802.1x EAP 인증과 WPA2 적용이 최선

무선랜을 구축해 사용하는 기업은 기본적으로 인가된 내부 사용자들만 접속하도록 통제할 수 있는 사용자 인증과 전송되는 중요한 내부정보가 유출되지 않도록 데이터를 암호화하는 대책이 필수적이다. 

무선랜의 보안위협이 점점 커지면서 국제전기통신연합(IEEE)과 와이파이협회(Wi-Fi Alliance)는 이러한 무선랜 사용자 인증과 데이터 암호화 기술을 정의한 보안 표준 기술규격을 제정해 이를 준수할 것을 권고하고 있다.

현재 모든 무선랜 솔루션은 이들이 제정한 802.1x/802.11i, WPA 표준을 지원하고 있다.

이들 표준에서 정의한 다양한 인증/암호화 기술 중에서 가장 보안성이 뛰어난 방식은 IEEE 802.1x EAP(Extensible Authentication Protocol) 사용자 인증과 WPA 버전2에 정의돼 있는 AES(Advanced Encryption Standard) 암호화 알고리즘을 이용한 CCMP(Counter mode with CBC-MAC Protocol) 기술로 알려져 있다.

이를 통해 사용자가 기업에 설치된 액세스포인트(AP)를 통해 사내망과 정보자산에 불법적으로 접근하거나 중간에서 키나 세션을 훔쳐 정보를 가로채려는 시도까지도 차단할 수 있다.

<무선랜 보안 강화 3요소>  

*출처 : 에어큐브 

◆강화된 무선랜 보안 표준 ‘802.11i’=무선랜 사용자 인증, 암호화 국제표준은 IEEE 802.11b와 802.11i의 WEP(Wired Equivalent Privacy), 와이파이협회의 WPA(Wi-Fi Protected Access)가 대표적이다.

1990년대 말에 지속적으로 표준화가 완성된 802.11a, b, 그리고 2003년에 802.11b의 확장 개념으로 만들어진 802.11g에 포함돼 있는 WEP 기술은 RC4 알고리즘 기반으로 생성된 키를 간단한 처리만으로 데이터를 암호화하는 과정만 거치도록 돼 있다.

때문에 충분한 전송 데이터 확보만 가능하다면 누구나 쉽게 크래킹이 가능한 보안취약점을 갖고 있다.

이러한 문제 해결을 위해 2004년에 보다 강력한 보안 방안을 담은 IEEE 802.11i를 완성했다.

하지만 당시 50% 이상의 비중을 차지하던 802.11b 장비들이 새 기술 표준을 수용하기에는 하드웨어적으로 한계가 있던 상황이었다.

업계 표준화를 주도하는 와이파이협회에서는 802.11i 표준이 완료되기 전에 802.11b 장비와 호환이 가능한 수준의 802.11i 기술을 발췌, WPA(Wi-Fi Protected Access) 버전1을 해결책으로 내놓았다. 그 이후 802.11i가 완성되면서 해당 표준을 WPA 버전2로 업그레이드했다.

◆802.11i/WPA2가 강력한 인증·암호화 대책=802.11x 표준에서는 공유키(Shared Key)나 PSK(Pre-Shared Keys), 802.1X EAP(Extensible Authentication Protocol) 인증과 WEP(Wired Equivalent Privacy), TKIP(Temporal Key Integrity Protocol), CCMP(Counter mode with CBC-MAC Protocol) 방식의 암호화 기술을 사용한다.

가장 최신 규격인 802.11i 무선랜 보안표준에서는 와이파이협회에서 내놓은 강력한 사용자 인증, 암호화 규격인 WPA를 준수토록 하고 있다.

때문에 모토로라, 시스코시스템즈, 쓰리콤, 아루바네트웍스, 콜루브리스네트웍스, 트라페즈 등이 공급하는 무선랜 솔루션에서는 WPA의 PSK, 802.1x EAP, TKIP, 암호화 알고리즘인 AES(Advanced Encryption Standard) 기반의 CCMP를 지원하고 있다.

WPA의 TKIP, CCMP 기술은 크래킹이 가능한 것으로 알려진 기존의 WEP보다 보안성이 높으며, WPA2의 AES를 사용하는 CCMP가 가장 높은 보안수준을 제공하는 것으로 알려져 있다.

