우리 생활 가까이 많이 퍼져 있는 무선 LAN은 우리 생활이 더 편리하도록 하는 많은 장점들을 갖고 있다. 이러한 무선 LAN에 대해 많이 알려지기도 했지만 많은 오해들이 존재하기도 한다. 이 글을 통해 많은 이로움과 유연성을 제공하고 있는 무선 LAN에 대한 네트워크 구축 담당자의 오해를 풀고 또한 유선에 비해 상대적으로 취약한 보안 부분을 어떻게 해결 할 것인지에 대해 알아본다.
필자가 몇 년 전에 집에서 노트북으로 무선 네트워크를 사용하여 인터넷을 사용하려고 이런 저런 궁리를 한 적이 있었다. 유무선 공유기를 하나 구입하려고 생각하고 있던 중 우연히 주변의 무선 네트워크를 검색하게 되었다.
옆 집에서 신호가 미약하게 잡히기는 했으나 사용하기에는 좀 무리가 있어 보였다. 그 중 이름이 약간 특별한 무선 식별자(SSID)를 하나 발견하게 되었다. 알고 보니 집에 설치한 인터넷 전화기 Cradle이 무선 Access Point였던 것이다. 설치 기사가 건네준 인터넷 전화기 매뉴얼을 보니 기본 설정된 WEB key도 나와 있어서 필자의 Laptop에서 해당 WEB key를 이용하여 인터넷에 접속했던 기억이 있다.
작년 여름 한 놀이 공원에 아이들을 데리고 갔던 적이 있었는데 그곳에서 비누방울 장난감을 파는 사람이 있었다. 당연히 현금을 주고 장난감을 사야 하나 생각하고 있었는데 카드 결제가 된다는 것이다. 그의 손에는 카드리더기와 프린터가 장착된 PDA가 있었다. 카드 결제가 무선 LAN을 통해 이루어 졌던 것. 이처럼 우리 곳곳에 무선 LAN은 광범위하게 퍼져 있다.
사무실 이사를 해 본 경험이 있는 사람은 다들 아는 내용이지만 이사 과정 중 가장 힘든 부분 중에 하나가 네트워크 공사다. 특히 각각의 자리마다 UTP 케이블을 매설하는 것은 결코 쉬운 일은 아니다. 단순히 이사만 문제가 되는 것이 아니다. 조직이 개편되고 파티션이 바뀔 때마다 케이블 설정 및 스위치 설정을 다시 하는 것은 매우 번거롭고 비용이 드는 일이다. 이런 불편함이 존재하기 때문에 새로 이사하는 경우는 네트워크 인프라를 무선 LAN으로 구축하는 사례가 늘고 있다.
무선 LAN이 아니면 다른 대안이 존재하는 않는 상황도 있다. 필자가 한 기업의 대단위 물류 창고에 무선 LAN을 구축한 적이 있다. 이곳은 재고 관리를 PDA로 했는데 PDA에 바코드 스캐너가 장착되어 있어서 스캔한 재고 데이터를 실시간으로 재고 관리 서버에 전송 했다. 또한 물류 창고가 매우 커서 지게차를 타고 다니면서 여러 창고를 돌아다니며 작업을 하기도 한다. 이런 환경이라면 무선 말고는 다른 대안이 존재하지 않는다.
이렇게 많이 퍼져 있고 장점들이 존재하는 무선 LAN에 대하여 많이 알려지기도 했지만 많은 오해들이 존재하는 것도 사실이다. 무선 LAN을 경험하지 않은 대부분의 사람들은 무선 LAN은 접속이 불안하여 네트워크 단절이 많이 생길 거라는 막연한 두려움을 가지고 있는 것이 사실이다. 하지만 일반적으로는 그렇지 않다. 필자는 하루 종일 무선 네트워크를 사용하고 있다. SSH를 이용하여 서버에 접속을 해 놓은 상태로 있는 경우가 많은데 네트워크가 끓어진 적은 한 번도 없다.
