무선보안은 시간을 다투는 보안이며 넓은 지역에서 다수의 디바이스를 관리하므로 자동화된 방어 시스템이 필수다. 무선보안은 사내 AP, 노트북 단말들의 불법연결 AP, 혹은 언제 어떻게 사내 유선망에 연결되어 질지 모르는 AP들에 대한 실시간으로 지속적인 탐색이 이루어져야 하며 실시간 자동 차단이 이루어져야 한다. 이러한 무선보안 솔루션을 도입하려는 기업의 보안 담당자는 먼저 무선랜 기술과 무선보안 취약성에 대한 충분한 연구와 더불어 자사의 환경을 면밀히 분석하고 정책설정과 보안프로세스를 만들어 보는 것이 매우 중요하다.

불과 작년까지만 해도 무선보안을 위해 고객을 만나다 보면 대다수의 고객이 무선랜 인프라의 부가적인 솔루션으로서 무선보안 개념을 가지고 있었지만 요즘 들어 이에 대한 인식이 많이 바뀌어 가고 있다.

무선의 취약성은 무선랜 서비스로 인한 것이 아니라 무선랜 단말로 인해 발생되는 것이며 노트북, Wi-Fi 폰과 같은 무선랜 단말들이 최종적으로는 유선망을 위협하게 되는 결과를 낳을 수 있다는 인식이 확산되어 가고 있다.

하지만 지금까지 접해 온 고객들이 보안에 민감한 기업과 기관들임을 비추어 볼 때 아직까지 일반적으로 대다수 기업의 보안담당자들은 무선보안을 아직 무선랜 인프라환경과 결부시켜 생각하고 있다. 그 주된 이유 중 하나는 무선보안의 개념을 이해하려면 무선랜 기술을 이해해야 하는데, 무선랜을 사용해본 경험이 없고 유선보안 개념에 익숙해져 있는 보안 담당자들은 무선보안을 유선보안의 개념으로 접근하기가 쉽기 때문이다.

무선보안, 실시간 자동화 방어시스템은 필수

실제 유선보안에 익숙한 보안 담당자들에게 무선보안 솔루션을 소개하려면 대부분 무선보안 솔루션을 소개하기 앞서 무선랜 기술 자체에 대한 특성과 취약성에 대한 충분한 정보제공이 필요한 경우가 많다.

하지만 짧은 시간에 무선에 대한 지식을 습득한다는 것은 담당자의 노력이나 의지 없이는 매우 힘들 수 있고, 많은 경우 무선보안 솔루션 검토 시 무선랜보안에 대한 확고한 플랜과 실제 자신에게 필요한 무선보안 요구조건의 선행적인 파악 없이 무선보안 공급업체의 일방적인 정보에 의지하거나 충분한 검토 없이 진행하는 경우가 대다수다.

하지만 무선보안은 물리계층과 데이터링크 하위 1, 2계층에 대한 보안으로서 유선보안과는 매우 다른 특성을 지니고 있고 있어 유선보안과는 전혀 다른 개념으로 접근해야만 한다. 무선보안은 고객의 물리적, 비지니스 환경에 따라 그 요구조건과 보안 수행방법이 매우 달라질 수 있어 각 고객마다 필요한 기능이 달라질 수 있고 절대 일률적인 기능으로는 대응할 수 없는 것이다.

즉, 자신의 환경에 맞지 않는 보안 솔루션도입은 보안 음영지역을 만들게 되고 매우 위험한 일이라는 것을 말해두고 싶다. 보안의 대상과 취약성 그리고 이러한 취약성이 나타났을 때 어떻게 조치하는 것이 최상의 방법인가, 혹은 어떠한 기능이 제공되어야 무선보안을 완벽히 수행할 수 있을지에 대한 정확한 개념정립이 없이는 실제 자신의 회사에 맞는 무선보안 솔루션을 선택하기 힘들고 주요기능에 대한 비교가 제대로 이루어지지 않아 도입 후 관리자가 매우 불편을 겪을 수 있기 때문이다. 

그러므로 무선보안에 대한 대책을 생각하고 있거나 무선보안 솔루션 도입을 결정한 회사라면 무엇보다 선행적으로 무선랜 기술과 무선보안 취약성에 대한 충분한 연구와 더불어 자신의 환경을 면밀히 분석하고 정책설정과 보안프로세스를 만들어 보는 것이 매우 중요하다.

무선보안은 시간을 다투는 보안이며 넓은 지역 다수의 디바이스를 관리하므로 자동화된 방어 시스템이 필수적이다. 무선보안은 사내 AP, 노트북 단말들의 불법연결 AP, 혹은 언제 어떻게 사내 유선망에 연결되어 질지 모르는 AP들에 대한 실시간으로 지속적인 탐색이 이루어져야 하며 실시간 자동 차단이 이루어져야 한다.

불법적으로 사내망에 연결된 불법 로그 AP나 취약성이 나타나는 노트북 등 무선랜 단말이 사내에 존재 한다면 악의적인 사용자나 해커는 자신을 드러내지 않고 시간을 벌면서 건물 밖 원거리에서 접속이 가능하게 되며 짧은 시간 안에 많은 정보가 유출될 수 있다.

그러므로 관리자의 모니터링으로 관리자가 수동적인 조치를 취해야 할 부분이 있다면 무선보안은 이미 되고 있지 않다고 봐야 하며 모든 조건에 맞게 정책구현이 되어 실시간 자동화된 방어시스템을 갖추는 것은 필수 조건이라 하겠다. 이에 사내에 존재하는 모든 디바이스와 새롭게 출현하거나 감지되는 인근 무선 디바이스에 대한 실시간 탐지를 위해서는 관리자의 어떠한 물리적인 조치 필요 없이 완벽하게 고객조건과 환경에 맞는 자동화된 탐지와 차단이 가능한 시스템을 구성하는 것이 무선보안 솔루션의 목표라 하겠다.

정확한 취약성 탐지·차단 능력이 핵심

그렇다면 이러한 자동화된 무선방어를 위해 실제 고객들이 쉽게 간과하는 몇 가지 포인트를 짚어보자. 우선 무선 보안솔루션 선택 시 최우선적으로 고려되어야 할 것은 정확한 탐지 능력이다. 탐지 능력은 제품 성능을 평가하는 가장 중요한 요소이다.

유선보안과 마찬가지로 얼마나 많은 수의 탐지 패턴을 보유하고 있는가는 솔루션의 핵심이며 이와 더불어 탐지의 정확성이라 할 수 있는데 정확하게 탐지를 못하고 미탐과 오탐이 이루어진다면 빠르고 정확한 차단기능은 아무런 의미를 가지지 못하게 된다. 다시 말해 아무리 신속한 차단을 수행하는 솔루션이라 하더라도 10가지 취약성을 발견하고 이에 대해 차단이 이루어지는 것과 5개의 취약성을 탐지하고 차단이 이루어지는 것은 보안성능에서 엄청난 차이가 될 수 있기 때문이다. 그러므로 정확한 탐지는 차단 전에 관리자가 가장 중점을 두어야 할 첫 번째 목표이며 무선보안 솔루션의 성능을 나타내 주는 바로미터라 하겠다.

앞서 사내망에 연결되는 불법 무선 AP에 대한 방어는 현재 모든 기업들이 느끼는 무선보안의 가장 중요한 이슈이자 취약 포인트라 언급했는데 이는 외부에서 사내 유선망으로의 접근 할 수 있는 통로가 될수 있기 때문이다. 이러한 사내망에 연결된 불법 로그 AP를 정확히 탐지하기 위해서는 매우 정밀하고 다층적인 분석기술이 요구된다. 갑작스럽게 사내에 감지되지 않던 비인가 무선랜 시그널이 탐지되면 이 시그널의 정체가 과연 우리 유선망에 연결된 불법 무선디바이스인지 아니면 외부 혹은 이웃회사에서 들어온 무선시그널인지에 대한 분석을 하게 된다. 

이를 위해서는 무선망에  탐지 기술과 더불어 유선망 정보 습득을 위한 유선 네트워크 스캐닝 기술이 필요한데 수집된 무선과 사내 유선망 정보를 다각적으로 분석하여 불법 AP인지, 혹은 시그널은 유입되나 안전한 무선 디바이스인지를 구분하기 위함이다.

