• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[무선보안-2] 해결되지 않는 무선보안 취약성 2008.12.01

휴대폰이 등장하고 유선전화가 홀대받게 됐듯, 무선환경은 유선환경보다 효율적이고 자유로운 환경을 만들어준다. 특히 무선인터넷의 등장은 기업문화에서 큰 반향을 이끌고 있으며, 비즈니스 차원에서도 다양한 변화를 만들고 있다.


이렇듯 무선 환경이 주는 이점이 크지만 그에 비해 보안적인 관심은 크게 뒤쳐져 있다고 업계전문가들은 진단하고 있다. 완벽한 내부 보안시스템을 가진 기업이 무선보안에 신경을 안 쓴다면 모든 보안시스템이 무용지물이 될 수 있다는 점은 보안업계에서 지속적으로 지적되고 있는 부분이다. 따라서 보안뉴스에서는 현재 우리나라의 무선보안 상황과 무선보안 취약성에 대한 대응방법을 특집으로 준비해봤다. -편집자 주-


◆ 순서

1. 기업들의 무선보안 의식과 해커들의 침투경로

2. 해결되지 않는 무선보안 취약성

3. 무선인터넷 보안 취약 해결책은 ?


무선인프라가 점차 늘어나 무선보안에 대한 관심이 늘어나고 있지만, 실효성 있는 무선보안체계를 갖추는 데는 여러 가지 어려움이 따르고 있다. 특히 이미 구축된 무선 인프라와의 호환성 부족으로 향상된 보안체계 확충이 힘들거나, 복합적인 무선인프라로 인해 구축이 어려운 경우도 있다.


정현철 삼양데이타시스템 무선보안팀 과장은 “유선 보안은 네트워크 망만 따라 보안을 펼쳐야하기 때문에 2차원보안이라고 할 수 있지만 무선보안은 3차원이기 때문에 보안 체계의 강화가 절실하다”면서 “가령 건물의 한 층을 유선네트워크로 본다면 2차원적인 보안지도를 그릴 수 있지만, 무선네트워크는 사용하고 있는 층 뿐 아니라 다른 층에서도 보안위협이 나타날 수 있다”고 언급한다.


■내부-외부보안...양쪽 다 보안 강화해야

무선 네트워크의 특징은 이동성 있는 네트워크 활용이 가능하다는 점과 언제 어디서나 이용할 수 있는 네트워크의 구축으로 유동성 있는 비즈니스를 가능하게 한다는 점이 있다. 하지만 이런 장점은 더욱 세심한 보안 강화를 요구하고 있다. 가령, LAN과 같은 내부 네트워크의 경우 네트워크 단에서 보안을 강화하면 보안의 위협을 최소화할 수 있다. 하지만 무선 네트워크는 내부뿐만 아니라 외부에서 접속하는 경우도 흔하기 때문에 사내에서 아무리 보안을 강화해도 밖으로 나가서 접속한 사용자까지 보안을 지키기 힘든 상황. 이를 위해서는 내부 무선인터넷 보안과 엔드포인트의 무선보안까지 신경을 써야한다.


예를 들어 보험회사와 같이 대외 업무가 중심인 영업사원이 많은 기업들은 사용자를 따라다니는 무선보안이 필요하다. 


보안업계의 한 전문가는 “내부무선보안과 외부무선보안을 동시에 갖추는 것이 비교적 튼실한 무선네트워크 보안을 구성할 수 있다”면서 “이를 위해서는 무선침입방지(WIPS)와 인증서버를 이용한 무선보안 체계를 동시에 구축하는 것을 고려해 볼 수 있다”고 설명한다.


하지만 역시 문제는 비용이다. 두 솔루션을 동시에 구축하는 것은 비용이 많이 들기 때문에 많은 기업들은 어떤 솔루션을 구축하는 것이 더 효율적인지에 초점을 맞추기도 한다. 따라서 내부나 외부 한쪽에 대해서는 신경을 쓰지 못하는 문제도 발생한다.


■인프라 호환성 부족으로 인한 무선보안 구축 문제

무선보안 솔루션 도입에 있어 또 하나의 문제점은 기존 인프라와의 호환성 부족으로 보안솔루션 구축이 힘든 상황이 발생하기도 한다. 실제 국내에서도 이런 문제가 종종 발생한다. 그 대표적인 예로 백화점과 유통업체를 들 수 있다.


지난해 국내 유명백화점을 대상으로 진행했던 무선해킹테스트에서 무선암호화의 취약성으로 인해 데이터가 쉽게 해킹할 수 있다는 사례가 발표돼 화제가 된바 있다. 백화점에서 이용하고 있는 무선POS단말기와 무선랜AP의 암호화가 보안에 취약해 카드로 결재할 경우 카드정보와 고객정보가 해킹으로 인해 노출될 수 있다는 가능성을 보인 것.

 

이에 따라 정부는 지난 해 백화점을 비롯해 대형유통매장에서 무선랜의 암호화를 강화할 것을 권고했다. 또한 이들 업체들이 제대로 시행하고 있는지를 파악하기 위해 이행 계획을 제출하라고 하기도 했다. 하지만 아직까지도 백화점 내 무선보안은 취약한 상황.


그 이유는 기존에 구축된 무선인터넷 인프라의 암호화 수준을 높이기 위해서는 POS무선단말기와 무선AP를 모두 교체해야했기 때문이다. 백화점에서 이용하고 있는 POS무선단말기는 몇 십에서 백만 원을 호가하며 백화점에 보급된 대수만 해도 몇 백대가 넘어 비용이 만만치 않다. 따라서 백화점들은 간단한 암호화만 유지하는 등 별다른 대책을 찾지 못하고 있다.


■안전한 무선네트워크 활용을 위해서는 보안에 대폭적인 투자 필요

이처럼 현재 무선보안 강화에 있어서 가장 중요한 것은, 무선보안에 대한 예산을 충분히 확충하는 것이라고 볼 수 있다. 대부분 기업들은 무선과 유선을 아우르는 보안예산 편성을 하고 있지만 그 비용은 전체 IT예산의 10%미만인 상황. 그 예산도 대부분 유선네트워크의 보안솔루션 확충이나 유지보수 비용으로 소요되기 때문에 무선 보안 예산을 충분히 확충하기 힘들다고 정보보호 담당자들은 하소연한다.


이상준 유넷시스템 연구개발본부장은  “시간이 갈수록 많은 정보보호 담당자들이 무선보안의 중요성을 느끼고 있지만, 최종결정권자들은 아직 감흥이 없는 것 같다”며 “정보보호 담당자들이 무선 보안에 대한 기안을 올리면 내부 유선네트워크 보안보다 예산 근거가 부족하다는 이유로 미뤄져 담당자들이 무선보안강화에 어려움을 느끼고 있는 것 같다”고 전했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>