

기능을 가진 장비의 경우는 사전 인증 즉 단말기의 로 인하여 단말기Pre-Admission NAC Agent가 조직내 네트워크를 사용해도 되는지 검증을 거쳐 무결성을 입증하여 내부 네트워크의 안정성을확보하며 기능을 가진 장비는 무결성을 가지지 않은 단말기가 내부네트워크Post-Admission NAC사용시에도 실시간 모니터링을 하기 때문에 유동적인 관리에 효과적이다Traffic .

하지만 자체는 기존의 보안장비의 패턴매치 방식이 아닌 행동유형 방식이기 때문에 각기 다NAC른 방식의 라도 서로의 기능은 갖추고 있다NAC .

평가표4.제품의 테스트 후 평가시 다음과 표< 13>같은 평가표를 이용하여 평가를 한다.

표< 13> 평가표

시험일시 시험명칭 시험대상명칭 시험자 참관자 최종판정적합부적합( / )

테스트 항목 측정치 결과판정(Pass/Fail)

신뢰성 평가항목5.

가 성숙성 평가항목.

우선 제품의 신뢰성에 대한 평가를 개발하였다.제품 내의 결함으로 인한 장애를 피해가는 제품의 능력을 평가하는 것이다.제품의 문제 해결율 결함 회피율 결함발생 평균 시간 등의 평가 항목을 가진다, , .

- 72 -

표< 14> 성숙성 평가항목

평가 항목명 평가 항목의 목적문제해결률 이전의 시스템에 존재하던 문제에 대하여 해결이 확인되는 정도를 평가NAC결함회피율 일정한 운용 시간 내에 결함이 발생하지 않는 정도를 평가결함발생평균시간 시스템의 결함발생 평균시간을 평가NAC

나 오류 허용성 평가항목.

오류허용성이란 명시된 인터페이스의 위반 또는 제품 결함이 발생했을 때 명시된 성능 수준을 유지 할 수 있는 제품의 능력을 의미한다.오류허용성은 다운 회피율 장애 회피율 등의 평가항목을 가진다, .

표< 15> 오류허용성 평가항목

평가 항목명 평가 항목의 목적다운회피율 발생되는 결함 중 시스템 다운을 가져오는 결함이 발생하지 않는 정도

장애회피율

발생되는 결함 중 장애를 발생시키는 정도의 심각한 결함이 발생하지 않는정도

다 회복성 평가항목.

회복성이란 장애 발생시 명시된 성능 수준을 회복하고 직접적으로 영향 받은 데이터를 복구하는 제품의 능력을 의미한다.회복성은 데이터 복구율 복구 가능율 복구 효과율 문제 해결 구현율 등의 평가 항목을 가진, , ,다.

- 73 -

표< 16> 회복성 평가항목

평가 항목명 평가 항목의 목적데이터복구율 결함이 발생할 경우에 데이터가 복구되는 정도이용가능률

일정 시간 사용중에 시스템이 다운이나 기타 이유로 인하여 사용할 수 없는기간을 평가

평균 복구시간

시스템에 결함이 발생되었을 경우 복구가 시작되어 완료되기까지 소요되는복구 평균 시간을 평가

복구가능률 제품에 결함이 발생되었을 경우 복구 할 수 있는 가능성 정도복구효과율 제품에 결함이 발생되었을 경우 목표 시간내에 복구하는 능력의 정도

라 준수성 평가항목.

준수성이란 신뢰성과 관련된 표준 관례 또는 규제를 고수하는 제품의 능력을 의미한다, .준수성은 신뢰성 표준 준수율의 평가항목을 가진다.

표< 17> 평가 항목의 목적

평가 항목명 평가 항목의 목적신뢰성

표준 준수율 시스템의 신뢰성 표준에 따라 시스템이 구현되어 있는지 평가NAC

이렇게 제품에 대한 신뢰성 평가를 마치게 되면 제품에 대한 점검을 하게 되는데NAC NAC제품의 평가 항목에 맞게 점검할 수 있는 점검표를 제시한다.

