• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

실무자가 알아야 할 무선랜 보안 정책 2007.10.08

기술적 보안의 한계, 관리·운영으로 해결한다

 


무선랜의 이동성과 편의성, 확장성, 고속서비스 때문에 각 기관의 무선랜 도입이 활발해지고 있다. 그러나 무선랜 보안대책은 여전히 미흡해 정부·공공기관은 물론이고, 기업에서도 무선랜을 업무에 충분히 적용하지 못하고 있는 실정이다.

본고에서는 무선랜 시스템을 구축할 때 실무자가 반드시 알아야 할 보안정책에 대해 설명하겠다. 우선 심각한 보안취약성을 갖고 있는 WEP(Wired Equivalent Privacy)의 대안으로 떠오르고 있는 보안메커니즘을 소개한다.


RSN


WEP은 WEP 키와 초기값(IV : Initial Vector)의 크기가 작고, 암호 알고리즘, 무결성 알고리즘의 취약성 및 알려진 공유키를 사용한다는 점에서 근본적인 취약점을 갖고 있다. 무선랜 보안 표준화 그룹인 IEEE 802.11i는 이 문제점의 해결을 위해 MAC 계층 위에 IEEE 802.1x를 적용해 키 관리와 인증 서비스를 제공해주는 RSN(Robust Security Network)을 제안하고 있다. RSN은 다음과 같은 특징을 갖는다.


■RSN은 802.1x 기반 인증 : 포트기반접근제어(Port-Based Access Control)를 이용해 사용자 인증과 무선 네트워크의 접근을 제어한다.

■데이터 프라이버시 알고리즘 : AES, TKIP(Temporal Key Integrity Protocol)을 채용한다.

■보안 어소시에이션 관리 : 동적인 키 생성과 분배 매커니즘, 키변경(Re-Keying) 프로토콜을 이용해 단말-AP 간 적용 가능한 Cipher Suite 정보를 교환한다.


WPA

 


IEEE 802.11i 보안 규격의 일부 기능인 TKIP를 준용해 Wi-Fi 얼라이언스 표준규격으로 채택한 것이 WPA(Wi-Fi Protected Access)이다. WPA의 핵심 기술인 TKIP은 기존의 WEP RC4 보안 문제점을 소프트웨어적으로 개선해 단말과 AP에 패치, IEEE 802.11b 장비와 호환을 가능하게 해 주는 것이다. WPA의 특징은 다음과 같다.


■TKIP을 통해 향상된 데이터 무결성 : 데이터의 무결성 향상을 위해 WPA는 TKIP(Temporal Key Integrity Protocol)을 채택했다. TKIP은 키혼합(Key Mixing), 메시지 무결성 점검(MIC : Message Integrity Check), 개선된 초기값(IV : Initial Vector), 키변경(Re-Keying) 등의 메커니즘을 포함하고 있다.

■EAP를 이용한 사용자 인증 : WPA는 사용자 인증 강화를 위해 EAP(Extensible Authentication Protocol)를 구현한다. EAP는 중앙인증서버인 RADIUS를 이용하여 네트워크 접속 전에 사용자를 인증한다.


802.1x를 이용한 사용자 인증


IEEE 802.1x는 원래 스위치 장비에서 포트 별 액세스 컨트롤 표준화를 목적으로 하고 있지만, 무선랜 보안 표준으로 더 많이 알려져 있다. IEEE 802.1x는 포트 기반 네트워크 접근 제어를 제공해 LAN에 장착된 장비를 인증하는 표준이다. IEEE 802.1를 WPA에 적용해 이뤄지는 사용자 인증과정은 다음과 같다.


① EAPOL-Start : 단말은 AP에 접속을 요구한다.

② EAPOL-Request/Identity : AP는 단말에 EAP 신분 확인을 요구한다.

③ EAPOL-Reponse/Identity : 단말은 사용자 신분(Identity)을 전송한다.

④ EAPOL-Access/Request : AP는 EAP 메시지(단말 이름)를 RADIUS 서버로 전송해 인증 서비스를 초기화한다.

⑤ EAP-TLS Start : RADIUS 서버와 단말간 TLS Handshake를 개시한다.

⑥ EAP-Access/Challenge : RADIUS 서버는 신원을 확인한 단말에게 인증서(Credential, 혹은 패스워드)를 요구한다.

⑦ EAP-Access/Response : 단말은 인증서를 RADIUS 서버에 전송한다.

⑧ EAPOL-Access/Accept : RADIUS 서버가 인증서를 인증하면, RADIUS 서버는 EAP 성공 메시지를 단말에 전송한다.

⑨ EAPOL-Key : RADIUS 서버는 AP로 TLS 세션키를 전송한다.

⑩ EAPOL-Key : AP는 통신용 WEP 키를 생성한 후 세션키로 암호화하여 전송한다.

⑪ EAP-Success : AP는 WEP 키로 암호화된 EAP-Success 메시지를 전송하여 암호화 통신 시작을 단말에 통보한다.

