해커에게서 배우는 무선랜 보안 최근 사용의 편리성으로 기업과 개인 PC 사용자들에게 무선랜 사용이 빠른 속도로 증가하고 있다.
그러나 무선 인터넷은 고도화 및 다양화된 보안 위협에 노출되어 있어 보안이 설정되지 않은 무선랜 장치, 액세스 포인트, 사용자 단말기 등에 전문화 도구와 툴킷을 사용한다면 해커들은 언제든지 데이터와 애플리케이션을 스니핑하고 무선 데이터의 암호화와 인증을 무력화할 수 있다.
무선랜(무선 LAN, WLAN, Wi-Fi)은 유연하고 경제적이며 설치가 용이하다는 이점 때문에 빠른 속도로 확산되고 있다. In-Stat MDR의 조사에 따르면 현재 전 세계에서 7,500만개 이상의 무선랜이 사용되고 있으며 올해 4,000만 개 이상이 새롭게 운영을 시작할 예정이다. 또한 META Group과 In-Stat/MDR에서는 2005년 출하될 기업용 랩톱 컴퓨터의 95%에 무선 기능이 탑재될 것으로 전망하고 있다.


무선랜의 위험 요소 및 취약점
무선랜은 사용하기 편리하고 비용이 절감된다는 이점 이면에 위험 요소와 취약점을 갖고 있다. 기존의 유선 네트워크는 정보 전송을 위해 케이블을 이용하며 케이블은 외벽 역할을 하는 건물에 의해 보호된다. 따라서 해커가 유선 네트워크에 액세스하려면 건물의 물리적 보안층을 우회하거나 방화벽을 통과해야 한다. 반면 무선 네트워크는 통제할 수 없는 매체인 허공을 이용한다. 실제로 무선랜 신호는 건물의 벽, 천장, 창문을 통과해 건물 벽 바깥으로 수천 미터나 이동할 수 있다.
또한 무선랜은 전파를 매체로 사용하기 때문에 누구나 트래픽을 ‘스니핑’할 수 있는 공유된 매체일 수밖에 없다. 보안이 설정되지 않은 무선랜 장치, 액세스 포인트, 사용자 단말기 등에 다양한 전문화 도구와 툴킷을 사용한다면 해커들은 언제든지 데이터와 애플리케이션을 ‘스니핑’하고 무선 데이터의 암호화와 인증을 무력화할 수 있다.
해커의 도구
현재 인터넷에는 무료로 사용할 수 있는 무선랜 해킹 도구가 널리 퍼져 있을 뿐 아니라 매주 새로운 도구가 등장하고 있다. 인터넷에 공개되어 있는 다양한 해킹도구와 지침 중 해커들이 활용하는 대표적 도구들로는 크게 무선랜스캐너 및 스니퍼 도구, 안테나, WEP 암호화 해독 도구, 인증 해독 도구 등이 있다.
 
NetStumbler와 Kismet와 같은 스니퍼 도구의 경우 GPS 정보를 이용하여 보안이 설정되지 않은 무선랜은 물론, 보안이 설정된 무선랜의 실제 위치를 정확하게 찾아낸다. 먼 거리의 무선랜과 연결할 때는 장거리 상용 안테나를 이용하거나 Pringle 캔 또는 유사 금속 실린더로 자체 안테나를 구축하여 802.11 신호를 수신해 네트워크에 액세스할 수 있다.
 
또한 해커는 WEPwedgie, WEPCrack, WEPAttack, BSD-Airtools, AirSnort 등의 도구를 이용해 WEP 암호화 표준을 해독할 수 있다. WEP 암호화 알고리즘의 취약점을 악용하는 이러한 도구들은 무선랜 트래픽을 수동적으로 관찰하여 패턴을 인식하는 데 필요한 데이터를 수집하고 이 정보를 이용해 암호화 키를 해독한다.
 
이 외에도 THC-LEAPC racker와 같은 도구를 이용해 LEAP(Lightweight Extensible Authentication Protocol), PEAP(Protected Extensible Authentication Protocol) 등 널리 사용되는 포트 기반 802.1x 무선 인증 프로토콜을 해독하거나 손상시킬 수 있다. 이러한 프로토콜은 물리적으로 안전한 환경에 구축되는 유선 네트워크에서 사용하기 위해 고안된 것으로 이러한 프로토콜이 제어되지 않는 공유 무선 환경에 배포되면서 스푸핑, 가로채기 공격, 인증 자격 증명 스니핑에 노출된다.