표< 18> 문제 해결률 점검표

측정항목

A시험 대상 문제 해결 항목 수-버그 리포트를 검토하여 시험 대상을 결정 하고 테스트 케이스를작성

B문제 해결이 확인된 항목 수-테스트케이스를 시험하여 문제가 해결되었는가를 검토

계산식 문제해결률 = B/A

표< 18>는 문제 해결률의 점검표로 이전 버전의 시스템에 있던 문제에 대하여 해결이 확인되는 정도를 점검한다.

- 74 -

표< 19> 결함 회피율 점검표

측정항목

A단위 운용시간-

B발견된 결함 수-운용 시간 중 발견된 결함의 수를 측정

계산식 결함 회피율 = B/A(min)

표< 19>는 결함 회피율 점검표로 일정한 운용 시간내에 결함이 발생하지 않은 정도에 대해점검한다.

표< 20> 결함발생 평균시간 점검표

측정항목

A결함발생 평균 시간의 한계 값-

B운용시간 결함수( / )-운용 시간 중 발견된 결함의 수를 측정

계산식 결함발생 평균시간 = B/A(min)

표< 20>은 결함 발생 평균시간 점검표로 결함이 발생한 시간 간격의 평균의 정도를 점검한다.

표< 21> 오류허용성 점검표

측정항목

A발견된 결함 수-운용 중 발견된 결함의 수를 측정-결함에 대한 명확한 정의가 필요

B다운 회수-전체 시스템의 다운이 발생하는 경우의 수를 측정

계산식 다운회피율 = B/A

표 은< 21> 오류허용성 점검표로 발생되는 결함 중 전체 시스템의 다운을 가져오는 결함의발생은 어느 정도인지를 점검한다.

- 75 -

표< 22> 장애 회피율 점검표

측정항목

A발견된 결함 수-운용 중 발견된 결함의 수를 측정-결함에 대한 명확한 정의가 필요

B장애 발생 회수 심각한 결함이 발생한 수( )-심각한 결함이 발생한 경우의 수를 측정-시막한 결함에 대한 정의가 필요

계산식 장애 회피율 = B/A

표< 22>는 장애 회피율 점검표로 장애를 발생 시키는 정도의심각한 결함은 전체 결함 중 어느 정도 발생되는 지를 점검한다.

표< 23> 데이터 복구율 점검표

측정항목

A데이터관련 오류 발생 수-데이터의 망실 손실 잘못된 변경 등에 대한 발생 수를 측정, ,

B성공적으로 데이터가 회복된 경우의 수-데이터 회복을 시도하여 오류 이전의 상태로 회복된 경우의 수를측정

계산식 데이터 회복률 = B/A

표< 23>는 데이터 복구율 점검표는 결함이 발생한 경우에 데이터 회복 정도를 점검한다.

- 76 -

6. 기술 평가항목

표< 24> 장비 설치의 용이성에 대한 평가테스트 항목 설치의 용이성에 대한 평가확인 점검/내용 장비의 설치가 용이한지에 대한 평가자의 평가

주요내용

장비가 기존 네트워크의 변경 없이 설치가 가능한지 여부장비에 대한 에서 가능한 지 여부Upgrade Remote장비의 장애가 전체 네트워크에 영향을 미치지 않는지 여부

을 통산 신속한 기존 설정 값 복구 여부Backup file

표< 25> 기존 업무 영향도 테스트테스트 항목 시스템 설치 후 기존 업무 정상 사용 확인확인 점검/내용

구성 시 사용자 및 네트워크가 시스템에 영향을 받는지 점검PC운영 모드 지원 여부 확인Simulation(Passive)

주요내용

네트워크 사용 가능 여부 테스트 웹사이트로 접속확인:단말기에서 전자결제 접속후 메일 전송 테스트 건의 메일 전송후 확인: 2

시스템 강제 종료 후 파워 선 절취 정상 사용 여부 테스트NAC ( )운영 모드 지원 여부 확인Simulation (Passive)

별 운영 모드 지원 확인- Sensor Simulation(Passive)별 차단 운영 모드 시간대 설정 지원 확인- Sensor Active

장비를 도입하였을 때 네트워크 충돌은 없는지 네트워크 연결이 되지 않은 곳은 없는지NAC ,를 테스트 하여 기존 업무에 방해가 되지 않게 한다.

표< 26> 모니터링 의 편리성에 대한 평가Tool테스트 항목 모니터링 의 편리성에 대한 평가Tool확인 점검/내용 모니터링 에 대한 평가자의 평가Tool

주요내용장비와 암호화 통신을 하는지모니터링 의 편리성 상 중 하로 평가Tool ( , , )권한 별로 장비에 접속이 가능 한지

- 77 -

NAC장비의 모니터링에 있어서 불편한 점이 발생하게 된다면 실시간으로 감시해야할 장비의역할을 잃게 되는 것이다 따라서 장비의 모니터링 편리성에 대한 평가를 한다. .

표< 27> 인프라 자원 수집 통계 기능 테스트테스트 항목 인프라 자원 수집 및 통계 기능 테스트IT

확인 점검/내용

및 자산 관리 기능 검토IT PC관리서버에서 운영자에게 적절하게 관리 현황 정보를 제공하는지 확인

주요내용

정보를 실시간 자동 수집하는지 확인IP/MAC컴퓨터이름 그룹정보 플랫폼정보를 자동 수집하는지 확인, .실시간 사용시작 및 최근 동작시간을 알 수 있는지 확인사용중 사용중지 미사용 등사용속성별로화면에출력할수있는지확인(UP), (DOWN), IP단말기 종류 자동 감지 기능 예 라우터 스위치 모바일 등( : , , F/W, Printer. AP, )단말기플랫폼자동감지기능예 등( :Cisco, IBM, Microsoft Windows, Android, iphone )단말기제공증인서비스자동탐지기능 예 웹 텔넷 등( : , , DNS, DHCP, SMTP, FTP )리스트를 세그먼트 논리적 그룹별 구성 가능한지 확인IP , VLAN,

단말기 위치 정보 제공 확인 단말기가 연결된 스위치 정보 및 포트 정보 확인( )

표< 28> 미러링 모니터링 지원여부 테스트, VLAN테스트 항목 미러링 및 모니터링 지원VLAN확인 점검/내용 스위치의 미러링 포트에 장비를 연결하고 미러링 분석 여부 판단Traffic

주요내용미러링 을 통하여 전체 모니터링 기능 여부Traffic

별로 모니터링이 가능한지 여부VLAN

- 78 -

표< 29> 네트워크에 운영되고 있는 장비에 대한 검출 테스트테스트 항목 네트워크에 운영되고 있는 장비에 대한 검출 여부 테스트확인 점검/내용 장비에 접속하여 각 테스트 항목별로 정확하게 검출이 가능한지 테스트

주요내용

별로 검출이 가능한지 여부OS

장비에 대한 검출 기능 여부Wireless

특정 를 사용하는 장비에 대한 검출 가능 여부port

네트워크에 연결된 모든 단말에 대한 정보 수집 기능IP/MAC

표< 30> 주소 기반 차단 정책 테스트IP/MAC테스트 항목 주소 기반 차단 정책 기능 테스트IP/MAC


차단 및 허용 정책을 적용하여 동자 기능 평가IP/MAC

변경 금지 충돌보호 기능 평가IP , IP

신규 에 대해 자동 감지 및 네트워크 허용 차단 기능 평가IP/MAC ,

주요내용

특정 주소에 대한 차단 기능을 제공하는지 확인IP

특정 주소에 대한 차단 기능을 제공하는지 확인MAC단말기의 현재 를 변경할 수 없도록 한 후 임의의 다른 로 변경 시B IP IP

이를 탐지하고 차단하는지 확인단말기가속한네트워크의 를보호설정하고 단말기의 를C Gateway IP C IP Gateway IP와동일하게설정하였을때 다른단말기 에서정상적으로인터넷이되는지확인, (A, B)단일 에 대한 다중 주소 설정을 통한 환경을 지원하는지 확인IP MAC HA

