취약한 무선랜 보안, “능동적 대처가 절실하다”
상태바
취약한 무선랜 보안, “능동적 대처가 절실하다”
  • 데이터넷
  • 승인 2008.02.20 00:00
  • 댓글 0
이 기사를 공유합니다

HOT market / 무선랜 보안
취약한 무선랜 보안, “능동적 대처가 절실하다”
다양한 보안 솔루션 속속 출시 … 사용자 보안의식 고취 시급

무선 인프라가 확산되며 무선랜 보안에 대한 위협 역시 증대되고 있다. 무선 인프라에서의 보안 지원을 비롯 인증 및 암호화, 무선 IDS/IPS 등 다양한 솔루션들이 선을 보이며 기술적 완성도가 높아가고는 있지만 여전히 무선랜 보안은 취약하다는 평이다. 특히 기술적인 한계도 있지만 사용자들의 보안의식 결여도 큰 문제로 능동적인 대처가 필요하다는 지적이다. 그러나 무선랜 보안에 대한 관심과 수요가 늘어나며 무선랜 보안 시장이 점차 활기를 보일 전망이다. 무선랜 인프라를 비롯 인증 솔루션, 무선 IDS/IPS 등의 벤더들이 상호 협력과 경쟁을 통해 시장을 넓혀 나가고 있는 가운데 올해는 무선랜 보안에 대한 새로운 이정표가 세워질지 귀추가 주목된다. | 강석오 기자·kang@datanet.co.kr |

무선통신 기술을 활용한 인터넷 서비스는 확산되고 있으나 무선은 유선에 비해 보안이 취약한 것이 현실로 정보보호를 위한 특별한 주의가 필요하다. 특히 사용 편리성 및 이동성을 장점으로 무선랜 인프라가 확산되며 대중화 시대를 맞고 있다는 점을 감안하면 무선랜 보안 대책 마련은 시급한 상황이다.
현재의 무선랜 보안 기술은 취약성을 가지고 있기 때문에 무선랜 보안 메커니즘은 지속적인 보완이 필요하다. 기존 보안 시스템의 우회 침입이 가능할 뿐 아니라 침입로그가 남지 않는다. 또한 무선은 건물 밖의 무선이 도달하는 어느 위치에서건 공격이 가능해 공격자의 물리적 위치 역시 찾기 어렵기 때문이다.
무선랜과 같이 완전한 기술적인 보안대책이 수립되지 않은 경우라도 물리적인 방법과 함께 관리 및 운영측면에서 보안정책 수립도 필요하다. 그러나 무엇보다 부족한 보안의식과 미흡한 정보보호 조치 실천이 우선으로 사용자의 보안의식 강화가 무선랜 보안의 첫걸음이라고 해도 과언은 아닐 것이다.

인증·암호화, 무선랜 보안 ‘필수’
IEEE 802.1x EAP(Extensible Authentication Protocol) 표준 인증방식은 강력한 무선랜 보안 방법이다. IEEE 802.1x는 스위치에서 포트별 액세스 컨트롤의 표준화가 목적이었지만 무선랜 보안 표준으로 더 많이 알려져 있는 가운데 포트 기반 네트워크 접근 제어를 제공해 랜에 장착된 장비를 인증하는 방식이다.
EAP 인증방식으로는 가장 기본적인 수준으로 보안레벨이 낮은 EAP-MD5(Message Digest Challenge)부터 인증서 방식의 강력한 보안을 제공하는 EAP-TLS(Transport Layer Security), ID/패스워드 기반의 EAP-TTLS(Tunneled Transport Layer Security), EAP-PEAP(Protected Extensible Authentication Protocol) 등 다양하다. 따라서 기업의 보안정책이나 환경에 적합한 인증방식을 선택하는 것이 무엇보다 중요하다고 관련업계에서는 지적하고 있다.
802.1x를 지원하지 않는 환경에서는 비인가자/허가된 사용자의 구분이 없고, WEP 키 노출 위험이 높아 보안 위협에 거의 무방비로 노출돼 있는 것과 같다. 그러나 802.1x 인증 환경은 사용자 인증을 통해 접근을 제어하고, 인증 서버에서 제공하는 키 생성을 통해 다이내믹 WEP(Wired Equivalent Privacy) 이상의 높은 수준으로 무선구간에서 데이터의 암호화를 처리해 강력한 보안 기능 수행을 통해 무선랜 보안을 강화할 수 있다.