일반적인 무선랜 공격 유형
중대한 위험을 초래하는 무선랜 공격 유형은 아래와 같이 다양하게 특징지어진다.

악의적 또는 우발적 접속 해커는 공격을 의심하지 않는 사용자 단말기가 잘못된 또는 스푸핑된 802.11 네트워크에 접속하도록 하거나 사용자 단말기의 구성을 변경해 애드혹 네트워킹 모드로 운영되도록 할 수 있다. 먼저 해커는 HostAP, AirSnarf, Hotspotter와 같은 프리웨어 해킹 도구나 상용 도구를 이용해 랩톱을 소프트 액세스 포인트로 설정한다. 공격에 노출된 사용자 단말기가 액세스 포인트에 접속하기 위한 요청을 브로드캐스트하면 해커의 소프트 액세스 포인트는 이 요청에 응답해 두 장치를 연결하고 공격에 노출된 사용자 단말기에 IP 주소를 제공한다. 이 때 해커는 윈도우의 취약점을 파악하는 도구를 이용해 사용자 단말기를 스캔할 수 있으며 스파이웨어를 설치한다. 유선 네트워크에 연결된 경우에는 사용자 단말기를 이용해 다른 서버에도 액세스한다. 사용자의 단말기들이 어떠한 액세스 포인트 또는 네트워크에 접속되었는지 알 수 없을 때가 많고 액세스 포인트의 인증이 이루어지지 않으므로 악의적인 액세스 포인트에 잘못 접속되기도 쉽다. 이것이 개방형 상호접속시스템(OSI:Open System Interconnection) Layer 2(데이터 링크)의 취약점이다. Layer 3(네트워크) 인증으로도 이를 방지할 수 없으며 VPN(가상 사설망)을 사용해도 마찬가지이다. Layer 2에서 802.1x 기반 인증을 사용하는 무선랜은 악의적인 접속으로부터 보호할 수 있지만 여전히 취약하다. ID 도용(MAC 스푸핑) 허가된 사용자의 ID 도용은 무선 네트워크에 대한 심각한 위협 중 하나다. SSID와 MAC(미디어 액세스 제어) 주소가 PIN 역할을 하여 허가된 클라이언트의 ID를 확인해도 기존 암호화 표준으로는 안전하지 않다. 숙련된 해커는 허가된 SSID와 MAC 주소를 이용해 대역폭을 도용하고 파일을 손상시키거나 다운로드하고 전체 네트워크를 교란시킬 수 있다. 일부 기업에서는 인증에 허가된 단말기 MAC 주소 목록을 사용하여 무선랜을 보호한다. 이러한 방법으로 소규모 구축 환경을 어느 정도 보호할 수는 있지만 MAC 주소가 원래 이러한 용도로 만들어진 것은 아니다. 암호화나 VPN을 사용해도 MAC 주소는 항상 공중에 노출되어 있다. 해커는 Kismet 또는 Ethereal과 같은 소프트웨어 도구를 이용해 유효한 사용자의 MAC 주소를 쉽게 알아낼 수 있다. 해커는 SMAC(Spoof MAC)과 같은 스푸핑 유틸리티를 이용하거나 윈도우 레지스트리 항목을 직접 변경해 자신의 MAC 주소를 공격 대상자의 MAC 주소로 변경하는 방식으로 ID를 도용한다. LEAP와 같은 802.1x 기반 인증 체계도 안전하지 않다. ASLEAP, THC-LeapCracker와 같은 도구를 사용하면 손쉽게 LEAP를 해독하여 ID를 도용할 수 있다. RF 모니터링을 사용할 경우, 인증 시도가 지나치게 많이 이루어진다면 해커의 악의적인 공격이 발생했다는 의미일 수 있다. 메시지 가로채기 공격 보다 정교한 공격 방법인 메시지 가로채기 공격은 공격 대상자의 단말기와 액세스 포인트 사이에 악의적인 단말기를 삽입하여 허가된 단말기와 액세스 포인트 간 VPN 연결에 침투하는 것이다. 이 공격은 유선 네트워크에서 일어나는 메시지 가로채기 공격과 매우 유사해 유선 네트워크 공격에 이용하는 도구를 그대로 이용할 수 있다. 해커는 SoftAP 소프트웨어를 사용해 무선 장치를 쉽게 소프트 액세스 포인트로 전환시키고 이 액세스 포인트를 통신 세션의 중간에 배치한다. 메시지 가로채기 공격은 챌린지와 핸드셰이크 프로토콜을 이용해 실행하는 인증 해제 공격으로 보다 정교하게 진화됐다. 인증 해제 공격은 사용자와 액세스 포인트의 연결을 해제하고 사용자로 하여금 다른 액세스 포인트를 찾도록 한다. 이때 해커의 SoftAP 액세스 포인트가 실행되고 있기 때문에 사용자는 해커의 랩톱, PDA 등의 장치에 다시 연결된다. 