미사용 에대한차단기능을제공하는지확인IP

미인증 주소를 사전 차단할 수 있는지 확인MAC단말기의컴퓨터이름을 테스트로고정하고컴퓨터이름이일치하지않는경우네A ‘ ’

트워크를 차단하고 컴퓨터 이름을 자동으로 변경해주는지 확인별 사용자계정별 네트워크 사용기간 설정 기능 확인IP ,

일정기간 사용하지 않은 에 대한 자동 회수 기능 확인IP

- 79 -

표< 31> 사용자 계정 를 이용한 사용자 인증 기능DB테스트 항목 사용자 계정 를 이용한 사용자 인증 기능DB


환경에서의 사용자 인증 연동 방안을 확인 점검AD/Radius

임시방문자의 경우 자체 활용한 사용자 인증이 가능한지 확인DB

주요내용

사용자 인증에 대한 명확한 연동 기능 및 방안 제시 등:AD, Radius, LDAP임직원은 사용자 인증을 위해 인증과 인증간의AD NAC SSO(Single●

지원 확인Sign On)외부사용자의 경우 가 아닌 자체 또는 인증 사용자 계AD DB Radius ,●정 신청 승인 인증 선택 지원 확인/

별 대체인증 인증 사용자 계정 신청 승인 인IP/Network AD , Radius , /●증 선택 지원 확인

비인증 사용자의 네트워크 사용 시 네트워크 차단 및 사용자 인증 화면이제공되는지 확인인증 만료 전 사전 알림 기능이 제공되는지 확인

표< 32> 보안패치 정책설정에 따른 차단 정책 기능 테스트테스트 항목 보안패치 정책 설정에 따른 차단 정책 기능 테스트 및 패치 관리 현황


단말기에 대해 보안 패치 유무 확인 및 미적용 시 패치 적용토록 정책 설정A, B

특정 보안 패치에 대해서 적용 필요 유무를 설정할 수 있는 점검

보안 패치 시 시간대 조정 등의 옵션 기능 적용 여부

주요내용

사용자별 그룹별 패치별 적용이 가능한지와 현황 정보가 제공되는지 확인, , ,

기존에 설치되어 있는 패치를 정확히 파악하는지 확인보안 패치 시 옵션 백그라운드 설치 설치 후 리부팅 여부 확인 특정 시간( , ,대 패치 등 이 제공되는지 확인)패치현황 적용여부등을전체부서개인별로관리할수있는지확인, / /

패치 적용 후 해당 패치의 패치 완료실패 여부를 확인 가능한지 체크/

- 80 -

표< 33> 백신 및 표준 프로그램 사용여부에 따른 네트워크 차단 및 치료 정책테스트 항목 백신 및 표준 프로그램 사용 여부에 따른 네트워크 차단 및 치료 정책


단말기는 백신 프로그램 등 필수프로그램 미설치 시 네트워크 차단하A, B고 자동 설치하도록 정책 설정

적합 사용자는 인터넷 및 내부 네트워크에 연결될 수 있는지 확인

단말기는 타 백신을 설치하고 타 백신 사용 시에도 인터넷 및 내부 네트C워크 접근이 가능하도록 설정

주요내용

상태 설치 및 구동 패턴 날짜 실시간 검사 최근 검사 시간 정보를 제V3 ( , , , )공하는지 확인

미설치 시 자동 설치와 함께 자동 엔진 업데이트가 가능한지 확인V3

파트너 등록 여부 확인V3 Aliance Program

개이상의백신프로그램에대한정책구현가능여부확인2

백신 치료 감사기록 연동이 가능한지 확인

에대한블랙화이트리스트설정확인필수프로그램미설치시자동설치가가능한지확인S/W /●필수프로그램미설치시자동설치기능 네트워크차단기능확인,●불법차단프로그램존재시삭제프로그램자동배포설치기능 네트워크차단기능( ) / ,확인

