[칼럼] 당신의 무선랜은 안전합니까?
시스코 코리아 커머셜마켓 솔루션 스페셜리스트 김나래 과장
화창한 금요일 오후, 고객사 미팅으로 광화문에 간 김 부장. 고객사에 거의 도착했을때, 30분정도 미팅을 늦게 하자는 고객의 연락을 받았습니다. 마침 근처에 카페가 있어 시간이나 때울 겸 들어가봅니다. 근처에 회사가 많아서 그런지 콘센트가 붙어있는 책상에, 카페 이름으로 된 SSID가 암호도 없이 오픈되어 있습니다. 큰 이슈없이 노트북으로 와이파이에 접속해서 웹 서핑을 하며 미팅 시간을 기다려봅니다.
우리들이 흔히 겪는 지극히 평범해 보이는 위의 상황, 과연 평범한 것일까요?
보안 측면에서 생각하면 전혀 평범한 상황이 아닙니다. 암호가 걸려있지 않은 와이파이를 사용하는 것은 안전했을까요? 만약 카페 이름으로 된 SSID가 카페에서 운영하는 와이파이가 아니었다면 당신의 정보는 과연 안전했을까요?
와이파이, 즉 무선랜이 정말 당연해진 요즘입니다. 예시로 든 카페 뿐만 아니라 회사나 학교에서도 무선랜이 갖춰진 환경이 늘어나고 있습니다. IT 관리자들은 더욱 빠른 무선랜, 끊김없이 안정적인 무선랜를 고민하고, 그에 따른 사용자의 피드백에 민감합니다.
하지만 한가지 더, “보안” 이라는 키워드도 빼놓을 수 없는 중요한 요소인데 사용자나 서비스 제공자나 너무나 쉽게 간과하는 것이 또!! 이 보안입니다. 그렇다면 어떻게 이 보안을 놓치지 않고 준비할 수 있을까요?
무선랜 보안은 사용자가 무선랜 인프라에 안전하게 접속해 있는지, 그리고 사용자가 접속해 있는 무선랜 인프라 자체는 안전한지, 이렇게 두 가지 측면에서 살펴볼 수 있습니다.
먼저, 사용자가 무선랜 인프라에 안전하게 접속해 있는지는 무선랜 인증/암호화 방식에 따라 달라집니다. 우선 무선랜 인증 방식은 인증 절차가 없는 Open 방식, WEP(Wired Equivalent Privacy), WPA(Wi-Fi Protected Access), WPA2(Wi-Fi Protected Access version 2)가 있습니다. Open 방식이 안전하지 않다는 것은 누구나 알고 있는 사실입니다. 기업의 IT 관리자라면 당연히 선택하지 않는 방식입니다만, 사용자 입장에서 업무용 PC나 태블릿 등을 무심코 Open SSID에 연결하는 일이 있습니다. IT 관리자가 아니더라도 평소에 자신이 접속하는 무선랜이 어떤 암호화 방식을 사용하고 있는지, 주의를 기울여야 합니다.
인증 방식을 사용하고 있다고 해도, WEP가 안전하지 않다는 것은 이제 상식입니다. 간단한 툴을 사용하면 빠르면 10분, 적어도 20분정도면 사용되고 있는 암호키를 알아낼 수 있습니다. WPA는 WEP보다는 안전하지만, 불완전한 RC4 알고리즘을 사용하고 있어, 가장 강력한 보안기능을 제공하는 WPA2를 사용하는 것이 가장 좋습니다. 그리고 WPA2와 함께 강력한 암호화 방식인 AES를 사용해야 합니다.
두번째, 무선랜 인프라의 안전을 위해서는, 정상적으로 무선랜 서비스가 제공되도록 공격이나 간섭을 탐지, 차단하는 것이 가능하여야 합니다. 이런 기능을 제공하는 시스템을 wIPS(wireless Intrusion Prevention System)라고 합니다. 이러한 wIPS가 제공하는 기능들은 여러가지가 있는데요. 몇 가지 주요한 기능을 예를 들면 다음과 같습니다.
누군가가 불법 무선 툴을 이용해 정상 사용자가 무선랜 인프라에 접속하지 못하도록 인증을 해지하는 패킷을 전송해 무선랜 인프라를 공격하고 있지는 않은지 탐지하여 정상 사용자들의 서비스를 보장합니다.
또 누군가가 악의적인 목적으로 신호를 방해하는 RF 재머를 사용해서 Layer 1 레벨의 공격을 하고 있다면 여러가지 공격을 탐지하고 차단할 수 있어야 합니다.
또한, 사용자가 접속해 있는 SSID가 무선랜 인프라에서 제공하고 있는 SSID인지도 알 수 있어야 합니다. 서론의 김 부장의 예에서, 김 부장이 접속한 SSID가 사실은 카페에서 제공하는 무선랜 인프라에서 배포하고 있는 SSID가 아니라, 해커가 설치한 불법 AP에서 배포되고 있는 이름만 동일한 SSID라면 어떨까요? 이런 불법 AP를 허니팟 AP라고 합니다. 허니팟 AP에 정상적인 사용자가 접속하지 않게 하기 위해, wIPS 시스템에서 무선랜 인프라에서 관리되고 있지 않은 불법 AP가 동일한 SSID를 배포하고 있다는 것을 탐지하고 해당하는 불법 AP를 차단할 수 있어야 합니다.
[그림1] 다양한 무선 보안 위협
위와 같은 요소를 위한 많은 솔루션들이 업계내에 존재하고 있습니다. 하지만 보안 솔루션을 도입함에 있어서 놓쳐서는 안될 중요한 기본이 있습니다. 바로, 무선랜 인프라를 보호하기위한 차단에 너무 중점을 둔 나머지 무선랜 서비스 자체를 방해하는 우를 범해서는 안되는 것입니다.
그래서 무선랜 인프라를 고려하는 wIPS 시스템, 즉, 별도 시스템이 아닌 무선랜 인프라와 연동된 wIPS 시스템이 필요한 이유입니다. 시스코 wIPS 시스템은, 시스코 무선랜 인프라와 연동되어 무선랜 공격 발생시에도 기존에 제공되고 있는 무선랜 서비스의 영향을 최소화하며 공격에 대응합니다. 또한, 위에 소개한 공격 이외에도 애드혹(Ad-hoc) 무선 연결, 관리되고 있지 않은 비인가 AP에의 기존 사용자 접속 등 다양한 공격 및 위협을 탐지, 차단하며, 시스코 유선 인프라와 연동되어 연결된 불법 AP를 포트 레벨에서 탐지하고 차단합니다. wIPS에 사용되는 AP와 무선랜 인프라에서 사용되는 AP를 활용하여 불법 AP와 불법 AP에 접속한 불법 사용자의 위치 파악 및 영향도 분석도 함께 제공합니다.
[그림2] 시스코 wIPS를 활용한 불법 AP 영향 범위 파악
무선랜 보안이 중요하다고 생각하면서도, 무선랜 보안을 위해 어떤 것을 해야하는지, wIPS가 어떤 역할을 하는지 잘모르시는 분들이 아직도 많습니다.
기본적인 무선랜 암호화 방식을 잘 선정해야 한다는 점, 무선 인프라에 대한 공격을 탐지/차단하고 무선랜 인프라에서 제공하는 무선 서비스에도 영향이 없는 시스코 wIPS를 통해 효과적으로 무선랜 보안을 강화할 수 있다는 점을 기억하셔서 편리한 무선랜을 더욱 안전하게 사용하시길 바랍니다.
Tags:
