WEP(Wired Equivalent Privacy)가 모습을 드러낸지 수년이 지났지만, 업체와 업계의 노력에도 불구하고 무선랜을 보안하기란 불가능에 가깝다는 관념은 여전하다. 사실 무선랜을 경계하기는 예전보다 쉬워졌다. 하지만 인증받은 사용자만이 무선 네트워크로의 액세스를 얻고 암호화된 데이터만 공중으로 수송되도록 하는 데 들이게 될 시간과 돈에도 불구하고, 무선랜 보안은 완벽하지 않다. 이에 본지에서는 6가지 무선랜 보안 애드온들과 세 가지 통합 무선랜 모니터링 시스템을 대상으로 리얼월드 랩에서 엄정한 테스트를 실시해 보았다.

일단 보안 무선랜을 구축하고 나면 이것이 안전한 상태를 유지하도록 보장해야만 한다. 불량 AP(Access Point) 경보를 추적하든, 혹은 DoS(Denial of Service) 공격과 같은 심각한 위협에 대한 상세한 정보를 확보하든, 무선랜 환경을 이해하는 것이야말로 회사의 데이터 보안을 해치는 일 없이 무선 네트워크가 접속성을 제공하도록 하는 데 필요한 핵심요건이다.

이러한 목적을 위해 무선랜 인프라에 원래 있는 모니터링을 사용하거나 오버레이 장비를 이용해 AP 셋업을 보완할 수 있다. 우리는 인프라와 오버레이 제품 각각의 장단점을 파악하기 위해 두 가지를 모두 테스트해 보았다.

하지만 점수를 낼 목적으로 두 가지를 나란히 비교하진 않았다. 모니터링 능력만을 보고 인프라 장비를 구입하는 것은 아니기 때문이다. 그러나 기업들은 오버레이에 별도의 돈을 들일 것인지, 혹은 인프라 장비에 포함된 것에 만족할 것인지를 결정해야 하기 때문에 큰 무선랜 업체들로부터 모니터링에 관련해 얻을 수 있는 것들을 조사해 보게 되었다.

우리는 무선랜 인프라 사업자들에게 이들의 통합 모니터링 역량을 평가할 수 있게 해달라고 요청했지만, 승낙한 곳은 아루바 와이어리스 네트웍스(Aruba Wireless Networks)와 시스코시스템즈(Cisco Systems)뿐이었다.

이와 대조적으로 전문 무선 모니터링 제품들은 무선 정책이 준수되고 있는지, 그리고 무선으로 진행되고 있는 것들을 제대로 따라가고 있는지를 확인하는 데 역점을 두고 있다. 이 분야는 급속히 성장하고 있으며, 업체들의 방안은 인상적이다. 무선 IDS(Intrusion Detection Systems)에서부터 장애관리 툴, 그리고 군더더기가 없는 패킷 캡처링에 이르기까지, 무선랜 모니터링 시스템은 거의 모든 사람들에게 무언가를 제공한다.

본지 시러큐스 대학 리얼월드 랩에서 테스트된 제품을 보내온 곳들은 에어디펜스(AirDefense), 에어마그네트(AirMagnet), 네트워크 케미스트리(Network Chemistry), 네트워크 인스트루먼츠(Network Instruments), 뉴베리 네트웍스(Newbury Networks), 그리고 와일드패킷(WildPackets) 등이었다. 인프라 제품에 포함된 모니터링 툴은 불량 탐지가 주로 필요한 설치 기반에서는 충분하다는 사실을 알 수 있었지만, AP 위치추적 기능이나 씬 IDS 기능 등을 제공하는 것들도 있다. 보다 심도 깊은 분석이 필요한 경우에는 전문 오버레이 모니터링 시스템을 찾으라. 그리고 이런 제품들이 예산에 맞을지 알아볼 수 있도록 두 가지 가격안 시나리오를 만들어 보았다.

언제 터질지 모르는 지뢰밭

무선랜이 확산되고 성숙해짐에 따라 무선랜 공격도 또한 그렇게 되고 있다. 테스트한 오버레이 제품들 중 일부는 예를 들어 허가받지 않은 액세스를 확보하려는 시도를 탐지하고 관리자에게 경보해준다. 이러한 IDS 기능은 알려진 공격 서명 데이터베이스에 수상한 트래픽을 비교해봄으로써 악의적인 활동이 일어나고 있는지를 파악해준다. 다른 것들보다 나은 IDS 기능을 제공하는 것들도 있었지만, 모두가 공격을 놓치고 잘못된 경고를 보여주었다.

