Brain700. NAC (Network Access Control 시스템) 내부 단말기 관리 무결성 진단
핵심 인사이트: 아무리 비싼 방화벽으로 외부 해커를 막아도, 내부 직원이 집에서 야동을 보다가 바이러스에 감염된 썩은 노트북을 회사에 가져와 랜선을 꽂는 순간 사내망은 1초 만에 쑥대밭이 된다. NAC는 사내망 입구에 서 있는 지독한 위생 검열관이다. "너네 집에서 가져온 노트북, V3 백신은 최신판 깔려있어? 윈도우 보안 패치는 했어? 안 했으면 백신 깔고 올 때까지 회사 인터넷 포트를 절대 안 열어줘!" 내부의 적을 막는 핵심 통제 장비다.
Ⅰ. NAC (네트워크 접근 제어)의 개념
- 개념: 외부 인터넷이 아니라 회사 내부망(사내망)에 직원의 PC, 노트북, 스마트폰, 프린터 등(Endpoint)이 접속을 시도할 때, 해당 단말기의 무결성과 보안 상태를 깐깐하게 검사하여 안전한 기기만 네트워크 접속을 허락하는 내부 보안 통제 시스템입니다.
- 배경: 직원들이 개인 스마트폰이나 패드를 회사로 가져와 업무에 쓰는 BYOD(Bring Your Own Device) 시대가 열리면서, 외부에서 바이러스를 묻혀 오는 통제 불가능한 기기들을 막기 위해 탄생했습니다.
Ⅱ. NAC의 핵심 기능 3단계 (접근 통제 프로세스) 🌟
Step 1. 인증 및 식별 (Authentication)
- 직원이 사내 랜선을 꽂거나 사내 와이파이에 연결하는 순간, 밖으로 나가는 인터넷 통신을 콱 틀어막습니다. (보통 ARP 스푸핑을 이용해 강제 격리시키거나 802.1X 기술을 이용함, 상세는 584번 문서 참고)
- 화면에 강제로 "아이디/비밀번호를 입력하세요" 창을 띄워 사내 직원이 맞는지 신원을 확인합니다.
Step 2. 단말기 무결성 진단 (Posture Assessment) 🌟
NAC의 가장 강력하고 고유한 기능입니다. 신분이 직원이 맞아도 기계의 위생 상태를 검사합니다.
- 에이전트(Agent): 보통 회사 PC에는 NAC 에이전트 프로그램이 깔려 있습니다.
- 검사 항목: "윈도우 업데이트가 한 달 넘게 밀리지 않았나?", "지정된 안티바이러스(V3, 알약)가 설치되어 있고 실시간 감시가 켜져 있는가?", "사내에서 금지한 P2P(토렌트) 프로그램이 깔려있진 않은가?"
- 기기의 '보안 점수'를 종합하여 합격/불합격을 판정합니다.
Step 3. 치료 및 격리 (Quarantine & Remediation)
- 위생 점사가 100점 만점인 깨끗한 PC만 사내망의 핵심 서버가 있는 정상 VLAN 대역으로 들여보내 줍니다.
- 격리: 만약 백신이 꺼져있거나 바이러스가 감염된 PC라면, 가차 없이 사내망 진입을 막고 **"치료망(Quarantine Zone)"**이라는 가두리 양식장에 가둬버립니다.
- 치료: 이 치료망에서는 카톡도 안 되고 오직 "백신 업데이트 서버"로만 접속이 가능합니다. 직원이 백신을 다운받고 윈도우 패치를 100% 완료해야만, 다시 검사 후 사내망으로 풀어줍니다.
Ⅲ. 현대 NAC의 확장 (제로 트러스트의 뼈대)
- 단순한 랜선 접속 차단을 넘어, "홍길동 대리는 사내망에는 들어오되, 재무팀 서버에는 접근 금지"라는 식으로 세밀한 횡적(Lateral) 접근 제어를 수행합니다.
- 이처럼 '기기의 건강 상태를 매번 검사하고, 최소한의 권한만 주는' NAC의 핵심 사상은 오늘날 차세대 보안 철학인 제로 트러스트(Zero Trust)의 근간이 되었습니다.
📢 섹션 요약 비유: NAC는 병원 중환자실(사내망) 입구에 서 있는 무균실 검열관입니다. 방문객(내부 직원 노트북)이 아무리 병원 출입증(아이디)을 가지고 있어도 그냥 들여보내지 않습니다. 밖에서 묻혀온 세균(바이러스)이 없는지 전신소독기를 통과시키고, 손소독제(최신 백신)를 발랐는지 깐깐하게 위생 검사(무결성 진단)를 합니다. 만약 손소독제를 안 발랐다면, 복도의 격리된 세면대(치료망)로 쫓아내서 손을 깨끗이 씻고 온 뒤에야 중환자실 문을 열어주는 든든한 내부 방역 시스템입니다.