바야흐로 무선네트워크 시대다. 앞으로 세상은 더욱 말할 것도 없다. 우리 일상 속에 깊숙이 자리잡은 무선 네트워크. 그래서 더욱 보안을 생각하지 않을 수 없다. 데일리시큐는 무선네트워크 보안전문 기업으로 경쟁력을 갖춘 유넷시스템에 무선랜 보안과 관련 알기 쉽게 맥락을 잡을 수 있는 특별연재를 부탁했다. 다음은 이상준 유넷시스템 연구소장이 작성한 무선랜 보안 특별기고를 총 4편으로 나누어 게재한 내용이다. <편집자 주>
 
◇무선랜 보안에 대한 오해
현업 보안 담당자들의 무선랜 보안에 대한 오해와 무지는 생각 외로 심각한 수준이다. 지난 2009년 9월 보도됐던 서울 시내 유명 백화점에서의 고객 결제 정보 유출 사건 당시 백화점 측 담당자는 인터뷰에서 “WEP를 적용했으니 안전할 것이다”라고 했다가 망신을 당했던 적이 있었다. 40bit WEP 키를 사용하는 경우 대략 30분이면 WEP 키가 복구되며, 104bit의 경우 2시간 정도면 복구된다. 이는 무선랜 트래픽의 많고 적음에 상관없이 가능한 것이기에 더욱 치명적이다.
 
얼마 전에 발생했던 A은행과 B은행에서의 무선 랜 도청 사건에서 은행 담당자는 어플리케이션에서 고객 정보를 암호화하기 때문에 WEP 키가 복구되어 패킷이 유출되더라도 아무 문제없다고 주장했다고 한다. 그러나 이는 더 큰 문제를 간과하고 있는 것이다. 그것은 복구된 WEP 키를 이용하여 AP에 접속하게 되면, 곧바로 내부 네트워크에서 그 어떤 행위라도 자유롭게 할 수 있게 된다는 것이다. 이것은 단순 정보유출 사고에서 끝나는 것이 아니라 그 이상의 보안사고를 당할 수 있음을 의미한다.
 
또한 무선랜을 사용하지 않는 경우에는 무선랜 보안도 필요 없다고 생각하는 현업 보안 담당자가 의외로 많다.
 
"무선랜 보안 위협과 침입 방지 시스템(WIPS)의 출현"에서 살펴본 것처럼 무선랜을 사용하지 않더라도 수 많은 무선랜 보안 위협이 상존하고 있으며, 이에 대한 보안 대책이 더 시급한 실정이다.
 
실제로 금융위와 금감원에서 제정하는 금융회사 IT 부문 보호 업무 모범 규준에는 다음과 같이 무선랜 차단 장치의 구비를 규정하고 있다.

<7. 전산실 등 보호대책
②(무선망설치금지) 금융회사 등은 전산실 등 주요 시설에서 무선통신망 설치를 금지하고 차단장치를 마련해야 한다.>

또 다른 오해는 앞서 언급한 IEEE 802.1x 인증 시스템과 WIPS를 대체재 관계로 생각하여 경쟁 제품으로 오인하는 경우이다. 두 시스템은 상호 보완재이며, 둘 다 무선랜 보안에 꼭 필요한 시스템이다.
 
다만 IEEE 802.1x 인증 시스템은 무선랜을 사용하는 경우에 한해 필요하며, WIPS는 무선랜 사용 여부와 관계없이 필요한 시스템이다.
 
◇무선랜 보안방안
무선랜은 물리적인 특성상 유선랜 보다 보안에 취약한 측면이 있다. 유선랜은 네트워크 케이블을 가시적으로 점유할 수 있어야만 네트워크에 참여할 수 있지만, 무선랜은 무선랜카드만 장착하고 있으면 누구나 AP 가청 범위 내에서는 눈에 띄지 않게 네트워크에 참여할 수도 있고, 유통되는 데이터에 접근이 가능하기 때문이다.
 
이런 무선랜에 대한 보안 접근법은 다음 그림과 같이 보호와 통제의 측면에서 이루어 지고 있다.
보호는 무선랜을 사용하는 경우, 구축된 무선랜 인프라와 사용자를 보호하는 측면이며, IEEE 802.1x 인증시스템을 이용한 IEEE 802.11i를 구현함으로써 달성된다.
 
앞서 살펴본 바와 같이 무선랜 장비(AP와 단말)에서 기본적으로 제공하는 보안 체계인 WEP를 사용한다는 것은 이제 의미없는(무선랜 보안을 하지 않은 것과 동일한)일이다. 또한 일부 무선랜 스위치 및 컨트롤러에서 안전하다고 주장하는 PSK(Pre-Shared Key) 인증도 사실 안전하지 않는 방법이다.
 
무선랜 보호 측면에 있어 IEEE 802.1x 인증 시스템을 도입하는 것은 선택이 아닌 필수이다. IEEE 802.1x 기반의 인증 시스템은 WEP을 보완하는 강력한 사용자 인증 및 패킷 암호화 방법(자동화된 키 관리)을 제공하며, IEEE 802.11i 또는 WPA2를 적용하기 위해서는 반드시 IEEE 802.1x를 이용해야 하기 때문이다.
 
더불어 유•무선랜에 대한 통합 인증, 인사시스템(RDBMS, LDAP, AD, …)과의 연동을 통한 휴면 계정 최소화 및 인증체계의 일원화, AP별/시간별 접근 통제, 단말 IP 관리 기능의 통합 등에 대한 폭넓은 고려가 필요하다.

 
통제는 무선랜 침입 방지 시스템(WIPS)를 통해서 달성되며, 무선랜을 사용하지 않아도 반드시 구축해야 하는 시스템이다.
 
WIPS는 전산실, 본사 등 중요한 시설부터 전사로 확대 구축하는 것이 바람직하며, WiDi나 WiFi Direct와 같은 다양한 응용 기술 및 제품에 대한 통제도 함께 고려되어야 한다.
 
◇맺으며…
IEEE 802.1x 인증 시스템은 네트워크 로밍에 인증 시간이 주는 영향을 최소화하기 위한 방안을 모색하고 있으며, IEEE 802.11ai에 관련 내용이 포함되어 있고, 현재 표준화 작업이 한창이다.
 
USIM 카드를 이용한 사용자 인증(EAP-AKA)을 통한 인증 시간 단축 및 기업 환경 적용 또한 지켜볼 대목이다.
 
WIPS는 새로운 무선랜 규격(IEEE 802.11ac/ad)에 대한 지원 및 다양한 응용 기술에 대한 탐지/차단 기술의 개발이 중요한 과제가 될 것이다.
 
무선랜 장비와 보안을 통합할 것이가에 대한 논란은 당분간 지속될 것으로 보이며, 당분간은 독립 제품의 우세가 예상된다.
 
이상으로 무선랜의 태동부터 최신 보안 기술에 이르기까지 살펴본 연재를 마치며, 점점 더 무선 네트워크의 핵심 기술로 자리 매김하고 있는 무선랜 기술의 발전과 안전한 사용을 보장하는 보안 기술의 동반 발전을 기대해 본다.
 
글. 이상준 유넷시스템 연구소장 / sjunee@unet.kr