무선랜 보안을 해결하라
상태바
무선랜 보안을 해결하라
  • Network Computing
  • 승인 2002.03.20 00:00
  • 댓글 0
이 기사를 공유합니다

IT 관리자들에게 무선랜 배치에 있어 가장 큰 장애물이 무엇인지를 물어본다면, 이들 중 절반 이상은 보안을 1순위로 꼽을 것이다. 이것은 기업 정보 자원으로의 무선 액세스를 갖고 싶어 몸살을 앓는 사용자들뿐만 아니라 무선 인프라와 애플리케이션을 판매하려 애쓰는 업체들에게 있어서도 큰 문젯거리다.

비꼬기 좋아하는 사람은 ‘무선랜과 연관된 보안 취약성에 대한 말들이 지나치게 부풀려져 있으며, 주의를 끄는 머릿기사라는 눈앞의 열매를 잡기 위해 우왕좌왕하는 미디어의 또 다른 예’라고 말할지도 모른다. 이러한 주장에도 일리는 있다. 수 년 동안 우리가 반복해 말했던 것처럼, 보안 정책에는 위험 평가, 비용 및 편리함 사이의 미묘한 조화가 포함돼 있기 때문이다.

내부 방화벽 뒤에서 민감한 시스템이 보안되도록 한 일부 조직들의 경우, 89달러짜리 무선 NIC을 노트북 컴퓨터에 그냥 장착시킴으로써 조직 내부의 사용자들에게 네트워크로의 비인증 액세스를 제공할 때 그리 큰 문제가 없을지도 모른다. 하지만 보안 시스템으로의 무선 액세스를 제공한다는 것은 완전히 다른 필요이며, 특히 전용이고(이거나) 고가의 솔루션을 배치하지 않고서는 충족되기가 쉽지 않은 일이다.

무선 보안의 목표

무선랜 보안을 평가하고 있는 네트워크 관리자라면 인증, 프라이버시 및 권한 부여라는 세 가지 별개의 문제를 고려해야 한다. 이들 중 다른 것들을 충분히 해결하지 않고 어느 하나에 지나치게 치중하는 것은 현관문에 세계 최고의 자물쇠 장치를 해두고 1층 창문은 열어두는 것과 마찬가지다.

네트워크 인프라 설계자는 전통적으로 자신들의 유선 랜에서 인증에 대해 크게 염려하지 않는 경향이 있는데, 이것은 아마 대부분의 유선랜 포트가 비교적 안전한 사무실 안에 설치돼 있기 때문일 것이다. 하지만 외부에서 전달되는 무선랜 전파로 인해, 무선랜은 분명 고유의 도전을 제시한다. IEEE 802.1X 인증 프로토콜이 시장에서 인기를 얻을 경우 앞으로 몇 년 사이 상황은 바뀔지도 모르지만 현재의 표준 기반 무선랜은 통합 인증에 제공하는 것이 거의 없다.

마이크로소프트 윈도 XP에 802.1X 지원을 포함시키고, 거기에 새로운 액세스 포인트 지원을 통합시키고 있지만, 레거시 시스템에 대한 지원을 확보하기에는 시간이 필요할 것이다.

무선랜 프라이버시는 보통 어떠한 데이터 스트림 암호화 유형을 통해, 보통은 WEP(Wired Equivalent Privacy) 형태로 실시된다. WEP는 40비트나 128비트 RC4 암호화 메커니즘을 이용하며, 보통 성능 감소를 최적화하기 위해 NIC의 하드웨어에서 이행된다.

불행히도, WEP는 보안에 있어서는 그 기반이 취약하다. 최근 머릿기사에서는 WEP 암호화 메커니즘의 취약성을 집중적으로 다루고 있으며, WEP 암호화를 해킹할 수 있는 툴이 널리 사용 가능하다. 하지만 WEP가 해킹에 취약하지 않다 하더라도, 액세스 포인트와 클라이언트들간에 최고 네 개의 키가 공유되도록 정의할 수 있게 허용하는 그 정적 키 아키텍처는 100개 이상의 노드가 있는 네트워크용으로 전혀 버틸만한 솔루션이 못 된다. 키를 보호하거나, 이들을 정기적으로 업데이트하는 쉬운 길은 전혀 없다.

그리고 권한부여 문제가 있다. 어떤 형태의 인증을 이행함으로써 액세스를 제한할 수 있다 하더라도, 자원 액세스는 보통 ‘올 오어 나씽(all-or-nothing)’ 조건이다. 랜으로 들어오는 모든 사람은 같은 자원들로 액세스할 수 있다. 권한부여는 자원 액세스가 당신이 누구인지를 기반으로 제한되거나 허용되는 무선랜이나 보다 정밀한 장비, 혹은 서브넷 기반 액세스 제어 시스템 배치를 고려하고 있는 많은 조직들에게 아마 바람직할 것이다.

부분적으로는 표준과 경쟁 덕분에, 사실상 조직 내의 어떠한 사용자든 단돈 150달러 미만에 자기 사무실에서 무선랜을 셋업할 수 있게 되었다. 이것은 언제나 당신과 가까이 있는 사무실에서 일어날 수 있는 일이다.

사람들에게 이것을 못하게 막는다는 것은 거의 불가능한 일인데, 이것은 한 때 PC에 다이얼업 모뎀을 설치하고, 시만텍 피씨애니웨어(pcAnywhere)를 이용해 집에서 이들의 기계로 액세스하는 것을 막는 일이 불가능했던 것과 마찬가지다. 이 문제에 대해 유일하게 생존력 있는 솔루션으로는 적절한 보안 정책과 정기적인 모니터링 및 시행 프로그램을 규정하는 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.