Hayden

네트워크에 누가 접속했는지, 무엇을 할 수 있는지, 어떤 활동을 했는지 정확히 파악하고, 체계적으로 관리하는 것이 바로 AAA 인증 시스템입니다. 이번 포스트에서는  네트워크 보안의 핵심인 AAA에 대해 알아보고자 합니다.

 

1. AAA 인증이란 무엇인가?

AAA는 Authentication(인증), Authorization(권한부여), Accounting(계정관리)의 줄임말로, 컴퓨터 네트워크 내에서 사용자 접근을 제어하고 추적하는 보안 프레임워크입니다. 이 세 가지 요소가 순차적으로 작동하여 네트워크 보안을 보장합니다.

Authentication(인증): 신원 확인

인증은 “사용자의 신원을 확인하는 과정으로, 일반적으로 유효한 사용자명과 비밀번호를 입력하여 접근 권한을 부여받기 전에 수행됩니다”.

주요 인증 방법:

  • 지식 기반: 비밀번호, PIN 코드
  • 소유 기반: 스마트카드, 토큰, 인증서
  • 생체 인식: 지문, 얼굴 인식, 홍채 스캔

AAA 서버는 사용자의 인증 자격 증명을 데이터베이스에 저장된 다른 사용자 자격 증명과 비교합니다. 자격 증명이 일치하면 사용자에게 네트워크 또는 장치에 대한 액세스 권한이 부여되고, 일치하지 않으면 인증이 실패하고 네트워크 액세스가 거부됩니다.

Authorization(권한부여): 접근 권한 제어

인증이 완료된 후 “사용자가 특정 작업을 수행할 권한이 있는지 결정하는 과정”입니다. 단순히 말하면 “사용자가 허용되는 활동, 자원 또는 서비스의 유형이나 품질을 결정하여 정책을 시행하는 과정”입니다.

권한부여 방식:

  • 역할 기반 접근 제어(RBAC): 사용자의 역할에 따른 권한 부여
  • 속성 기반 접근 제어(ABAC): 다양한 속성을 고려한 동적 권한 부여
  • 최소 권한 원칙: 업무 수행에 필요한 최소한의 권한만 부여

Accounting(계정관리): 활동 추적 및 기록

계정관리는 접근 중 사용자가 소비하는 자원을 측정합니다. 여기에는 사용자가 세션 중에 보내고 받은 시스템 시간이나 데이터의 양이 포함될 수 있습니다.

기록되는 정보:

  • 세션 통계 및 사용 정보
  • 접속 시작/종료 시간
  • 사용한 네트워크 자원의 양
  • 수행한 명령어 및 작업 내역

AAA-인증-프로세스-Flow

 

2. AAA 프로토콜 비교: RADIUS vs TACACS+

AAA 기능을 구현하는 대표적인 두 프로토콜을 비교해보겠습니다.

RADIUS (Remote Authentication Dial-In User Service)

RADIUS는 1991년 리빙스턴 엔터프라이즈에서 개발된 네트워킹 프로토콜로, RFC 2865에 정의된 오픈 표준입니다.

RADIUS 특징:

  • 전송 프로토콜: UDP 사용
  • 포트: 인증과 권한부여는 1812번, 계정관리는 1813번 포트 사용 (초기에는 1645, 1646번도 사용)
  • 암호화: 클라이언트에서 서버로 보내는 접근 요청 패킷에서 비밀번호만 암호화하고, 패킷의 나머지 부분은 암호화되지 않음
  • AAA 처리: RADIUS는 인증과 권한부여를 결합합니다. RADIUS 서버가 클라이언트에게 보내는 접근 허용 패킷에는 권한부여 정보가 포함되어 있어 인증과 권한부여를 분리하기 어렵습니다

TACACS+ (Terminal Access Controller Access Control System Plus)

TACACS+는 시스코에서 지원하는 프로토콜로 Cisco Client와 Cisco ACS server간의 커뮤니케이션을 위해 사용됩니다.

TACACS+ 특징:

  • 전송 프로토콜: TCP 사용
  • 포트: 49번 포트 사용
  • 암호화: 표준 TACACS+ 헤더는 남겨두지만 패킷 본문 전체를 암호화합니다
  • AAA 처리: TACACS+는 인증, 권한부여, 계정관리를 분리하는 AAA 아키텍처를 사용

프로토콜 선택 기준

RADIUS를 선택하는 경우:

  • 다양한 벤더의 장비를 사용하는 환경
  • WiFi, VPN 등 원격 접속 인증이 주 목적
  • 오픈 표준 프로토콜이 필요한 경우
  • 빠른 응답 속도가 중요한 환경

TACACS+를 선택하는 경우:

  • 시스코 장비 중심의 네트워크
  • 네트워크 장비 관리를 위한 상세한 권한 제어가 필요
  • 높은 보안 수준이 요구되는 환경
  • 명령어 수준의 세밀한 권한 관리가 필요

 

3. AAA 서버 구축 방법

기본 아키텍처

AAA는 분산된 클라이언트/서버 구조로 구성됩니다:

AAA인증- 아키텍처

구성 요소:

  • AAA 서버: 분산된 정보를 중앙에서 저장, 관리, 허용 여부 통지
  • AAA 클라이언트: 원격 사용자의 인증용 정보를 중앙의 서버에게 전달 (예: NAS – Network Access Server)
  • 원격 사용자: 원격 다이얼업 클라이언트 등

구현 시 고려사항

1. 고가용성 구성

단일 AAA 서버 장애 시 전체 네트워크 접근이 불가능해질 수 있으므로 이중화 구성이 필수입니다.

