[무선보안-3] 무선인터넷 보안 취약 해결책은?

휴대폰이 등장하고 유선전화가 홀대받게 됐듯, 무선환경은 유선환경보다 효율적이고 자유로운 환경을 만들어준다. 특히 무선인터넷의 등장은 기업문화에서 큰 반향을 이끌고 있으며, 비즈니스 차원에서도 다양한 변화를 만들고 있다.

이렇듯 무선 환경이 주는 이점이 크지만 그에 비해 보안적인 관심은 크게 뒤쳐져 있다고 업계전문가들은 진단하고 있다. 완벽한 내부 보안시스템을 가진 기업이 무선보안에 신경을 안 쓴다면 모든 보안시스템이 무용지물이 될 수 있다는 점은 보안업계에서 지속적으로 지적되고 있는 부분이다. 따라서 보안뉴스에서는 현재 우리나라의 무선보안 상황과 무선보안 취약성에 대한 대응방법을 특집으로 준비해봤다. -편집자 주-

◆ 순서

1. 기업들의 무선보안 의식과 해커들의 침투경로

2. 해결되지 않는 무선보안 취약성

3. 무선인터넷 보안 취약 해결책은 ?

▲무선 보안 솔루션 영역구분 ⓒ보안뉴스

무선보안에서 최적의 솔루션을 찾는 것은 쉽지 않다. 무선보안은 유선보안과 달리 3차원의 네트워크망을 형성하기 때문에 그만큼 보안 영역도 늘어난다. 더불어 최근에는 원격 기술의 발달로 네트워크의 개념이 언제어디서나 개인 모바일디바이스를 통한 끊김 없는 무선 환경을 구축하고 있다.

그렇다면 무선보안 어디서부터 시작해야할 것인가? 보안전문가들은 무선보안의 시작을 기본적으로 무선AP에서 제공하는 무선표준을 보안기능이라고 이야기한다. 이는 무선 프로토콜에서 암호화를 통해 무선해킹과 같은 보안위협에 대비하는 것. 무선표준 보안기능에는 WEP(Wired Equivalent Privacy)와 WPA(Wi-Fi Protected Access)가 있다.

■ 기본적인 암호화 WEP

802.11 프로토콜 설계 당시 인증과 데이터 암호화 기능을 802.11에서 수용할 수 있도록 WEP라는 보안 프로토콜을 구현했다. WEP는 유선랜 수준의 보안성을 확보하는 목적으로 만들어졌다. WEP는 64비트나 128비트 암호화키를 생성해 보안을 유지한다. 하지만 이 키는 키 값이 일정한 값을 유지하기 때문에 이를 이용한 취약점이 노출되곤 했다. 이런 취약점을 이용해 해외에서는 8만5천 패킷을 이용하여 95퍼센트 확률로 암호화키를 찾아낼 수 있는 기술이 인터넷에 공개되기도 했다. 이는 2분 내로 무선 WEP 보안키를 찾아낼 수 있다는 것.

■ WEP를 보완해 탄생한 WPA

이를 보완하기 위해 WPA 보안 아키텍쳐가 발표됐다. 개인 및 소규모 무선 랜 환경에서 이용되는 WPA-PSK는 기존의 WEP의 암호화키보다 강력한 AES(Advanced Encryption Standard)라는 암호화 기술로 보안을 강화했다. 즉, 서로 다른 코드 또는 키를 사용하여 각 정보 패킷을 암호화하는 방식이다. 이 경우 키가 지속적으로 생성되고 변경되기 때문에 정적인 WEP 암호화에 비해 우수한 보안기술이라 할 수 있다.

하지만 WPA에 의해 사용된 TKIP(Temporal Key Integrity Protocol) 키가 사전 공격(Dictionary Attack)으로 크랙이 될 수 있다는 문제를 나타냈다. 대량의 암호화 키에 대한 대입으로 인해 키값을 찾아내는 것. 공격자는 일정한 패킷을 수집해 이에 대한 패턴을 찾아낸 후 키패턴을 조합해 암호화키를 알아낸다. 이런 공격방법은 키값의 조화에 따라 많은 시간을 요구하기도 해 더욱 진화된 공격방법이 소개되기도 했다. WPA를 적용한 AP를 속여 패턴을 쉽게 만들거나 WPA가 WEP와 연동된다는 특성을 이용한 공격방법이 나타나기도 했다.

