얼마 전 신문에서‘호주 뉴사우스웨일즈주 중국산 제품 구매 금지’라는 뉴스를 본적이 있다. 자국의 고용창출을 위하여 호주산 제품을 사용해야 한다는 입장이었던 것이다. 제목을 보고 스쳐가는 생각은 ‘중국산을 사용하지 않는 것이 가능할까?’하는 것 이었다. 세계는 이미 중국이라는 거대한 공장 없이 는 지탱하기 힘든 시대에 와있다. 비유가 조금은 과 하다고 생각할 수 있지만, 우리의 일상 역시 무선 LAN 없이는 상상하기 힘든 시대가 이미 와 있고 또한 앞으로 올 것이다.

필자가 몇 년 전에 집에서 노트북으로 무선 네트워크를 통해 인터넷을 사용하려고 이런 저런 궁리를 한 적이 있었다. 유무선 공유기를 하나 구입하려고 생각하고 있던 중 우연히 주변의 무선 네트워크를 검색하면서 알게 된 것은 집에 설치된 인터넷 전화기의 Cradle이 유선 네트워크?무선 네트워크를 연결시켜 주는 기지국 역할을 하는 Access Point였던 것이다. 당연히 필자는 유무선 공유기를 돈들여 사지도 않고 무선 LAN을 공짜로 사용할 수 있었다. 또, 한 놀이공원에 아이들을 데리고 갔던 적이 있었는데, 그곳 에는 비눗방울 장난감을 파는 사람이 있었다. 당연히 현금을 주고 장난감을 사야겠구나 하고 생각하고 있었는데 카드결제가 된다고 하는 게 아닌가. 그의 손에는 카드리더기와 프린터가 장착된 PDA가 들려 있었다. 카드를 결제 하는 것이 무선 LAN을 통해 이루어졌던 것이다. 이처럼 우리 생활환경 곳곳에는 이미 무선 LAN이 광범위하게 퍼져 있다.

사무실 이사를 해 본 사람들은 다들 아는 내용이지만 이사 과정 중 가장 힘든 부분 중에 하나가 네트워크 공사이다. 특히 각각의 자리마다 UTP 케이블을 매설하는 것은 결 코 쉬운 일은 아니다. 이러한 경우는 이사뿐만이 아니다.

회사내 조직개편이 되고 파티션이 바뀔 때마다 케이블과 스위치 설정을 다시 하는 것은 매우 번거롭고 비용이 드는 일이다. 이런 불편함이 존재하기 때문에 새로 이사를 하는 경우에는 네트워크 인프라를 무선 LAN으로 구축하는 사 례가 늘고 있다.

무선 LAN이 아니면 다른 대안이 존재하지 않는 상황도 있다. 필자는 한 기업의 대단위 물류 창고에 무선 LAN을 구축한 적이 있다. 이곳은 재고관리를 PDA로 하는데, PDA에 바코드 스캐너가 장착되어 있어서 스캔한 재고 데이터를 실시간으로 재고관리 서버에 전송한다. 또한 물류 창고 가 매우 커서 지게차를 타고 여러 창고를 돌아다니며 작업 을 하기도 한다. 이런 환경이라면 무선 LAN 말고는 다른 대안이 존재하지 않는다.

이렇게 많이 퍼져 있고 장점들이 존재하는 무선 LAN에 대 하여 많이 알려지기도 했지만 많은 오해들이 존재하고 있는 것도 사실이다. 무선 LAN을 경험하지 않은 대부분의 사람들은 무선 LAN은 접속이 불안하여 네트워크 단절이 많이 생길 거라는 막연한 두려움을 가지고 있다. 하지만 일반적으로는 그렇지 않다. 필자가 속해 있는 회사는 사내 네트워크가 모두 무선 LAN으로만 구성되어 있다. 무선을 이 용하여 개발 및 일반 업무들을 모두 수행하고 있지만 무선 접속이 불안하여 불편함을 호소하는 직원을 찾아볼 수 없다. 무선 LAN과 관련되어서는 이야기 할 부분이 매우 많지만 여기에서는 이런 많은 이로움과 유연성을 제공하고 있는 무선 LAN에 대한 네트워크 구축 담당자의 이해를 돕는데 중점을 두고자 한다. 또한 유선에 비해 상대적으로 취약한 보안 부분을 어떻게 해결할 것인지에 대해 초점을 맞추어 글이 진행될 것이다. 사내에서 무선 LAN 을 구축하고자 하는 보안담당자는 작년 11월에 발간된‘무선랜 보안 가이드(한국정보보호진흥원)’를 필히 읽어보기를 권한다.

