유비쿼터스 세상 현실로 다가오고..

 

달리는 초고속 열차 안에서도 인터넷에 접속할 수 있는 세상이 왔다. 꿈속에서나 가능할 것 같던 유비쿼터스 세상이 현실로 다가오고 있다. 휴대전화로 외부에서 집안 가스렌지의 불을 끄고, 집안의 냉·난방을 마음대로 조절할 수 있다. 노트북과 PDA, 휴대전화 등을 이용해 언제, 어디서나 인터넷에 접속할 수 있어 시간과 장소에 구애받지 않고 원하는 정보를 마음껏 이용할 수 있다. 무선인터넷은 사람들의 생활을 편리하게 해주고 있다.

그러나 부작용도 만만치 않다. 무선인터넷은 보안이 취약해 각종 침해사고와 악성코드, 정보유출 등 위협에 무방비로 노출돼 있다. 성균관대학교 인터넷보안연구실이 최근 발표한 보고서에 따르면 서울 시내 대형 백화점의 무선결제 시스템에 보안상 취약점이 많아 카드구매 및 거래내용 등 개인정보 유출 우려가 높은 것으로 나타났다.

인터넷보안연구실이 을지로, 명동, 잠실, 압구정 등 유동인구가 밀집한 서울시내 백화점 10곳을 대상으로 무선인터넷 암호체계를 시험한 결과, 백화점 대부분이 크래킹이 쉬운 암호화 알고리즘을 사용하고 있는 것으로 나타났다. 백화점에서 사용하는 대부분의 무선인터넷 결제시스템은 WEP(Wired Equivalent Privacy) 기법의 암호화 방법을 사용하고 있다.

WEP은 무선랜을 보호하는 방법으로 가장 많이 쓰이며, 무선 네트워크 상에서 오가는 정보를 암호화 한다. 그러나 WEP은 이미 오래 전부터 쉽게 크래킹 될 수 있다는 문제가 지적돼 왔다. 인터넷보안연구실이 직접 시연해 본 결과 노트북과 무선 랜카드를 이용해 30분 내에 무선랜을 크래킹한 후 쇼핑몰 고객들의 결제정보와 카드번호를 빼낼 수 있었다.

유넷시스템의 이상준 정보보호연구소장은 이 해킹시연에 대해 “WEP을 통해 데이터를 암호화 했다고 해도 30분 동안 네트워크에서 오가는 정보들을 살펴보면 고정된 키 값을 찾아낼 수 있다. 키 값을 주기적으로 바꾸지 않으면 데이터 암호화는 의미 없다”고 설명했다.

 

우리회사 네트워크, 옆 사무실에서 훔쳐보네

기업들이 모바일 근무를 선호하면서 무선인터넷 사용이 크게 늘어났다. 백화점을 비롯한 물류·유통업체들이 결제시스템이나 물류관리 시스템을 PDA 등 이동성 장비를 이용하도록 지원하고 있어 무선 네트워크의 보안 문제가 대두되고 있다. 실제로 한 대형 면세점에서는 지난해 가을 Dos로 추정되는 공격을 받아 몇 시간 동안 카드결제 시스템이 중단된 사고가 발생하기도 했다. 이 공격으로 인해 면세점이 받은 피해액은 16억 원에 이르는 것으로 알려진다.

이보다 더 일반적인 사례를 들어보겠다. 한 벤처기업에서 사무실에 AP를 설치했다. 직원들이 무선으로 네트워크에 접속을 하면 옆 사무실의 네트워크가 잡히곤 했다. 옆 사무실에도 같은 채널의 AP가 설치돼 있어서 그 회사의 내부 네트워크로 연결이 된 것이다.

AP의 스위치 기능을 맹신한 두 회사는 서로의 네트워크를 들여다보면서 기밀정보를 알게 됐다. 만일 두 회사가 경쟁관계에 있었다면 양 사 모두 큰 피해를 입었을 것이다. 옆 사무실에 웜·바이러스를 잔뜩 갖고 있는 노트북이 있었다면, 해당 무선망에 접근하는 순간 자신의 노트북도 웜·바이러스에 감염될 수 있다.

기업이 무선 네트워크를 구축하면서 흔히 범하기 쉬운 실수는 방화벽과 침입방지·침입탐지 시스템을 과신하며 무선 네트워크 내에서 오가는 데이터를 암호화 하지 않는 것이다. 이상준 소장은 “내부망 암호화가 돼 있지 않은 경우나 복호화가 쉬운 암호 알고리즘을 사용할 경우, 내부망에서 오가는 데이터를 빼오는 것은 너무나 쉬운 일이다. 백화점 등 쇼핑몰에서 이러한 공격을 한다면 고객의 카드번호 등 개인정보가 그대로 해커의 손에 들어가게 될 것”이라고 말했다.