개이상의프로그램을연속해서배포설치가능한지확인2 /

- 81 -

표< 34> 사용자 의 보안준수 강제화 기능 테스트PC테스트 항목 사용자의 의 보안 준수 강제화 기능 테스트PC


윈도우 보안 센터 강제화

사용자 계정 및 사용자 공유폴더 및 원격데스크톱 설정 외 윈도우 설정 점검PC

화면보호기 및 바탕화면 강제화PC

웹 브라우저 보안설정 강제화IE

주요내용

윈도우 방화벽 및 자동업데이트 설정 정보수집 및 미설정 시 강제설정 기능 확인사용자 공유폴더 설정 읽기 쓰기 정보 수집 및 강제 해제 기능 확인PC ( / )

사용자 공유폴더 사용 가능시간 설정 기능 확인PC

P 원격데스크톱사용정보수집및강제해제기능확인C

윈도우 사용자 계정 정보중 비밀번호 미 설정 계정 정보 제공하는지 확인

윈도우사용자계정정보중장기간비밀번호미변경계정정보제공하는지확인

윈도우 사용자 계정정보중 장기간 비밀번호 미변경 계정정보 제공하는지 확인

비밀번호 정책위반 시 비밀번호 변경 프로그램을 제공하는지 확인

화면보호기 강제 설정 및 사용자 지정 화면보호기바탕화면 강제화 기능 확인PC /

자동 실행 방지 기능 확인USB, CD/DVD

웹브라우저 보안 설정 강제화 기능 확인IE● 서명안된 다운로드 금지 및 사용자 확인Active-X Active-X● 파일 다우로드 사용자 확인 및 팝업 차단 설정 확인● 브라우져 종료시 임시 인터넷파일 삭제 설정 확인

- 82 -

표< 35> 우회 경로 탐지 및 제어 기능 테스트테스트 항목 우회 경로 탐지 및 제어 기능 테스트


정보 탐지 및 차단 기능 확인Ad-hoc, illegal route

불법 무선랜 등을 이용한 네트워크 사용 탐지 및 차단 기능 확인, Wibro, T-Login

포트 모뎀 등을 이용한 인터넷 사용 탐지 및 차단 기능 확인Bluetooth, Serial ,

주요내용

에 또 다른 랜카드 무선 랜카드 등 를 이용하여 통신하PC ( , Wibro, T-login )는 경우 탐지하고 차단 여부단말 에서 또 다른 주소 또는 주소를 통해 통신하는 경우 탐B IP Gateway지하고 차단 여부휴대폰의 나 을 이용해서 통신하는 경우 탐지하고 차단 여부Bluetooth Serial

사용자의인터넷설정중우회적으로연결시도를위한프록시서버설정탐지확인

사용 탐지 및 네트워크 차단 기능 확인VMware

표< 36> 단말에서 발생하는 유해 탐지 및 차단 기능 테스트Traffic테스트 항목 단말에서 발생하는 유해 탐지 및 차단 기능 테스트Traffic


불법 서비스 요청 탐지 및 차단 기능 평가

임계치 초과한 포트 스캔 행위 탐지 및 차단 기능 평가

과도한 행위 탐지 및 차단 기능 평가ARP Broadcast

위험 이벤트 발생 시 관리자 통보 기능 평가

주요내용

비정상 유해 발생 시 이를 자동으로 탐지하고 대응하는지와 관리자Traffic에게 적절한 정보를 제공하는 지를 평가단말기가 포함된 네트워크에서 미사용 로 텔넷 접속 시도 시 이를 탐A IP

지하고 차단하는지 확인단말기에서 스캐팅 툴을 이용하여 포트 스캔시 이를 탐지하고 차단하는지 확인B

지금까지의 이벤트에 대해서 관리자에게 적절한 정보 및 알람실시간 이벤트 뷰 메일( , ,제공여부확인SMS, SYSLOG)

