대부분의 기업 고객들은 무선 보안이 가장 중요하다고 하면서도 대다수 기업들은 제공되는 보안 기능을 모두 사용하지 않고 무선 네트워크를 구현한다. 기업들은 무선이 설치는 용이하지만 보안과 관리는 어렵다고 생각하니 그리 놀랄 일도 아니다. 무선 네트워크상에서 각 액세스 포인트에는 각기 다른 보안 수준으로 여러 사용자들이 접근한다. 이는 궁극적으로는 신분증명 기반의 네트워킹으로 다루기가 더욱 어렵다. 무선 보안에 대해 상세히 살펴보자. <편집자>

이창운 트라페즈코리아 과장
clee@trapezenetworks.com

기업 고객들은 무선 보안이 가장 중요하다고 하면서도(우선순위를 차지하기는 하지만) 대부분의 기업들은 제공되는 보안 기능을 모두 사용하지 않고 무선 네트워크를 구현한다. 기업들은 무선이 설치는 용이하지만 보안과 관리는 어렵다고 생각하니 그리 놀랄 일도 아니다.

무선 네트워크상에서 각 액세스 포인트에는 각기 다른 보안 수준으로 여러 사용자들이 접근한다. 이는 궁극적으로는 신분증명(identity-based) 기반의 네트워킹으로, 다루기는 더욱 어려워진다.

강력한 무선 보안
무선 네트워크는 패스워드, 디지털 인증서 또는 지문 같은 생체공학적 증거를 제시하면서 사용자가 누군지를 밝혀 줄 것을 기대한다. 시스템은 AAA 서버를 가지고 사용자가 제공하는 정보를 확인하고 난 뒤에야 접속을 허용한다.

사용자는 ‘어, 내 정보가 도난당하면 어떻게 되는 거지’, ‘장비가 도난당하면’ ‘최근 러시아의 엘콤소프트(ElcomSoft)가 엔디비아(Nvidia) 그래픽 카드를 사용해 무선 패스워드 회수 시간을 10,000%나 가속화했다는데, 이는 분명히 네트워크 보안 유지에 충분하지 못하다는 말인가’라는 말들을 할 것이다.

암호화는 네트워크 보안의 한 요소일 뿐이다. 하지만 엘콤소프트가 WPA(Wi-Fi Protected Access) 또는 WPA2를 무너뜨렸다고 말할 때, 진정한 의미는 무차별 대입 공격(Brute Force Attack)을 통해 실시되던 WPA-PSK(Pre Shared Key)의 패스워드 회수를 말하는 것이다. 이는 새로운 것은 아니다.

2088억2706만4576개로 변환이 가능한 8자리(PSK 최소요건) 패스워드와 비교해 봐야 할 것이다. 사용자의 패스워드가 ‘aaaaaaaa’가 아님을 알아내는 데 345일 이상 걸릴 것이다. 9자리 패스워드로 만들어 보면 기간은 거의 25년으로 늘어난다는 것을 알 수 있다. 그리고 WPA-PSK 패스워드는 64글자까지 가능하다.

사용자가 합법적인 사용자임이 일단 인증된다 하더라도 어떻게 이 네트워크가 사용자에게 인증된 네트워크라고 볼 수 있을까. 다시 말해 그 네트워크가 진짜임을 어떻게 알 수 있을까. 무선 시스템은 장치에 시스템만의 증명정보를 제공해 사용자가 접속한 네트워크가 실제로 확실한 것임을 확인한다.

무선에서의 다음 무기는 권한 인증이다. 따라서 사용자가 네트워크를 돌아다니면서 새로운 액세스 포인트를 통해 새로운 영역으로 들어갈 때마다 매번 네트워크는 실제로 접근이 허용된 사용자임을 확인하기 위해 확인을 한다. 이러한 확인이 끝날 때까지 무선 네트워크는 계속 자원을 사용하지 못하도록 한다.

WPA2 엔터프라이즈
액세스 포인트 역시 모든 행위들을 기록하고 이 정보는 실시간으로 서버에 전송된다. 이는 게스트가 접근해서는 안 되는 곳에 들어가는 것과 같은 보안 위반 사례를 최소화하고 보안 준수를 위한 감사경로(audit trail)를 제공하기 위함이다.

유선 네트워크는 실제 장치의 보안과는 별도로 물리적 보안에 대한 것이 전부기 때문에(기차에 놓아둔 노트북 같은 상황이 떠오른다) 사용자의 이름을 말하는 것 말고는 별다른 신분을 증명해야 하는 요건은 특별히 없다.
건물 입구의 경비원에게 모든 보안을 바라는 희망을 걸어서는 위험하다. 사람들은 경비원을 그냥 지나갈 수 있기 때문이다. 하지만 무선 네트워크는 적절한 증명 내용을 가지고 있지 않다면 제지당할 수밖에 없다.

대부분의 솔루션으로는 누가 게스트 접속을 하는지에 대해 통제를 거의 못하거나 아예 통제를 할 수 없다. 모든 장비가 IEEE 802.11i 보안을 지원하는 것은 아니기 때문이다. 따라서 기업 네트워킹 자원으로의 접속은 반드시 통제돼야 한다.

그러나 중요한 것은 모든 문제 해결을 박스에 의존하는 것이 아니라 어떤 보안 계획을 수립할 것인지를 결정하는 일이다. 그러나 적정 수준의 보안 정책을 가진 적절한 네트워크를 디자인하고 계획하는 것 자체는 매우 어렵다. 트라페즈는 이러한 문제 해결을 위해 IEEE 802.11i 표준을 공동 구성하는 한편 보안을 유지하면서 빠른 로밍이 가능하게 하는 기능을 무선 네트워킹에 추가로 얹었다.

어떤 기업용 무선랜도 사전 공유된 키(WPA 또는 WPA2-PSK)를 사용하도록 설정돼서는 안 된다. 따라서 단순히 패스워드가 아닌 사용자의 신분 인증에도 초점을 맞출 것을 제안하는 바다.

기업용 무선 네트워크를 위해 권장하는 최선의 실용적인 방법은 WPA2 엔터프라이즈 사용을 포함한다. 이는 IEEE802.1x를 사용자 인증용으로, 암호화 방식으로는 AES(Advanced Encryption Standard) 암호화를, 래디우스(RADIUS)를 지원하는 AAA 서버를 사용한다.

안전한 무선 보안
물론 관리 소프트웨어가 있다면 사용자는 실시간으로 네트워크상에서 무슨 일이 일어나고 있는 지 24시간 파악이 가능하다. 따라서 업계 표준을 준수하고 네트워크가 감사경로를 보여줄 수 있도록 구축해야 한다.

무선은 강력하다. 무선랜은 보안이 적절히 유지되면 유선 네트워크보다 훨씬 안전하다. 즉, 제대로 된 보안을 구현하고 적용한다면 유선 네트워크보다 안전하며, 많은 무선 보안 전문가들 역시 이렇게 주장하고 있다.