침입사고 발생 사실조차 알기 어려워

삼양데이터시스템 무선보안사업팀의 정현철 과장은 “무선인터넷 보안의 가장 큰 문제는 침입사고가 발생해도 사고가 일어났다는 사실을 인지하지 못한다는 점이다. 사고를 인지했다 해도 침입자를 찾기 어렵다는 점도 심각한 보안 취약성”이라고 말했다.

무선 인터넷은 침입자가 자유자재로 이동하기 때문에 위치를 추적하기 어렵다. 대기업이 밀집된 곳에서 차를 타고 다니면서 AP지도를 만든 후 기업의 시스템을 해킹하다가 검거된 해커도 있다. 이들이 한 곳에 머문 시간은 평균 15분에 불과했다. 이들이 접근한 대부분의 기업은 거의 아무런 방해 없이 해킹할 수 있었던 것으로 알려진다.

무선인터넷을 쓰지 않으면 이러한 위협에서 자유로울 수 있을까? 반드시 그런 것만도 아니다. AP를 통해 인터넷에 접속할 수 있는 범위는 사방 50m 이상이며, 최대 500m까지 신호를 잡을 수 있다. AP는 3차원 공간으로 신호를 발생시키기 때문에 사무실 옆이나 인근 건물, 건물의 위·아래층에서도 신호를 잡을 수 있다.

AP가 설치돼 있지 않은 사무실에서 노트북을 켰을 때, 노트북이 자동으로 SSID 신호를 감지해 인터넷에 연결하는 상황을 설정해 보자. 이 SSID 신호가 사무실 근처에 설치한 해커들의 신호라면 이 사람의 노트북을 통해 회사 내부망으로 해커가 침입할 수 있다.

한 공공기관에서 주민등록번호 수만 건이 유출된 사고가 있었는데, 협력업체 직원이 해당 기관의 건물 밖에서 AP를 해킹한 것으로 드러났다. 은행에서도 보안이 이뤄져 있지 않은 무선랜 때문에 은행 건물 밖에서 고객들의 계좌정보를 대량 유출한 사건도 발생한 바 있다.

 

모바일 근무자 27% 보안지침 안지켜

무선인터넷의 보안 취약성에도 불구하고 무선인터넷 보안을 강화해야 한다는 인식은 매우 낮은 것으로 나타난다.

시스코 시스템즈가 9월 전미사이버안전동맹(NCSA)과 공동으로 전 세계 7개 국가 700여 명의 모바일 근무자를 대상으로 ‘세계 모바일·무선 보안 실태’를 조사한 결과, 응답자의 27%만이 무선인터넷을 이용할 때 보안지침을 지키고 있다고 대답한 것으로 나타났다.

한국과 미국, 독일, 영국, 중국, 싱가폴, 인도 등 7개 국가 모바일 근무자를 대상으로 실시한 이 설문조사에서 응답자들은 ‘노트북이나 PDA, 스마트폰 등 모바일·무선기기를 통해 원격으로 회사 네트워크에 접속할 때 보안사고의 위험성을 인식해 보안지침을 지키고 있는가’라는 질문에 27%만이 그렇다고 응답했다.

응답자의 28%는 안전보장을 위한 조치를 전혀 수행하지 않거나 거의 수행하지 않는 ‘보안 불감증’을 보였다. 데이터를 업·다운로드 할 때 암호화 절차를 지키거나 업무용으로 사용하는 모바일·무선기기에 비밀번호를 설정하는 등 보안사고 예방을 위한 조치를 하고 있는 사람은 38%에 불과했다. 우리나라 응답자는 단 21%만이 암호화 및 비밀번호를 설정한다고 답했다.

IT임원 700명을 대상으로 한 설문조사에서는 응답자의 55%가 과거 1년 동안 노트북을 비롯한 무선기기를 도난당하는 등 무선보안사고를 경험했다고 답했다. 한국의 IT임원 73%가 무선보안사고를 경험했다고 답하면서도 VPN·WPA2·WEP의 무선 보안 표준을 적용하고 있다고 답한 응답자는 40%에 그쳤다.

무선인터넷, 보안장비 구축과 보안정책 수립 병행돼야

무선인터넷을 안전하게 사용하기 위해서는 우선 무선랜을 비롯해 무선으로 네트워크에 접근하는 장치에 대한 보안시스템이 마련돼야 한다. WEP 암호화로 해결할 수 없는 취약성은 무선방화벽과 무선 IDS/IPS로 어느 정도 막을 수 있다.

