무선랜에 있어서의 불편한 진실

여기에서는 무선랜에 대한 좀 더 근본적이고 원초적인 보안 취약점과 그 대응방안을 알아보는 시간을 갖도록 하자. 가장 근본적이고 원초적인 취약점 두 가지 중 첫 번째는 건물 밖 외부에서 건물 내부의 무선 AP에 손쉽게 접근할 수 있어 유선관문 구간의 보안장비인 FW, IDS 등이 무용지물이 되는 비인가자/비인가단말의 내부 네트워크 우회 접속 취약점이다.

두 번째 취약점은 굳이 AP에 접속하여 사내 무선 네트워크에 접속하지 않아도 Air Sniffing을 통하여 손쉽게 무선 구간 데이터를 도청할 수 있어 사내 기밀 및 개인정보 등이 유출될 수 있다는 점이다. 여기서 확인할 수 있는 것은 현재 국내에 있는 무선 AP/공유기 등의 보안 취약점 중 가장 큰 영역을 차지하고 있는 부분이 바로 무인증·무암호로 방치하여 놓고 사용하는 무선장비 때문에 발생한다는 것이고, 이를 해결하기 위한 무선랜 보안대책은 인증(Authentication), 암호화(Encryption) 등의 보안 인프라 적용이 해답이라는 점이다.

이 외에 3, 4번째 보안 취약점은 ▲내부 사용자가 외부 무선랜 핫 스팟에 접속해 내부 기밀을 유출하는 사례라 볼 수 있으며, 또 하나는 ▲사내에 불법 설치되어 관리되지 않는 Rogue AP 설치 취약점이다. 이 Rogue AP로 인하여 1, 2번째 취약점이 더 부각되기 때문에 보안관리자로서는 반드시 제거해야 할 보안 취약점이다.

주목해야 할 무선랜 보안 솔루션

전통적으로 표 1의 1, 2번 취약점은 무선랜 사용자 인증 시스템(IEEE802.1x 시스템)이 사용자 인증과 무선통신 구간 암호화 적용을 통해서 무선랜 보안 인프라로 커버하는 영역이며, 3, 4번 취약점은 WIPS(Wireless Intrusion Prevention System) 보안 솔루션으로 커버하고 있다. 표 2에서는 역할과 기능 비교가 자주 요구되는 무선랜 보안 솔루션 위주로 비교표를 작성한 것이다.

표 2에서 보듯이 무선랜 인증 시스템의 경우 인증기능을 통하여 비인가 사용자, 비인가 단말에 대한 무선랜 접속의 원천차단 기능을 제공하고 있다. 또한, Wi-Fi 보안표준인 WPA2 등의 보안설정을 통하여 무선통신 구간에 최상위 암호화를 적용하고 있다. 즉, 인증과 암호, 보안 인프라를 무선랜 자체에 적용하는 것을 주된 목표로 삼고 있는 보안 솔루션인 것이다. 이에 반해 WIPS의 경우 인증과 암호 기능은 없지만 무선신호 감지 및 접속차단 통제는 물론 Scan 공격, DoS 공격을 탐지할 수 있으며 무선랜 관제 기능까지 포함한 단위 보안 솔루션이다.

Wireless Controller는 다수의 무선 AP를 중앙에서 일괄 관리하기 위한 기업용 관리 장비이다. 해당 장비가 무선랜 인증 시스템과 비교되는 이유는 IEEE802.1x 시스템 구성요소인 RADIUS 서버를 W-controller에서 탑재했느냐 안했느냐에 따라 매우 달라지기 때문이다. Radius 서버를 탑재한 일부 벤더 최상위 모델의 W-controller 장비는 비교적 가벼운 IEEE802.1x 인증 시스템 역할을 대행할 수는 있다. 하지만 성능상 이슈, 제공하는 EAP method 종류, 기 인증체계와의 커스터마이징 지원 여부, 무선랜 인증 시스템 에이전트가 제공하는 부가기능 등에서 차이가 많이 나기 때문에 무선랜 인증 시스템으로써의 역할은 아직 명확하다고 볼 수 없다.

기업·개인 위한 무선랜 보안대책

기업

우선 기업을 위한 단계적인 무선 보안체계를 언급해 보자. 첫째, ‘무선랜 인증 시스템’으로 인증과 암호화를 통한 무선랜 자체에 대한 보안 인프라 체계를 공고히 해야 한다. 둘째, 기업 필요에 맞는 다양한 무선보안 솔루션을 도입하는 단계이다. 외부 핫 스팟을 통한 기밀 유출 우려가 높은 기업에서는 WIPS 또는 그 대안으로 무선랜 관제 시스템을 도입하게 된다. 필요에 따라서는 mVPN, mPKI 등을 추가로 구축하게 된다. 섯째, 무선기기 자체에 대한 보안 솔루션을 도입하는 단계이다. 최신 핫 이슈로는 보안기능을 기반으로 한 MDM(Mobile Device Management) 솔루션의 도입 등을 들 수 있다. MDM은 Smart Work, Mobile Office, FMC 등을 위해 도입된 스마트폰 및 태블릿 PC 등에 에이전트를 심어 보안과 관리편의성이라는 두 마리 토끼를 다 잡겠다는 솔루션이다. 주된 보안기능은 분실/도난 방지 기능군, 앱 통제 기능군, 네트워크 장치기능 제어군 등이 있으며, 개인정보 백업, 리스토어 등의 관리자 편의 기능도 제공하고 있다. 좀더 규모있게 패키지화된 제품은 모바일 백신, 모바일 안티-멀웨어, 모바일 방화벽, 모바일 DRM 등의 기능을 포함하여 MDM 솔루션을 제공하기도 한다.