802.1x EAP는 모든 무선랜 장비에서 지원되고 있는 가운데 802.1x 인증/클라이언트 솔루션들이 출시되고 있다. 최근에는 무선랜 구축과 함께 인증/클라이언트 솔루션을 도입하는 것이 대세로 자리를 잡으며 사용자의 보안에 대한 의식이 높아지고는 있지만 여전히 인증 솔루션을 도입하지 않거나 사용 편의상 낮은 수준의 인증방식을 활용하는 기업들이 다수로 허술한 무선랜 보안을 대변하고 있다. 뿐만 아니라 인증 솔루션을 미리 구축하고 적합한 무선랜 시스템을 도입하는 것도 효율적인 보안 대책으로 주목을 받고 있다.
무선랜 보안에서 사용자 인증과 함께 중요한 것이 무선구간에서의 데이터 암호화다. 단말기 인증과 무선 구간의 암호화를 위한 WEP(Wired Equivalent Privacy) 프로토콜은 간단한 툴로 크래킹이 가능할 정도로 보안기능이 미약하지만 여전히 많이 이용되고 있는 상황이다. WEP 키를 주기적으로 변경하지 않고 사용할 경우 도청에 의한 복호화의 위험이 높아 64비트 이하의 WEP 키를 사용할 경우 전문가에 의해 30분 이내에 복호화가 가능한 것으로 알려져 있다.
이에 따라 암호화 메커니즘 역시 지속적으로 강화되고 있다. 최신 표준인 WPA(Wi-Fi Protected Access)도 보안 취약성을 가지고 있지만 현재 표준화된 무선랜 보안 표준 중에는 가장 안전한 방식이다. WPA v1은 TKIP(Temporal Key Integrity Protocol)를, WPA v2는 CCMP(CTR with CBC-MAC Protocol)를 보안키 적용 방식으로 채택, 크래킹이 가능한 기존 WEP보다 보안성이 월등히 높다. 암호화 알고리즘인 AES(Advanced Encryption Standard) 기반의 CCMP를 지원하는 WPA2가 현재 최상의 보안수준을 제공하고 있다.
무선랜 보안을 위한 기본인 인증과 암호화는 시스코, 모토로라, 아루바, 콜루브리스, 메루, 쓰리콤, 트라페즈 등 모든 무선랜 벤더에서 지원하고 있다. 따라서 보다 강력한 무선랜 보안을 위해서는 802.1x EAP 방식의 무선랜 인증/클라이언트 솔루션을 무선랜 장비와 연동해야 보다 안전한 무선랜을 구축할 수 있다는 지적이다.
업계 관계자는 “여전히 많은 기업들이 보안을 전혀 설정하지 않고 무방비로 사용하거나 관리의 편의성을 위해 WEP 등 낮은 수준의 보안을 유지해 사용하고 있는 상황”이라며 “무선구간은 기업의 정보를 빼내거나 공격을 위한 통로로 악용될 소지가 높아 보안 강화가 시급한 실정으로 사용자 인증과 무선구간의 데이터 암호화는 필수”라고 강조했다.
무선 인증서버/클라이언트 솔루션은 주니퍼, 시스코, 에어큐브, 유넷시스템 등이 대표적으로 국내외 업체간 경쟁이 펼쳐지고 있다. 일부 무선랜 장비 업체들이 인증서버를 무선 컨트롤러에 내장하는 경우도 있지만 제한적인 인증만을 지원하기 때문에 보안 강화를 위해서는 무선 인증서버 솔루션 도입은 이제 필수가 되고 있다.

인증 솔루션 시장 주도권 경쟁 ‘심화’
특히 무선 인증 솔루션은 무선랜 보안을 강화한다는 기본적인 효과뿐 아니라 효율적인 사용자 인증 통합관리를 통해 관리 효율성 향상도 기대할 수 있다. 더불어 단일화된 사용자 통합인증을 통해 인증비용도 절감할 수 있는 부수적인 효과와 함께 네트워크접근제어(NAC) 시스템으로 손쉽게 확장할 수 있는 기술로도 활용되고 있지만 아직은 초기단계다.
업계 관계자는 “무선랜 보안 위협이 높아지며 802.1x 기반의 무선 인증 솔루션의 주요성이 부각되고 있다”며 “특히 무선랜 인증 시스템은 NAC 솔루션과 연동도 가능해 강력한 유무선 통합 엔드포인트 통합 시스템으로 확장할 수 있는 등 유무선 보안을 한층 강화할 수 있다”고 설명했다.