무선랜 방화벽은 무선랜 스위치에 내장돼 사용자 개인이나 그룹, 사용 애플리케이션/포트에 따른 정책을 적용시킨다. 무선랜 방화벽은 AP나 중앙 스위치에서 제공하는 경우가 있다. AP에서 지원하는 액세스 콘트롤리스트와 함께 사용하면 보안성을 한층 강화할 수 있다.

무선랜 방화벽을 선택할 때는 중앙제어 무선컨트롤러나 스위치, 별도의 장비에서 차단하는 방식보다 네트워크 접속 말단인 AP에서 차단하는 것이 좋다. 무선방화벽은 사용자 트래픽을 점검하고 통제하는 기능도 제공하고 있어 대역폭 설정, 트래픽 우선제어 등으로 통신 품질을 업그레이드 해주기도 한다.

무선랜 침입방지 시스템(WIPS : Wireless Intrusion Protection)은 기업이 사용하는 무선랜 장비를 등록한 후, 인가받지 않은 장비에 의한 무선주파수가 발견됐을 때 대처할 수 있도록 한다.

이러한 장비를 사용한다 해도 무선랜의 보안 취약성은 어디에나 도사리고 있다. 특히 선으로 이어지는 유선랜과 달리 무선랜은 모든 공간에서 네트워크에 접근할 수 있으므로 시스템의 어느 지점에 구멍이 생겼는지 알기 어렵다. 무선인터넷 보안 정책을 사용할 때는 반드시 구체적이고 현실적인 보안정책을 고려해야 한다. 이 정책에는 무선인터넷을 사용하는 직원과 단말기를 관리하는 정책의 물리적인 접근통제 정책이 포함돼야 한다.

무선 네트워크 단말기의 종류와 숫자, 이를 사용하는 인원을 정확하게 파악하고 있어야 하며, AP 등 무선장치에 대한 관리책임자를 지정해 필요한 권한을 부여한다. AP와 단말기의 보안표준을 설정하고, 단말기를 분실·도난당했을 때 보안사고를 예방할 수 있는 방법을 명문화 한다.

물리적인 접근통제를 위해서는 AP 등 무선장치에 접근할 수 있는 사람을 철저하게 통제하고, 보안지침을 지키도록 한다. 무선인터넷 접속 시 인증절차를 강화해 허가받지 않은 침입자가 네트워크에 접근할 수 없도록 한다.

2개 이상의 AP가 근접한 위치에서 동일한 채널을 사용할 경우, 공격자가 특정 AP를 향해 공격했을 때 다른 AP도 영향을 받을 수 있다. 따라서 근접한 AP는 다른 채널로 변경해야 한다. AP 신호범위가 건물 외부로 나갈수록 보안취약성이 증가하기 때문에 AP의 범위를 제한하는 것도 필수적이다. AP범위 제한을 위해서는 전력조정기능을 내장한 AP를 사용하거나 무선랜 보안평가도구를 사용한 정기적인 보안평가를 실시해야 한다.

무선인터넷 보안 취약성을 해결하기 위해 반드시 지켜야 할 것은 ‘보안평가’이다. 무선 네트워크 분석 도구 등을 이용한 정기적인 보안평가를 통해 불필요한 AP의 존재나 안전하지 않은 보안 설정 등을 확인해 수정할 수 있다.

생활 편리해질수록 보안취약성 커져

무선으로 네트워크에 접속할 수 있는 방법은 매우 다양하다. 무선랜과 PDA, 와이브로, 휴대폰의 모바일 인터넷 등으로 언제나 네트워크에 접근할 수 있다. 앞으로 무선인터넷을 이용할 수 있는 단말기의 종류는 더 많아질 질 것이다.

무선인터넷은 이동성이 좋기 때문에 업무능률을 올릴 수 있다. 또한 고객이 자리하고 있는 바로 그 곳으로 서비스할 수 있기 때문에 다양한 형태의 인터넷 서비스가 나올 수 있으며, 전혀 새로운 형태의 광고·홍보 전략을 세울 수도 있다. 손가락 하나 까딱 하는 것만으로도 세상을 움직일 수 있는 시대가 눈앞에 다가온 것이다.

생활이 편리해진 만큼 보안에 대한 위협은 더 커진다. 어디서나 네트워크에 접속할 수 있다는 것은 어디에서나 불법적인 침입이 이뤄질 수 있다는 것을 뜻하며, 쉽게 접근할 수 있다는 것은 쉽게 침입할 수도 있다는 것을 의미하기 때문이다.

편리하게, 하지만 안전하게 무선인터넷을 사용하기 위해서는 반드시 보안의 문제가 해결돼야 한다. 이상준 소장은 “보안은 선택이 아니라 필수”라며 “무선 네트워크 장비를 설치할 때 반드시 보안문제를 고려해야 한다. 보안은 무선인터넷의 핵심 인프라”라고 강조했다.

[월간 정보보호21c 통권 제86호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>