802.1X란? (신분 확인 절차)

• 802.1X는 ‘포트 기반 네트워크 접근 제어’ 표준이다. 유선 스위치 포트에 선을 꽂거나 무선 Wi-Fi에 연결할 때, “인증되기 전까지는 데이터를 한 글자도 통과시키지 않겠다”는 게 핵심이다.
• 주요 구성 요소:
  • Supplicant (신청자): 접속하려는 PC나 스마트폰 기기 (인증 소프트웨어 포함)
  • Authenticator (인증자): 중간에서 문지기 역할을 하는 L2 스위치 또는 무선 AP
  • Authentication Server (인증 서버): 신원을 최종 확인하는 서버 (주로 RADIUS)

RADIUS란? (인증 프로토콜)

• RADIUS (Remote Authentication Dial-In User Service)는 802.1X 절차 안에서 실제 신원 정보를 실어 나르는 통신 프로토콜이자 이를 처리하는 서버이다.
• 핵심 역할 (AAA):
  • Authentication (인증): ID/PW가 맞는지, MAC 주소가 등록된 것인지 확인
  • Authorization (권한 부여): 인증된 유저에게 특정 VLAN을 할당하거나 권한 부여
  • Accounting (계정 관리): 언제 접속해서 얼마나 데이터를 썼는지 기록

시나리오

1. 무선 보안 (Enterprise Wi-Fi)

가장 흔한 사례. 카페 Wi-Fi처럼 비밀번호 하나로 모두가 접속하는 방식(PSK)은 퇴사자가 생기거나 비번이 유출되면 전체를 바꿔야 하는 보안 취약점이 있다.

• 실제 적용: 직원이 사내 Wi-Fi를 선택하면 ID/PW 입력창이 뜬다.
• RADIUS 역할: RADIUS가 AD와 통신하여 현재 재직 중인 직원인지 확인. 퇴사자가 AD에서 삭제되면 그 즉시 사내 Wi-Fi 접속이 차단된다.

2. 유선 보안 및 동적 VLAN 할당 (Dynamic VLAN)

회사가 커지면 부서별로 네트워크를 분리해야 한다. 하지만 자리 이동이 잦을 때마다 스위치 설정을 바꿀 수는 없다.

• 실제 적용: 직원이 어느 자리에 앉아 랜선을 꽂든, RADIUS가 그 사람의 소속을 확인한다.
• RADIUS 역할: “이 사람은 개발팀 소속이네?”라고 판단하면, 스위치에 명령을 내려 해당 포트를 즉시 “개발팀 VLAN”으로 변경한다.

3. 단말 무결성 체크 (NAC 연동)

외부 협력업체 직원이 자신의 노트북을 사내 랜선에 꽂는다고 하자.

• RADIUS + NAC: RADIUS가 AD 계정은 맞다고 확인한다. 하지만 NAC이 MAC 주소를 체크해보니 “등록되지 않은 외부 기기”임을 감지한다. 혹은 “백신이 최신 버전이 아님”을 감지한다. 이후 네트워크 접속을 차단하거나 백신을 업데이트 할 수 있는 “Quarantine VLAN”으로 보낸다.