불법AP로 사용될 수 있는 시중에 판매되고 있는 무선공유기 등을 이용하여 그 내부 설정값 등이 변경되거나 복잡한 유선 네트워크 환경에서는 이러한 사내망에 연결된 불법AP와 이웃하는 회사의 AP를 구분하기란 쉽지 않으므로 솔루션마다 오탐과 미탐 등이 있을 수 있어 탐지 능력에 차이를 보일 수 있다. 무선 보안 솔루션 도입 시 반드시 각 솔루션들의 탐지 방법과 기술을 면밀히 검토해 보고 탐지 부분의 테스트를 다양하고 세밀하게 진행하도록 해야만 할 것이다.

탐지 다음으로 고려되어야 할 부분은 차단이다. 각 벤더마다 사용하는 차단기술은 무선으로만 차단하는 방식과  무선과 유선을 동시에 차단하는 방식 두가지 정도로 나뉠 수 있다. 다양한 차단 방법을 제공할 수록 고객의 환경변화에 대처할 수 있다. 무선 차단은 일종의 무선 DoS공격을 이용하는 방법으로 무선랜 인프라를 사용하거나 특히 VoIP 등의 무선랜을 이용해 애플리케이션을 서비스를 하는 고객에게는 무선 트레픽에 영향을 주어 서비스에 문제를 일을 킬 소지가 많은 편이다.

불법 로그 AP가 설치되어 있을 경우, 관리자는 유선망에서 AP를 물리적으로 제거하는 조치를 취해야 하며 위치추적을 하여 불법 로그 AP를 찾아 해당위치로 이동, 물리적으로 제거해야 하는데 이러한 관리자의 번거로움을 없애기 위해서는 관리자의 직접적인 물리적인 조치 없이 유선포트 차단과 같은 기능이 매우 유용하다고 하겠다.

이러한 기본적인 탐지, 차단능력이 검증이 되었다면 그 다음 고려할 것은 고객환경에 맞는 탐지·차단을 수행할 수 있는 정책 커스트마이징이다. 물리적으로 넓은 지역과 다수의 인원의 디바이스에 대한 보안을 수행하는 대규모 엔터프라이즈 고객의 경우 각사업장 혹은 팀별, 부서별 무선보안 강도의 레벨이 다를 수 있고 요구되는 조건이 까다로울 수 있다. 

이를 테면 외부 상주인력이 존재한다든가 외부인의 출입과  노트북의 반출입으로 인한 취약성이 염려되나 그 수위를 적절히 조절하고자 할 때, 이러한 까다로운 고객의 조건을 자동화된 차단 정책으로 구현할 수 있는가는 매우 중요하다고 하겠다.

만약 고객 환경에 맞는 자동화된 차단이 이루어지지 못하면 무선보안에 예외 정책이 존재하게 될 수 있고 자동화된 방어정책으로 구현될 수 없다. 관리자가 직접 모니터하여 수동으로 해결해야 하는 부분이 있다면 그 예외적인 영역은 무선보안이 수행되지 않고 있다고 보아도 무방할 것이다. 앞서 말한 것처럼 무선보안은 즉각적인 조치가 이루어져야만 하기 때문이다. 

무선 디바이스 인가 기능도 중요

그 다음으로 항목은 무선 행위에 대한 모니터링 및 분석이라 하겠다. 무선보안에서는 관리자가 24시간 모니터링을 한다 하더라도 모든 디바이스의 정확히 그 움직임을 파악하기란 거의 불가능한 일이다. 사내 무선디바이스가 2개 이상의 노트북과 AP가 통신을 한다 하더라도 한 화면에서 그 움직임을 기록하고 분석하는 것은 불가능에 가깝다.

무선통신의 순간성과 화면적인 제약 때문이다. 하물며 수백, 수천 무선 디바이스의 관리가 요구되는 고객의 환경에서는 실제 관리자가 컴퓨터 모니터 앞에서 모니터링을 한다는 것은 어떠한 무선탐지·차단에도 도움을 주지 못하므로 앞서 말한 바와 같이 순간적인 자동방어가 필수 인 것이다.

