• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[SECON 2010] 무선 랜 도입 현황 및 보안강화 대책 2010.10.05

기술적, 제도적 보안 조치 및 사용자 무선보안 인식 계도 필요


[보안뉴스 오병민] 스마트폰의 보급으로 무선 랜(WiFi) 보급이 크게 증가하고 있는 가운데 이를 노린 보안 위협이 크게 증가하고 있어 주의가 요구되고 있다.


백종현 한국인터넷진흥원 팀장은 5일 서울교육문화회관에서 개최된 ‘2010 국제통합보안 구축전략 컨퍼런스(SECON International 2010)’에 참석해 ‘무선 랜 도입현황 및 보안강화 대책’에 대한 강연을 진행했다.


무선보안 이슈는, 2009년 국정감사와 언론에서 무인증 무선공유기에 대한 문제를 지적하면서 대두됐다. 특히 무선 랜을 이용한 국내 한 인터넷 전화업체의 경우 동일한 패스워드로 출시해 문제가 확대되기도 했다. 아울러 대부분 이용자의 경우, 무선 공유기 보안 기능 인식 및 필요성에 대한 이해가 부족해  무선 보안에 허점을 보이고 있다.


백종현 팀장은 “무선 보안 문제는 비단 우리나라만의 문제는 아니다”라며 “외국의 한 무선보안 업체가 전 세계 27개 공항을 대상으로 무선보안 현황조사를 펼친 결과, 조사대상 중 80% 이상이 보안에 취약한 것으로 나타났다고 밝혔다”고 전했다.


무선 보안은 여러 가지 논란을 가져올 수 있다. 우선 패스워드 미설정 등 보안이 설정되지 않은 무선 랜 망을 무단 사용하는 것에 대한 여러 법적 논란 이슈가 있을 수 있다. 사실 정당한 권한 없이 허용된 접근권한을 넘어 망 침입 및 해킹 행위에 대한 법적 규제는 명백히 필요하다. 그러나 보안이 설정되지 않은 무선 랜 망을 무단으로 접속해 사용하는 경우에는 논란의 여지가 있기 때문이다.


백 팀장은 “해외에서는 보안이 설정되지 않은 타인의 무선 랜 접속으로 인터넷을 사용 해 법적 처벌 사례가 존재한다”며 “무선 랜 보안에 대한 별도의 개별법을 제정하기 보다는 기존의 법체계를 통해 규율해야 한다”고 주장했다.


그는 무선보안은 기술적인 위험과 관리적인 위험, 물리적인 위험이 동시에 존재한다고 말했다. 기술적인 위험은 △전파수집 및 무단접속을 통해 무선 랜 이용정보 수집, △취약한 무선 AP 보안설정에 따른 암호 크랙, MAC 스푸핑(Spoofing)을 통한 비인가 접근, △대량의 패킷전송 및 교란 전파를 이용한 서비스거부공격 유발, △불법 AP 설치를 통한 이용자 개인정보 유출 시도 등이 제시됐다.


그리고 그는 관리적 위협에 대해서는 △무선 랜 장비 및 이용자 관리 미흡에 따른 외부인의 무단 접속, △사용자 보안의식 결여로 외부 무선 랜 불법 사용, △전파관리 미흡으로 외부인의 내부 무선 랜 접근 허용 등이 나타날 수 있다고 말했다.


더불어 물리적 위험은 △무선 AP에 연결된 랜선 및 전원케이블 분리, △무선 AP에 물리적으로 접근해 설정 변경에 따른 장애, △외부인의 무선 AP 파손, 도난, △무선 단말기 분실에 따른 무선 랜 정보 유출 등을 제시했다.


이밖에도 △공중 무선 랜을 이용한 악성코드 및 스팸 유포, 해킹사고 유발에 따른 추적 회피, △공중시설에서 비인가 무선 랜 설치를 통한 이용자 정보 수집, △인터넷전화 초기 패스워드 미변경에 따른 외부인의 무단 사용, 침해사고 유발, △취약한 기업 무선 랜을 이용한 내부 네트워크 침입, △공중 무선 랜을 이용한 악성코드 및 스팸 유포, 해킹사고 유발에 따른 추적 회피, △공중시설에서 비인가 무선 랜 설치를 통한 이용자 정보 수집, △인터넷전화 초기 패스워드 미변경에 따른 외부인의 무단사용, 침해사고 유발, △취약한 기업 무선 랜을 이용한 내부 네트워크 침입 등 다양한 이슈가 존재한다고 설명했다.


백종현 팀장은 무선 랜 이용 환경별 보안 인식 제고가 필요하다고 주장했다. 그리고 이를 위한 보안 정책과 보안기술 적용 등으로 보안을 강화해야 한다고 덧붙였다.


그는 “보안 인식제고를 위해서는 온/오프라인 무선 랜 보안 홍보 및 계도가 필요하며 무선 랜 관리를 위한 보안 지침 가이드 등 정책자료 등이 제공 돼야한다”면서 “그리고 기술적으로는 인증서버 구축과 WIPS 도입, 보안설정 간소화 솔루션 보급 등이 필요하다”고 말했다.


그리고 그 역할에 대해서는, 정부 및 유관기관이 일반인을 대상으로 무선 랜 보안 인식제고를 추진해야하며 온/오프라인을 아우르는 대국민 홍보를 통해 보안인식 제고에 힘써야한다고 주장했다. 그리고 무선 랜 운영자를 위한 보안기술 실습 교육도 필요하다고 말했다.


또한 사업자 및 제조사는 사업자가 보급하는 무선 랜 보안 안내를 통해 보안을 강화해야하고, 무선 랜 설치 및 구축 단계에서 보안안내 강화 및 보안설정을 유도 해야할 것을 제시했다. 그리고 무선 랜 운영단계에서 주기적인 보안 안내 및 고객센터를 위한 지원 등을 통해 보안 운영을 강화해야 한다고 주장했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>