무선랜 보안 가능하다, 그러나 “완벽하진 않다”
사용자는 자신들의 무선랜을 원하며, 다른 건 젖혀두더라도 편리함과 이동성을 감안하면 이것은 당연한 일이다. 하지만 소매, 교육, 혹은 의료 분야와 같이 무선이 크게 진보한 산업에 종사하지 않는다면 사용자는 당신을 동요시키느라 힘든 시간을 보내고 있을 수도 있다. 이들이 공을 들여 이상한 기구를 만들어 자신들의 액세스 포인트를 숨기려 하기 이전에 먼저 보안 무선랜을 구축할 수 있다는 사실을 염두에 두라. 물론 쉽진 않지만 가능한 일이다. 우리가 데탕트를 감지하고 있는 것일까?
2002년 6월 이 주제로 조사했을 때 본지에서는 이 업계가 보안 문제를 거의 극복해가고 있다고 언급한 바 있으며, 이 판단은 부분적으로 옳았다. 비록 상당수의 사람들이 기업용 보안 무선랜을 이행하고 있긴 하지만 그 트레이드 오프가 발생했기 때문이다. IEEE의 새로운 보안 표준은 아직 완전히 완성되지 않았으며, 올해 말경 나온다고 하더라도 이행하기 만만치는 않을 것이다. VPN과 같은 기존의 보안 표준을 이용할 경우에는 유연한 이동성을 제공하기 힘들다. 막대한 유연성을 제공하는 보안 오버레이를 선택할 수도 있지만(VPN 없이 이동성 대폭 증가), 이럴 경우 관리해야 할 또 하나의 요소가 추가된다. 그리고 보안이 여전히 최고의 걱정거리긴 하지만, 더딘 이해에 대한 사유들은 불량 장비와 넷스텀블러에 대한 걱정들을 앞선다. 적은 예산과 급속히 진화하는 표준으로 인해 많은 IT 관리자들은 무선 채택을 망설이고 있다.
희망이 있다면 모든 무선 인프라 업체들이 마침내 보안을 갖추게 됐다는 것이다. 이것은 더 이상 사후처리나 추가 서비스가 아니다. 무선랜 제품들은 이제 IT의 위험과 복잡한 내구성에 맞게 짜여진 폭넓은 이행안을 수용하고 있는 보안 아키텍처를 이용해 설계되고 있다.
표준 둘러싼 혼란
무선 보안 표준들은 복잡하다. 어떤 사람들은 심지어 추악하다고 표현하기도 한다. 사실 WEP는 깨지기 이전에 벌써 깨져 있었다. 제 1세대 802.11 보안에 본질적으로 포함된 부족한 부분들은 WEP의 RC4 기반 알고리즘에 있는 암호의 차이들 이상으로 훨씬 심각하다. ‘인증’이라는 간단한 개념에도 802.11 집단에서는 보다 넓은 IT 시장에서와 다른 의미가 있다. 무선랜에서 기본적인 ID/패스워드 방안을 이행하기 위해서는 또 다른 프로토콜인 802.1x가 필요하며, 이것은 EAP(Extensible Authentication Protocol) 및 다양한 EAP 인증들과 통합돼야 작동된다. 이 정도면 충분히 혼란스러운가?
좋은 소식들도 있다. 오랫동안 기다려 왔으며, 802.11 데이터 프레임의 보다 나은 AES 기반 암호화와 정교한 인증 및 역동적 키 할당을 자랑하는 802.11i 사양이 거의 준비를 다 갖췄으며 올해 말경이면 제품을 볼 수 있을 것 같다. 하지만 802.11i가 완벽한 해결책은 아니다. 이것은 근본적인 보안을 해결해주긴 하지만 11i 프레임워크 안에서 몇 가지 선택을 해야 하며 이행에 있어서 수많은 도전들에 직면해 있다. 게다가 침입 및 불량 장비 탐색이나 AP와 그 구성의 물리적 보안 등과 같은 중요한 보안 문제들은 802.11i 모델에 포함돼 있지 않다. 마지막으로 802.11i 위원회는 무선 VoIP와 같이 시간에 민감한 애플리케이션에서 로밍 기능이 필요함에도 불구하고 표준에 ‘패스트 핸드오프(fast handoff)’를 통합시키지 못했다.
