유통업계의 데이터 침해는 무선 네트워크의 취약점을 악용한 대표적인 사례이다. 그래서 이번에는 유통업계의 무선 네트워크 보안의 주요 위협을 살펴보고 방화벽과 VPN 등 기존의 보호 시스템의 취약점에 대해 알아보고 그 대안을 제시하도록 하겠다.

유통업체들은 지난 20년간 비즈니스 효율성을 높이기 위해 무선 기술을 사용해 왔다. 하지만 이와 같은 무선 환경은 해커들이 고객 정보에 액세스하여 도용하기에 좋은 네트워크 진입점이 되고 있는 것 또한 사실이다. 특히 최근 유통업계에서 이슈가 되고 있는 데이터 침해는 무선 네트워크의 취약점을 악용한 대표적인 사례로 방화벽이나 VPN 등의 보안 시스템이 구축되어 있었으나 해커들은 애플리케이션과 데이터베이스에 액세스할 수 있었다는 점에서 심각성이 있다고 할 것이다.

비인가 AP

현재 유통업계에 가장 흔한 무선 네트워크 보안 관련 취약점으로는 비인가 AP, ID 도용, 컨피그 에러가 발생한 AP, 서비스 거부를 대표적으로 꼽을 수 있다.

이 가운데 비인가 AP는 유선 네트워크에 물리적으로 연결된 비인가 무선 장치로 직원/계약자의 실수나 악의적인 해커에 의해 설치된다. 사용자는 비인가 AP가 어느 네트워크 세그먼트에서나 발생 가능할 뿐만 아니라 특히 별도 네트워크 세그먼트에 POS 장치가 존재하더라도 네트워크에 연결이 가능하다는 점에 유의해야 한다. 비인가 AP는 해커가 액세스할 수 있는 통로로 활용되며 해커는 내부 이더넷 포트에 연결된 것처럼 내부 서버를 해킹할 수 있다.

비인가 AP는 무선 네트워크에서 의도적으로 분리한 POS 네트워크를 포함한 어느 네트워크에든 설치가 가능하며 심지어 무선 장치가 금지되는 네트워크에도 설치될 수 있다. PCI 규정 준수를 위해서는 최소한 분기별로 불량장치 스캐닝을 해야 한다. 하지만 대형 유통업체가 이를 위해 각각 랩톱 기반 스니퍼를 이용한다면 비용손실이 매우 크다. 반면 비용손실을 고려해 수 개월간 스캐닝을 하지 않는다면 해당 네트워크는 공격을 피하기 어렵다는 점도 잊어서는 안 된다.

ID 도용

다음으로 흔한 보안 취약점으로는 ID 도용을 들 수 있는데 해커는 허가된 무선 장치로 가장하여 허가된 AP에 연결할 수 있다. 비인가 AP가 일단 연결에 성공하면 앞서 언급한 모든 시나리오가 가능해진다. 무선 MAC 주소가 브로드캐스트되고 해커는 자신의 MAC 주소를 허가된 장치의 MAC 주소로 쉽게 변경할 수 있기 때문에 MAC 주소 기반의 필터는 무용지물이다.

WEP 암호화는 해독이 쉬우며 WEP 키를 확보한 해커는 네트워크에 아무런 제한 없이 접속해 내부 서버 및 애플리케이션을 공격할 수 있다.

WPA 사전 공유 키는 구현하기 쉽고 WEP의 취약점이 없다는 것이 장점이다. 하지만 여러 개의 장치에서 공통 키 하나를 사용하기 때문에 해커가 휴대용 데이터 단말기를 훔치거나 소셜 엔지니어링을 이용하여 사전 공유 키를 도용할 경우 전체 네트워크가 공격에 노출되어 관리자가 모든 AP와 휴대용 데이터 단말기에서 수동으로 키를 변경해야 하는 상황이 발생한다.

