이 때가 2002년이었으며, 이제 테네시 대학은 새로운 802.1x 무선 인증과 암호화 표준을 이용해 다시 한번 보안을 시도하고 있다. 이 대학은 무선랜을 보안 무선 세그먼트와 게이트웨이(802.1x를 지원하지 않는 무선 장비가 있는 사용자용으로 제어되는 것)로 분할해서 보낼 것이다. 이런 방식을 이용하면 어떤 사용자도 홀대받지 않을 수 있게 된다.
녹스빌리에 있는 테네시 대학의 선임 네트워크 엔지니어인 필립 한셋은 “모든 802.11장비가 1x를 갖고 있거나 갖게 되는 것은 아니며, 우리는 이들을 지원해야 한다”고 주장했다. 802.1x를 이용하기 위해서는 인증용으로 래디우스(RADIUS) 서버를 구성하고 대학에 있는 1천100개의 액세스 포인트인 프록심의 오리노코 AP-2000(Orinoco AP-2000)에 빌트인 802.1x 지원을 가동시킬 필요가 있었다. 클라이언트 기계, 즉 802.1x식 표현으로 하자면 서플리컨트(supplicant)는 자신의 증명서를 래디우스 서버로 제출하며, 이 서버에는 사용자 인증을 위한 대학의 LDAP 데이터베이스가 통합돼 있다.
테네시에서는 전자 증명서를 이용하지 않을 작정인데, 그 이유는 암호화 키를 다룰 생각이 없기 때문이다. 대신 이 곳에서는 TTLS(Tunneled Transport Layer Security)를 이용해 서버를 인증할 것이다. 한셋은 “이것은 SSL과 유사하며 PKI(Public Key Infrastructure)가 필요치 않다”고 말했다.
한편 한셋과 그의 IT 팀은 MAC 어드레스에 의해 보안되지 않는 세그먼트를 모니터링할 것이며, 이는 현재 이 대학에서 권한이 없는 이용을 차단하는 것과 같은 방식이다.
테네시는 2001년 무선으로 이행했으며, 전에는 대부분의 대학 캠퍼스에서 그렇게 하는 게 유행이었다. 2만7천명의 학생이 있는 캠퍼스가 일부는 기부를 받은 아기어 시스템즈(Agere Systems) 무선 장비를 배치하자, 학생과 교수, 그리고 직원들은 스스로를 보안 서버에 인증해야 했으며, 그 전체 프로세스는 암호화가 돼 있었다. 얼마 지나지 않아 처음의 보안 아키텍처는 구멍이 났으며, 테네시 대학은 프록심 오리노코 AP-2000으로 교체를 했다. 여기에는 표준 802.1x 보안 지원과 802.11a 및 11g로의 업그레이드를 위한 확장 슬롯이 함께 따라 왔다.
802.11b 무선랜 인프라의 총 비용은 250만 달러였으며 개발 인건비가 추가되었다. 사용자들은 자신의 어댑터 카드를 구입해야 했다. “유선 포트를 사면 무선은 무료로 얻을 수 있다”고 한셋은 말했다.
무선랜은 큰 가상 랜으로 분할 전송되기 때문에 캠퍼스의 유선 네트워크와 IP 어드레스 싸움을 피할 수 있다. 한셋은 “무선 가상랜이 있으면 건물의 유선 서브넷을 건드릴 필요조차 없다”고 말했다.
802.11a와 802.11g 이용 권장
테네시의 무선랜은 130개 캠퍼스 건물 모두에 뻗어 있으며, 약 2천 명의 학생, 교수 및 직원을 매일같이 지원하고 있다. 8천 명 이상의 사용자가 802.11b 네트워크에 등록돼 있으며, 이 네트워크의 최고 속도는 11Mbps다. 그러나 한셋은 “실질적으로는 5Mbps밖에 얻을 수가 없었다”며 “속도를 찾는다면 유선 네트워크를 사용해야 한다”고 강조했다.
무선 사용자는 보통 완전한 데이터 전송 속도로 연결되지 못하는데, 그 이유는 접속이 공유되고 사용자가 액세스 포인트에서 멀어질수록 성능이 떨어지기 때문이다.
현재 사용자들은 등록 서버를 통해 무선랜에 합류하고 있으며, 이 서버에는 LDAP 디렉토리가 통합돼 있다. 사용자가 일단 등록이 되면 이들은 무선랜에 있는 어디서든 네트워크로 액세스할 수 있다. 하지만 새로운 802.1x 보안 아키텍처에서는 등록 작업이 그다지 편리하지 않다. 학생들은 랩톱을 열 때마다 재인증 작업을 해야 할 것이며, 한셋은 이것이 성가신 일임을 인정했다. 이를 피할 수 있는 유일한 길은 설정값을 저장하는 것뿐인데, 이것이 되면 인증을 하는 원래의 목적이 사라지고 만다고 그는 말했다.
테네시에서의 무선 보안의 허점은 대부분의 캠퍼스에서와 유사한 것으로, 기숙사에 몰래 들여지는 불량 무선 액세스 포인트나, 캠퍼스를 돌아다니는 워 드라이버(war driver)들이다. 테네시의 채널을 하이재킹하는 한 가지 유명한 방법은 강력한 안테나를 이용해 이 대학 건물들 중 하나에서 무선랜 ‘구멍(leak)’으로 잠입하는 것이다. 한셋은 “가시선 내에 있다면 이 지름길을 이용해 광대역을 얻을 수 있다”고 인정했다.
