날로 늘어가는 무선랜 보안 문제, “VPN이 정답이다”
WPKI·IDS 제치고 핵심 기술로 ‘우뚝’ … 무선 VPN 제품 출시 ‘봇물’
현재 무선랜 보안 기술로는 무선 VPN, 기업형 무선랜 보안 장비, 802.1x, WPKI, IDS가 거론되고 있다. 이 가운데 현재 가장 적절한 무선랜 보안 솔루션으로 지목되는 장비는 무선 VPN과 기업형 무선랜 보안 장비다. 하지만 무선랜 보안 장비 역시 핵심 보안 기술은 IPSec VPN이기 때문에, 결국 무선랜 보안의 해결사는 VPN인 셈이다.
그 동안 대학, 호텔, 유통과 같은 기업 사용자 위주로 이용되던 무선랜은 지난해 초 KT와 하나로통신의 핫스팟 설치 이후 비약적인 발전을 거듭하고 있는 중이다. 아직까지는 총 무선랜 ID수가 22만6천개(2003년 5월말 현재 KT 21만2천개, 하나로통신 1만4천개)에 불과하지만, 공중무선랜 서비스에 대한 관심이 지속적으로 늘고 있어 올해에는 큰 폭의 증가가 기대된다.
그렇지만 아직 무선랜을 이용해 인터넷 뱅킹을 하는 일은 되도록 삼가는 것이 좋다. 현재 제공중인 공중무선랜 서비스는 전파 스캐너만으로 무선랜 사용자들의 데이터를 모조리 읽어올 수 있기 때문이다. 그야말로 보안 문제가 해결되지 않는 한 무선랜 확산은 한계를 가질 수밖에 없는 셈이다.
유선을 넘어 무선에서도 ‘VPN 열풍’
WPKI가 CDMA 구간의 보안 기술로 이미 확정됐다면, 무선랜 구간을 책임질 보안 기술은 이제서야 논의되고 있는 형편이다. 전 세계적으로 가장 많이 배치되어 있는 802.11b 무선랜은 당초 보안에 큰 관심을 두지 않았고, 공중망에서의 활용을 전제로 설계되지도 않았기 때문이다. 실험실 등 소규모 사설망 수준에서 이용되던 무선랜을 대규모 기업망 또는 공중망에서 활용하려다 보니 무선랜의 보안 결함들이 부각되고, 결국 이 구간을 책임질 보안 기술을 찾게 된 것이다.
현재 무선랜 보안 기술로는 무선 VPN, 액세스포인트 컨트롤러/암호화/사용자 인증/권한제어 통합 솔루션(일명 기업형 무선랜 보안 장비), 802.1x 등 보안성이 강화된 액세스포인트, WPKI, 그리고 침입탐지시스템(IDS)이 거론되고 있다. 이 가운데 WPKI는 무선랜 구간을 오가는 모든 데이터에 대한 보안을 책임지기에는 비용 부담이 너무 크고, IDS는 이동통신사업자가 무선 단말기에 할당하는 IP 풀(pool) 모두를 열어줘야 고객에게 가용성을 보장할 수 있을 뿐더러 사용자별 접근제어도 불가능해 무선랜 보안 기술로는 부족하다는 지적이다.
802.11b의 한계를 보완하고 보안성을 강화시키기 위해 등장한 IEEE 802.1x 규격 지원, 802.11i 워크그룹에서 표준을 제정한 TKIP, WPA, AES 프로토콜 적용, 128비트 공유키 암호화 및 사용자/세션별 다이내믹 시큐리티 키 지원 등 무선 액세스 포인트의 보안 기능을 강화하는 작업도 이미 구축된 무선랜 시스템을 보호하지 못한다는 점에서 한계가 있다.
결국 현 시점에서 가장 적절한 무선랜 보안 솔루션은 무선 VPN과 기업형 무선랜 보안 장비로 귀결된다. 하지만 여기에서 주목할 만한 점은 무선 VPN과 기업형 무선랜 보안 장비의 핵심 보안 기술이 IPSec VPN이라는 점이다. IPSec VPN 기술은 이제 유선을 넘어 무선에서도 견고한 안전망 역할을 톡톡히 하고 있는 셈이다
VPN 기능 탑재된 기업형 무선랜 장비 ‘관심 집중’
기업형 무선랜 보안 장비는 무선 액세스 포인트 컨트롤 기능을 기본적으로 제공하면서, 암호화, 인증, 권한제어와 같은 강력한 보안 기능이 탑재돼 있어 고가임에도 불구하고 통신사업자들이 활발히 도입을 검토하는 제품이다.