근본적 문제

보안에 관련하여 유선 LAN과 무선 LAN을 비교하는 경우 제일 먼저 염두 해야 하는 것은 무선 LAN은 전파를 이용 한다는 것이다. 전파는 전파가 도달하는 곳이면 언제나 수신이 가능한 특성을 가지고 있다. 그렇게 때문에 무선을 아무 보안없이 사용하는 경우는 기본적으로 두 가지 문제를 가지고 있다. 첫째, 전파거리가 닿는 곳이면 누구든지 네트워크 사용이 가능하다는 것이다. 둘째, 전파는 아무나 도청 할 수 있다는 것이다. 따라서 안전한 무선 LAN 구축을 위해서는 정당한 사용자만이 무선 LAN에 접속할 수 있어야 만하며, 접속을 한 이후 무선 데이터에 대한 기밀성이 보장 되어야 한다. 이러한 인증과 기밀성의 문제를 어떻게 해결 할 수 있을까?

이러한 문제의식에서 처음 나온 대안이 바로 WEP(Wired Equivalent Privacy)이다. WEP을 사용한다는 것은 무선 네트워크에 접속하려고 할 때 접속 암호를 알아야 접속을 할 수 있다는 것이고, 접속한 이후에는 접속 암호를 이용하여 데이터를 암호화한다는 것이다. 하지만 WEP 방식은 보안성이 매우 취약하여 인터넷에 떠돌아다니는 해킹도구를 이용하면 단 시간에 크랙이 가능하게 되어 버렸다. 이런 문제를 해결하기 위해서는 IEEE가 제정한 802.1x 표준이 적용되어야만 한다. 802.1x 표준은 원래 유선에서 나온 개념 이다. 하지만 802.1x 표준이 광범위하게 쓰인 곳은 무선 분야이다. IEEE 802.1x 표준을 쉽게 설명하자면 네트워크에 접속하는 것도 로그인이라는 개념을 사용하자는 것이다.

즉 기존 유선 LAN처럼 유선 케이블을 단말에 물리적으로 연결하는 것만으로 네트워크를 사용할 수 있는 것이 아니 라 물리적인 연결 이후에 사용자 인증을 받아야만 네트워크를 사용할 수 있게 하자는 것이다. 이 표준을 기반으로 사용자 인증을 수행하고 무선 LAN에 사용되는 암호화 키를 공급하기 위해서는 사용자 인증을 수행하는 인증 서버 의 구축이 필수적이다. 그리고 많은 경우 인증 서버는 ‘RADIUS Protocol’에 기반을 두고 있다.

계정 관리

RADIUS 서버가 하는 주요 업무는 무선 LAN에 접속하려 고 하는 사용자들을 인증하는 것이다. 즉, 계정을 관리해야 한다. 무선 LAN 구축 시 가장 중요한 부분이 어떻게 이 계 정을 관리하는 것인가이다. 무선 LAN 구축 시 무선 LAN 전용으로 계정을 다시 발부하는 것은 관리자의 입장에서도 매우 번거로운 일이며, 실제 무선 LAN을 사용하는 사용자 입장에서도 좋은 답이 아니다. 그렇다면 어떻게 해야 할까? 답은 비교적 간단하다. 많은 기업이나 단체는 이미 자신들 이 관리하는 계정관리 시스템을 가지고 있다. 마이크로소프트사에서 만든 Active Directory를 이용하여 사용자 계정을 관리하는 기업도 있으며, LDAP를 이용하여 관리하는 기업도 있다. 그리고 상용 RDBMS를 통해 계정을 관리하는 곳도 많다.