가장 강력한 사용자 인증, 암호화 방식을 적용하기 위해서는 802.1X EAP 방식의 무선랜 인증서버와 클라이언트 솔루션을 무선랜 장비와 연동해 사용해야 한다.

하지만 현재 무선랜을 이용하는 많은 기업에서는 이들 암호화 기술을 아무것도 적용하지 않거나 비밀키가 노출될 수 있는 WEP 기술만을 사용하고 있어 문제다.

최근 백화점을 대상으로 실험한 일종의 모의해킹에서 고객 신용카드거래 정보가 노출된 백화점들 중에서는 아무런 보안 설정도 해놓지 않은 곳뿐만 아니라 WEP를 적용한 곳들도 포함됐다.

때문에 전문가들은 “공격기법이 꾸준히 발전하기 때문에 무선랜 보안기술을 적용하는 것 자체가 능사가 아니라 최대한 공격에 쉽게 당하지 않을 수 있는 가장 강력한 방법을 구축해야 한다”고 강조하고 있다.

◆802.1x EAP 인증 서버/클라이언트 솔루션 출시 활발=802.1x EAP 기반 사용자 인증이 강력한 무선랜 보안 방식으로 떠오르면서 최근 들어 전문 솔루션들이 시장에 많이 출시되고 있으며, 무선랜을 도입할 때 인증 솔루션을 함께 구축하는 기업도 늘어나고 있다.

EAP 사용자 인증 방식에는 인증서를 사용하거나 마이크로소프트 윈도 운영체제에서 지원하는 기술을 이용해 아이디/비밀번호로 인증을 처리할 수 있는 TLS(Transprot Layer Security), TTLS(Tunneled Transport Layer Security), PEAP(Protected Extensible Authentication Protocol)이 있다.

모두 무선랜 장비에서 지원하고 있으며, 각사의 사용자 환경과 보안정책에 맞게 적절한 인증 방식을 선택할 수 있다.

현재 시장에 공급되고 있는 802.1x 인증 솔루션은 주로 인증서버와 클라이언트로 구성돼 있다.

인증서버에서 제공하는 키(Key)를 생성해 인증서나 아이디/비밀번호를 기반으로 사용자를 상호인증하고 무선구간의 통신 데이터를 암호화 처리할 수 있도록 제공하며, 암호화 키를 안전하게 관리하는 기능을 수행한다.

인증 솔루션은 인증(Authentication), 권한관리(Authorization), 통계(Accounting)라는 AAA를 지원하는 것이 필수 사항이며, 무선네트워크의 서비스에 큰 영향을 미치기 때문에 안정성과 처리 성능이 가장 중요하다는 것이 관련 업계의 이야기다.  

현재 공급되고 있는 인증 솔루션은 무선랜과 연동하는 유선네트워크와의 통합 인증을 지원하며, 계정·권한관리(IAM) 솔루션과도 연동할 수 있다.

최근 들어서는 내부 사용자의 보안정책 준수 여부를 자동으로 관리하는 네트워크접근제어(NAC) 시스템으로 쉽게 확장할 수 있는 기술로도 활용된다.

전문 제품으로는 국산 솔루션인 에어큐브 ‘AGS-래디우스(RADIUS)’와 유넷시스템의 ‘애니클릭-어스(AUS)’, 시스코시스템즈의 ‘ACS(Access Control Server)’, 주니퍼네트웍스의 ‘펑크소프트웨어’가 대표적이다.

또 아루바네트웍스, 콜루브리스와 같이 인증서버를 콘트롤러에 내장하고 있는 경우도 있지만 AAA 기능에서 ‘통계(Accounting)’ 기능이 빠져있는 등 지원범위에서 전문 제품들과 차이가 있어, 무선랜 솔루션 업체들은 인증 솔루션 전문업체들과 활발히 협력하고 있다.

시스코시스템즈, 에어큐브와 유넷시스템의 제품은 현재 국제공통평가기준(CC) 평가도 진행 중이어서 조만간 공공기관에서도 무선네트워크 보안 방안으로 적용할 수 있게 될 전망이다.

<이유지 기자> yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지