올해 초 KT 서비스 개발연구소에 기업형 네스팟 서비스 개발용으로 공급된 버니어네트웍스의 ‘컨트롤서버 6500’과 ‘액세스매니저 6500’은 대표적인 제품이다. 썬텍인포메이션시스템이 국내에 보급하고 있는 이 제품은 강력한 무선 액세스 포인트 컨트롤 기능은 물론, 썬텍인포메이션의 ‘에어세이프’를 통한 암호화 기능, 802.1x와 같이 사용할 수 있는 인증 기능, 그리고 장소, 시간, ID까지 제어할 수 있는 권한 제어 기능 등 강력한 보안 기능을 제공한다.
비록 최종 입찰에서 고배를 마셨지만, 버니어네트웍스 제품과 막판까지 경합을 벌였던 블루소켓의 ‘WG2000’ 시리즈(지맥스테크놀로지 국내 공급), 리프엣지의 ‘커넥트 시스템’(ATM네트웍스 국내 공급), 그리고 엑서스테크놀러지의 무선랜 인증서버 제품군도 주목할만한 기업형 무선랜 보안 장비들이다. 이 제품들 역시 암호화 및 인증 기능을 모두 지원하며, 전파방해 현상 해결을 위한 멀티 채널 서비스(블루소켓), 실시간 권한 제어 및 블루투스(리프엣지), 다양한 사용자 인증 프로토콜(엑서스테크놀러지) 등 다양한 기능을 지원한다.
최근 주요 네트워크 장비 업체들이 앞다퉈 출시하고 있는 무선랜 스위치 제품(switch-based eterprise wireless LAN product)도 기업형 무선랜 보안 장비의 일종이다. 이 제품들은 약간씩의 차이는 있지만, 무선 액세스 포인트의 기능을 최소화하고 스위치의 역할을 극대화한다는 점에서 일맥상통한다. 기존 와이파이 하드웨어는 무선 액세스 포인트에 보안이나 무선 주파수(radio frequency) 모듈과 같은 지능화된 기술을 그대로 탑재한다. 반면 스위치 기반 아키텍처(switch-based architecture)에서 무선 액세스 포인트의 역할은 그저 무선 주파수 모듈이 탑재된 덤 터미널(dumb terminal)에 불과하다. 따라서 성능만 놓고 보더라도 무선랜 스위치는 지금까지 시장을 주도한 일명 구세대 스마트 무선 액세스 포인트(older-generation smart AP)에 비해 크게 진보한 제품인 셈이다.
하지만 이러한 제품들이 무선랜 보안 솔루션으로써 주목받고 있는 가장 큰 이유는 로밍이나 관제가 아니라, 랙 마운트 스위치가 담당하는 보안 기능이다. 이 제품들은 노트북, PDA와 같은 무선 디바이스에 IPSec VPN 클라이언트가 탑재돼 있을 경우, 스위치까지의 무선 구간을 VPN 터널링으로 보호한다. 현재 이와 같은 무선랜 스위치 제품을 시장에 선보인 업체는 노텔네트웍스를 비롯해 익스트림네트웍스, 심볼테크놀로지스, 아루바와이어리스시스템즈(Aruba Wireless Systems), 트래피즈네트웍스(Trapeze Networks) 등 10여개 정도다. 이 중 노텔네트웍스의 무선랜 스위치 ‘WLAN 2200 시리즈’는 SSL VPN 기능까지 탑재하고 있어 별도의 무선 VPN 클라이언트 설치 없이도, 웹 브라이저를 이용해 무선 구간을 보호할 수 있다.
“무선 VPN 게이트웨이가 뜬다”
기업형 무선랜 보안 장비들이 무선랜 구간의 보안을 책임지는 솔루션으로서 매력적인 것은 사실이지만, 비싼 가격과 한정된 트래픽 처리 능력이라는 한계를 지닌다. 일례로 무선랜 스위치 제품은 업체간 차이는 있겠지만, 일반적으로 시중에 내놓는 가격이 8천∼1만달러 수준인 것으로 알려졌다. 비교적 저렴한 비용에 안전한 데이터 송수신이 가능하고, 기존 인프라와도 호환이 가능한 IPSec/IKE 기반 무선 VPN 솔루션이 무선랜 보안 솔루션으로 주목받고 있는 것도 이러한 이유에서다. VPN과 802.11이 결합될 경우 VPN 서버가 무선랜에 대한 캡슐화 기능과 인증 및 암호화 기능을 제공하기 때문에, 무선 무선 액세스 포인트는 어떠한 WEP 암호화 없이도 개방형 액세스를 구성할 수 있는 것이다.