즉, 기존에 익숙한 계정을 그대로 사용하면 되는 것이다. 보안 담당자가 해야 할 일은 무선 LAN을 구축하고, 사내 공지를 통해 기존 사용하는 Groupware ID 혹은 Windows login 계정을 무선 LAN 인증 시에도 그대로 사 용하게 하는 것이다. 이렇게 함으로써 많은 관리상의 편의성을 향상시킬 수 있다. 기존에 관리하던 계정관리만 된다면 무선 LAN에 사용하는 계정에 대한 관리도 자동으로 이루어지는 것이다. 퇴사한 사람에 대하여 여러 번에 걸쳐서 관리 작업을 하지 않아도 되는 것이다.

네트워크 관리자 및 보안 담당자의 입장에서 안전하고 편리 한 무선 네트워크를 구축하는 열쇠는 자신들이 가지고 있는 계정관리 시스템을 지원하는 RADIUS 서버를 구매하는 것 일 것이다. 만약 단말기가 Active Directory에 Domain join이 되어 있다면 Windows Login과 무선 네트워크 인증 을 동시에 할 수 있게 되어 금상첨화라고 할 수 있다.

IP 관리 이슈

무선 LAN 구축 시 중요한 문제 중의 하나는 IP 관리 이슈 일 것이다. 무선의 특성 즉, 장소에 구애받지 않고 언제 어 디서나 사용가능하다는 장점을 잘 살리기 위해서는 DHCP를 사용해야 만 한다. 이 동이 잦은 무 선 단말기에 대하여 고정 IP를 사용하여 IP 자산을 관리하는 것 은 IP 자원 낭비가 심할뿐만 아니라 IP 승인, 반납과 같은 절차를 운영해야 하기 때문에 운영상의 부담도 만만치 않을 것이다. 하 지만 문제가 쉽지만은 않다. 많은 기업들이 DHCP 사용을 보안상의 이유로 금지하고 있는데, 금지하는 이유는 간단하다. 보안사고가 생길 경우 IP에 대한 추적이 불가능하기 때문이다. DHCP 서버의 로그를 통해 알 수 있는 것은 해 당 시간에 해당 IP를 사용한 단말기의 MAC 정보뿐이다.

여기에 누가 사용했는지 정보는 나타나지 않는다. 만약 무 선 LAN 인증을 통해 어떤 사용자가 로그인 했고 당시 DHCP를 통해 어떤 IP를 할당받았는지 로그가 남게 된다 면 상황은 어떻게 될까. 이런 경우 무선 LAN의 장점과 보 안 이슈를 한꺼번에 해결할 수 있는 것이다. DHCP나 IP 관리는 무선 LAN 보안과는 직접적인 관련은 없지만, 무선 LAN 구축 시 보안 담당자나 네트워크 관리자가 매우 중요 하게 생각해야 하는 이슈임에는 분명하다.

접속 소프트웨어

무선 LAN 구축 시 중요하게 생각해야 하는 부분 중 하나 는 단말기에서 무선 LAN 접속을 하는 프로그램이다.