■ 진화하는 무선해킹...그 대책은

사실 많은 보안전문가들이 아직까지는 WPA와 같은 무선랜에 기본적으로 탑재된 보안기술로도 어느정도 보안기능을 가지고 있다고 설명한다. 하지만 중요한 문서나 기업기밀을 가지고 있는 기업에서는 좀 더 강화된 보안장치를 요구하고 있다. WPA의 암호화키를 해킹하는 것이 쉬운일이 아니지만 최근 금전적인 이익을 목표로 한 악의적 해커의 경우, 해킹을 위한 첨단 장비와 더불어 많은 시간과 노력을 기울여 목표를 완수하는 특징을 가지고 있기 때문이다.

그렇다면 기업에서 좀 더 강화된 무선보안전략을 세우기 위해서는 어떤 준비가 필요할까? 전문가들은 일단 기업의 특성과 상황에 대한 분석이 우선시 돼야한다고 조언한다. 그리고 그에 알맞은 보안 장치를 도입을 검토해야한다.

특히 무선보안의 특성상, 무선망에서 접속에 대한 보안을 높이는 것과 사용자의 무선접속을 관리하는 것에 대한 보안담당자의 고민이 필요하다는 것. 무선망에 대한 접속을 통한 방법은 WIPS가 주로 거론된다. WIPS의 용어를 풀이하면 무선침입방지 시스템으로써 기업에서 이용되는 무선AP의 범위내에서 불법AP나 사용자 단말기를 이용한 침입시도, 애드혹(Ad-Hoc) 연결, AP의 MAC변조, 서비스거부(DoS) 공격 등을 막을 수 있다. 이런 솔루션은 무선랜의 취약점과 위협을 막기위해 무선랜 솔루션 업체들이 제공하는 무선랜 콘트롤러에 침입탐지/차단과 무선랜과 AP에 위치추적기능을 포함시켜 제공한다.

사용자의 무선접속을 관리하는 방법으로는 인증서버를 이용해 사용자간 보안통신을 유지하는 방법이 있다. 이는 802.11의 보안 표준인 WPA-EAP를 통해 WPA-PSK보다 진화된 방식을 이용하고 있다. WPA-PSK가 암/복호화를 통해 키관리를 한다면, WPA-EAP는 사용자 인증까지 영역을 넓힌 것. 이는 클라이언트와 AP외에도 인증서버를 추가해 사용자 인증을 수행하게 된다. 클라이언트 PC에 에이전트 프로그램을 설치해 인증서버와의 암호화통신을 구현하는 방식으로 보안을 유지할 수 있다.

현재 무선보안 전문가들은 기업에서 비교적 높은 수준의 보안을 유지하기 위해서는 WIPS와 인증서버를 이용한 보안체계를 둘 다 구현하는 것이 가장 좋다고 권장하고 있다.

유넷의 “인증서버를 이용한 보안이나 WIPS를 이용한 보안도 허점이 있지만 두 솔루션은 서로 상호보완적인 관계이기 때문에 양 솔루션을 도입한다면 높은 무선보안 수준을 유지할 수 있다”면서 “하지만 양솔루션을 도입하는 것은 비용적인 문제가 요구되기 때문에 기업에 맞는 솔루션을 구축하는 것이 효율적이다”고 조언한다.

<무선보안 업체 리스트>

종류	제조사	국내총판	홈페이지
인프라시스템	시스코	시스코코리아	www.cisco.com/kr
	아루바	아루바코리아	http://www.arubanetworks.com/
	한국쓰리콤	한국쓰리콤	http://www.3com.co.kr/
사용자인증	유넷시스템	유넷시스템	http://www.unetsystem.co.kr/
	한국주니퍼네트웍스	한국주니퍼네트웍스	http://www.kr.juniper.net/
	에어큐브	에어큐브	http://www.aircuve.com/
WIPS	에어마그넷	삼양데이타시스템	http://www.syds.com/
	에어타이트	케이와이즈	http://www.kwise.co.kr/
	에어디펜스	이이다쿠스탐스	http://www.iida-kustams.com/

[오병민 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)