무선랜의 확산 속도가 기대보다 더디게 진행돼온 이유는 유선네트워크에 비해 신호 도달거리가 짧고 속도가 느린데다 보안에 상당히 취약하다는 점 때문이다.

공중에서 데이터를 전송하는 무선네트워크의 특성은 데이터 도청이나 인가되지 않은 사용자가 쉽게 악의적으로 접근할 수 있다는 취약성을 갖게 한다.

무선랜카드가 탑재된 노트북이나 PDA를 사용하고 있는 사용자는 누구나 지원 범위 내에서 네트워크에 접속할 수 있어 이용이 편리하지만 그 자체로 보안위협에 노출되기 쉽다. 

보안이 설정돼 있지 않은 무선랜 인프라가 구축된 곳에는 인가된 사용자나 악의적인 목적을 가진 공격자이건 간에 액세스포인트(AP)가 설치된 주변에 있는 사용자는 누구나 자동으로 원치 않는 타인과 공유될 수 있으며, 간단한 기술을 이용해 정당하지 않은 방식으로 무선랜 접속과 이에 연결된 내부시스템에 접근을 시도할 수 있다.

또한 무선랜 전문 공격 툴도 인터넷상에서 보급되고 있는 상황이어서 보안수준을 낮게 적용한 무선 구간의 데이터를 유출하거나 기업의 네트워크 인프라를 얼마든지 마비시키거나 무력화시킬 수 있다.

따라서 무선랜은 기업에 설치된 유선네트워크에 적용돼 있는 보안시스템을 우회해 중요 정보를 빼내는 경로로도 활용되고 있는 실정이다.

하지만 무선랜의 기술 발전과 함께 관련 보안 기술도 이미 상당한 수준에 오른 상황이다.

지금은 기술적인 보안 문제보다는 사용자나 운영자의 보안 인식이 부족하다는 점이 무선랜 보안을 취약하게 만드는 보다 근본적인 원인으로 꼽히고 있다.

현재 무선랜을 사용하는 가정에서는 보안을 전혀 설정해 놓지 않은 채 ‘오픈시스템’을 사용하고 있으며, 중요 정보를 보유하고 있는 기업도 보안을 고려하지 않거나 낮은 수준만을 적용한 채 사용하는 경우가 많아 정보유출을 위한 침입이나 공격 방식으로 이용되기 쉽다.

무선랜의 보안위협이 점점 커지면서 이에 대처하기 위해 무선랜 국제 표준인 IEEE 802.1X/802.11i는 Wi-Fi(와이파이) WPA/WPA2가 보안표준 규격으로 제정돼 있는 상황이다.

무선랜 솔루션 업체들은 무선랜 AP와 무선랜 콘트롤러(스위치)에 이 보안표준을 지원하는 사용자 인증과 데이터 암호화 기능과 함께, 고성능 방화벽과 침입방지시스템(IPS), 네트워크접근제어(NAC) 기술까지도 탑재하거나 연동할 수 있도록 제공하고 있는 상황이다.

보안 업체들도 802.1X 기반의 강력한 사용자 인증/암호화 솔루션이나 전문 무선 IPS를 제공하면서 무선랜 콘트롤러, AP와 연동해 성능 저하 없이 효과적으로 내부 네트워크를 보호할 수 있는 기술을 선보이고 있어, 보안 대책을 제대로 수립했다면 무선 통신구간의 안전성과 안정성이 보장될 수 있다.

◆사용자 인증과 암호화는 필수=무선네트워크 보안에서 가장 기본적이고도 중요한 기술이 바로 사용자 인증과 전송 데이터의 암호화다.

인가된 정상적인 내부 사용자들만 기업의 무선랜에 접속하도록 통제하고, 전송되는 중요한 내부정보가 유출되지 않도록 데이터를 암호화하는 대책이 필요하기 때문이다.

이같은 보안 관련 무선랜 국제표준은 IEEE 802.11b와 802.11i가 대표적이다.

이들 표준에서는 공유키(Shared Key)나 PSK(Pre-Shared Keys), 802.1X EAP 인증과 WEP(Wired Equivalent Privacy), TKIP(Temporal Key Integrity Protocol), CCMP(Counter mode with CBC-MAC Protocol) 방식의 암호화 기술을 사용하는데, 지난 2004년 제정된 최신 규격인 802.11i 무선랜 보안표준에서는 와이파이 협회(Wi-Fi Alliance)에서 내놓은 강력한 사용자 인증, 암호화 규격인 WPA(Wi-Fi Protected Access)를 준수하도록 하고 있다.

때문에 모토로라, 시스코시스템즈, 쓰리콤, 아루바네트웍스, 콜루브리스네트웍스, 트라페즈 등 무선랜 장비에서는 WPA의 PSK, 802.1X, TKIP, 암호화 알고리즘인 AES(Advanced Encryption Standard) 기반의 CCMP를 지원하고 있다.