주니퍼는 펑크소프트웨어 인수를 통해 802.1x 유무선 통합 인증 솔루션 시장에 진입했다. 유무선 통합 인증서버인 SBR(Steel-Belted Radius)과 클라이언트인 오디세이(Odyssey)로 구성되며 기업 규모에 따라 제품군이 다양한 것이 강점으로 NAC 버전까지 출시돼 있다. SK텔레콤, 쌍용화재, 하이닉스반도체 등 100여개의 국내 레퍼런스를 보유하고 있는 가운데 안정성과 호환성이 우수하고 모바일, VPN까지 지원하는 것이 강점이다.
통합 솔루션 제공을 강점으로 하고 있는 시스코는 통합 인증서버인 시스코 ACS(Access Control Server)와 미팅하우스를 인수해 인증 클라이언트인 CSSC(Cisco Secure Services Client)를 출시했다. 시스코는 ACS는 단품뿐 아니라 스위치에 탑재돼 공급, 기업뿐 아니라 대학 등에 활발히 공급되고 있는 상황으로 인프라 차원의 통합 솔루션으로 무선랜 보안 시장에 접근하고 있다.
에어큐브는 인증서버인 AGS-래디우스와 클라이언트인 큐빅(CUVIC)을 공급중으로 NAC와 연동이 가능하도록 모듈별로 구성돼 있다. 대학 시장 레퍼런스를 다수 보유하고 있는 가운데 기업으로 시장을 확대중으로 지난해 KISA와 CC인증 평가계약을 체결, 빠르면 올 하반기 공공 시장 진입이 가능할 것으로 기대하고 있다. 유넷시스템 역시 인증서버인 애니클릭 어스(AUS)와 애니클릭 어스 에이전트 등을 공급중으로 지난해 KISA와 CC인증 평가계약을 체결, 기업뿐 아니라 공공 등으로 시장 확대에 나서고 있다.
인증 솔루션 업체들은 올해 무선랜 시장의 확산에 따른 보안 수요가 늘어날 것으로 기대, 무선 인증 솔루션 시장이 한층 성장할 것으로 낙관하고 있다. 특히 CC인증을 받은 솔루션이 나오면 공공 시장의 본격적인 무선랜 시장 개화가 이뤄질 것으로 예측, 기업뿐 아니라 공공 시장을 둘러싼 주도권 경쟁도 가열될 전망이다.

무선 IDS/IPS, 무선랜 보안 대폭 ‘강화’
무선랜 보안의 중요성이 한층 부각되며 새로운 무선 공격 기법들이 등장함에 따라 최근에는 무선 IDS/IPS에 대한 관심도 높아지고 있다. 무선 IDS/IPS는 기존 유선 방화벽과 VPN 보안 시스템에서 제공되던 보안 기능을 무선랜으로 확장한 것으로 불법 AP 사용으로 인한 해커 침입 및 기업 내부정보의 유출을 방지할 수 있을 뿐 아니라 보안 취약점을 야기하는 기업 내외부의 부적절한 AP와 클라이언트의 연결을 방지할 수 있다.
무선 IDS/IPS는 유선 방화벽과 유사한 보안 기능을 통해 무선 네트워크에 대한 24시간 모니터링을 통해 무선랜상의 위협을 탐지하고 방어, 한 차원 높은 수준의 무선랜 보안을 통해 능동적으로 무선 위협을 자동차단할 수 있다는 것이 무엇보다 강점이다. 주변에 불법적으로 설치돼 있거나 침입을 시도하는 공격자의 위치까지도 실시간으로 탐지해 사전에 위험요소를 제거할 수 있는 보안조치를 수행할 수 있기 때문이다.
또한 서비스 거부(DoS) 공격에 대한 보호 기능을 제공하는 한편 비인증 AP와 클라이언트를 제거하고 무선랜 취약점을 네트워크 관리자에게 경고 및 통보해 보안 강화는 물론 효율적인 관리도 가능하다. 이외에도 보안정책에 따른 다양한 보고서 기능을 통해 컴플라이언스 준수 기반도 제공할 수 있는 등 다양한 이점도 제공하고 있다.
한편 무선 IDS/IPS는 무선랜을 구축한 기업뿐만 아니라 무선랜을 사용하지 않는 기업들에게도 유용한 솔루션으로 부각되고 있다. 주변에서 손쉽게 무선신호가 잡히는 상황에서 무선을 안 쓴다고 하더라도 외부 AP가 내부정보 유출 통로로 이용될 수 있기 때문에 무선 IDS/IPS를 통해 보안 허점과 위협을 미리 방어할 수 있다는 것. 따라서 민감한 데이터나 개인정보를 다루는 기업 등에서 무선랜 사용 억제 차원의 모니터링을 위해 무선 IDS/IPS를 도입하는 사례도 생겨나고 있다.
