MAC 주소 무작위화 시대 영구 장치 식별 RADIUS 기반 GUID 프레임워크

본 논문은 현대 운영체제에서 기본적으로 적용되는 MAC 주소 무작위화가 기존 20년 이상 사용되어 온 네트워크 접근 제어(NAC) 시스템에 미치는 파괴적 영향을 상세히 분석한다. MAC 주소는 전통적으로 장치 식별, 프로파일링, 정책 적용, 회계 및 라이선스 관리 등에 핵심 키로 활용되어 왔으며, 무작위화가 보편화되면서 동일 물리 장치가 여러 개의 MAC 주소를 사용하게 되고, 이로 인해 장치 추적이 단절되고, 규제 요구사항(예: HIPAA, FISMA, PCI‑DSS) 충족이 어려워진다. 논문은 먼저 MAC 주소 무작위화의 기술적 배경을 제시한다. Android, iOS, Windows, macOS 등 주요 OS가 2019년 이후 도입한 per‑network 및 per‑connection 무작위화 메커니즘을 정리하고, 2025년 현재 전 세계 Wi‑Fi 장치 중 80% 이상이 무작위 MAC을 사용한다는 통계적 근거를 제시한다. 이어서 NAC 시스템의 핵심 구성요소(스위치/AP, 인증서버, RADIUS 프로토콜)와 MAC 주소가 차지하는 역할을 설명한다. 특히, MAC 주소가 장치 프로파일링, 정책 엔진, RADIUS Accounting, 라이선스 카운팅 등에 사용되는 방식을 구체적으로 서술한다. 관련 연구를 검토하면서 기존 접근법의 한계를 지적한다. RFC 9797은 문제점을 정리하지만 해결책을 제시하지 않으며, IEEE 802.11bh‑2024는 L2 수준에서 세션 연속성을 제공하지만 AAA 계층을 다루지 못한다. Fingerprinting(Probe‑request, 타이밍 패턴) 기반 재식별은 높은 정확도를 보이지만 프라이버시 침해 위험과 규모 확대 시 정확도 저하, OS 업데이트에 따른 모델 재학습 필요성 등 실무 적용에 제약이 있다. 벤더별 SNMP 기반 모니터링이나 클라이언트 에이전트 방식도 관리되지 않은 BYOD·IoT 환경에서는 적용이 어려운 것이 현실이다. 이러한 격차를 메우기 위해 논문은 RADIUS 기반 GUID 프레임워크를 제안한다. 핵심 아이디어는 인증 서버가 물리 장치당 128비트 UUID‑v4 형태의 Persistent Device Identifier(PDID)를 생성하고, 이를 RADIUS Access‑Accept 메시지에 사용자 정의 AVP로 삽입한다는 것이다. 클라이언트는 MAC 주소를 포함한 기존 인증 정보를 그대로 전송하고, 인증 서버는 MAC‑to‑GUID 매핑을 중앙 영구 식별 저장소에 기록한다. 이후 동일 장치가 다른 MAC 주소(무작위화된)로 재접속하면, 서버는 저장소에서 기존 GUID를 찾아 반환함으로써 장치를 일관되게 식별한다. 프레임워크는 다음과 같은 설계 목표를 갖는다. ① 영구 식별성 확보, ② RADIUS 네이티브 구현으로 기존 인프라와 호환, ③ 클라이언트 에이전트 불필요, ④ 프라이버시 존중(사용자 동의 기반 GUID 제공), ⑤ 기존 802.1X·MAB 흐름 유지, ⑥ 다중 인증 소스(인증서, MDM, 사용자 크레덴셜)와 연계, ⑦ 대규모 동시 인증 처리. 구체적인 구현은 여섯 가지 사용 사례에 적용된다. 1) BYOD: 기업 인증서와 연계된 GUID를 사전 할당하거나 최초 인증 시 발급, 무작위 MAC에도 동일 장치로 인식. 2) 관리형 장치: MDM에서 장치 등록 시 GUID를 부여하고, 정책 엔진이 GUID 기반 컴플라이언스 점검 수행. 3) VPN 기반 포스처 평가: VPN 터널 인증 전후에 GUID를 전달해, 네트워크 경계 안팎에서 일관된 장치 프로파일 유지. 4) 비‑VPN 포스처 평가: 무선·유선 접속 시 동일 GUID를 사용해 포스처 점검 결과를 중앙에 집계. 5) 게스트 액세스: 일시적인 GUID를 발급하고 세션 종료 시 자동 소멸, 프라이버시 보호. 6) IoT 디바이스 프로파일링: 인증서가 없는 저전력 디바이스에도 사전 등록된 GUID를 사용해 식별, 기존 MAC 기반 프로파일링 한계 극복. 스케일링을 위해 논문은 GUID 중복 방지를 위한 원자적 삽입 로직과, 고성능 캐시(예: Redis) 기반 MAC‑GUID 매핑 조회를 제시한다. 초당 수천 건의 인증 요청을 처리하면서도 충돌 확률은 UUID 표준에 따라 실질적으로 0에 가깝다. 또한, GUID는 MAC 주소와 달리 네트워크 인터페이스에 종속되지 않으며, 다중 어댑터(와이파이, 이더넷, USB‑dongle)에서도 하나의 PDID로 통합된다. 규제 준수 측면에서 GUID 기반 영구 식별은 HIPAA의 장치 수준 감사 로그, FISMA의 연속 모니터링, PCI‑DSS의 네트워크 세분화 요구사항을 충족한다. MAC 무작위화가 프라이버시를 강화하지만, GUID는 인증 과정에서 명시적 동의를 전제로 하므로 GDPR·CCPA와도 충돌하지 않는다. 제한점으로는 초기 GUID 발급 시 신뢰할 수 있는 PKI 인프라가 필요하고, 레거시 장비가 RADIUS AVP 확장을 지원하지 않을 경우 펌웨어 업그레이드가 요구된다. 또한, GUID 기반 식별이 완전한 보안을 보장하지는 않으며, 추가적인 포스처 평가와 연계가 필요하다. 향후 연구에서는 Zero‑Trust Network Access(ZTNA)와 결합해 GUID 기반 실시간 위험 점수를 정책 엔진에 적용하고, AI 기반 이상 탐지와 연동하는 방안을 제시한다. 결론적으로, 본 논문은 MAC 주소 무작위화 시대에 기존 NAC가 직면한 식별 문제를 RADIUS 프로토콜 내에 GUID를 삽입하는 간단하면서도 확장 가능한 방법으로 해결한다. 이는 프라이버시를 유지하면서도 기업·기관이 요구하는 정확한 장치 가시성, 라이선스 관리, 규제 준수를 동시에 달성할 수 있음을 입증한다.