[Network] AAA - Authentication, Authorization, Accounting

들어가며

네트워크 보안에서 가장 중요한 것 중 하나는 "누가 네트워크에 접근하고 있는가"와 "그들이 무엇을 할 수 있는가"를 관리하는 것입니다. AAA(Authentication, Authorization, Accounting)는 이러한 접근 제어와 감사를 체계적으로 수행하기 위한 프레임워크입니다.

AAA는 단순히 사용자 인증만 하는 것이 아니라, 인증된 사용자가 어떤 권한을 가지는지 결정하고, 그들의 행동을 기록하여 추후 감사 및 문제 해결에 활용할 수 있도록 합니다. 특히 기업 환경에서는 수많은 네트워크 장비와 사용자를 중앙에서 효율적으로 관리하기 위해 AAA가 필수적입니다.

---

1. AAA의 세 가지 핵심 요소

AAA는 이름 그대로 세 가지 주요 기능으로 구성됩니다.

Authentication (인증)

인증은 사용자나 장치가 자신이 주장하는 신원이 맞는지 확인하는 과정입니다. 네트워크 장비에 접속하려는 사용자가 실제로 접근 권한이 있는 사람인지 검증하는 단계라고 할 수 있습니다.

인증 방법에는 다양한 방식이 있습니다. 가장 기본적인 것은 사용자 이름과 비밀번호를 사용하는 방식이지만, 보안을 강화하기 위해 인증서 기반 인증, 생체 인증, 다중 인증(MFA) 등을 사용할 수도 있습니다.

Authorization (인가)

인가는 인증된 사용자가 어떤 작업을 수행할 수 있는지 권한을 부여하는 과정입니다. 예를 들어, 네트워크 관리자는 모든 설정을 변경할 수 있지만, 일반 사용자는 단순히 상태만 확인할 수 있도록 제한하는 것이 인가입니다.

인가는 역할 기반 접근 제어(RBAC)나 속성 기반 접근 제어(ABAC) 등의 방식으로 구현됩니다. Cisco 장비에서는 Privilege Level이나 Command Authorization을 통해 세밀한 권한 제어가 가능합니다.

Accounting (계정 관리 및 감사)

계정 관리는 사용자의 활동을 기록하고 추적하는 과정입니다. 누가, 언제, 어디서, 무엇을 했는지에 대한 로그를 남겨 보안 감사, 문제 해결, 컴플라이언스 준수에 활용합니다.

계정 관리를 통해 네트워크 관리자는 비정상적인 접근 시도를 탐지하거나, 보안 사고 발생 시 원인을 추적할 수 있습니다. 또한 네트워크 사용량을 분석하여 과금이나 리소스 관리에도 활용할 수 있습니다.

---

2. AAA 프로토콜

AAA 기능을 구현하기 위해서는 클라이언트(네트워크 장비)와 AAA 서버 간의 통신이 필요합니다. 이를 위한 대표적인 프로토콜로는 RADIUS와 TACACS+가 있습니다.

RADIUS (Remote Authentication Dial-In User Service)

https://info.pivitglobal.com/resources/radius-vs.-tacacs-aaa-protocol

RADIUS는 가장 널리 사용되는 AAA 프로토콜로, 원격 사용자 인증을 위해 개발되었습니다. RADIUS는 UDP 기반으로 동작하며, 포트 1812(인증)와 포트 1813(계정 관리)을 사용합니다.

 

RADIUS의 주요 특징은 다음과 같습니다.

• 표준 프로토콜: RFC 2865, RFC 2866 등으로 표준화되어 있어 다양한 벤더의 장비에서 지원
• 암호화: 사용자 비밀번호는 암호화되지만, 전체 패킷이 암호화되지는 않음
• 인증과 인가 통합: RADIUS는 인증과 인가를 하나의 패킷으로 처리
• 무선 네트워크 인증: 802.1X 기반 무선 인증에서 널리 사용됨

RADIUS는 주로 네트워크 접근 제어(NAC), VPN 인증, 무선 네트워크 인증 등에 활용됩니다.

TACACS+ (Terminal Access Controller Access-Control System Plus)

https://info.pivitglobal.com/resources/radius-vs.-tacacs-aaa-protocol

TACACS+는 Cisco에서 개발한 AAA 프로토콜로, 네트워크 장비 관리에 최적화되어 있습니다. TACACS+는 TCP 기반으로 동작하며, 포트 49를 사용합니다.

 

TACACS+의 주요 특징은 다음과 같습니다.

• 전체 패킷 암호화: 모든 통신 내용이 암호화되어 보안성이 높음
• 인증, 인가, 계정 관리 분리: 각 기능을 독립적으로 처리하여 유연성 제공
• 세밀한 명령어 인가: 개별 명령어 단위로 권한을 제어 가능
• Cisco 장비 최적화: Cisco 환경에서 강력한 기능 제공

TACACS+는 주로 네트워크 장비(라우터, 스위치, 방화벽) 관리 접근 제어에 사용됩니다.