VPN 서버를 중앙 관리할 수 있어 관리자의 업무 부하가 낮고, WEP이나 MAC 어드레스 필터링과는 달리 대량 사용자에 대해서도 쉽게 확장이 가능하다는 점도 장점이다. 하지만 무엇보다 무선 VPN이 무선랜 보안 솔루션으로 각광받는 이유는 많은 기업들이 이미 자사의 기업 네트워크에 VPN을 구축했다는 점 때문이다. 즉, 이미 VPN을 구축한 기업들의 경우 무선랜으로 확장하는 작업은 어려운 일도 아닐 뿐더러 경제적이기까지 하다.
현재 국내에 소개된 무선 VPN 솔루션은 엠아이시큐리티가 자체 개발한 모바일 VPN 클라이언트 ‘시큐피디안’, 소닉월 코리아의 ‘소호 TZW’, 워치가드 코리아의 ‘파이버박스 소호 6 와이어리스’, 넷기어 코리아의 ‘FVM318’ 정도다.
엠아이시큐리티는 초기 시장 개척자답게 KT, SK, LG, 삼성그룹 등에 제품을 공급하기는 했지만, 모두 모바일 오피스 구축을 위한 파일럿 프로젝트용일 뿐 무선랜 보안 솔루션으로 도입된 것은 아니다. 게다가 ‘시큐피디안’은 PDA 이용자(윈CE, 팜 지원)만을 위한 클라이언트 솔루션이기 때문에 노트북 이용자 비율이 높은 무선랜 보안 구간에는 적합하지 않다.
따라서 실질적인 무선랜 보안용 무선 VPN은 소닉월, 워치가드, 넷기어 등이 잇따라 출시한 방화벽, VPN, IP공유, 802.11b 무선 액세스 포인트 통합형 ‘무선 VPN 게이트웨이’라고 할 수 있다. 이 제품들은 유무선 IPSec VPN 터널링을 제공함으로써 로컬 ISP, 무선 또는 광대역 연결 상에서 이동할 때 모두 인증 및 암호화를 지원하는 것은 물론, 기본적으로 방화벽 기능까지 제공하기 때문에 경제적이 이점이 크다.
소닉월·워치가드·넷기어 신제품 출시
소닉월이 지난 4월말 국내에 선보인 ‘소호 TZW’와 ‘소닉월 글로벌 VPN 클라이언트’는 사실상 국내에 처음으로 소개된 무선랜 보안용 무선 VPN 솔루션이다. 이 제품은 무선 클라이언트와의 무선 통신에 있어 IPSec 3DES VPN을 사용할 수 있도록 지원하기 때문에, 기존의 WEP 등에 의해 발생하는 키 탐지가 불가능하다. 특히 ‘WiFiSec 인포스먼트’ 기능을 통해 강력한 인증을 거친 사용자들이 보낸 IPSec VPN 패킷만을 허용함으로써, 적합한 터널을 생성하지 못하는 클라이언트에 대해서는 내부 기밀 네트워크 자원에 대한 액세스를 원천적으로 차단한다.
워치가드가 최근 출시한 ‘파이어박스 소호 6 와이어리스’ 제품군도 소닉월의 ‘소호 TZW’와 크게 다르지 않다. ‘파이어박스 소호 6 와이어리스’는 통합 802.11b 무선 액세스 포인트, 4포트 랜 10/100 스위치와 원격관리 기능을 지원하며, 중소기업과 원격 오피스, 재택근무자의 다양한 요구 조건에 맞는 3가지 모델로 구성돼 있다. 이 제품은 기업의 무선 배치를 안전하게 보호하는 다단계 보안을 제공하도록 디자인 됐다. 즉, ICSA 인증을 받은 DSPF(Dynamic Stateful Packet Filtering), 데스크톱 안티바이러스 보호, 옵셔널 웹 콘텐츠 필터링 뿐 아니라, 3DES 암호화, 인증, IPSec VPN 및 모바일 유저 VPN 지원 등의 네트워크 보안을 포함한다. 워치가드 코리아는 이 제품이 기존 자사 제품군과는 포지셔닝이 다른 만큼, 새로운 채널을 영입해 시장 개척에 나설 방침이다.
지난해 말 소닉월보다 앞서 무선 VPN 게이트웨이 ‘FVM318’을 선보인 바 있는 넷기어는 최근 들어서야 국내 영업을 시작했다. 그 동안 유선 VPN 시장에서조차 입지를 다지지 못한 현 상황에서 무리하게 사업을 확장하는 것은 바람직하지 않다는 판단이었지만, 고객들의 문의가 이어지면서 결국 국내 시장에도 선보이게 된 것. ‘FVM318’은 최대 70개의 유선, 32개의 무선 IPSec VPN 터널링을 제공하며, 고속 터널링이 가능한 150MHz CPU를 탑재하고 있어 100노드를 필요로 하는 중소기업 환경에도 적합하다. 한편, 넷기어는 802.11b는 물론 802.11a 등 다양한 표준의 무선랜 터널링을 지원하는 무선+VPN+인터넷 공유 등 3 in 1의 기능 통합형 소호 솔루션을 연내에 출시할 계획이다.