- 83 -

표< 37> 공격에 대한 대응 여부DDoS테스트 항목 공격에 대한 대응 여부DDoS확인 점검/내용 공격 을 이용하여 탐지 및 차단 성능을 테스트DDoS Tool

주요내용

탐지된 단말에 대한 격리 여부

격리된 단말에 지정된 안내메시지 전송

격리된 단말에 정해진 사이트 접속 허용

표< 38> 공격에 대한 대응 여부ICMP Flood테스트 항목 공격에 대한 대응 여부ICMP Flood확인 점검/내용 공격에 대한 대응 여부ICMP Flood

주요내용

공격을 하는 단말에 대한 탐지 여부ICMP Flood




표< 39> 공격에 대한 대응 여부UDP Flood테스트 항목 공격에 대한 대응 여부UDP Flood확인 점검/내용 공격을 하는 단말에 대한 탐지 여부UDP Flood

주요내용

공격을 하는 단말에 대한 탐지 여부UDP Flood




- 84 -

표< 40> 특정 서버로의 접속 시 탐지 및 차단 여부 테스트테스트 항목 특정 서버로의 접속시 탐지 및 차단 여부 테스트확인 점검/내용 허용 되지 않은 특정 장비로의 접속을 시도하여 탐지 여부 테스트

주요내용

특정 장비로 시도 감지여부Telnet




표< 41> 공격에 대한 대응 여부HTTP Flood테스트 항목 공격에 대한 대응 여부HTTP Flood확인 점검/내용 공격에 대하여 탐지 및 차단 성능을 테스트HTTP Flood

주요내용

공격을 하는 단말에 대한 탐지 여부HTTP Flood




표< 42> 메일서버 공격에 대한 대응 여부SMTP Syn테스트 항목 메일서버 공격에 대한 대응 여부SMTP Syn확인 점검/내용 메일서버 공격 을 이용하여 탐지 및 차단 성능을 테스트SMTP Syn Tool

주요내용

메일서버에 공격을 하는 단말에 대한 탐지 여부SMTP Syn




- 85 -

표< 43> 공격에 대한 대응 여부Fishing Port Scan테스트 항목 공격에 대한 대응 여부Fishing Port Scan확인 점검/내용 공격 을 이용하여 탐지 및 차단 성능을 테스트Fishing Port Scan Tool

주요내용

공격을 하는 단말에 대한 탐지 여부Fishing Port Scan




표< 44> 공격에 대한 대응 여부FTP Server Scan테스트 항목 공격에 대한 대응 여부FTP Server Scan확인 점검/내용 공격 을 이용하여 탐지 및 차단 성능을 테스트FTP Server Scan Tool

주요내용

공격을 하는 단말에 대한 탐지 여부FTP Server Scan




표< 45> 공격에 대한 대응 여부RDS테스트 항목 공격에 대한 대응 여부RDS(Remote Desktop Scan)확인 점검/내용 공격 을 이용하여 탐지 및 차단 성능을 테스트Remote Desktop Scan Tool

주요내용

공격을 하는 단말에 대한 탐지 여부Remote Desktop Scan




- 86 -

표< 46> 네트워크 공유 드라이브 에 대한 대응 여부Scan테스트 항목 네트워크 공유 드라이브 에 대한 대응 여부Scan확인 점검/내용

네트워크 공유 드라이브 공격 을 이용하여 탐지 및 차단 성능을Scan Tool테스트

주요내용

네트워크 공유 드라이브 공격을 하는 단말 탐지 여부Scan




표< 47> 에 대한 대응 여부Backdoor테스트 항목 에 대한 대응 여부BackDoor확인 점검/내용 백도어 공격 을 이용하여 탐지 및 차단 성능을 테스트IRC Heartbeat Tool

주요내용

백도어 공격을 하는 단말에 대한 탐지 여부IRC Heartbeat




표< 48> 해킹에 대한 대응 여부Host테스트 항목 해킹에 대한 대응 여부Host확인 점검/내용 해킹 공격 을 이용하여 탐지 및 차단 성능을 테스트Host Tool

