earticle

영어

In environments with mixed wired/wireless access and increasing mobility, endpoints can leave the trusted zone due to boundary conditions such as link switching, port moves, Wi-Fi roaming, or malicious access points (Evil Twin). If a device automatically renews DHCP and continues communicating on an unauthorized network, it can increase data-leak risk and expand the attack surface. This study designs and implements a tray-based endpoint NAC agent and proposes an isolation-first procedure: when connection context is unclear, it immediately reduces network exposure and restores access only after verifying a return to the same trusted network. Upon confirmed disconnection, it enforces full firewall blocking and resets to APIPA while keeping the NIC enabled for monitoring. Recovery requires user intent (key input) and multi-fingerprint validation using rules such as profile/DNS suffix, SSID/BSSID, gateway IP/MAC, subnet, and neighbor similarity (Jaccard). In 592 same-network verification attempts, 531 (89.7%) passed and 61 failed; 85.2% of failures were due to missing IP assignment or delayed profile identification. Log-based evaluation showed ～10 seconds to apply isolation and a median of 60.5 seconds for normal recovery.

한국어

유·무선 혼재 및 이동성이 증가한 환경에서 단말은 링크 분리, 포트 이동, 무선 로밍, 악성 AP(Evil Twin) 등 경계 상황으 로 신뢰 구간을 이탈할 수 있다. 이때 단말이 자동 DHCP 재획득으로 비인가 네트워크에서도 통신을 지속하면 데이터 유출과 공격면 확대로 이어질 수 있다. 본 연구는 트레이 기반 엔드포인트 NAC 에이전트를 설계·구현하고, 연결 맥락이 불명확할 때 격리 우선(Isolation-First) 원칙으로 통신면을 즉시 축소한 뒤 동일망 복귀가 검증된 경우에만 복구를 허용하는 절차를 제안 한다. 단절 확정 시 방화벽 전면 차단과 APIPA 초기화를 결합해 격리하고 NIC는 관측을 위해 ‘사용함’을 유지한다. 복구는 사 용자 의사(키 입력)와 프로파일/DNS suffix, SSID/BSSID, 게이트웨이 IP/MAC, 서브넷, Neighbor 유사도(Jaccard) 등 다중 지문 규칙으로 검증한다. 동일망 검증 592회 중 531회(89.7%)가 통과했고 61회는 실패했다. 실패의 85.2%는 IP 미할당/프로파 일 식별 지연이 확인되었고 로그 기반 평가 시 격리 적용은 약 10초, 정상 복구 중앙값은 60.5초로 관측되었다.