이 글에서는 이런 많은 이로움과 유연성을 제공하고 있는 무선 LAN에 대한 네트워크 구축 담당자의 오해를 푸는데 주안점을 두고 있다. 또한 유선에 비해 상대적으로 취약한 보안 부분을 어떻게 해결 할 것인지에 대해 초점을 맞추었다.

가장 기본적인 문제
무선을 아무 보안 없이 사용하는 경우는 기본적으로 두 가지 문제를 가지고 있다. 첫째, 전파 거리가 닿는 곳이면 누구든지 네트워크가 사용가능 하다는 것이다. 둘째, 전파는 아무나 도청 할 수 있다는 것이다. 따라서 안전한 무선 LAN 구축을 위해서는 정당한 사용자만 무선 LAN 접속을 허용해야 하며 접속을 한 이후 무선 데이터에 대한 기밀성이 보장 되어야 한다. 무선 LAN에 대한 사용자 인증에 쓰이는 표준은 802.1x이다. 802.1x 표준은 원래 유선에서 나온 개념이다. 하지만 802.1x 표준이 광범위하게 쓰인 곳은 무선 분야이다.
이 표준을 기반하여 사용자 인증을 수행하고 무선 LAN에 사용되는 암호화 키를 공급하기 위해서는 802.1x EAP 인증을 지원하는 RADIUS 서버 구축이 필수적이다.
사용자 계정 관리
RADIUS 서버가 하는 주요 업무는 무선 LAN에 접속하려고 하는 사용자를 인증하는 것이다. 즉 계정을 관리해야 한다. 무선 LAN 구축 시 가장 중요한 부분이 어떻게 이 계정을 관리하는 것인가이다. 무선 LAN 구축 시 무선 LAN 전용으로 계정을 다시 발부하는 것은 관리자의 입장에서도 매우 번거로운 일이며 실제 무선 LAN을 사용하는 사용자 입장에서도 좋은 답이 아니다. 그러면 어떻게 해야 하는가? 답은 비교적 간단할 수 있다.
많은 기업이나 단체는 이미 자신들이 관리하는 계정 관리 시스템을 가지고 있다. 마이크로소프트사에서 만든 Active Directory를 이용하여 사용자 계정을 관리하는 기업도 있으며 LDAP을 이용하여 관리하는 기업도 있다. 그리고 상용 RDBMS를 통해 계정을 관리하는 곳도 많이 존재 한다. 즉 기존에 익숙한 계정을 그대로 사용하게 하는 것이다.
보안 담당자가 해야 할 일은 무선 LAN을 구축하고 사내 공지를 통해 기존 사용하는 Groupware ID 혹은 Windows login 계정을 무선 LAN 인증 시에도 그대로 사용하게 하는 것이다.
네트워크 관리자 및 보안 담당자의 입장에서 안전하고 편리한 무선 네트워크를 구축하는 열쇠는 자신들이 가지고 있는 계정 관리 시스템을 지원하는 RADIUS 서버를 구매하는 것일 것이다. 만약 단말이 Active Directory에 Domain join이 되어 있다면 Windows Login과 무선 네트워크 인증을 동시에 할 수 있어 금상첨화가 될 것이다.
IP 관리 이슈, DHCP를 써야 하나?
무선 LAN 구축 시 중요한 문제 중의 하나는 IP 관리 이슈 일 것이다. 무선의 특성, 즉 장소에 구애를 받지 않고 언제 어디서나 사용가능 하다는 장점을 잘 살리기 위해서는 DHCP를 사용해야만 한다. 하지만 문제가 존재 한다. 많은 기업들이 DHCP를 보안상 싫어한다. 싫어하는 이유는 간단하다. 보안 사고가 생길 경우 IP에 대한 추적이 불가능하기 때문이다.
만약 무선 LAN 인증을 통해 어떤 사용자가 로그인 했고 당시 DHCP를 통해 어떤 IP를 할당 받았는지 로그가 남게 된다면 상황은 어떻게 될까. 이런 경우 무선 LAN의 장점과 보안 이슈를 한 번에 해결 할 수 있는 것이다. DHCP나 IP 관리는 무선 LAN 보안과는 직접적인 관련은 없지만 무선 LAN 구축 시 보안 담당자나 네트워크 관리자가 매우 중요하게 생각해야 하는 이슈인 것이다.