다음으로 해커는 다른 무선 인터페이스로 실제 무선랜에 연결해 모든 인증 트래픽을 실제 무선 네트워크에 전송하고 이를 알 수 없는 사용자는 해커를 통해 모든 데이터를 전송하게 된다. VPN은 OSI 모델에서 Layer 3에 연결을 설정하고 무선 네트워크는 VPN 아래의 Layer 1과 Layer 2에 위치하기 때문에 이러한 시나리오가 가능하다. 무선랜 연결에 성공한 해커는 DSNIFF, Ettercap, IKEcrack 또는 다른 메시지 가로채기 공격 도구를 이용해 VPN 보안을 다운그레이드하거나 롤백하여 트래픽이 일반 텍스트로 전송되게 하거나 쉽게 해독할 수 있는 취약한 암호화 방식을 사용하게 만든다. 이는 IPSEC, PPTP, SSH, SSL, L2TP를 비롯한 대부분의 VPN 프로토콜에서 흔히 발생하는 문제이다. 서비스 거부 공격 DoS(서비스 거부) 공격으로 다운타임을 발생시키고 생산성을 저하시키기도 한다. Wireless LANJack이나 hunter_killer와 같은 DoS 공격에 사용되는 프리웨어 도구들은 쉽게 구할 수 있다. DoS 공격은 특정 사용자 단말기가 네트워크와 통신할 수 없게 하거나 특정 액세스 포인트가 단말기와 연결되지 못하게 한다. 또는 전체 네트워크 장치를 대상으로 감행되어 모든 무선랜 활동을 중단시키기도 한다. 해커는 확장 가능 인증 프로토콜(EAP:Extensible Authentication Protocol)을 악용해 인증 서버를 대상으로 DoS 공격을 실행, 서버에 처리 요청이 쇄도하게 할 수 있다. 이 경우 유효한 사용자가 무선랜 접속을 위한 인증을 받지 못하고 기업 전체에서 서비스가 거부되는 혼란이 발생한다. 게다가 이로 인해 유선 네트워크도 중단될 수 있다. 네트워크 주입 공격 새롭게 등장한 DoS 형태인 네트워크 주입 공격은 부적절하게 구성된 무선랜이나 제어되지 않는 액세스 포인트를 이용해 전체 네트워크를 공격한다. 액세스 포인트가 기업 네트워크에서 필터링되지 않는 부분에 연결되면 ‘Spanning Tree’(802.1D), OSPF, RIP, HSRP 및 기타 브로드캐스트, 또는 멀티캐스트 트래픽을 비롯한 네트워크 트래픽을 브로드캐스트한다. 이러한 패킷은 유무선 네트워크 장비를 다운시키는 공격을 유도하여 허브, 라우터, 스위치를 포함한 전체 내부 네트워크 인프라에 장애가 발생한다. 이외에도 해커는 다양한 방식으로 무선랜 네트워크를 공격한다. Spanning Tree는 병렬 브리지와 다수의 이더넷 세그먼트로 이루어진 네트워크에서 루프 없는 이더넷 토폴로지를 제공하는 알고리즘이다. 해커는 무선랜 세그먼트에 트래픽을 주입함으로써 의도적으로 네트워크에 루프를 삽입해 트래픽을 증가시키고 네트워크 성능을 떨어뜨려 네트워크 응답을 중단시키는 방식으로 DoS 공격을 실행한다. 악의적인 스니퍼는 무선랜 액세스 포인트에 조작된 Spanning Tree 세션을 반향시켜 DoS 공격을 실행하고 액세스 포인트는 다른 내부 호스트에 패킷을 반향시켜 도미노 효과를 일으키기도 한다. 라우팅 공격도 기업 DoS 공격의 좋은 수단이 되고 있다. 해커는 IRPAS나 라우팅 공격 도구를 이용해 네트워크에 가짜 라우팅 업데이트를 주입해 기본 게이트웨이를 변경하거나 라우팅 테이블을 손상시킨다. 게이트웨이로 필터링되지 않는 네트워크에 제어되지 않는 액세스 포인트가 있으면 네트워크가 이러한 공격에 노출되기 쉽다. 모토로라의 조사에 따르면 조사 대상 기업 중 20%가 이러한 공격에 취약한 것으로 드러났다. 해커의 무선랜 보안 위협으로부터 보호하는 방법
프리웨어 도구를 이용한 해커의 무선랜 공격은 대부분 수동적으로 이루어지므로 감지하기 어렵지만 스니핑을 오래 방치할수록 데이터 손상도 크다. 또한 무선랜 공격을 실행하는 과정은 대단한 전문 기술이 없어도 개방된 액세스 포인트나 사용자 랩톱을 찾아 기업 네트워크에 몰래 접속할 수 있다. 따라서 불안전한 액세스 포인트나 LAN을 모니터링하고 철저히 보안을 유지하는 것이 중요하다. 기업들은 유선 네트워크 보안에 수십억 이상을 투자하고 있다. 기업의 네트워크가 불안전한 장치로 인해 외부에 노출되면 해커가 조직에 침입하여 기업의 백본을 손상시켜 IT 보안에 대한 투자를 무용지물로 만들어 버릴 수 있다.
 