Windows XP 이상 OS에는 Wireless Zero Configuration 이라고 하는 무선 LAN 접속 프로그램이 내장되어 있다. 내장된 프로그램을 사용한다는 것 자체는 상당히 매력적일 수 있고, 실제로 그러하기도 하다. 그러나 좀 더 고려할 사 항이 존재한다. 사용자의 단말기가 Windows이고 Active Directory에 Domain join된 단말기라고 한다면 무선 네트워크 접속에 필요한 설정을 Active Directory를 이용하여 중앙에서 설정할 수 있다. 하지만 그렇지 않은 경우는 문제가 좀 있다. Wireless Zero Configuration은 무인증 무선 LAN에 접속을 하는 경우는 매우 잘 동작하지만, 802.1x 인증이 설정된 무선 LAN에 접속 할 때는 사용자가 많은 조작을 해야 한다. 또 한 Wireless Zero Configuration은 사용자들의 계정이 담긴 공간이 RDBMS인 경우 연동하여 사용이 불가능한 경우도 존재한 다. 이러한 경우 별도의 무선 LAN 접속 프로그램을 설치해야만 한다. 접속 프로그램을 선택할 때 중요한 요소 중에 하나는 사용자들이 One Click으로 네트워크에 접속할 수 있게 하는 것이다.

전파 특성의 이해

무선 LAN을 끊김 없이 언제 어디서나 잘 사용하기 위해서는 무선 LAN의 전파적 특성을 잘 이해해야 한다.

802.11a/b/g/n은 모두 무선 LAN의 물리계층에 관한 표준 들이다. 이 표준들은 전파라는 매질을 통해 0과 1의 비트 열을 어떻게 전송할 것인가를 기술하고 있다. 가장 최근에 나온 표준인 802.11n은 100Mbps 이상의 속도를 낼 수 있기 때문에 속도 면에서도 유선과 대등한 위치를 점할 수 있게 되었다. 사내에서 무선 LAN을 구축할 때는 단말기와 무선 Access Point가 위에 말한 어떤 표준에 부합하는 가를 먼저 보아야 한다. 필자는 몇 년 전에 사내 무선 LAN을 구축할 때 회사 대표이사 단말기(Hand Held PC 로 802.11b(최대 11Mbps 지원))가 네트워크에 접속할 수 없어서 살펴보니, 회사 내 엔지니어가 속도를 최대로 높이기 위하여 802.11g만 호환되게 AP 설정을 한 것이 문제였던 것 을 발견 한 적이 있었다. 이 글을 쓰고 있는 2009년 7월 현재, 출시되는 많은 수의 Laptop은 아직도 802.11n을 지원 하지 않는다. 또한 무선구축 시 무선구축에 대한 전파적 특성을 고려하여 소위 전파 컨설팅을 받는 것이 매우 중요하다. 무선 LAN의 혼선이나 음영지역이 없이 사용하려면 무선 Access Point의 전파강도, 위치, 안테나 방향 등을 잘 설정하는 것이 매우 중요하다. 무선 LAN 컨트롤러를 이용 하면 전파출력 무선채널을 자동으로 조절하는 기능이 있기 때문에 무선 LAN을 구축하는데 매우 유용할 수 있다. 물론 가격이 비싸다는 단점이 존재하기는 한다.

데이터 암호화

무선에 802.1x 표준을 통해 인증받은 단말기는 무선 LAN 상에 Access Point와 암호화 키 교환에 필요한 데이터를 무선 LAN 인증서버와 공유하게 되며, 인증 서버는 키 교환에 필요한 데이터를 무선 Access Point에 공급하게 된 다. 이후 Access Point와 단말이 키 교환(혹은 분배) 과정 을 거치게 되며, 분배된 키를 이용하여 송수신 데이터를 암 호화하게 된다. 이러한 키 교환과 암호화 방식에 관한 표준 이 소위 Dynamic WEP, WPA, WPA2 방식이라고 이해해 도 큰 무리는 없을 것이다. 여기서 Dynamic WEP은 WEP 방식의 취약한 알고리즘의 특성을 회피하기 위해서 사용자 마다 Key를 다르게 하고, 주기적인 재인증 과정을 통해 Key를 매번 바꾸게 하는 것이다. WPA에서는 한발 더 나 아가 매 패킷마다 Key를 바꾸고 데이터의 무결성을 보장 하는 방법이 제시되어 있으며, WPA2(또는 802.11i 라고 불려도 무리가 없는)는 AES(Advanced Encryption Standard)에 기반한 더 고차원적인 암호화와 데이터 무결 성 알고리즘을 이용한다. 보안담당자의 입장에서는 WPA2를 사용하는 것이 가장 좋겠지만 현재의 단말기 현황이나 Access Point의 사양을 고려해서 결정할 문제이다. 현재 미국의 경우 WPA2를 이용하는 것이 법적으로 강제화 되어있다고 한다. 우리나라도 멀지 않은 미래에 이러한 법률이나 조례가 생길 수 있다.