무선 LAN 접속 소프트웨어
무선 LAN 구축 시 중요하게 생각해야 하는 부분 중 하나는 단말에서 무선 LAN 접속을 하는 프로그램이다. Windows XP 이상에는 OS에 Wireless Zero Configuration이라고 하는 무선 LAN 접속 프로그램이 내장 되어 있다. 내장된 프로그램을 사용한다는 것 자체는 상당히 매력적일 수 있고 실제로 그러하기도 하다.
그러나 좀 더 고려 해 볼 것이 존재 한다. 사용자의 단말이 Windows이고 Active Directory에 Domain join된 단말이라고 한다면 무선 네트워크 접속에 필요한 설정을 Active Directory를 이용하여 중앙에서 설정 할 수 있다. 행복한 경우이다. 하지만 그렇지 않은 경우는 문제가 좀 있다.
Wireless Zero Configuration은 무 인증 무선 LAN에 접속을 하는 경우는 매우 잘 동작하지만 802.1x 인증이 설정된 무선 LAN에 접속 할 때는 사용자가 많은 조작을 해야 한다. 또한 Wireless Zero Configuration은 사용자들의 계정이 담긴 공간이 RDBMS인 경우 연동하여 사용이 불가능하다. 이러한 경우 별도의 무선 LAN 접속 프로그램을 설치해야만 한다. 접속 프로그램을 선택 할 때 중요한 요소 중에 하나는 사용자들이 One Click으로 네트워크에 접속 할 수 있게 하는 것이다.
무선 LAN 전파 특성의 이해
무선 LAN을 끊김 없이 언제 어디서나 잘 사용하기 위해서는 무선 LAN의 전파적 특성을 잘 이해해야 한다. 802.11a/b/g/n은 모두 무선 LAN의 물리계층에 관한 표준들이다. 이 표준들은 전파라는 매질을 통해 0과 1의 비트 열을 어떻게 전송할 것인가를 기술하고 있다. 가장 최근에 나온 표준인 802.11n은 100Mbps 이상의 속도를 낼 수 있기 때문에 속도 면에서도 유선과 대등한 위치를 점할 수 있게 되었다.
사내에서 무선 LAN을 구축 할 때는 단말과 무선 Access Point가 위에 말한 어떤 표준에 부합하는 가를 먼저 보아야 한다. 필자가 몇 년 전에 사내 무선 LAN을 구축 할 때 회사 대표이사의 단말(hand held PC로 802.11b, 최대 11Mbps 지원하는 단말)이 네트워크에 접속을 할 수 없어서 살펴보니 회사 내 엔지니어가 속도를 최대로 높이기 위해 802.11g만 호환되게 AP 설정을 한 것이 문제였던 것을 발견 한 적이 있었다.
2009년 3월 현재 출시되는 많은 수의 Laptop은 아직도 802.11n을 지원하지 않는다. 또한 무선 구축 시 무선 구축에 대한 전파적 특성을 고려하여 소위 전파 컨설팅을 받는 것이 매우 중요하다. 무선 LAN의 혼선이나 음영지역이 없이 사용하려면 무선 Access Point의 전파 강도 위치 안테나 방향 등을 잘 설정하는 것이 매우 중요하다.
무선 LAN 컨트롤러를 이용하면 전파 출력 무선 채널을 자동으로 조절하는 기능이 있기 때문에 무선 LAN을 구축하는데 매우 유용할 수 있다. 물론 가격이 비싸다는 단점이 존재하기는 한다.
무선 LAN 데이터 암호화
무선에 802.1x 표준을 통해 인증 받은 단말은 무선 LAN상에 Access Point와 암호화 키 교환에 필요한 데이터를 무선 LAN 인증서버와 공유하게 되며 인증 서버는 키 교환에 필요한 데이터를 무선 Access Point에 공급하게 된다.
이 후 Access Point와 단말이 키 교환(혹은 분배) 과정을 거치게 되며 이후 분배된 키를 이용하여 송수신 데이터를 암호화 하게 된다. 이러한 키 교환과 암호화 방식에 관한 표준이 소위 Dynamic WEP, WPA, WPA2 방식이라고 이해해도 큰 무리는 없을 것이다.