일부 유통업체에서는 전 무선 장치에 VPN을 사용하는 것을 고려하기도 하나 이 경우 확장성이 보장되지 않고 관리가 어렵다. 또한 기존 휴대용 데이터 단말기에 VPN 클라이언트 소프트웨어가 설치된 경우는 드물며 적합한 VPN 클라이언트 소프트웨어를 찾는 것이 불가능한 경우도 많아 무선환경에 VPN을 적용하는 것이 어렵다. 방화벽은 무선 네트워크 액세스에 성공한 해커가 내부 서버를 공격하는 것을 막지 못한다.

컨피그 에러

무선랜 AP의 컨피그에 종종 에러가 발생하기도 한다. 시장 조사 기관인 가트너(Gartner)에 따르면 대부분의 무선 보안 사고는 컨피그 에러가 발생한 장치때문이며 컨피그 에러의 원인으로 담당자의 실수, AP 관리 소프트웨어의 버그 등이 흔히 지적된다. 컨피그 에러가 발생한 AP가 매장이나 유통 센터에서 사용되면 해커가 이를 통해 네트워크에 액세스하여 내부 서버 및 애플리케이션을 공격할 수 있다. 이때는 확립된 정책을 토대로 무선 네트워크를 지속적으로 감시하는 것이 중요하다. 방화벽은 무선 장치의 구성을 파악하기 어렵기 때문에 허가된 AP가 해킹이나 우연에 의해 기본 설정 상태로 재설정되어도 문제를 감지하지 못한다. WLAN AP 및 인프라에는 정보 공개, 권한 확대, 고정된 인증 자격 증명을 통한 무단 액세스 등을 초래할 수 있다는 단점이 있다.

서비스 거부

서비스 거부도 대표적인 보안 취약점인데 해커가 무선 DoS(서비스 거부) 공격을 실행하면 장치의 작동과 중요한 비즈니스 운영을 중단시킬 수도 있다. 만약 유통센터와 매장이 WPA2와 같은 고급 보안 표준을 사용한다고 해도 방화벽과 VPN은 무선 DoS 공격을 감지하지 못하기 때문에 무선 DoS 공격에 무너질 수 있다. 해커는 무선 AP를 통해 악의적인 멀티캐스트나 브로드캐스트 프레임을 삽입하여 내부 네트워크를 교란시킬 수 있는데 이러한 Layer 2공격은 Layer 3기반의 방화벽이나 VPN으로는 감지할 수 없다.

유통업계 네트워크에서 무선 기술이 널리 사용됨에 따라 기존 방화벽과 VPN 기반 솔루션으로는 해결할 수 없는 문제점이 늘어나고 있으며 해커는 비인가 AP를 이용해 내부 네트워크에 쉽게 접속할 수 있어 무선네트워크의 보안은 이미 큰 이슈가 되고 있는 상황이다. 그러나 PCI DSS에 따라 분기별 스캐닝을 실시하는 방법은 비용이 너무 많이 들기 때문에 무선 IPS 없이 구축한다면 경제성이 떨어진다. 무선 IPS는 비인가AP를 제거하고 ID 도용을 탐지 및 예방하며 컨피그 에러가 발생한 AP를 모니터링하고 무선 서비스 거부 공격을 줄여준다. 또한 정교해진 무선 해커들로부터 네트워크를 보호하고 분기별 스캐닝보다 경제적이며 방화벽과 VPN으로 해결할 수 없는 무선 취약점을 완화해 준다.

무선 침투 방지 시스템 적극적 고려 필요

지금까지는 방화벽과 VPN만으로도 효과적인 경계 보안 솔루션으로서 기능을 해왔지만 무선 기술의 도입과 함께 등장한 새로운 유형의 진입점은 기존 보안 구성 요소를 우회할 수 있게 되었음을 직시해야 할 것이다. 따라서 이제 사용자들도 기존의 솔루션 외에 무선 네트워크 공격을 효과적으로 막으면서 PCI DSS 무선 보안 요구 사항을 경제적으로 충족할 수 있는 무선 침투 방지 시스템에 대한 적극적인 고려를 해야 할 시점이라 하겠다.

<글 : 박현 모토로라 엔터프라이즈 모빌리티 솔루션 사업부 차장(hyun.park@motorola.com)>

[월간 정보보호21c 통권 제115호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>