RADIUS vs TACACS+ 비교

항목	RADIUS	TACACS+
전송 프로토콜	UDP (1812, 1813)	TCP (49)
암호화	비밀번호만 암호화	전체 패킷 암호화
AAA 처리	인증/인가 통합	인증/인가/계정 분리
주요 용도	네트워크 접근 제어, 무선 인증	네트워크 장비 관리
표준화	표준 프로토콜 (RFC)	Cisco 독자 프로토콜

---

3. AAA 구성 방법

Cisco 장비에서 TACACS+ 설정

기본 TACACS+ 서버 설정

conf t
aaa new-model
tacacs-server host 192.168.1.100 key SecretKey123
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
exit

이 설정은 다음과 같은 의미를 가집니다.

• aaa new-model: AAA 기능 활성화
• tacacs-server host: TACACS+ 서버 IP와 공유 키 설정
• aaa authentication login default: 로그인 인증 시 TACACS+ 서버 우선 사용, 실패 시 로컬 인증
• aaa authorization exec default: 명령 실행 인가 설정
• aaa accounting exec default: 사용자 활동 기록

명령어 레벨 인가 설정

conf t
aaa authorization commands 15 default group tacacs+ local
exit

이 설정을 통해 Privilege Level 15 명령어에 대한 인가를 TACACS+ 서버에서 제어할 수 있습니다.

Cisco 장비에서 RADIUS 설정

기본 RADIUS 서버 설정

conf t
aaa new-model
radius-server host 192.168.1.200 key RadiusKey456
aaa authentication login default group radius local
aaa authorization network default group radius local
aaa accounting network default start-stop group radius
exit

RADIUS는 주로 네트워크 접근 제어에 사용되므로 authorization network와 accounting network 옵션을 사용합니다.

---

4. AAA 보안 강화 방법

다중 AAA 서버 구성

단일 AAA 서버 장애 시 인증이 불가능해지는 문제를 방지하기 위해 이중화 구성이 필요합니다.

conf t
tacacs-server host 192.168.1.100 key SecretKey123
tacacs-server host 192.168.1.101 key SecretKey123
exit

첫 번째 서버가 응답하지 않으면 자동으로 두 번째 서버로 전환됩니다.

로컬 인증 폴백 설정

AAA 서버가 모두 다운된 경우를 대비하여 로컬 인증을 백업으로 설정할 수 있습니다.

conf t
username admin privilege 15 secret AdminLocalPass
aaa authentication login default group tacacs+ local
exit

이렇게 설정하면 TACACS+ 서버가 응답하지 않을 때 로컬 계정으로 접속할 수 있습니다.

세션 타임아웃 설정

보안을 강화하기 위해 비활성 세션을 자동으로 종료하는 설정이 필요합니다.

conf t
line vty 0 4
 exec-timeout 10 0
exit

10분 동안 활동이 없으면 세션이 자동으로 종료됩니다.

---

5. AAA 로그 분석 및 모니터링

AAA 로그 확인

Cisco 장비에서 AAA 디버깅

debug aaa authentication
debug aaa authorization
debug aaa accounting

디버깅 로그를 통해 인증 실패 원인, 인가 거부 이유, 계정 기록 상태 등을 실시간으로 확인할 수 있습니다.

TACACS+ 서버 로그 확인

대부분의 TACACS+ 서버는 상세한 로그를 제공합니다. 예를 들어, Cisco ISE나 ACS에서는 웹 인터페이스를 통해 로그를 검색하고 분석할 수 있습니다.

SIEM과의 통합

AAA 로그를 SIEM(Security Information and Event Management) 시스템과 연동하면 실시간 위협 탐지 및 대응이 가능합니다. Syslog를 통해 AAA 이벤트를 중앙 로그 서버로 전송하고, 이상 패턴을 자동으로 감지할 수 있습니다.

conf t
logging host 192.168.1.150
logging trap informational
exit

---

6. 최신 AAA 트렌드 및 활용

클라우드 기반 AAA

Azure Active Directory, Okta, Cisco Duo 등 클라우드 기반 AAA 솔루션이 증가하고 있습니다. 이를 통해 온프레미스 서버 없이도 글로벌 규모의 인증 시스템을 운영할 수 있습니다.

제로 트러스트(Zero Trust) 아키텍처

제로 트러스트 모델에서는 "신뢰하지 말고 항상 검증하라"는 원칙에 따라 모든 접근에 대해 지속적으로 인증 및 인가를 수행합니다. AAA는 제로 트러스트의 핵심 구성 요소로 활용됩니다.

다중 인증(MFA) 통합

보안 강화를 위해 AAA 시스템에 다중 인증(Multi-Factor Authentication)을 통합하는 사례가 늘어나고 있습니다. 비밀번호 외에 OTP, 생체 인증, 하드웨어 토큰 등을 추가로 요구하여 보안성을 높입니다.

---

마무리 및 정리

AAA는 네트워크 보안의 핵심 요소로, 인증, 인가, 계정 관리를 체계적으로 수행하여 네트워크 접근을 통제하고 사용자 활동을 추적합니다. RADIUS와 TACACS+는 각각 장단점이 있으므로, 네트워크 환경과 요구사항에 맞게 선택하여 구축해야 합니다.

 

특히 엔터프라이즈 환경에서는 AAA 서버를 이중화하고, 로컬 인증 폴백을 설정하며, SIEM과 통합하여 보안 사고에 신속하게 대응할 수 있는 체계를 갖추는 것이 중요할 것같습니다.