지니언스 “단말 검증서 시작되는 N²SF, 업무별로 단계적 확산”

Source: Byline Network

목차

1. 공공 보안 패러다임 대전환, N²SF
2. N²SF, 제로트러스트 아키텍처 품었다
3. N²SF 가이드라인 주 집필인이 본 공공 보안의 숙제 – 이철호 엔플러스랩 대표 인터뷰
4. N²SF 실증사례 : SGA솔루션즈 “뼈대인 컨설팅 단계가 핵심”
5. N²SF 실증사례 : 지니언스 “단말 검증에서 시작되는 N²SF” (이번호)
6. N²SF 실증사례 : 모니터랩 “생성형 AI 쓰는 순간, 데이터는 통제 대상”
7. N²SF 실증사례 : 프라이빗테크놀로지 “단계적 전환이 필요하다”
8. N²SF 실증사례 : 엔키화이트햇 “계속 점검해야 완성되는 N²SF”
9. N²SF가 나아갈 길 : 향후 과제

국가정보원이 추진한 국가망보안체계(N²SF) 실증에서 지니언스는 ‘사용자·단말을 계속 검증하는 통제’를 현장에 구현하는 역할을 맡았다. 지니언스는 SGA솔루션즈 컨소시엄으로 진행된 ‘공공기관 대상 N²SF 시범 실증’에 참여했다.

N²SF는 망을 물리적으로 나누는 방식만으로 보안을 달성하기보다 업무·데이터 중요도와 위험도에 따라 접근을 통제하고, 운영 과정에서 지속적으로 조정하는 체계를 지향한다. 실증의 초점도 ‘통제를 얼마나 많이 깔았나’가 아니라 ‘기관이 실제로 운영 가능한 형태로 통제를 설계하고 적용할 수 있나’에 맞춰졌다.

강한서 지니언스 전략컨설팅사업부 상무는 N²SF 실증에서 지니언스가 맡은 역할을 “단말 내부에서 발생하는 이상 행위와 위협을 탐지해 그 정보를 아키텍처의 정책결정지점(PDP)으로 연계하는 것”이라고 설명했다. 단말에서 위협 징후가 포착되면, PDP가 위험 수준에 맞춰 해당 단말의 권한을 줄이거나 접근 범위를 좁히는 판단을 내릴 수 있어야 한다는 취지다. 지니언스는 이 흐름이 구현되면 통제가 한 번으로 끝나지 않고 접속 이후까지 이어질 수 있다고 본다.

‘단말 상태 가시화’가 출발…NAC로 정책 입력값을 만든다

지니언스가 제시한 구현의 출발점은 ‘단말 상태의 가시화’다. 지니언스의 네트워크 접근제어(NAC) 는 네트워크에 연결되는 단말을 대상으로 사용자 정보, 단말 유형, 운영체제(OS), 보안 패치 상태, 보안 소프트웨어 설치 여부 등 다양한 속성을 수집·분석한다. 이 정보는 단말이 접속 가능한 상태인지를 확인하는 데서 끝나지 않는다. 기관이 데이터 등급(C·S·O)과 업무 중요도에 따라 요구하는 보안 수준을 접근 정책으로 구체화할 때, NAC가 제공하는 단말 속성이 ‘정책을 나누는 기준값’이 된다.

강 상무는 이 과정이 망분리의 이분법과 다르다고 설명한다. 내부망과 외부망을 일괄 차단하는 방식은 경계를 기준으로 통제를 단순화할 수 있지만, 클라우드·외부 협업·원격 개발 같은 요구가 늘어난 환경에서는 업무 흐름 자체가 경계를 넘나든다. 이때 필요한 것은 “누가, 어떤 상태의 단말로, 어떤 업무 자원에 접근하는지”를 세분화해 통제하는 구조다. NAC는 그 세분화의 출발점이 되는 단말 상태 정보를 제공해 ‘정책 설계가 가능해지는 기반’을 만든다.

접속 이후 이어지는 통제…EDR로 단말 행위 감시, 신호는 PDP로 올린다

접속 이후 구간에서는 엔드포인트 탐지·대응(EDR) 이 역할을 이어받는다. 지니언스는 단말이 정책에 따라 네트워크에 접속했더라도, 그 이후 단말 내부에서 발생하는 행위가 언제든 위협으로 변할 수 있다고 본다. 예를 들어 정상 사용자 계정이 탈취되거나, 단말이 악성코드에 감염되거나, 업무 과정에서 비인가 프로그램이 실행되는 경우다. 이때 EDR이 단말 내부 행위를 지속 모니터링해 비정상 징후를 포착하고, 차단·격리 등으로 확산을 줄이는 구조를 실증에서 시험했다.

강 상무가 강조한 포인트는 ‘연계’다. EDR이 잡아낸 위협 신호가 단말 내부에 머무르면 조직 차원의 정책 판단으로 이어지기 어렵다. 따라서 탐지된 위협 정보를 정책결정지점(PDP)으로 전달해, 정책이 해당 단말의 권한을 최소화하거나 접근 범위를 줄이는 판단을 내리게 해야 한다. 그는 “이 구조가 자리 잡으면 한 번 인증하면 끝이 아니라, 접속 이후까지 계속 검증하며 통제를 조정하는 방식으로 넘어갈 수 있다”고 설명한다.

“풀스택으로 한 번에” 아니라 “우선순위대로”…지니언스가 말한 단계적 확산

강 상무는 N²SF가 단말 보안 하나만 잘한다고 완성되는 체계가 아니라고 강조한다. 정책결정지점(PDP), 단말 보안, 인증, 경계 통제, 로그, 데이터 통제 등 여러 요소가 맞물려야 하기 때문에, 일부 솔루션으로 풀스택을 한 번에 적용하려는 시도는 현실과 충돌할 수 있다. 기관마다 업무 환경과 위험도가 다르고, 이미 운용 중인 시스템과 솔루션도 각기 달라 전면 교체는 비용과 운영 부담을 동시에 키울 수밖에 없다.

지니언스가 제시한 접근은 “NAC 기반 통제 체계를 중심으로 필요한 요소를 단계적으로 확장” 하는 방식이다.

1. 단말·사용자 통제 – NAC로 기준을 설정
2. 원격접속·외부 서비스 – 제로트러스트 네트워크 접근(ZTNA) 추가
3. 접속 이후 위험 감소 – EDR 강화

이 방식은 기관의 업무 우선순위에 맞춰 적용 범위를 나눌 수 있어 비용과 운영 부담을 분산할 수 있다.

남는 과제는 ‘연동’…PDP가 판단하려면 PEP 데이터 표준화 필요

단계적 확산이 가능하려면 ‘연동’이 핵심 과제로 남는다. PDP가 정확한 판단을 내리기 위해서는 PEP(Policy Enforcement Point)에서 전달받는 데이터가 표준화되고, 실시간으로 일관된 형식으로 제공돼야 한다. 현재 각 솔루션이 자체적으로 수집·전송하는 로그와 메타데이터는 형식과 granularity가 달라 통합이 어려운 경우가 많다. 따라서 데이터 스키마 정의, 공통 API 설계, 보안 이벤트의 우선순위 부여와 같은 작업이 선행돼야 한다. 이러한 표준화가 이루어지면, 다양한 보안 도구와 정책 엔진이 원활히 연동돼 PDP가 상황에 맞는 실시간 정책을 적용할 수 있게 된다.