엔터라시스 ‘시큐어 네트웍스’ ⑦

“임의로 설치된 로그 액세스 포인트를 제거하라”

딕 부셔(Dick Bussiere) 엔터라시스 아태지역 CTO

와이어리스 액세스 네트워크는 중독성이 강하다. 한 번 사용자가 맛을 들이면 포기하기 쉽지 않다. 또한 가정에 설치된 광대역 와이어리스 액세스 포인트(AP)는 번잡스런 케이블을 급속도로 대체하고 있으며, 노트북 사용자는 집 어느 곳에서든 인터넷 접속이 가능하다. <편집자>

최근 새롭게 출시되는 대부분의 노트북은 무선랜 카드를 내장하고 있다. 와이어리스 액세스 네트워크는 전례 없는 편리성을 제공하고 있으며, 사용자는 쉽게 익숙해져 와이어리스 액세스 네트워크 없이 살아가기가 힘들 정도다. 반면 기업용 네트워크는 보안 위험성(적절하게 설치된다면 보안 위험은 완화될 수 있다), 시간과 예산 부족, 경영자의 관심 부족 등으로 와이어리스 구축은 아직 초기 단계에 머물고 있다.

로그 와이어리스 액세스 포인트
와이어리스의 뛰어난 편리성과 엔트리 레벨의 컨슈머 액세스 포인트 가격 하락은 개별 사용자가 임의로 사무실에 와이어리스 네트워크를 구축하는 것을 점점 더 부추기고 있다. 기업의 IT 조직이 미처 인지하지 못한, 무단으로 설치된 와이어리스 액세스 포인트는 심각한 보안 문제를 불러일으킨다.
우리는 ‘임의로 설치된(self installed)’ 액세스 포인트를 ‘로그(rogue) 액세스 포인트’라고 칭한다. 로그 와이어리스 액세스 포인트는 다음과 같은 위험 요인을 내포하고 있다.

·WEP, WPA 사전 공유 키 모드와 같은 최소한의 보안 수단이 결여됐기 때문에 키 배포가 불편하다.
·로그 액세스 포인트를 설치한 각 개인은 적절한 인증 메커니즘으로 사용되는 래디우스(RADIUS) 서버에 액세스가 어렵다.
·저렴한 컨슈머용 액세스 포인트는 일반적으로 래디우스를 지원하지 않는다.

일반적으로 이러한 로그 액세스 포인트는 ‘무방비(wide open)’ 상태로 설치되며, 보안성이 전혀 없기 때문에 기업의 통제권 밖에서 작업을 방해한다. 로그 액세스 포인트는 다양한 방법에 의해 탐지된다. 아주 간단한 것에서부터 매우 정교한 방법에 이르기까지. 우선 간단한 방법부터 살펴보자.

로그 액세스 포인트 탐지 방법
우선 와이어리스가 설치된 노트북을 들고 빌딩 주위를 돌아다니면서 손쉽게 사용 가능한 소프트웨어를 이용해 로그 액세스 포인트를 탐색하는 것이다.
마이크로소프트 윈도XP는 와이어리스 네트워크가 SSID(Service Set InDentifier)를 브로드캐스팅하면, 손쉽게 와이어리스 네트워크 존재를 탐지할 수 있다. 로그 네트워크를 설치한 사람은 SSID 브로드캐스팅을 오프(off)시키지는 않기 때문에 노트북 컴퓨터는 간편한 악당 탐지 툴(tool)로 사용될 수 있다. 단지 ‘이용 가능한 와이어리스 네트워크 보기(show available wireless networks)’ 기능을 사용해 빌딩 주위를 걷기만 해도 범위 내의 모든 네트워크 SSID를 찾아낼 수 있다.
오픈소스 프로그램 넷스텀블러(Netstumbler)와 에어스노트(Airsnort)는 와이어리스 네트워크를 탐지하고 로그 액세스 포인트 위치를 확인시켜 주는 신호 감도를 보여준다. 로그 액세스 포인트에 다가서면 신호 감도는 증가되고, 물러나면 신호 감도는 감소된다.
이러한 수작업의 문제점은 탐지의 일관성을 유지하기 어렵다는 것이다. 가령 로그 액세스 포인트가 꺼진 경우, 일주일, 혹은 한 달 안에 액세스 포인트가 설치된 경우 잡아내기 힘들다. 또한 시간이 많이 소모되며 탐지된 액세스 포인트가 불법인지, 아니면 단지 이웃의 액세스 포인트인지 분석하는 작업도 요구된다.
만일 와이어리스 인프라 구축을 고려하고 있다면 로그 액세스 포인트 탐지 기능을 갖춘 엔터프라이즈급 와이어리스 액세스 포인트를 생산하는 업체들을 선택하면 된다. 적당한 소프트웨어와 결합된 이 제품들은 SSIDs 검색과 같은 기술을 이용해 로그 액세스 포인트를 찾아내거나, 어디에서 와이어리스 MAC(Media Access Control) 어드레스가 와이어리스 인프라에 진입하는지를 식별하기 위해 스위치상의 MAC 어드레스 테이블을 이용한다.
만약, 와이어리스 MAC 어드레스가 와이어리스 MAC이 존재하지 않는 스위치 포트에 유입된다면, 그것은 아마도 로그 액세스 포인트의 소행일 것이다.

로그 액세스 포인트 탐지 기능 갖춘 장비 필요
로그 액세스 포인트의 설치를 막는 일은 불행하게도 거의 불가능하다. 대부분의 컨수머급 장비는 NAT(Network Address Translation)를 이용하기 때문에 장비의 유선측에서는 오직 단일 MAC 어드레스가 사용된다.
NAT의 사용 때문에 탐지 가능한 행위는 오직 일련의 소스(source) IP 정보에 관한 것이지만, 이것도 사안에 따라 달라진다. 로그 액세스 포인트는 위협적이며 반드시 탐지되고 제거돼야 하며, 그렇지 않다면 적어도 보안성을 유지해야 한다.
몇 가지 탐지 기법을 이 글에서 소개했다. 어떤 것은 보통의 PC와 함께 작동 가능하며, 또 어떤 것은 와이어리스 인프라를 최적화 시킨다. 만약 와이어리스 인프라를 아직 설치하지 않았다면, 로그 액세스 포인트 탐지 기능을 갖춘 장비를 고려해야 할 것이다.