그러나 지금 보안 솔루션이 필요하다면 몇 가지 대안을 선택할 수 있다. 지난 해 Wi-Fi 얼라이언스(Alliance)에서는 인증 테스트베드에 WPA(Wi-Fi Protected Access)를 추가함으로써 IEEE의 도메인 밖에 있는 무선 표준용 제품을 지정 및 인증하는 곤란한 자리에 앉게 됐다. 원래 새로운 802.11i 사양의 하부 사양인 WPA는 WEP 암호화를 이용해 알려진 취약점들을 처리하면서 동시에 레거시 하드웨어와 작동하는 TKIP 암호화 메커니즘과 802.1x 기반 인증을 통합시켰다. WEP는 있을 법한 모든 구멍을 막아주진 못하지만, 중요한 위험들을 경감시켜 준다. 올 하반기에는 802.11i 표준을 기반으로 하는 WPA2가 Wi-Fi 얼라이언스의 인증 테스트베드의 일부로 추가될 것이다.
WPA가 마음에 들지 않는다면 다른 형태의 무선랜 보안을 선택할 수도 있다. 표준 게이트웨이나 무선용으로 최적화된 많은 혼합제품들 가운데 하나를 사용하는 VPN이 인기가 좋다. 전용이긴 하지만 점차 보편화되어가는 2.5G 셀룰러 데이터 네트워크와 무선랜 간의 세션 영속성과 투명 로밍을 제공하는 모바일 보안 게이트웨이들도 있으며, 선택의 폭은 더욱 넓어질 것이다.
다른 어떤 네트워크 보안 이행에서와 마찬가지로 무선랜 보안 설계는 위험 평가와 정책 만들기부터 시작된다. 어떤 조직에서는 자신들의 DMZ에 ‘더티(dirty)’ 무선랜을 배치하고 이들을 다른 수신 인터넷 접속과 마찬가지로 취급하는 데 편안함을 느끼기도 한다.
그리고 엄중한 ‘무선랜 금지’ 정책을 정하는 곳들도 있다. 아이러니컬하게도 이런 조직에서는 자신들의 소용없는 정책을 강행하기 위해 무선 보안 모니터링 시스템을 이행하느라 큰 돈을 들여야 할 것이다. 100달러도 안 되는 무선 라우터를 사서 스스로 설치하려는 유혹을 참기 힘들어 하는 사용자들도 있다.
고도의 보안 환경에서는 그 어떠한 무선 정책도 적합지 않겠지만 대부분의 조직들은 사용자로부터, 그리고 종종 상부 관리자로부터 보안 생산 무선랜을 배치하라는 압박을 받고 있다. 본지 독자 설문조사에서는 사용자의 수요 결핍이 무선랜 채택을 막는 가장 약한 장애물로 언급되기도 했다. 우리가 접한 대부분의 IT 관리자들은 무선을 긍정적이고 불가피한 것으로 보고 있다.
이것은 이제 선택의 문제가 아니라 시기의 문제가 됐다. 이 게임의 감각을 익히기에 완벽한 시기를 계속 기다리는 곳도 있지만 현명한 조직에서는 테스트베드를 설치해서 즉각적인 필요를 지원하고 기술팀에서 무선을 보안하는 데 대한 경험을 확보할 수 있게 하고 있다.
이더넷과는 다른…
무선랜에는 무선 이더넷이라고 부르는 사람들도 있을 만큼 이더넷과 유사한 회선쟁탈 기반의 MAC(Media Access Control) 아키텍처와 같이 이더넷에 있는 많은 요소들이 있지만, 이 두 가지에 같은 보안 정책을 적용시키는 것은 적합지 못하다. 이더넷에서는 이더넷 매체를 보안하고 레이어 2 및 레이어 3 스위치를 이용해 트래픽을 격리시킴으로써 기본적인 수준의 물리적 보호를 제공할 수 있지만 무선랜에서는 그럴 수 없는데, 그 이유는 모든 장비들이 하나의 공통 매체, 즉 채널(airwave)를 공유하기 때문이다. 일부 조직에서는 802.1x 인증을 이용해 이더넷 네트워크로의 액세스를 제어하기도 하지만, 대부분이 훨씬 덜 정밀한 보안 수단을 제공하며 보통 레이어 3나 그 상부에서 이루어진다.
무선이 다른 이유는 주로 그 매체가 물리적으로 제어하기 거의 불가능하기 때문이다. 최악의 경우 하이게인 디렉셔널 안테나(high-gain directional antenna)를 갖춘 공격자가 시설 외부에서 당신의 채널로 액세스를 할 수도 있다. 이런 장비는 100달러도 채 안되는 돈만 있으면 얼마든지 구입할 수 있다.
이러한 신뢰성 때문에 무선랜에는 정교한 다층적 보안이 요구된다. 매체를 관리하고, 레이어 2에서 액세스 제어를 시행하며, 유선 랜에서처럼 보다 높은 단계의 보안을 이행할 수 있는 수단을 찾아야 한다.
