• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기업이 지켜야 할 무선 보안 TIP 2008.06.24

미국산 쇠고기 수입을 반대하는 촛불집회로 주목을 받은 게 있다면 바로 IT 기기들일 것이다. 촛불집회 현장을 실시간으로 중계해 준 1인 미디어 운영자에게 노트북과 무선 랜, 카메라와 마이크는 또 다른 세상을 연결해 준 ‘소통의 도구’다. 하지만 이런 무선 랜에 보안설정이 되어 있지 않다면 개인정보 등 중요 정보가 해커들에 의해 무차별하게 침투당할 것이다.


이를 위해 개인이 기본적으로 구성해야 할 무선보안 TIP을 앞서 소개했다. 이번에는 기업이 기본적으로 구성해야 할 무선보안 TIP이다. 이 자료는 에어큐브 컨설팅팀의 조언으로 구성됐다.


1. 필요 장비 : 사용자 PC, 무선 AP, 무선 랜 스위치, 무선 랜 인증시스템

기업은 무선 랜 사용시 비인가자의 네트워크 접근과 기업의 중요 데이터 보호, 통합관리, 인증로그관리 등이 매우 중요하다. 따라서 국가정보원에서 권고하는 수준의 무선 랜 인증ㆍ보안 시스템 구축이 필수다. 무선 랜 보안은 위에서 언급한 것처럼 사용자 인증과 데이터 보호로 구성되며 여기에 무선 랜 시스템의 통합관리, 로밍(무선 랜 스위치), 계정통합관리, 인증통합관리, 로그관리(무선 랜 인증시스템) 등의 필수 시스템이 추가적으로 필요하게 된다.


2. 기업의 무선 랜 구축시 고려사항

■ 무선 랜 AP

대부분의 AP가 IEEE 802.11a/b/g를 지원한다. 여기에 최근 IEEE 802.11g의 2배에서 11배인 108Mbps~600Mbps를 지원하는 IEEE 802.11n의 지원여부를 검토한다(현재 표준화 전 단계로 향후 지원부분 로드맵 정도를 확인한다).


■ 무선 랜 스위치

최근 대부분의 무선 랜 구축이 단독형 AP구축에서 관리의 용이성 및 로밍, 무선 셀 구성이 간편한 무선 랜 스위치 기반으로 검토되고 있다.


■ 무선인증/보안 시스템

IEEE 802.11X를 지원하는 RADIUS 시스템을 검토한다.


■ 사용자 인증방법 선택

무선 랜의 사용자 인증 방법에는 크게 ID/PW 기반의 방식, 인증서 방식으로 구분된다. 기업의 환경에 맞게 선택한다.

ㆍID/PW방식 : EAP-MD5, EAP-LEAP, EAP-PEAP, EAP-TTLS 방식이 이에 속한다. 여기서 MD5, LEAP 방식은 이미 보안취약점이 발견되어 더 이상 사용되지 않으므로 PEAP나 TTLS를 쓰도록 한다(두 방식은 표준화를 주도한 기업이 다르다).

ㆍ인증서 방식 : EAP-TLS 방식이 이에 속한다. 별도로 인증서 발급 서버가 필요하고 보안에 가장 강력하다. X.509표준으로 기존에 사용 중인 인증서 시스템(사설ㆍ공인)과의 연동이 가능하다.


■ 무선구간 데이터 암호화 방식 선택

무선 공유기에서 세팅했던 방식의 PSK(Pre-shared Key) 방식은 노출의 위험이 크다. 무선 랜 인증 시스템을 도입하게 되면 자동화된 Key 생성/배포가 이루어지므로 매우 높은 수준의 무선구간 암호화 처리가 가능하다. 무선구간 데이터 암호화 방식은 Dynamic WEP Key, WPA v1, v2(TKIP, AES) 방식이 있으며, AES가 보안에 가장 강력하다. 기업은 보안정책에 맞도록 선택한다.


■ 접속 클라이언트 사용여부 선택

IEEE 802.1x 접속 클라이언트는 윈도우 XP, 비스타, WinCE, Pocket PC, Mackintosh, 리눅스 OS에 자체적으로 지원 가능하다. 그러나 윈도우 XP는 ID/PW를 한번 인증하면 저장해버리는 특성이 있고 EAP-PEAP, TLS만 지원한다. 만약 DB연동을 해야 하고 계정정보 중 PW부분이 자체적으로 암호화되어 있는 기업이라면 별도의 접속 클라이언트를 사용해 EAP-TTLS(PAP) 방식을 사용해야만 하는 특성이 있으므로 전문 기업에 문의한다.


■ 접속 클라이언트 배포방법 선택

자체 OS에서 지원하는 방식이면 세팅메뉴얼 배포를, 별도의 접속 클라이언트를 사용하는 방식이면 강제 설치유도나 PMS(Patch Management System)을 사용한다.


■ 비인증 사용자 지원

만약 병원이나 호텔 등의 고객 대상의 무선 랜 서비스가 필요하다면 AP나 무선 랜 스위치에서 SSID를 구분하는 방식으로 보안 세팅 없이 무선 랜 사용이 가능하게 지원할 수 있다.


■ 기업 형태별 인증방식

ㆍ일반기업 : 대부분 ID/PW를 사용, 사설 인증 서버를 보유한 경우 인증서 방식 검토 가능

ㆍ공공기업 : GPKI, NPKI를 사용함으로 인증서 방식으로의 무선 랜 인증이 권장, ID/PW는 노출될 가능성이 많음

ㆍ대학 : Open 네트워크인 경우가 많고 불특정 다수가 공존하는 특성이 있으므로 DB연동을 통해 교직원, 교수, 학생들만 접속 가능하도록 하고 ID/PW 방식이 적합. 관리의 용이성을 위해 별도의 접속 클라이언트 사용 권장

ㆍ백화점, 할인매장 : ID/PW 창을 띄우기 힘든 POS, PDA, 모바일 단말이 공존하므로 MAC인증 방식이 적합하나 무선구간을 암호화 처리하기 힘듦으로 인증서 방식 권장

ㆍ금융기관 : 대부분의 금융 업무를 인증서 방식으로 처리하는 직원들로 이뤄져 있으므로 ID/PW 방식 보다는 인증서 방식 권장

ㆍ보험사 : 보험설계사들의 유동인구가 많아 관리에 어려움이 있음. ID/PW방식 권장.

[동성혜 기자(boan1@boannews.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>