2. 성능 최적화

  • 적절한 서버 사양 선택
  • 네트워크 지연 최소화를 위한 배치
  • 캐싱 전략 수립

3. 보안 강화

  • AAA 서버 자체 보안 강화
  • 네트워크 세그먼테이션
  • 정기적인 보안 패치

 

4. 실제 구현에 대한 예시를 알아보겠습니다.

중소기업 구성 예시

환경: 직원 100명, 네트워크 장비 20대

구성:

  • RADIUS 서버 1대 (Primary) + 1대 (Backup)
  • Active Directory 연동
  • WiFi 인증 및 VPN 접속 관리
  • 관리자 계정은 TACACS+ 별도 구성

효과:

  • 통합된 계정 관리
  • 보안 강화
  • 접근 로그 중앙 집중 관리

대기업 구성 예시

환경: 직원 5000명, 글로벌 사업장 10개

구성:

  • 지역별 RADIUS 서버 클러스터
  • 중앙 집중식 정책 관리
  • TACACS+로 네트워크 장비 관리
  • 다중 요소 인증 적용

특징:

  • 계층적 관리 구조
  • 지역별 독립성과 중앙 제어의 균형
  • 대용량 동시 접속 처리

 

5. 주요 AAA 솔루션

상용 솔루션

Cisco ISE (Identity Services Engine)

  • 통합 AAA 플랫폼
  • 정책 기반 네트워크 접근 제어
  • 엔드포인트 프로파일링 기능

Microsoft NPS (Network Policy Server)

  • Windows Server 기본 제공
  • Active Directory 완전 통합
  • 비용 효율적인 중소기업 솔루션

오픈소스 솔루션

FreeRADIUS

  • 가장 널리 사용되는 오픈소스 RADIUS 서버
  • 다양한 인증 백엔드 지원
  • 높은 확장성과 안정성

TACACS.net

  • 오픈소스 TACACS+ 구현
  • Cisco 장비와 완전 호환
  • 커스터마이징 가능

 

6. AAA 구현 시 주의사항

일반적인 실수들

1. 백업 인증 방법 부재

AAA 서버 장애 시를 대비한 로컬 백업 계정이나 대체 인증 방법을 준비해야 합니다.

2. 과도한 권한 부여

편의성을 위해 불필요한 권한을 부여하지 않도록 주의해야 합니다.

3. 로그 관리 소홀

계정관리는 세션 통계와 사용 정보를 기록하고 권한 제어, 과금, 동향 분석, 자원 활용 및 용량 계획 활동에 사용됩니다.

성능 최적화 방안

1. 적절한 서버 사양

  • CPU: 동시 인증 요청 수에 따라 결정
  • 메모리: 캐시 및 세션 관리용
  • 네트워크: 충분한 대역폭 확보

2. 네트워크 설계

  • AAA 서버와 클라이언트 간 지연 최소화
  • 네트워크 이중화를 통한 가용성 확보

3. 데이터베이스 최적화

  • 인덱싱을 통한 조회 성능 향상
  • 정기적인 로그 아카이빙

 

7. AAA 에서 신경 써야 할 보안 정책

인증 보안 강화

1. 강력한 비밀번호 정책

  • 최소 길이 및 복잡성 요구사항
  • 정기적인 비밀번호 변경
  • 이전 비밀번호 재사용 방지

2. 다중 요소 인증

  • 관리자 계정에 필수 적용
  • 토큰, SMS, 앱 기반 OTP 활용

3. 계정 잠금 정책

  • 연속 로그인 실패 시 계정 잠금
  • 적절한 잠금 시간 설정

권한 관리 방법

1. 최소 권한 원칙

  • 업무에 필요한 최소한의 권한만 부여
  • 정기적인 권한 검토 및 정리

2. 역할 기반 접근 제어

  • 직무별 표준 권한 템플릿 작성
  • 예외 권한에 대한 승인 프로세스

3. 시간 기반 접근 제어

  • 업무 시간 외 접근 제한
  • 특별한 경우 임시 권한 부여

모니터링 및 감사

1. 실시간 모니터링

  • 비정상적인 접근 시도 탐지
  • 권한 남용 행위 모니터링

2. 정기적인 감사

  • 접근 로그 분석
  • 권한 부여 현황 검토
  • 정책 준수 여부 확인

 

이상으로 AAA 인증에 대하여 대략적인 개념과 적용 사례를 알아보았습니다. AAA 인증은 네트워크 보안의 핵심 요소로, 내부의 시스템에 안전하게 엑세스 할 수 있게 보안 통로를 제공합니다. 서버나 네트웍 장비에 접속할 때 그냥 콘솔로 일일이 접속하거나 SSH로 장비에 바로 접속하지 말고 통합된 AAA인증 서버를 통하여 접속해 보시는 것은 어떨까요? 이 포스트가 여러분에게 AAA인증에 대하여 이해하고 관련 시스템을 구축하는데 도움이 되기를 바랍니다. 🙂

 

댓글 남기기