무선랜 보안의 주요 필요조건은 인증, 프라이버시 및 권한부여 등 세 가지 영역으로 나뉜다. 관리자들은 또한 무선랜 인프라 장비의 물리적 보호와 취약성 평가, 그리고 침입 탐지도 고려해야 한다.
인증을 제공하는 가장 일반적인 방안은 보안 오버레이와 무선 액세스 포인트를 사용하는 것이다. 이러한 전략을 채택하고 있는 조직에서는 보통 기업 방화벽 외부에 무선랜을 설치하며, 무선 인프라가 여러 건물로 확장될 경우에는 가상랜을 이용하고 이것을 더티 네트워크로 취급하는 경우가 많다. 공격자가 무선랜에 침투하더라도 사용자는 공중 인터넷에 있는 사용자에게 주어지는 것과 동등한 액세스 권한을 갖게 될 것이다.
무선랜 사용자는 인터넷 사용자처럼 보이기 때문에 무선랜을 보안하는 데 IPSec VPN이 사용되는 경우가 많은 것도 놀랄 일은 아니다. 결국 이들이 제공하는 것은 인증, 권한부여, 그리고 프라이버시(암호화)다. 그러나 VPN은 비용이 많이 들고, 모든 종단지점에 VPN 클라이언트가 필요하며, 트래픽 양이 많은 환경에서 확장성이 좋지 못하고, 레이어 2에서 어떠한 보호도 제공하지 않는다. 레이어 2 보호는 다른 랜에서보다 무선랜에서 더 중요한데, 그 이유는 네트워크에 대한 정보를 포함하는 다양한 관리 프레임들이 네트워크를 통해 전달되기 때문이다.
캡티브 포털 인증, 대학에서 인기
VPN의 높은 비용을 원치 않는 조직에서는 역동적으로 구성된 방화벽과 함께 사용되는 캡티브 포털(captive-portal) 웹 인증을 선택할 수도 있다. 사용자는 인증 증명서를 제공하지 않고 AP와 연관을 맺지만 이들은 캡티브 포털 웹 페이지로 보내지며, 여기서는 로그인을 해야 액세스 권한을 얻을 수 있다. 캡티브 포털 인증은 서비스 사업자가 클라이언트 인증 소프트웨어의 가용성을 전제로 할 수 없는 핫스팟이나 대학에서 인기가 좋다. 브라우저가 지원되는 장비(PDA나 스마트폰으로도 가능)만 있으면 보안 액세스를 얻을 수 있기 때문이다.
게스트 이용을 활성화하기 위해, 적절한 증명서가 없는 사람들에게는 공중 인터넷으로의 액세스는 주어지지만 내부 호스트로부터는 제한된다. 웹 인증은 인증과 권한부여를 제공하기에는 합리적인 방안이지만, 인증이 SSL을 이용해 보호되는 경우가 많다는 수준 이상으로는 암호화를 제공하지 않는다.
IEEE의 무선랜 인증 방안은 802.1x를 기반으로 하며, 이 표준은 포트 레벨 인증(여기서 포트의 정의는 클라이언트와 AP간의 802.11 연합을 말함)과 EAP를 제공하고, 이것은 인증이 전달될 수 있는 유연한 터널을 만들어준다. WPA와 802.11i 모두의 중심이 되는 이러한 레이어 2 방식에는 백엔드 래디우스 서버가 포함되는데, 이것은 언제나 기존의 사용자 데이터베이스에 연결된다. 모바일 장비는 특정한 EAP 인증 유형들을 지원하는 802.1x 클라이언트(802.1x 용어로는 supplicant)로 구성돼야 한다.
그리고 여기에는 한 가지 문제가 있는데, 그것은 802.1x가 무선 클라이언트에서 지원된다고 가정하더라도(PDA나 VoIP 전화기에서 언제나 이런 것은 아니다) 선택해야 할 많은 EAP 인증 유형들이 있다는 점이다. 불행히도 정치적·기술적 이유로 인해 하나의 EAP 유형으로 표준화하기를 업계에 기대할 수 있는 근거는 거의 없다. PEAP (Protected EAP)가 디펙토 표준으로 부상할 것을 희망도 했었지만 현재 이 업계는 시스코와 마이크로소프트의 호환 불가능한 이행에 붙들려 있다.
향후 몇 년 동안은 다양한 EAP 유형에 대한 폭넓은 지원이 있을 전망이지만 아직은 존재하고 있는 것(TLS와 윈2K 및 XP 상의 MS-PEAP)을 고수하거나 혹은 펑크 소프트웨어(Funk Software), 미팅하우스 데이터 커뮤니케이션즈(Meetinghouse Data Communications) 등과 같은 업체들의 보다 유연한 802.1x 클라이언트를 이용해야 할 것이다.
