NAC(Network Access Control)은 네트워크에 연결되는 장치와 사용자를 인증, 승인 및 정책을 적용하여 보안성을 강화하는 솔루션입니다. 기업이나 조직에서는 무단 접속을 방지하고 네트워크 보안을 유지하기 위해 NAC을 사용합니다.
NAC의 주요 기능
- 인증(Authentication) – 사용자가 네트워크에 접속할 때 ID 및 비밀번호, 인증서, MFA 등을 사용하여 신원을 확인합니다.
- 인가(Authorization) – 사용자 및 장치의 권한을 확인하고 적절한 네트워크 리소스에 대한 접근을 허용합니다.
- 정책 적용(Policy Enforcement) – 보안 정책을 기반으로 허용된 장치만 네트워크에 접속할 수 있도록 하고, 비인가 장치는 격리합니다.
- 가시성(Visibility) – 네트워크에 접속된 모든 장치와 사용자를 실시간으로 모니터링하고 로그를 기록합니다.
- 위협 대응(Threat Response) – 보안 위협을 감지하면 해당 장치를 차단하거나 격리하는 등 자동화된 대응을 수행합니다.
NAC의 유형
- 사전 연결 NAC (Pre-admission NAC) – 사용자가 네트워크에 접속하기 전에 보안 상태를 검사하고 정책을 적용합니다.
- 사후 연결 NAC (Post-admission NAC) – 네트워크에 접속한 후에도 지속적으로 보안 상태를 모니터링하고 이상이 발생하면 제한을 가합니다.
대표적인 NAC 솔루션
- Cisco ISE (Identity Services Engine)
- Aruba ClearPass
- Forescout CounterACT
- Fortinet FortiNAC
NAC은 특히 기업 네트워크, 금융기관, 의료기관 등에서 필수적으로 사용되며, 클라우드 환경과 제로 트러스트 보안 모델과도 연계하여 활용할 수 있습니다.
NAC vs. EDR 차이점
| 비교 항목 | NAC (Network Access Control) | EDR (Endpoint Detection and Response) |
|---|---|---|
| 보호 대상 | 네트워크 전체 (유무선 장치, IoT 포함) | 엔드포인트 (PC, 서버, 모바일 등) |
| 주요 목적 | 네트워크 접근 제어 및 정책 적용 | 엔드포인트의 위협 탐지 및 대응 |
| 보안 방식 | 사전 예방 – 네트워크에 접속하려는 장치의 신원 및 보안 상태 확인 후 접근 허용/차단 | 사후 대응 – 엔드포인트에서 발생하는 이상 행위를 탐지하고 대응 |
| 탐지 방법 | 사용자 및 장치 인증, 보안 정책 적용, 비인가 장치 격리 | 행위 기반 분석, 위협 헌팅, 실시간 모니터링 |
| 차단/격리 방식 | 네트워크 레벨에서 장치 접속 차단 또는 VLAN 격리 | 엔드포인트에서 악성 프로세스 종료, 파일 격리, 네트워크 차단 |
| 위협 탐지 | 네트워크 접근 시 보안 상태 점검 | 엔드포인트에서 실행되는 악성 행위 탐지 |
| 주요 기술 | 802.1X 인증, RADIUS, DHCP 스누핑, MAC 주소 필터링 등 | AI 기반 탐지, 머신러닝, 포렌식 분석, 자동화된 대응 |
| 대표 솔루션 | Cisco ISE, Aruba ClearPass, Fortinet FortiNAC | CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne |
NAC과 EDR은 어떻게 함께 사용될 수 있을까?
- NAC을 통해 비인가 장치 및 보안이 취약한 엔드포인트가 네트워크에 접속하는 것을 차단
- EDR을 활용해 네트워크에 접속한 장치의 보안 상태를 지속적으로 모니터링하고 위협 발생 시 즉각 대응
- NAC과 EDR을 연계하여, EDR에서 위협을 탐지하면 NAC이 자동으로 해당 장치를 네트워크에서 격리
즉, NAC은 사전 접근 통제(Prevention), EDR은 실시간 탐지 및 대응(Response) 역할을 수행하며, 보안 수준을 강화하려면 두 가지를 함께 도입하는 것이 이상적입니다.