개인

개인을 위한 무선랜 보안대책은 가능한 할 수 있는 모든 보안 설정을 켜는 것이다. 기업용이 아닌 경우 IEEE802.1x 인증 시스템을 사용할 수는 없지만 ▲WPA2-PSK를 설정하여 보안 강도를 최대한 높이는 것이 중요하다. 만약 WPA2-PSK를 설정할 수 없다면 그 다음 순서로 ▲WPA1-PSK > WEP-128 > WEP-64 중 하나라도 선택해 설정해야 하며, ▲MAC Filtering ▲SSID Disable ▲무선전파 신호 출력 최소로 줄이기 등의 기능을 설정하는 편이 조금이라도 도움이 된다. 또 한 가지 중요한 설정이 있는데 그것은 무선랜 공유기 장비의 웹 관리 화면 접근 시의 공장도 패스워드를 바꾸는 것이다. 이 설정을 무심코 지나치다가 무선랜 설정 권한 자체를 해커에 빼앗기는 사태가 주변에서 늘 일어나고 있는 게 작금의 현실이다.

모바일 디바이스 보안대책

개인을 위한 무선보안 중의 또 하나는 바로 모바일 디바이스의 보안이다. Wireless나 모바일 모두 무선을 기반으로 하지만 모바일 쪽은 좀 더 이동성을 강조한 것이라 볼 수 있고 Wireless 쪽은 유선[랜]보다 무선[랜]이라는 쪽에 좀 더 무게중심을 두었다 볼 수 있다. 그럼 모바일 장치의 보안수칙들에는 어떤 것들이 있을까? 우선 KISA에서 발간한 스마트폰 정보보호 ‘이용자 10대 안전수칙’ 항목을 언급하지 않을 수 없겠다. ①의심스러운 애플리케이션 다운로드하지 않기 ②신뢰할 수 없는 사이트 방문하지 않기 ③발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기 ④비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기 ⑤블루투스 기능 등 무선 인터페이스는 사용 시에만 켜놓기 ⑥ 이상증상이 지속될 경우 악성코드 감염여부 확인하기 ⑦다운로드한 파일은 바이러스 유무를 검사한 후 사용하기 ⑧PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기 ⑨스마트폰 플랫폼의 구조를 임의로 변경하지 않기 ⑩ 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기 등이 바로 그것이다.

위 항목들이 현실적으로는 모두 스마트폰 보안에 100% 유용하진 않더라도 다수 항목들은 충분히 지킬만한 가치가 있다. ⑨번 같은 예는 iOS의 탈옥(Jail Break), Android의 루팅(Rooting) 등이 대표적인 예이며 웜 등의 악성코드 제1의 타깃은 바로 이런 스마트폰이라는 점을 명심해야 한다.

또 하나 알아야할 중요한 수칙 중 하나는 노트북이나 스마트폰으로 무선랜을 이용할 때에도 대민 서비스, 공공 서비스로 오픈된 AP에 접속할 때에는 항상 조심해야 한다는 것이다. 학교도서관에서 메신저를 사용하면 계정도용을 당했다고 여겨도 큰 무리가 없는 것처럼 오픈된 무선 AP라 해서 무조건 웹서비스를 사용하다간 큰일 나게 된다. 이 경우에는 SSL로 웹사이트 전체(https://...) 또는 PKI 웹 툴킷으로 특정 웹 페이지(로그인 페이지, 개인정보 입력 페이지 등) 등이 보호된 웹 사이트만 이용할 것을 권장하고 싶다.

무선랜에 대한 인식 변화 필요

한때 국내에서 ‘무선랜 보안 의무법’에 상당한 갑론을박이 벌어졌었다. 하지만 외국에서는 벌써 옆집 무선 AP를 활용해 인터넷을 사용해도 처벌된 사례 등이 이미 나와 있을 만큼 강화된 법체계가 갖추어져 있다. 개인적으로는 집에 있는 내 AP를 공유해서 누구나 다 인터넷을 사용하려는 유저를 통제하자는 말을 하고 싶지는 않다. 하지만 적어도 공적인 무선랜 서비스를 사용할 때 사용되는 무선랜 AP에는 802.1x 사용자 인증을 포함하는 기능의 AP가 설치되어야 하지 않을까? 동일 AP라도 SSID를 구분하여 802.1x 인증을 받고 안전하게 사용하고 싶은 사람들과 간단한 웹 서핑을 통해 해킹은 상관없다고 보안 설정 없이 간편하게 사용하고 싶은 사람들을 구분할 수 있는 기능적·제도적 장치는 반드시 필요한 것이다.

철대문으로 현관의 보안을 강화하는 이유는 약간은 불편하더라도 안전하게 생활할 수 있기 때문이 아닌가? 내 정보자산을 지키는데 약간의 불편함을 감수하여 안전한 인터넷 사용이 보장된다면 이를 지키는 것이 오늘을 살아가는 네티즌의 현명한 자세가 아닐까 싶다.

<글 : 장 성 일 | 유넷시스템 보안연구소 부장(sijang7@unet.kr)>

[월간 시큐리티월드 통권 제171호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>