비인가 무선 네트워크의 위협과 대처 방법 이번 연재에서는 쉽게 해결되지 않는 비인가 장치의 문제, 즉 비인가 무선 네트워크의 탐지 및 제거를 위한 솔루션의 필요성에 대해 알아본다.

무선 기술이 급속히 보급되고 PDA와 같은 모바일 컴퓨팅 장치 등을 네트워크 연결을 유지하고자 하는 사용자들의 요구가 늘어감에 따라 무선랜(WLAN)에 대한 수요가 급증하고 있다. 가트너에 따르면 50% 이상의 기업이 무선 네트워크를 구축했으며 무선 핫스팟의 수가 빠른 속도로 증가하고 있다. 실제로 Dell’Oro 조사에서도 2005년 1월에서 2006년 1월 사이 전 세계 핫스팟 수가 93개국 53,779개에서 115개국 100,355개로 87% 증가했다.
 
전문가들은 이런 상황에서 WLAN의 확장으로 허가되지 않은 WLAN 장치 혹은 비인가 무선장치가 기업의 네트워크에 연결될 가능성이 높아졌다는데 의견을 같이 한다. 비인가 무선 장치는 기업의 네트워크 보안에 중대한 위험을 초래할 수 있는 원인 중 하나다. 그림 1은 유선 및 무선 네트워크를 손상시키고 방화벽 및 경계 보호 체계와 같은 기존의 보안 메커니즘을 우회하는 일반적인 비인가 장치 시나리오를 보여주고 있다.

날로 지능적이고 교묘하게 진화하는 비인가 WLAN
무선 네트워크를 구축하지 않은 기업들이 비인가 무선 장치에 노출된 확률이 더 높다. 사용자들이 IS 조직에서 먼저 적절한 조치를 취할 때까지 기다리지 못하고 자신들의 무선 장치를 설치한 결과 회사 네트워크에 비인가 WLAN이 연결된 기업이 20%를 넘는 것으로 가트너는 추산한다.
 
또한 무선 네트워크를 구축하는 기업들도 무선 액세스를 보유하지 못한 직원, 계약자, 감사업체 및 공급업체가 자신들의 장비를 사무실로 가져와 이용하거나 산업 스파이가 활동하여 비인가 WLAN 발생의 가능성이 높아지고 있다.
일반적으로 비인가 WLAN은 기업 네트워크에 연결된 비인가 액세스포인트(AP)를 이용하는데 대부분의 비인가 AP는 출하 후 별도의 설정 없이 바로 작동하도록 설계된 기본 구성 상태에서 아무런 보안 기능이 설정되지 않은 채 운영된다.
 
WLAN은 기업 네트워크 및 랩톱, 휴대 장치, 데스크톱 컴퓨터용 WLAN 액세스 카드에 연결된 AP로 구성되는데 WLAN 액세스 카드를 통해 허가되지 않은 AP가 연결되어 활동하면 보안에 심각한 위험을 초래할 수 있다. 여기에 랩톱, 무선 카드가 장착된 휴대 장치, 바코드 스캐너, 프린터, 복사기, 심지어 프린터, 프로젝터, 콘솔 등 새로운 유형의 네트워킹 장치들로 비인가 WLAN의 범위는 크게 확대되고 있다. 
 
또 하드웨어 AP에서 한걸음 나아가 HostAP 또는 PCTel의 소프트웨어와 같이 흔히 구할 수 있는 프리웨어를 이용하면 무선 지원 랩톱이 AP 기능을 하도록 쉽게 구성할 수 있다는 사실을 간과해서는 안 된다. ‘소프트 AP’라고 하는 이러한 랩톱은 비인가 AP보다 탐지하기가 훨씬 어렵다.
 
뿐만 아니라 최근 더 교묘해진 비인가 WLAN 장치들이 속속 등장하고 있다. 예를 들면 벽의 콘센트에 연결하는 전력 어댑터처럼 보이는 비인가 AP가 있다.
이 장치에는 WLAN AP가 내장되어 있고 유선 링크에 전력선 통신을 사용하므로 유선 네트워크 스캐너로 발견한다는 것이 불가능하다.
 
또 다른 예로 스텔스형 비인가 AP가 있다. 이것은 아무런 움직임이 없이 숨어 있다가 무선 ‘신호’를 발견하면 작동과 통신을 시작한 후 다시 은닉 상태로 돌아가는 AP이다. 이러한 비인가 장치는 휴대용 스니퍼를 이용해 종종 순회 점검 테스트를 실시해도 발견할 수 없다. 이러한 장치를 탐지하려면 무선 환경에 대한 24×7 ‘항시’ 모니터링이 필요하다.

기능, 확장성, 경제성 모두 고려해야
해커가 보안이 설정되지 않은 WLAN에 액세스하면 기업은 재정 데이터 악용으로 재정 손실 유발, 명성의 훼손으로 브랜드 구축에 쏟은 투자의 손실 발생, 소유한 정보의 훼손으로 거래 기밀 또는 특허 정보 누출, 규제 정보 노출로 고객 개인 정보가 보호되지 못하고 정부 규정 의무 사항을 준수하지 못하는 결과 초래, 법적 또는 규제 관련 문제 파생, 스위치 및 라우터와 같은 유선 인프라 손상을 입을 수 있다.
 
무엇보다 비인가 WLAN 탐지를 위한 솔루션을 찾을 때 사용자는 솔루션의 기능적 요구 사항과 투자 수익을,  IT 보안 관리자는 기능적 요구 사항, 기업의 확장 가능성, 비용, 향후 네트워크 보안 요구 사항에 대처할 수 있는 역량 등을 기준으로 다양한 접근 방식을 고려해야 한다.
 
기능적 요구 사항 : 포괄적인 비인가 WLAN 탐지 솔루션은 다음과 같이 모든 WLAN 하드웨어 및 활동을 탐지하며 다음 기능을 제공해야 한다.
모든 비인가 장치 및 연결의 탐지 무선 네트워크를 공유하는 허가되지 않은 무선 장치에서 네트워크상의 비인가 기기를 분류하고 명확하게 구별 비인가 장치 및 연결에 대한 상세한 사고 분석 현재 및 과거의 행동을 토대로 비인가 장치의 위협 평가 비인가 장치의 물리적 위치 및 네트워크상의 위치 파악 유선 및 무선 메커니즘으로 비인가 장치 운영 종료 확장 가능성 및 비용 효율성 : 비인가 장치 탐지 시스템은 기업의 요구 사항에 따라 확장 가능해야 한다. 단편적인 솔루션은 소규모 기업에는 효과적이지만 확장성이 없어 전 세계 수백만 지역에 지사를 보유한 대기업에는 적합하지 않다. 대기업에는 중앙에서 관리할 수 있는 경제적인 솔루션이 필요하다.
 
미래에 대한 대비 : 비인가 장치 탐지 솔루션은 기업 네트워크 보안에서 향후 새롭게 대두될 요구 사항에 맞게 확장할 수 있어야 한다. 현재 WLAN을 전면적으로 금지하고 있는 조직도 곧 파일럿 구축을 시작할 가능성이 높다. WLAN을 제한적으로 사용하는 기업은 허가되지 않은 영역에 대해 비인가 장치 탐지 시스템을 유지하고 우발적인 연결 및 애드혹 네트워크로부터 파일럿 WLAN을 보호해야 한다.

다양한 비인가 WLAN 탐지 기술 면밀히 검토해야
조직에서 WLAN을 전면적으로 금지하는 정책, 즉 직원들이 각자의 네트워크를 구축하지 못하도록 하는 정책을 시행하기로 한 경우, 기업 전체에 이러한 정책을 어떻게 적용할 것인지를 결정해야 한다. 이에 비인가 WLAN 탐지를 위한 몇 가지 접근 방식과 각각의 장단점을 알아보자.
 
유선 침입 탐지 시스템 : 유선 측 침입 탐지 시스템(IDS)은 비인가 WLAN을 탐지할 수 있는 기능은 없지만 제한적으로 유용하다. 침입자가 비인가 WLAN을 통해 네트워크에 들어오면 허가된 사용자와 구분이 되지 않지만 칩입자가 유선측 보안 조치를 테스트할 경우 이를 IT 보안 관리자에게 통보할 수 있기 때문이다. 그러나 이 경우 유선 네트워크에 연결된 AP, 소프트 AP, 우발적 연결 및 애드혹 네트워크를 식별하지 못하기 때문에 비인가 WLAN을 탐지하는 데는 한계가 있을 수밖에 없다.
 
유선 SNMP 폴링 : 보안 관리자는 SNMP(Simple Network Management Protocol) 폴링을 이용해 라우터, 기기, 허가되지 않은 AP 등 유선 네트워크에 연결된 IP 장치에 정보를 쿼리할 수 있다. 그러나 SNMP 폴링 그 자체로는 효과적인 비인가 WLAN 탐지 방법이 되지 못한다. IT 보안 관리자가 비인가 AP의 IP 주소를 알지 못하고 비인가 AP에 SNMP가 사용되지 않을 수 있기 때문이다. 또한 소프트 AP 역할을 하는 허가된 기기에 SNMP 폴링이 수행되면 WLAN 활동을 탐지할 수 없고 SNMP 폴링은 기기간의 우발적 연결이나 애드혹 네트워킹도 탐지하지 못한다.
 
유선 네트워크 스캐너 : 유선 네트워크 스캐너는 일반적으로 TCP 핑거프린트를 사용해 다양한 유형의 장치를 식별한다. 네트워크 스캔은 다른 운영에 방해가 될 수 있으며 IT 보안 관리자가 네트워크상의 모든 IP 장치에 액세스하고 IP 주소를 알고 있어야 한다는 단점이 있다. 유선 네트워크 스캐너는 다음과 같은 단점 때문에 기업의 비인가 WLAN 탐지 솔루션으로는 적합하지 않다.
모든 IP 장치에 대한 정확한 데이터베이스 필요하다. 라우터를 재구성하지 않을 경우 서브넷에 한정된다. 네트워크 IDS 및 개인 방화벽에서 다수의 탐지 오류가 발생할 수 있다. 소프트 AP, 우발적 연결, 애드혹 네트워크를 탐지할 수 없다. 무선 스캐너 및 스니퍼 : 무선 스니퍼 및 스캐너는 무선상에서 WLAN 패킷을 캡처 및 분석한다는 점에서 유선측 도구와 큰 차이가 있다. 무선 스니퍼 및 스캐너는 전파에서 모든 WLAN 활동을 모니터링 하여 일정 범위 내에서 대부분의 AP와 유선 기기를 탐지할 수 있다. 그러나 스니퍼와 스캐너는 네트워크 관리자가 스니퍼나 스캐너 애플리케이션을 실행하는 랩톱 또는 휴대 장치를 가지고 실제로 해당 지역을 검사해야 한다는 단점이 있다.
 
유선측 트래픽 주입 : 일부 공급업체는 전용 유선측 장치로 유선 네트워크 세그먼트를 통해 특수한 브로드캐스트 프레임을 삽입한다. 이러한 브로드캐스트 프레임은 동일한 유선 네트워크 세그먼트에 존재하는 무선 AP에 의해 무선으로 전송된다. 그러면 사용자는 무선을 통해 이러한 프레임을 탐지하고 무선 스니퍼를 사용하여 전송자의 MAC 주소를 분석함으로써 해당 네트워크 세그먼트에 허가되지 않은 AP가 연결되어 있는지를 확인할 수 있다. 그러나 이 방법은 모든 네트워크 세그먼트에 유선 트래픽 인젝터가 필요하기 때문에 다수의 VLAN을 사용할 때는 효과적이지 않다.
 
무선 트래픽 주입 : 이 방법은 무선 장치를 이용해 무선으로 특수한 프레임을 주입한다는 것을 제외하고는 유선 트래픽 주입과 유사하다. 스니퍼가 허가되지 않은 AP를 발견하면 이 AP에 무선으로 연결한 후 유선측에 연결된 서버 또는 다른 스니퍼를 이용해 유선으로 추적할 수 있는 프레임을 주입한다. 이 방법은 라우터가 내장된 AP에도 사용할 수 하지만 비인가 AP에 보안 기능이 있으면 제대로 작동하지 않는다.
 
24×7 중앙 집중식 유선 및 무선 모니터링 : 앞서 언급한 여러 방법들이 그 나름대로의 장점은 있지만 완벽한 WLAN 보안을 보장할 수 없기 때문에 기업의 비인가 WLAN 탐지를 위해서는 유선측 스캐너의 중앙 집중식 관리와 무선 스캐너의 무선 주파수(RF) 분석이 결합된 확장 가능한 솔루션이 필요하다. 무선 스캐너와 유사하지만 365일 24시간 항시 모니터링을 통해 비인가 WLAN이 네트워크에 연결되거나 서비스 지역에 들어오면 이를 완벽하게 파악하는 기능이 매우 중요하다.

중앙집중식 24시간 모니터링이 대안
Motorola AirDefense 솔루션은 무선 환경에 대한 중앙 집중식 관리와 24시간 항시 모니터링을 통해 조직의 여러 위치에서 엔터프라이즈 WLAN 탐지가 가능한 경제적인 확장형 솔루션을 제공한다. 각 위치에 몇 개의 센서가 구축되어 비인가 WLAN을 24시간 동안 완벽하게 탐지한다.
 
새 사무실이 개설되면 AirDefense Enterprise를 통해 새 위치에 추가 센서를 구축하여 안전하게 보호할 수 있으므로 확장성도 보장된다. AirDefense는 단순히 브로드캐스트 AP를 통지하는 것 이상으로 포괄적이고 탁월한 비인가 장치 관리 기능을 제공한다.

모든 비인가 WLAN 장치 및 활동의 탐지 : AP, WLAN 사용자 기기, 소프트 AP는 물론 프린터, 출하 또는 재고 애플리케이션용 무선 바코드 스캐너 등 특수 장치를 비롯한 모든 WLAN 장치를 인식한다. 또한 사용자 기기 간의 애드혹 또는 피어투피어 네트워킹과 사용자 기기와 인접 네트워크 간의 우발적 연결에서 비인가 장치의 징후를 식별한다.
 
위협 기반 비인가 장치 관리 : 단순히 비인가 장치를 탐지하는 데 그치지 않고 알려지지 않은 장치와 관련된 위험성을 평가한다. 허가되지 않은 AP라고 해서 모두 비인가 장치인 것은 아니며 기업들이 밀집된 곳에서는 인접한 빌딩에서 허가되지 않은 장치를 많이 발견할 수 있다. 특허 받은 기술을 이용해 비인가 장치가 내부 네트워크에 연결되어 있는지를 확인하여 가장 큰 위협이 될 수 있는 비허가 AP를 찾아낸다.
 
위험 및 피해 평가 : 모든 비인가 통신을 추적하여 비인가 장치가 처음 발견된 시기, 교환된 데이터의 양, 트래픽의 방향 등을 파악할 수 있는 사고 분석 정보를 제공한다. 이러한 상세한 분석 정보를 토대로 IT 부서는 비인가 장치로 인한 위험 및 피해를 평가할 수 있다. 패킷 캡처도 가능하므로 패킷 분석기로 비인가 장치를 보다 상세하게 분석할 수도 있다.
 
비인가 WLAN 위치 파악 : 신호 강도 삼각 측량 및 핑거프린팅 기법을 사용해 비인가 장치의 정확한 위치를 제공한다. 위치 추적 기능을 통해 IT 관리자는 비인가 장치의 위치를 실시간으로 파악하고 추적할 수 있다.
AirDefense Enterprise를 보완하는 AirDefense Mobile에서도 관리자가 순회 점검 테스트를 실시할 때 비인가 장치 위치를 파악하고 추적할 수 있는 위치 확인 기능을 제공한다.
 
비인가 장치 종료 : 기업의 무선 환경에서 침입자와 비인가 장치를 탐지하는 데 그치지 않고, 수동으로 또는 사전 설정된 정책을 통해 자동으로 위협에 능동적으로 대응해 보호하는 기능을 제공한다. 또 다양한 방법으로 무선 네트워크를 안전하게 보호한다.
 
무선 연결 종료 : 특허 기술을 이용해 비인가 장치와 허가된 장치 간의 무선 연결을 종료시켜 무선 환경을 위협으로부터 보호한다.
 
유선측 포트 차단 : 포트 차단은 관리자가 어떠한 네트워크 장치도 통신 포트를 사용할 수 없도록 차단할 수 있는 기능이다. 포트 차단 기능을 사용하면 장치가 통신할 때 사용하는 네트워크 스위치의 포트가 비활성화된다.

앞서 언급했듯이 비인가 무선 장치와 허가되지 않은 무선 연결이 급증함에 따라 이러한 비인가 장치가 초래할 수 있는 위험을 인식하는 일은 매우 중요하다.
 
무선 보안을 위한 다양한 방법들이 나오고는 있지만 각각의 방법들에 한계가 존재하므로 24시간 실시간 모니터링 솔루션을 사용하여 이러한 장치를 찾아내어 중단시키는 것이 필수적인 일이라고 할 수 있다.
경제성을 유지하면서도 지능적이고도 완벽한 무선 보안을 위해서는 중앙 집중식 24시간 모니터링이 필수요건이 되고 있는 만큼 이를 부합하는 솔루션을 찾아 운영하는 것은 기업과 보안관리자의 필수업무라고 할 수 있겠다.
<글 : 박현 모토로라 엔터프라이즈 모빌리티 솔루션 사업부 차장(hyun.park@motorola.com)>

[월간 정보보호21c 통권 제114호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>