Access Control

사내에 무선 인프라가 구성되어 있다고 하자. 그리고 방문객이 방문을 했다고 한다면 당연히 방문객을 위하여 Guest 계정을 알려주어 무선에 접속을 허락할 경우가 있을 수 있다. 이러한 경우 보안담당자 입장에서는 방문자가 모든 사내 네트워크 자원을 접속하게 한다는 것은 부담이 아닐 수 없다. 무선 LAN을 구축한 이후 중요한 문제중의 하나는 사용자에 대한 Access Control 문제이다. 이러한 경우 어떻게 문제를 해결할 수 있는가? 답은 여러 가지가 될 수 있지만 가장 표준적인 방법은 Guest 계정에 대하여 Guest VLAN을 할당하여 해결하는 것일 수 있다. 이러한 경우 Guest VLAN에 대해서는 네트워크 설정을 이용하여 인터넷만 접근을 허용하게 할 수도 있다. 그러나 사내 네트워크 환경이 이렇게 VLAN을 이용하여 Access Control할 수 있는 상황이 아니면 어떻게 할 것인가? 또 다른 방법은 Guest 계정을 이용하여 무선 인증을 받은 사용자에게 무 선 LAN 장비(Access Point 혹은 무선 LAN 컨트롤러)가 이해할 수 있는 특별한 RADIUS Attribute를 할당하여 무 선 LAN 장비에서 Access Control하게 하는 것이다. 이러 한 사례는 당사 유무선 인증 보안제품인 애니클릭 AUS 솔루션의 대학교 레퍼런스에서도 많이 존재한다. 교수, 대학원생, 학부생, 방문자에 대해 서로 다른 RADIUS attribute를 할당하여 무선 LAN 접속장비가 Access Control을 하게 하는 경우가 있다. 또 하나의 방법은 자체 적으로 사용자 Access Control이 가능한 제품을 사용하는 것일 수 있다.

맺으며

요즈음에 NAC(Network Access Control)가 화두가 되고 있다. NAC는 네트워크에 접속하기 전 사용자를 인증하고 사용자의 단말기 상태가 네트워크에 접속해도 될만한 상태 인가(즉, 백신은 설치되어 있는가? 최신 OS 패치가 적용되어 있는가? 화면보호기는 설정되어 있는가? 등을 판단하여 네트워크에 접속 했을 때 위협이 없는가?)를 판단하여 네트워크에 접속을 허용하고 지속적으로 단말의 상태를 감시 하는 체계이다. 위에서 살펴본 바와 같이 무선 LAN을 구축한다는 것은 이미 사용자 인증, 데이터 암호화 및 무결성, 사용자의 네트워크에 대한 Access Control이라는 개념이 이미 포함되어 있음을 살펴보았다. 이러한 상황에서 NAC로의 전이는 매우 자연스러워 보인다. 여기에 단말에 대한 무결성 체크와 이에 따른 접근제어만 더해진다면 바 로 NAC 구축이 되는 것이다. NAC를 구축하는 방법에는 매우 여러 가지 접근 방법이 있을 수 있지만 802.1x에 기반을 두는 NAC 구축이 보안 측면에서는 가장 안전하다고 할 수 있다. 802.1x 자체는 사용자 식별 및 무결성이 보장 되지 않는 경우 네트워크 접속 자체를 원천적으로 차단할 수 있기 때문이다.

<글 : 양 승 용 | 유넷시스템 연구개발본부 부장(syyang@unet.kr)>

[월간 시큐리티월드 통권 제151호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>