무선랜 확산과 비례해 대폭 성장 기대
본지가 국내 무선랜 제조업체들을 대상으로 조사한 바에 따르면 지난해 국내 무선랜 시장은 약 600억원 가량인 것으로 나타났다. 그리고 올해에는 하반기 54Mbps 제품 출시, 가정을 겨냥한 유통시장 형성 등의 호재를 등에 업고 지난해보다 2배 이상 성장한 1천200억원대에 이를 전망이다. 게다가 공중무선랜 시장 개척에 적극 나서고 있는 KT가 현재 2만3천개 수준의 무선 액세스 포인트를 연내에 8천개까지 확대할 예정이며, 하나로통신 역시 올해 6만명 가입자 확보를 목표로 공중무선랜 투자를 더욱 늘려나갈 방침이다.
이와 같은 낙관적인 기대치만 본다면 무선랜 보안 솔루션으로서의 VPN 입지는 앞으로 더욱 확대될 것이 분명하다. 하지만 걸림돌이 전혀 없는 것은 아니다. 우선 지난해 10월 처음으로 등장, 지난 5월 11일 공식 표준으로 인정된 WP A-SOHO 표준이 그것이다.
이 표준은 그 동안 무선 액세스 포인트의 취약점으로 지적되던 다이내믹 WEP을 완벽히 지원하기 때문에 무선랜 보안의 커다란 진전이 예상된다. 특히 오는 8월부터는 이 표준이 적용되지 않은 무선 액세스 포인트에는 와이파이(WiFi) 인증 마크가 붙지 않기 때문에, 현재 보급 속도는 굳이 설명할 필요조차 없다. 비록 WPA-SOHO 표준이 탑재된 무선 액세스 포인트가 무선랜 스위치와 동일한 수준의 보안을 책임지거나, 무선 VPN 게이트웨이처럼 엔드 투 엔드 보안을 지원하는 것은 아닐지라도, 별도의 보안솔루션을 추가 구입하지 않더라도 무선랜 보안이 크게 개선된 것만은 사실이다.
국내 엔터프라이즈 무선랜 시장의 선두업체인 시스코 역시 ‘무선랜 보안 기술로서 VPN은 필요하지 않다’는 입장이다. 이 회사가 이와 같이 주장하는 배경에는 자사의 무선랜 보안 정책과 밀접한 관련이 있다. 시스코는 무선랜 보안 전략으로 자사의 무선 액세스 포인트인 ‘에어로넷’의 IOS와 무선랜 카드의 드라이버를 업그레이드하는 방식을 선택했다. 기존 카탈리스트 망을 그대로 활용하면서 무료로 무선랜 시스템을 업그레이드하면, VPN 기술이 탑재된 무선랜 스위치나 무선 VPN 게이트웨이를 구입하는 것보다 훨씬 경제적이라는 게 시스코의 주장이다.
하지만 여기에는 자사의 ‘시스코웍스 WLAN NMS’가 구축돼 있다는 전제가 붙는다. 즉 기존 IOS에 불법 액세스 포인트를 발견할 수 있는 주파수 감지 기능 등을 탑재하고, 여기에서 감지된 경고를 시스코의 NMS가 감시하는 방식이다. 현재 시중에서 거래되는 ‘시스코웍스 WLAN NMS’가 대략 1만2천달러 가량인 점을 감안하면, 결코 ‘경제적인 구성’은 아닌 셈이다.
결국 아무리 무선 액세스 포인트의 보안 기능이 업그레이드되고, NMS로 불법 액세스 포인트 로그를 찾아낼 수 있다고 할지라도, 아직까지는 VPN만큼 저렴하고 안전한 보안정책을 구현해 줄 수는 없다고 볼 수 있다. 무선랜 구간에 VPN 기술을 적용하는데 회의적인 시스코가 올 하반기 소형 라우터인 ‘시스코 800’ 시리즈와 액세스 포인트가 통합된 제품을 출시할 예정이고, 체크포인트와 어바이어 역시 본사 차원에서 소호용 박스에 액세스 포인트 기능을 탑재한 장비를 개발중이라는 사실은 이를 입증한다. 이에 따라 무선랜 보안을 위해 VPN 기술을 탑재한 제품들은 앞으로도 더욱 늘어날 전망이다. 