무선 네트워크를 안전하게 보호하는 유일한 방법은 유선 네트워크에서와 마찬가지로 ‘단계적인 보안 정책’을 수립하는 것이다. 방어 전략은 외부 무선 단말기(액세스 포인트 및 무선랜 탑재 단말기)의 차단, 무선랜을 이용한 통신의 보안(인증, 암호화 및 VPN), 네트워크 트래픽에 대한 24×7 실시간 모니터링 등으로 구성된다. 외부의 무선 단말기가 기업의 네트워크에 접속하는 걸 차단하기 위해서는 모든 랩톱에 개인 방화벽을 구축하고 엔터프라이즈급 액세스 포인트를 구축하여 수준 높은 보안 및 관리 기능을 제공하는 것에서 시작된다. 모든 액세스 포인트를 완벽하게 차단하고 기본설정을 변경해 다시 구성해야 하며 SSID 암호 역시 기본 이름을 변경해야 한다.
 
조직은 강력한 암호화 및 인증 표준(예: WEP, PEAP, WPA, LEAP 등)을 구축하고 VPN을 설치하여 무선 네트워크 통신을 보호해야 한다. 건물의 보안을 위해 비디오 카메라를 이용, 모든 활동을 하루 24시간 모니터링하는 것과 마찬가지로 네트워크를 지속적으로 모니터링하는 무선랜 보안 계층을 구축하여 제어되지 않는 무선랜을 식별하고 침입자와 잠재 위협을 감지해 허가되지 않은 연결의 위치를 찾아 중단시키며 무선랜 보안 정책을 적용해야 한다.
 
실례로 모토로라의 무선 침입방지시스템(WIPS)은 무선 네트워크의 전파, 보안, 정책 및 운영 지원을 관리하는 최상의 솔루션을 제공한다. 모토로라의 WIPS는 핵심 보안 계층으로서 무선 VPN, 암호화 및 인증을 보완한다. 또한 특허 기술을 통해 모니터링된 데이터의 상관 관계를 파악, 분석함으로써 정확한 무선 네트워크 침입 방지 기능을 제공한다.
 
개인 사용자는 물론 기업으로 무선랜이 파급되면서 무선랜 보안은 기업 보안의 중요 과제가 될 전망이다. 유선과 마찬가지로 무선에 있어서도 해커들의 공격 수법은 날로 정교해지고 있는 만큼 이에 대비할 수 있는 지능형 보안 전략과 솔루션에 기업의 투자와 관심이 필요한 때다.
<글 : 박현 모토로라 엔터프라이즈 모빌리티 솔루션 사업부 차장(hyun.park@motorola.com)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>