특히 무선랜 해킹이나 공격에 대한 무관심으로 인해 DoS나 DDoS 공격에 상당히 취약한 것이 현실이다. 무선랜 보안이 잘 갖춰져 있다고 해고 AP에 대량의 패킷을 전송하면 무선랜 마비는 시간문제라고 할 정도. 무선결제 시스템을 이용하고 있는 대형 백화점이나 할인점 등의 네트워크 다운은 심각한 매출 손실로 바로 이어짐에도 불구하고 이러한 보안 위협에 거의 무방비로 노출돼 있는 상황이다. 정부의 보안 강화 권고에 따라 보안 시스템 강화에 나서고는 있지만 무선 단말 교체 등 투자비용이 만만치 않다는 것이 걸림돌이다.
그러나 오는 6월 PCI-DSS(Payment Card Industry Data Security Standard) 표준 발효가 예정돼 있어 무선 보안은 피할 수 없는 흐름이 될 전망이다. PCI-DSS는 비자, 마스터 등 글로벌 카드사들이 신용카드 정보유출을 막기 위해 제정한 PCI 보안표준으로 이를 준수하지 않을 경우 승인 거부나 서비스 중단 등의 제재를 받을 수 있어 백화점, 할인점 등에서 표준에 부합하는 환경 마련을 서두르고 있는 상황으로 무선 보안 시장 확대의 호재로 작용할 전망이다.
업계 관계자는 “인프라 단에서 통합적인 솔루션을 통해 무선랜 보안을 지원해야 한다는 목소리도 있지만 무선 IDS/IPS는 인프라와 인증 영역과는 차원이 달라 솔루션별 구분이 필요하다”며 “일부 무선랜 장비 업체들이 IPS 기능을 탑재한 컨트롤러를 출시하고 있지만 기본적인 기능 지원에 그치고 있고, 다양하고 지능적인 보안위협의 증가에 따라 전문 무선 IDS/IPS 솔루션이 주목받고 있다”고 설명했다.

무선 IDS/IPS 시장 선점 경쟁 ‘점화’
현재 국내 무선 IDS/IPS 시장에 출사표를 던진 업체는 모토로라, 에어디펜스, 에어마그넷, 에어타이트, 쓰리콤 등이다. 아루바 역시 무선 IPS 전문 업체인 네트워크캐미스트리를 인수, 기존 기능을 한층 보강한 통합 제품을 출시할 계획으로 있는 등 본격적인 시장 경쟁이 예고되고 있다.
모토로라는 엔터프라이즈 무선랜 제품군과 통합해 소프트웨어 기반의 무선 IPS를 공급하고 있다. 블랙리스트 기법을 통해 260여개의 시그니처 DB를 활용하고 있는 가운데 롯데면세점에 설치를 앞두고 있다. 뿐만 아니라 모바일 장비에 할당된 IP를 기반으로 모바일 단말, 무선 인프라, 무선 애플리케이션 등 기업 내 모든 모빌리티 솔루션을 한 곳에서 통합 관리할 수 있는 MSP(Mobility Service Platform)도 공급, 보안정책의 차별화가 가능한 솔루션을 통해 기존 할인점 유통 시장 중심에서 일반 기업으로 시장을 확대해 나갈 계획이다.
에어디펜스는 이이다쿠스탐스를 총판으로 현대HDS 등 영업채널을 확충하며 국내 무선 IPS 시장 확대에 나서고 있는 가운데 NI업체 등 영업 파트너를 더욱 늘리는 한편 마케팅과 파트너 교육도 강화할 방침이다. 미 국방성, 나사 등에 공급한 실적과 다수의 특허보유를 경쟁력으로 국내 시장 개척에 나서고 있는 가운데 남양유업 등을 레퍼런스로 확보하며 대기업을 중심으로 검증을 받고 있는 상태로 기업들의 컨설팅 요청이 늘고 있어 올해 본격적인 성장을 기대하고 있다.
에어마그넷은 삼양데이타시스템을 국내 총판으로 무선 IDS/IPS를 공급하고 있다. 그간 에어마그넷의 무선랜 분석기를 주로 공급해 왔지만 최근 유선 및 무선랜 구간의 취약점 및 해킹 탐지/차단이 가능한 에어마그넷 엔터프라이즈 공급에 힘을 쏟고 있다. 2월 중으로 노르웨이에서 CC인증을 받을 예정으로 있어 우리나라와 교차 인증이 가능해 시장 확대에 한층 탄력을 받을 것으로 기대하는 한편 올 하반기에는 한글화도 지원될 예정이다. 한국관광공사, 씨엔에스테크놀로지 등을 국내 레퍼런스로 확보하고 있다.