WPA의 TKIP, CCMP 기술은 크래킹이 가능한 것으로 알려진 기존의 WEP보다 보안성이 높으며, WPA2의 AES를 사용하는 CCMP가 가장 높은 수준을 제공한다.

이처럼 가장 강력한 수준의 사용자 인증, 암호화 방식을 적용하기 위해서는 802.1X EAP 방식의 무선랜 인증서버와 클라이언트 솔루션을 무선랜 장비와 연동해 사용해야 한다.

현재 아루바네트웍스, 콜루브리스와 같이 인증서버를 콘트롤러에 내장하거나 시스코시스템즈처럼 인증서버를 갖고 있는 경우도 있지만, 802.1X 무선랜 인증 솔루션은 에어큐브, 유넷시스템, 주니퍼네트웍스(펑크소프트웨어 인수)와 같은 전문 업체들이 제공하고 있다

802.1X 기반 사용자 인증은 인증서버에서 제공하는 키(Key)를 생성해 인증서나 아이디/비밀번호를 기반으로 사용자를 인증하고 무선구간의 통신 데이터를 강력하게 암호화 처리할 수 있도록 제공하며, 암호화 키를 안전하게 관리한다.

또한 이들 인증 솔루션은 기존 유선네트워크와의 통합 인증도 지원하며, 네트워크접근제어(NAC) 솔루션으로 쉽게 확장할 수 있도록 제공하며, 계정·권한관리(IAM) 솔루션과도 연동한다.

국산 솔루션인 에어큐브 ‘AGS-래디우스(RADIUS)’와 유넷시스템의 ‘애니클릭-어스(AUS)’, 시스코시스템즈의 ‘ACS(Access Control Server)’는 국제공통평가기준(CC) 평가도 진행 중이어서 조만간 공공기관에서도 무선네트워크 보안 방안으로 활용할 수 있다.

◆침입방지로 안정성과 보안성 완성=사용자 인증과 데이터 암호화를 적용했어도 무선네트워크의 보안 허점은 곳곳에 존재한다.

악의적인 사용자가 기업 내부에 AP를 불법적으로 설치, 이를 이용해 내부시스템을 공격할 수 있다. 이 경우 직원이 사내 보안정책에 위배된 비인가 사이트에 접속하거나 몰래 내부정보를 빼낼 수 있는 통로로 이용할 수도 있다.  

자동으로 보안이 설정돼 있지 않은 다른 기업의 무선랜 네트워크에 접속이 가능해 PC나 노트북에 있는 중요정보가 노출되거나 타사의 노출된 정보를 유출하는 것도 가능하다. 

이 때문에 최근 들어서는 무선네트워크의 불법 침입을 탐지, 차단하는 무선 IPS가 등장했다.

무선랜이 대중화되고 곳곳에 보안이 설정돼 있지 않은 AP가 있다는 점에서 최근 들어서는 무선랜을 도입하지 않은 기업에서 내부보안을 위해 무선 IPS의 필요성까지 대두되는 수준에까지 올랐다.

무선 IPS는 AP나 무선랜 지원 단말기 등 주변에 있는 무선랜 사용기기를 모니터링하고, 불법으로 사용하는 AP나 클라이언트를 탐지해 관리자에게 통보하거나 자동 차단하는 기능을 제공한다.

위치추적 기능까지 있어 어느 지점에서 어떠한 단말기가 공격을 시도하려고 하는지도 알 수 있다.

또 무선랜의 성능에 영향을 미칠 수 있는 취약점을 탐지해 조취를 취하거나 성능관리 도구까지 내장돼 있어 안정성을 높이고 중앙집중적이고 효율적인 운영관리가 가능하다.

이를 통해 다양한 해킹 공격으로부터 무선네트워크를 안전하게 보호하고, 인가되지 않은 외부 사용자가 인가된 내부 AP에 접속하는 것을 차단할 수 있다. 또 인가된 내부 사용자의 비인가 외부 AP에 접속하는 것도 원천 차단한다.

모토로라, 시스코, 쓰리콤, 아루바, 콜루브리스, 트라페즈 등 무선랜 업체들은 무선랜 솔루션에 무선 IPS 기능을 내장하거나 연동할 수 있는 전용 무선 IPS 제품도 공급하고 있다.

삼양데이타에서 국내 공급중인 ‘에어마그넷’과 현대HDS에서 공급하고 있는 ‘에어디펜스’처럼 전문 무선 IPS 제품도 있다.

이들 업체들은 올해 들어 무선 IPS 영업을 활발히 벌이고 있다.

한편, 무선 전용 IPS뿐만 아니라 내부 침입을 차단하기 위해 메루네트웍스와 아루바네트웍스, 콜루브리스는 무선랜 장비에서 방화벽도 제공한다.

<이유지 기자> yjlee@ddaily.co.kr