전통적인 IDS들은 네트워크 침입에 초점을 두지만, 모든 공격이 전용 정보를 스위핑하는 데 목표를 두는 것은 아니다. 넷스텀블러(NetStumbler)와 같은 네트워크 정찰 툴에 의한 스캐닝은 외부인들에게 무선랜 토폴로지에 대한 소중한 정보를 줄 수 있으며, AP와 가까운 위치에서도 절도가 가능하게 해준다. 어떤 공격자는 무선랜을 흐트러 놓는 게 목적인 사람들도 있다. 그리고 AP에 대한 DoS를 감행함으로써 침입자가 네트워크의 일부를 다운시키고 심지어 최상의 인증, 혹은 암호화 방안도 이를 막을 수 없는 경우도 있다. 또한 매체로의 물리적 액세스가 요구되는 이더넷 랜과 달리 이러한 공격들은 설비 외부에서 감행될 수도 있다.

게다가 무선랜은 IT 직원이 AP를 잘못 구성했을 때 활짝 열릴 수 있다. 이렇게 되면 건물 밖에서 배회하며 당신의 대역폭을 탐내던 사람들이 RF 간섭 때문에 접속할 수 없을 때 사용자들을 조정하여 당신에게 날짜가 지난 베이글을 던져주도록 할 수 있다. 무선랜 관리자의 하루하루는 위험으로 가득 차 있다.

빌트인이냐 애드온이냐

따라서 근처에 있는 모든 AP와 클라이언트를 지켜볼 필요가 있다. 기본적인 위협 탐지도 또한 필수다. 일부 제품에 있는 고급 기능들을 이용하면 보안 경계를 유지하고 장애관리 작업을 수행하기가 한층 편리해질 것이다.

테스트한 제품의 디자인과 최적 위치는 다양했다. 오버레이 장비들은 대부분 무선 환경 전체에 배치된 스탠드얼론 하드웨어 센서에서 모니터링을 수행한 다음 이것을 관리 서버로 다시 보고한다. 네트워크 인스트루먼츠만이 윈도 PC와 함께 클라이언트 무선랜 어댑터를 이용해 모니터링을 수행한다. 이 방식에서는 RF 탐지가 필요한 곳 어디에나 덩치가 크고 값비싼 장비를 배치해야 한다.

보통 수집된 RF 정보는 네트워크 어디서나 웹 페이지나 윈도 애플리케이션을 통해 볼 수 있으며, 혹은 서버로 로그온을 해서 볼 수도 있다. 인프라 업체들은 서버에 수집한 RF 데이터를 집합시키는 유사한 방식을 이용하고 있으며, 아루바의 경우는 마스터로 구성된 스위치에서 이 작업이 수행된다. 각각의 업체는 자신들의 센서 역량이 전통적인 AP에 비해 훨씬 뛰어나다고 주장했는데, 범위 테스트 결과 이러한 주장은 정확한 것이었다(단 그 크기는 대부분의 경우 달랐다). 이러한 센서들은 전통적인 AP 범위의 약 두 세 배를 제공하기 때문에, AP보다 훨씬 더 적은 센서가 필요하겠지만 그 비율은 업체와 셋업에 따라 달라질 수 있다.

문서로 커버리지를 파악하기는 힘들었는데, 그 이유는 모니터링 시스템들이 수동적이기 때문이다. 즉 이들은 송신을 하지 않는다. 각각의 센서가 얼마나 ‘들을’ 수 있는지 어떻게 계산하는지를 설명하는 데 업체들은 애를 먹었으며, 현재로서는 시행착오를 거치는 게 유일한 길이다. 에어이스페이스와 시스코 무선랜의 경우에는 AP 대 센서 배포율을 파악할 필요가 없는데, 그것은 이들의 AP에 센서 기능이 통합돼 있기 때문이다.

솔로 모니터링 시스템 및 인프라 장비들은 모두가 보안에 대해서는 같은 기본 방침을 취하고 있다. 즉 각 장비들은 2.4GHz 및 5GHz 대역에서 지원 채널을 스캐닝함으로써 802.11 트래픽을 듣고 불량 AP와 진행 중인 공격 가능성, 그리고 정책에 위배되는 것들 등에 대한 정보를 수집한다. 업체들이 선전하는 것과는 달리 이것이 완벽한 무선랜 모니터링에 진정으로 기여한다고 보기는 힘들다. 무선랜 트래픽은 모니터링 시스템이 다른 채널을 듣고 있을 때도 멈추지 않기 때문이다. 그러나 현실적으로 볼 때는 업체들이 옳다. 채널당 하나의 전용 모니터링 무선을 두는 것은 실현 불가능한 일이기 때문에 현재로서는 스캐닝에 의존하는 수밖에 없다.

각 채널에서 머무는 시간(dwell time)은 제품마다 다르며, 얼마간의 트래픽이 분실되긴 했지만 자신의 무선랜에 대한 정확한 초상화를 그리기에는 충분할 것이다. 이번 테스트에서는 채널 스캐닝이 대부분의 상황에서 충분한 것으로 드러났지만, 장차는 다중 무선이 보다 나은 정확성과 유연성을 제공하게 될 것이다.