주요내용

해킹 공격을 하는 단말에 대한 탐지 여부Host




- 87 -

표< 49> 패킷변조 공격에 대한 대응 여부테스트 항목 패킷 변조 공격에 대한 대응 여부확인 점검/내용 패킷 변조 공격 을 이용하여 탐지 및 차단 성능을 테스트Tool

주요내용

패킷 변조 공격을 하는 단말에 대한 탐지 여부




표< 50> 사용 단말에 대한 탐지 여부P2P테스트 항목 사용 단말에 대한 탐지 여부P2P확인 점검/내용 프로그램을 사용하여 탐지 여부 테스트P2P

주요내용

프로그램 사용자에 대한 탐지 여부P2P




표< 51> 특정 프로그램 사용자에 대한 탐지 여부Messenger테스트 항목 특정 프로그램 사용자에 대한 탐지 여부Messenger확인 점검/내용 메신저 프로그램을 이용하여 탐지 및 차단 성능을 테스트

주요내용

메신저 프로그램 사용자에 대한 탐지 여부




- 88 -

표< 52> 차단된 단말이 통신한 통신 내역에 대한 조회테스트 항목 차단된 단말이 통신한 통신 내역에 대한 조회 테스트확인 점검/내용 차단된 단말에 대한 통신 내역이 조회 되는지 여부 테스트

주요내용

차단된 단말이 어떠한 단말과 통신 하였는지 여부 조회 기능

단말이 어떠한 로 통신하였는지 여부 조회 기능Port

통신한 단말이 전송한 용량에 대한 조회 가능 여부Packet

표< 53> 완벽하게 네트워크로부터 차단되는지 테스트테스트 항목 완벽하게 네트워크로부터 차단되는지에 대한 테스트확인 점검/내용 를 이용하는 방법 및 다른 단말에서 차단 단말로 접속하는 방식 사용Static ARP

주요내용

하게 의 의 세팅한 경우에 차단Static Default Gateway MAC

다른 단말에서 차단된 단말로 접속이 되는지 여부

인터넷만 차단하고 내부 네트워크는 사용 가능하게 차단

표< 54> 보안정책 설정 및 예외처리 지원

테스트 항목 유연한 보안정책 설정 및 예외처리 지원


주소 주소 이외에 보안정책 설정 조건 범위 확인IP , MAC

다양한 예외처리 제공 수준 확인

주요내용

보안정책 적용시 사용자 계정 주소 주소 플랫폼정보 무결성 검사, IP , MAC , ,결과별로 보안정책 수립 여부 확인 예외 처리 포함( )보안정책 미준수 시 유연한 대응 알림차단설치유도메시지발송 등 을 여부확인( / / / )●인스턴트 메시지 발송 지원여부네트워크 차단 없이 자동 조치 지원 여부 자동 설치 자동설정( , )●네트워크 차단 안내페이지 제공 설치 유도페이지 제공 여부, ,●

- 89 -

표< 55> 관리 및 운영 편의성 테스트NAC테스트 항목 관리 및 운영 편의성 테스트NAC


관리자 유형 및 접속 권한 관리

감사기록 및 통계 현황 정보 수준

이벤트 발생시 관리자 알람

주요내용

관리자 유형 중앙관리자 지역관리자 관리자 로그감사자 에 따라 서로( , , IP , )다른 및 제품 운영을 위한 세부적인 권한을 구분할 수 있는지 확인UI

관리서버 접속을 위한 제한 및 동시접속 제한이 가능한지 확인NAC Network/IP

감사기록의 로컬 백업 및 외부 백업 이 가능한지 확인(SYSLOG, SNMP Trap)

관리자 지정 로그 발생 시 관리자에게 알릴 수 있는 방법이 있는지 확인주요 항목만 실시간 모니터링 할 수 있는 별도의 관리자 전용 알람 프로그램을 제공하는지 확인

- 90 -

제 장 결론6

컴퓨터를 포함한 스마트 폰 등 통신 단말기는 생활하는데 없어서는 안 될 존재가 되었다.개인적인 용도이던 상업적 용도이던 우리의 생활에 가장 가까이 있다.통신 단말기의 발전과 더불어 인터넷 발전도 함께 이루어져 자료를 공유하고 활용하는 방법에있어서 보안의 중요도가 증가되고 그에 따른 위험도 역시 증가 하게 되었다.인터넷 특성상 개인보안 정보보안이 취약하지만 사용자의 의존도는 높다보니 악성코드 해킹, ,등으로부터의 공격이 노출되어 있다.