자동차단이 수행된 후 제대로 수행되었는지 정도를 확인하는 정도가 관리자의 모니터링으로 가능한 부분이므로 무선보안에서 실시간 모니터링은 그다지 중요한 영역은 아닌 편이다. 반면 과거의 실제 모든 무선 연결과 무선 디바이스의 움직임, 통신 기록 등을 상세히 분석할 수 있는 로그저장 기능은 매우 향후 위협을 완화하거나 문제발생 원인을 분석하거나 증빙자료 등으로 매우 유용하게 활용될 수 있으므로 고객에게 매우 유용한 정보를 제공하며 전반적인 무선상황을 파악하고 사전에 예방하는 조치를 취할 수 있게 해주는 역할을 해줄 수 있을 것이라 생각한다. 

그 다음은 보안관리자들이 번거로워하는 사내 무선 디바이스들의 인가문제이다. 대규모 기업의 경우 사내에서 사용되는 노트북 등 무선 디바이스들의 이동과 변경이 자주 나타날 수 있기 때문이다. 무선 보안을 하기 위해서 가장 선행되어야 할 일은 사내 무선자산에 대한 파악이다. 대부분의 경우 개인용 PC가 노트북으로 대체되고 있고 거의 모두가 무선자산임에도 불구하고 사내 자산의 무선 MAC에 대한 관리는 전혀 이루어지지 않고 있는 경우가 거의 대부분이다.

보안대상의 자산이 어떤 것인가에 대한 파악은 무선보안의 기본이며 이러한 무선자산에 대한 목록을 정확히 유지하는 것은 무선보안 솔루션을 적용한다 해도 필수적이다. 무선보안 솔루션이라 하더라도 어떤 디바이스가 사내 디바이스인지는 절대 알 수 없으며 이는 완벽히 고객만이 알 수 있는 정보이기 때문이다. 

이러한 사내 무선자산이 파악이 되면 무선보안 솔루션에서 인가를 시키고 무선보안을 적용 운영하는 절차를 밟게 되는 것이다. 대규모 기업이나 기관들의 보안 관리자로서는 사내무선 자산의 수시적인 변경으로 인한 이러한 인가 작업이 매우 번거로울 수 있고 이러한 인가 작업의 무선보안의 대상에서 제외되는 결과를 나을 수 있으므로 관리자로서는 소홀히 할 수 있는 부분도 아니다. 이러한 인가 작업을 손쉽게 도와줄 수 있지 여부도 무선보안 솔루션으로 선택 시 매우 중요한 고려사항이 되어야만 한다.

향후 무선랜 인프라 도입 확대될 것

현재 무선랜 시장은 무선랜이 802.11n의 표준화를 앞두고 유선망을 대체할 수 있는 솔루션으로 인식되고 있고 Wi-Fi폰을 통한 VoIP기술의 보급과 유무선 기술의 융합기술인 FMC(Fixed Mobile Convergence)기술이 Wi-Fi무선랜 기술을 기반으로 하고 있어 기업 내 무선랜 인프라 도입은 확대될 것으로 보인다.

무선랜 인프라를 사용하지 않는 고객에게는 중요하지 않을 수 있지만 이러한 음성이나 다양한 애플리케이션은 무선랜 인프라를 이용하여 서비스하는 고객이라면 무선보안 솔루션 도입 시 무선 차단기술이나 유선망 탐지 시 네트워크 부하나 서비스에 영향을 주지 않는지도 꼼꼼히 살펴볼 문제다.

마지막으로 무선보안 솔루션은 H/W부분이 성능에 많은 역할을 차지하고 실제 환경에서 발생되는 문제의 거의 대부분은 센서 하드웨어의 장애로 인한 것 일 때가 많다. 그러므로 하드웨어에 대한 검토도 필수 체크 항목이라 할 수 있다.

무선보안은  기존 보안과는 매우 다른 새로운 영역이다. 그러므로 무선보안을 계획하고 설계하고자는 고객이라면 솔루션을 제공하는 업체의 의견을 수렴하기 이전에 자신의 무선환경에 대한 면밀한 분석과 함께 무선랜과 무선기술에 대한 지식을 확보하고 과연 어떠한 조건의 무선보안이 필요한가에 대한 자기주도적인 자체 분석을 수행하고 솔루션을 선정하는 것이 매우 중요하다.

<글 : 송주희 이이다쿠스탐스 마케팅팀 부장(lisas@airdefense.co.kr)>

[월간 정보보호21c 통권 제103호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>