여기서 Dynamic WEP은 WEP 방식의 취약한 알고리즘의 특성을 회피하기 위해서 사용자 마다 key가 다르게 하고 주기적인 재 인증 과정을 통해 key를 매번 바꾸게 하는 것이다. WPA에서는 한 발 더 나아가 매 패킷마다 key를 바꾸고 데이터의 무결성을 보장하는 방법이 제시되어 있으며 WPA2(또는 802.11i 라고 불려도 무리가 없는)는 AES에 기반한 더 고차원적인 암호화와 데이터 무결성 알고리즘을 이용한다.
보안 담당자의 입장에서 WPA2를 사용하는 것이 가장 좋겠지만 현재의 단말 현황이나 Access Point의 사양을 고려해서 결정 할 문제이다. 현재 미국의 경우 WPA2를 이용하는 것이 법적으로 강제화 되어 있다고 한다. 우리나라도 멀지 않은 미래에 이러한 법률이나 조례가 생길 수 있다.
사용자 Access Control
사내에 무선 인프라가 구성 되어 있다고 하자 그리고 방문객이 방문을 했다고 한다면 당연히 방문객을 위하여 Guest 계정을 알려주어 무선에 접속을 하게 해야 할 필요가 있을 수 있다. 이러한 경우 보안 담당자 입장에서는 방문자가 사내 모든 네트워크 자원을 접속하게 한다는 것은 부담이 아닐 수 없다. 무선 LAN을 구축 한 이후 중요한 문제 중의 하나는 사용자에 대한 Access Control 문제이다. 이러한 경우 어떻게 문제를 해결 할 수 있는가?
답은 여러 가지가 될 수 있지만 가장 표준적인 방법은 Guest 계정에 대하여 Guest VLAN을 할당하여 해결을 하는 것일 수 있다. 이러한 경우 Guest VLAN에 대해서는 네트워크 설정을 이용하여 인터넷만 접근을 허용하게 할 수도 있다.
그러나 사내 네트워크 환경이 이렇게 VLAN을 이용하여 Access Control할 수 있는 상황이 아니면 어떻게 할 것인가? 또 다른 방법은 Guest 계정을 이용하여 무선 인증을 받은 사용자에게 무선 LAN 장비(Access Point 혹은 무선 LAN 컨트롤러)가 이해 할 수 있는 특별한 RADIUS Attribute를 할당하여 무선 LAN 장비에서 Access Control을 하게 하는 것이다. 이러한 사례는 당사 유무선인증 보안제품인 애니클릭AUS 솔루션의 대학교 레퍼런스에서도 많이 존재한다.
교수, 대학원생, 학부생, 방문자에 대해 서로 다른 RADIUS Attribute를 할당하여 무선 LAN 접속 장비가 Access Control을 하게 하는 경우가 있다. 또 하나의 방법은 자체적으로 사용자 Access Control이 가능한 제품을 사용하는 것 일 수 있다.
NAC로의 확장
위에서 살펴본 바와 같이 무선 LAN을 구축 한다는 것은 이미 사용자 인증, 데이터 암호화 및 무결성, 사용자의 네트워크에 대한 Access Control이라는 개념이 이미 포함 되어 있음을 알 수 있다.
이러한 상황에서 NAC로의 전이는 매우 자연스러워 보인다. 여기에 단말에 대한 무결성 체크와 이에 따른 접근제어만 더해진다면 바로 NAC 구축이 되는 것이다. NAC 를 구축하는 방법에는 매우 여러 가지 접근 방법이 있을 수 있지만 802.1x에 기반을 두는 NAC 구축이 보안의 측면에서는 가장 안정하다고 할 수 있다. 802.1x 자체는 사용자 식별 및 무결성이 보장되지 않는 경우 네트워크 접속 자체를 원전적으로 차단 할 수 있기 때문이다.   <글 : 양승용 유넷시스템 연구개발본부 부장 (syyang@unet.kr)> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>