에어디펜스, 에어마그네트, 아루바, 및 네트워크 케미스트리의 제품은 공격과 변칙적인 활동을 지능적으로 식별해낼 수 있는 능력으로 주목을 끌었다. 테스트 결과 이러한 기능은 아직 성숙하지 못한 것으로 드러났다. 자신의 무선랜에 어떠한 공격이 퍼부어지고 있는지를 정확히 아는 게 도움이 되겠지만 대부분의 IDS들은 진행 중에 있는 공격 유형에 대해 힌트만 주는 저장된 경보를 트리거링한다. MAC 어드레스 스푸핑과 같은 일부 공격들은 유선 세계에서와 유사하지만, 인증해제 및 관계해제 프레임 플러드(deauthentication/deassociation frame flood)와 같이 클라이언트와 AP간 커뮤니케이션을 지원하는 게 목적인 것들은 무선랜에만 있는 것들이다. AP를 스푸핑한 다음 접속된 클라이언트로 인증 패킷을 내보내는 공격을 테스트하는 동안 우리가 본 공통적인 IDS 반응으로 볼때 MAC 스푸핑과 인증해제 플러드는 발생하고 있었다. 물론 정보가 없는 것보다는 약간이라도 있는 게 좋긴 하지만, 보다 많은 지능과 경보가 통합돼 있다면 더 좋았을 것이다.

업체들 가운데 특히 에어이스페이스와 뉴베리 네트웍스는 로케이션 서비스(AP의 소재를 정확히 집어낼 수 있는 능력)를 고려했는데, 이것은 보안 모니터링에서 필수다. 사용자가 경계의 안에 있는지 밖에 있는지를 알아야 어떤 수준의 보안을 적용시킬지 알 수 있기 때문이다. 이는 마치 불량 장비를 추적할 수 있어야 이것을 차단시킬 수 있는 것과 마찬가지다.

테스트한 모든 제품들은 802.11 장비의 위치에 대해 힌트를 주었지만 정밀성과 정확성, 그리고 프리젠테이션은 매우 다양했다. 예를 들어 뉴베리의 장비는 장비가 있는 방을 파악할 수 있으며, 에어이스페이스 장비는 이것을 크게 좁힐 수 있다. 그리고 나머지는 장비에 가장 가까운 센서만 가리켜 주었다. 무선랜 로케이션 기능에 대해서는 대단한 약속을 하고 있기 때문에 기술이 성숙해지는 것에 따라 이들을 계속 주시해볼 것이다.

대역폭에 대한 모든 것

유선 네트워크의 한계는 무선랜 모니터링 시스템을 파악하는 데 도움이 될 수 있다. 왠을 통해 본사로 연결된 무선 지원 원격 사이트를 갖고 있을 수도 있고, 아니면 초과되는 트래픽을 랜 밖으로 차내고 싶을 수도 있다. 어떤 쪽이든 모니터링 시스템을 선택할 때는 대역폭 이용량을 고려해야 한다. 효과적으로 하기 위해서는 모든 모니터링 시스템이 중앙 콘솔에서 개요와 경보를 디스플레이할 수 있어야 한다. 따라서 이들은 센서에서 경보를 만들어내거나, 혹은 분석용으로 수집된 데이터를 전부, 혹은 일부 서버로 보낼 수 있어야 한다.

에어디펜스와 에어마그네트 등은 제품을 만들 때 대역폭을 염두에 두어 센서에서 집합 지점으로 최소한의 데이터가 전송되도록 보장하거나, 혹은 관리자가 덜 중요한 데이터를 잘라냄으로써 전송되는 정보 양을 조절할 수 있게 했다. 그리고 이와는 달리 대역폭을 고려하지 않은 업체들도 있었다. 어떤 업체에서는 센서용으로 별도의 네트워크를 제안하기도 하며, 회선에다 모든 무슨 트래픽을 버리지 않고서는 의무를 다할 수 없는 곳들도 있었다. 대역폭을 가장 많이 잡아먹는 것은 와일드패킷의 에어로피크-RF그래버(Airo- Peek-RFGrabber) 콤보였다. 이것을 이용해 무선랜에 대해 가장 풍부한 정보를 얻으려면 패킷 캡처를 시작해야 하며, 이것은 모든 무선 데이터를 다시 유선 네트워크로 흐르게 한다. 여기에는 최고 5.5Mbps가 들어갈 수 있는데, 경쟁 제품들은 이와 대조적으로 초당 몇 킬로비트씩 크기를 줄여주고 있다.

오버레이 제품에서는 수집하는 정보의 깊이와 무선랜에서 일어나는 일들을 정확히 파악할 수 있게 해주는 능력으로 에어마그네트 디스트리뷰티드 4.0가 에디터즈 초이스를 받았다. 인프라 장비 테스트에서는 버그가 많은 아루바의 IDS 기능이 희망을 사라지게 한 반면 에어이스페이스의 로케이션 기능은 이 제품의 약한 위협 탐지 능력을 보상해 주었다. 시스코는 불량 AP 탐지를 잘 수행했지만 다른 어떤 IDS 기능도 없었으며 802.11b에 대한 모니터링 지원만을 제공하기 때문에 구성 관리용으로 더 적합해 보였다.