한셋과 그의 팀은 등록된 사용자의 대역폭 소모량을 감시함으로써 이런 사고를 찾아낸다. 하지만 그 범죄자가 등록되지 않은 사람이라면 어떻게 될까? 한셋의 말에 따르자면 이들을 잡을 수는 없지만 그 세션을 종료시킬 수 있다고 한다. “행동 분석을 통해 이것을 탐지할 수 있으며, 여기에는 사용자의 MAC 어드레스가 이용된다.”
대역폭에 대해 말하자면, 대학의 큰 학급의 일부에서는 802.11b 무선랜으로 할 수 있는 일이 제한돼 있다고 한다. 예를 들어 학생 수가 200명인 초급반에서는 교수들의 방송 슬라이드를 동시에 모두 다운로드할 수가 없다.
한셋은 “수요 피크가 동기화될 때는 무선랜에서 매우 수요가 높다”며 “이들은 정체로 인한 속도 저하에 대해 불평하고 있다. 강사가 할 수 있는 일도 한정적이며 교실 협업도 제한적이다”고 덧붙였다.
이를 치유하기 위해 한셋은 대학이 결국 802.11a와 802.11g에 대한 지원을 추가하게 될 것이며, 둘 다 최고 54Mbps로 지원될 것이라고 말했다. 802.11g에 대한 좋은 소식은 이것이 802.11b와 후방호환이 가능하다는 점이다. 나쁜 소식은 802.11b 사용자가 네트워크로 통신할 필요가 생길 경우 액세스 포인트는 두 개의 프로토콜 사이를 스위칭해야 하며, 작업처리량은 802.11b의 11Mbps 한계로 되돌아간다.
한편, 802.11a는 테네시의 인구 밀집 지역용으로 잘 작동할 것인데(특히 교실에서), 그 이유는 이것이 b나 g의 2.4GHz가 아니라 5GHz에서 작동하기 때문이다. 보다 낮은 주파수는 보통 무선전화나 기타 소비자 전자제품에서 사용되며 종종 간섭을 일으킨다.
한셋은 “우리는 이미 학생들에게 a와 g를 이용하라고 조언하고 있다”고 말했다. 그리고 테네시는 액세스 포인트 일부에 802.11a와 g 카드를 추가했다.
PoE 인젝터 100% 사용
놀랍게도 전력은 무선랜에서 큰 부분을 차지한다. 한셋은 “어떤 학생의 랩톱 배터리도 하루 수업 온종일 지탱할 수는 없다”고 말했다. 따라서 대학에서는 PoE(Power over Eth-ernet)를 이용하고 있으며, 여기서는 전력과 데이터가 모두 같은 카테고리 5 케이블을 통해 액세스 포인트로 흘러간다. 한셋에 따르면 테네시에서는 전체 캠퍼스에서 PoE 인젝터를 100% 사용하고 있다고 한다.
이것은 IT 부서에서 전력을 원격으로 관리할 수 있게 해준다. IT는 직접 플러그를 뽑을 필요 없이 자동으로 액세스 포인트를 재부팅할 수 있다.
프록심 무선랜에서 다음 단계는 음성과 데이터 통합이다. 한셋은 “사용자가 셀룰러와 무선랜 사이를 신종 휴대폰을 이용해 로밍할 수 있고 분당 요금을 줄일 수 있게 될 것”이라고 말했다.
원점에서 다시 무선랜으로…
테네시 대학의 무선랜은 먼 길을 걸어 왔는데, 그 이유는 이것이 처음 꿈이 많았던 이 대학의 전 학장의 지시로 시작됐기 때문이다. 녹스빌에 위치한 이 대학의 선임 네트워크 엔지니어인 필립 한셋은 “내 상사를 불러서 그는 사흘안에 무선 계획안을 짜오라고 말했다”라며, “18개월만에 대학 전부가 무선이 되었다”고 회상했다.
무선은 그 아키텍처의 초창기 몇 번의 성공적인 파일럿 운영 후 학장의 관심을 끌었으며, 컴퓨터 공학과 경영관리 학부, 그리고 그가 얼마간 운용 가능한 자금을 갖고 있었다.
무선랜이 이제 캠퍼스 생활의 필수 부문이 되면서 보안에 대한 인식이 결정적 요인이 되고 있다. 사실 새 학장 아래의 이 대학 행정부서에서는 IT에서 무선랜을 다시 보안해주기를 바랬다. 한셋과 그 동료들은 무선 보안 게이트웨이를 분석하는 데 일년 이상을 보냈으며, 부담이 너무 크다는 결정을 내렸다.
그는 “우리는 대역폭을 늘리기 위해 네트워크를 설계했지만, 게이트웨이는 트래픽 속도를 저하시키는 경향이 있다”고 판단했다.
EAP-TTLS가 있는 802.1 x는 대역폭 고갈이 거의 없는 인증과 암호화 모두를 제공했다. 한셋은 “기본적으로 우리는 802.1x에 매료될 수밖에 없었는데, 그 이유는 이것이 액세스 포인트의 분산된 CPU에 로컬이고 진행 중에 공짜로 무선 암호화를 얻을 수 있기 때문”이라고 말했다.
대학의 임직원들은 802.1x의 액세스 포인트용 인증, 암호화 및 가용성이 인상적임을 알게 되긴 했지만 지원에 대한 염려를 표했다.
한셋은 “대학 행정부와 내가 가장 걱정한 것은 다른 OS들이 있는 다른 컴퓨터에서의 802.1x 서플리컨트 지원 문제였다”며 “하지만 지원 문제와 함께 적응하며 살아가야 할 것”이라고 덧붙였다. 