위협요소가 증가하면서 보안 솔루션이 출시되었으며 업체들은 보다 우월한 제품들을 출시하고자 하지만 사용자 입장에서는 어느 제품이 우월한지 어느 제품이 사용자가 사용하기에 알맞은지 인터넷 환경의 호환성까지는 판단하기가 어려우며 검토기간이 길어진다, .

개발 업체 또한 자신의 제품이 타 제품보다 어느 정도가 우월한지 어떤 것 의 강점이 있는지를 마켓팅하기 어렵고 자칫 잘못 광고를 냈다가는 타 회사의 제품을 비판하는 형태가 되어 시장의 흐름을 방해 할 수 있으며 개발 업체 간의 마켓팅은 자칫 주관적인 생각이 반영되기 때문에 오히려 소비자에게 혼란을 발생 시킬 수 있다.

본 연구 개발에서는 보안 시장과 동향 및 특성을 조사하고 평가 항목을 도출하기 위한 NAC제품들 간의 기능을 비교 분석하였다.각 제품들의 방식이 다르고 표준화가 되어있지 않았지만 그 제품들 사이에서 품질 및 신뢰성을 측정평가 하기 위한 솔루션 기능을 정의하였고 제품들의 특성을 파악하여 평, NAC BMT가모델을 제안하였다.또한 이러한 평가모델을 제안하면서 각 개발업체들은 보다 나은 양질의 제품들을 개발 및 생산을 할 수 있으며 더불어 마켓팅 효과도 누릴 수 있게 된다.

이를 통해서 사용자는 자신에 맞는 혹은 자신이 속한 환경에 맞는 최적의 솔루션을 선택할수 있을 것이며 많은 동종 제품의 평가된 결과로 인해 객관적인 평가를 할 수 있는 유용한,지침이 될 수 있다.

또한 객관적인 비교 평가를 통해서 제품의 강점 및 취약점 개선방안 등 솔루션의 품질, NAC향상에 도움이 된다.

하지만 보안제품이 발전함에 따라 악성코드 패턴이 더 복잡해지고 공격이 증가하고 있으며,해킹의 기술도 발전하고 있기 때문에 다양한 성능 평가 방안과 연구 개발이 지속적으로 반영되어야 하며 또한 제품 개발의 혹은 장비 상황별 설치 상황별, Guide-line, NAC Guide-line,대처법 등 함께 연구 개발되어야 할 것이다.

- 91 -

참고문헌[ ]

한국 인터넷 진흥원 정보보안 산업 실태 조사[1] , “ ”, 2011. 03. 23한국 인터넷 진흥원 년 정보보안 산업 실태 조사 결과 요약[2] , “11 _ _ ”법제처 국가표준기본법[3] “ ”이경규 이용우 무선 센서 네트워크에서의 적용 한국컴퓨터종합학술대회 논문집[4] , , “ NAC ”,Vol. 34 No. 1김상춘 권혁찬 나재훈 손승원 정교일 정보보호제품의 적합성 시험 평가 현황[5] , , , , , “ ”한국 인터넷 진흥원 정보보호시스템 평가 인증 가이드[6] , “ ”, 2004. 12�

[7] http://www.symantec.com/ko/kr/[8] http://unet.kr/[9] http://www.foresight.co.kr/[10] http://www.geninetworks.com/

Documents

최종연구보고서 네트워크접근통제 기술동향파악및시험방법론… 최종연구보고서 네트워크접근통제 기술동향파악및시험방법론개발(nac)