케이와이즈를 총판으로 지난해 하반기부터 국내 영업을 본격화한 에어타이트는 통합 무선랜 침입방지 및 성능관리 솔루션인 스펙트라가드 엔터프라이즈(SGE) 무선 IPS를 공급하고 있다. 전자부품연구원, 증권사 한 곳을 국내 레퍼런스로 확보한 가운데 추가 고객 확보도 눈앞에 두고 있다. 에어타이트 무선 IPS는 지난해 6월에 CC EAL2+ 인증을 획득한 가운데 국내 보안적합성 검증 신청도 준비 중으로 U-시티 시장 진입도 추진하고 있다. 더불어 어울림정보기술과 파트너 계약을 체결하는 등 지역별 18개 채널을 구축하는 한편 세미나, 무선진단보안 서비스 프로모션 등을 통해 시장을 선도한다는 계획이다.
쓰리콤 역시 무선 IPS인 에어프로텍트를 출시했다. 에어프로텍트 무선 IPS는 엔터프라이즈 고객을 위한 에어프로텍트 엔터프라이즈와 SMB를 위한 에어프로텍트 센트리로 구분해 공급할 계획으로 기존 티핑포인트 IPS와의 시너지도 기대하고 있다. 사무실 밀집 지역을 비롯 팹리스 업체, 대기업 SM/SI, 금융권 등 타깃으로 시장 공략을 본격화할 계획이다.
업계 관계자는 “무선랜 보안 이슈와 맞물려 여러 벤더들이 경쟁적으로 무선 IDS/IPS 시장 공략에 나서며 시장 규모는 한층 성장할 전망”이라며 “그러나 투자 대비 효과는 아직 의문으로 일시적인 트렌드에 의한 과도기적 솔루션이라는 지적도 있어 국내 시장 안착은 좀 더 지켜봐야 할 것”이라고 덧붙였다.

보안 기술뿐 아니라 운영·관리도 중요
보안 기술의 발전과 다양한 솔루션이 출시되며 무선랜 시스템에 대한 보안도 한층 강화되고 있는 것이 사실이다. 그러나 여전히 사용자 인식 부족에 따른 낮은 수준의 보안정책은 무선랜의 취약성을 높이고 있다. 따라서 기술적인 보안 강화 못지않게 물리적으로 접근을 통제하는 방법도 필요하다는 지적이다.
무선 장치 사용 권한을 가진 사용자 통제를 통해 비인가자의 불법적인 무선랜 접근을 방지하고, 무선 AP 서비스 범위를 제한하는 방법이다. AP의 전파가 강하게 설정돼 건물 외부까지 출력될 경우 관리자의 눈을 피해 불법침입자가 손쉽게 접속할 수 있을 있을 뿐 아니라 임의의 장소에 불법 AP를 설치하는 방법으로 내부 네트워크에 접속이 가능해 공격을 당하거나 중요정보의 유출이 쉬어져 무선랜의 보안 취약성이 증가하기 때문이다.
뿐만 아니라 관리자는 기업의 보안정책 및 보안 요구사항에 따라 패스워드 설정, MAC ACL(Access Control List) 유지, 공유키(Shared Key) 관리 등을 통해 AP 환경을 설정하는 한편 소프트웨어의 취약성 보완을 위해 주기적인 소프트웨어 패치도 적용해야 한다. 사용자 인증은 여러 가지가 있지만 일반적으로는 ID/패스워드 방식이 이용되고 있는 가운데 보안정책이 명시하고 있는 패스워드 길이, 패스워드 조합에 필요한 특수 문자, 숫자 등을 사용자 인증 메커니즘으로 충실하게 반영해야 무선랜의 취약성을 줄일 수 있다.
업계 관계자는 “사용자 보안 인식 강화로 개인정보 유출을 방지하는 한편 불법 공유기 사용 금지, 불법 장비 검색 솔루션 도입 등 무선랜 보안 위협에 대처하기 위한 사용자 보안이 각종 솔루션 못지않게 중요하다”며 “무선랜 보안 기술이 완벽하지는 않더라도 관리 및 운영측면의 보안의식 강화로 적절한 보안정책을 수립하고 시행한다면 무선랜 보안을 한층 강화할 수 있을 것”이라고 지적했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.