⑫ 사용자 장비와 AP에서 사용되는 WEP 키는 사용자 장비가 로그 아웃을 하거나 재인증 타이머가 초과되었을 때까지 사용된다.


TKIP


TKIP(Temporal Key Integrity Protocol)은 WPA의 핵심 기술로, WEP RC4 보안문제를소프트웨어적으로 개선한 것으로, 무선랜 카드와 AP에 패치해 사용할 수 있게 한다. TKIP은 데이터의 무결성을 향상시키기 위해 Key Mixing, 메시지 무결성 코드(MIC : Message Integrity Check), 개선된 IV, Re-Keying 메커니즘 등을 포함한다. 또한 강력한 사용자 인증을 제공하기 위해 중앙인증서버인 RADIUS를 이용하는 EAP(Extensible Authentication Protocol)를 구현한다.

TKIP는 WEP를 재사용하므로 802.11 MPDU(Message Protocol Data Unit)에 변화를 주지 않는다. MIC의 필드를 수용하기 위해 기존의 데이터 포맷에 8byte를 확장하고 있다.


적절한 보안정책 수립이 중요


무선랜의 취약성을 해결하기 위해 다양한 보안 메커니즘이 보고되고 있지만, 무선랜의 보안 문제를 해결하지 못하고 있다. 위에서 언급한 새로운 기술 역시 짧은 패스워드 구성 등 취약성을 갖고 있어 공격자가 쉽게 키 프레임을 가져갈 수 있다. 그러나 무선랜 보안의 취약성이 있다고 해서 무선랜을 사용하지 않을 수는 없다. 기술적인 한계를 극복하기 위해 관리·운영적인 측면의 대안이 마련돼야 한다.

관리적인 측면에서 보안대책을 마련할 때 가장 중요한 것은 ‘보안정책의 수립’이다. 무선랜 보안정책에 반드시 포함돼야 하는 내용은 다음과 같다.


ㆍ 조직 내 무선랜을 사용하는 인원 명시

ㆍ 무선랜을 통한 인터넷 접근의 필요성 판단 기준

ㆍ AP 및 기타 무선장치 관리 권한

ㆍ AP 설치장소 제한 및 물리적 보안대책 수립여부

ㆍ 무선 구간에 유통되는 정보 정의

ㆍ 사용 가능한 무선 단말기 기준

ㆍ AP의 표준보안 설정(Configuration) 정의

ㆍ 무선 단말기가 사용될 수 있는 조건 서술 (예: 사용 가능한 장소 등)

ㆍ 무선 단말기의 하드웨어 또는 소프트웨어 설정 항목 서술

ㆍ 무선 단말기의 분실 또는 보안사고 발생 시 보고방법 명문화

ㆍ 암호 소프트웨어를 비롯한 보안 소프트웨어 사용방법 서술

ㆍ 보안 평가기간 및 범위 명문화

ㆍ 무선랜 사용자 보안교육


이 외에도 네트워크 관리자는 보안정책 및 무선랜 사용에 따른 보안위협을 반드시 이해할 필요가 있다. 네트워크 관리자는 보안 정책의 적절한 집행을 확인하고, 무선랜과 관련된 보안사고 발생 시 공격이 어느 단계까지 진행된 상태인지 파악할 수 있어야 한다.

 


다양한 단계의 운영적 보안대책 필요


운영적인 측면에서 보안대책을 마련할 때는 무선랜 장치에 접근하는 사람들에 대한 물리적인 통제와 무선랜 SW/HW의 안전한 운영으로 나눌 수 있다. 운영의 측면에서 반드시 지켜야 할 보안정책은 다음과 같다.


물리적인 접근통제

안전한 무선랜을 운영하기 위해 가장 쉬운 방법은 무선장치 사용 권한을 가진 사용자를 통제하는 것이다. 또한 무선랜 장치의 환경설정과 장비·단말기의 철저한 관리·운영대책이 필요하다.

물리적인 방법은 무선 네트워크 지원 시설에 대해 접근통제 대책을 수립하는 것으로, 사용자 출입통제, 카드뱃지(Card Badge) 리더기, 생체인식장치, 서명, 키 패드, 암호통제 등을 사용하여 비인기자의 무선랜 설비에 대한 접근을 방지할 수 있다. 잠금장치, 폐쇄회로(CCTV) 등을 사용해 무선랜 장비 및 관련 시설의 불법적인 접근을 감시할 수 있다.

접근통제, 인증 방식으로 스마트카드나 생체인식장치를 사용할 수 있다. 스마트카드는 이동성이 좋고, 무선랜 환경에 적합한 인증 솔루션으로, ID/패스워드 또는 PIN을 혼합해 사용해 보안성을 더 높일 수 있다. 단말기나 무선장치에 대한 접근제어를 위해 지문인식장치 등 생체인식장치를 사용하는 것도 바람직하다.


AP 환경설정

무선랜의 안전한 운영을 위해 가장 중요한 대책은 AP 서비스 범위를 제한하는 것이다. AP를 사용하는 조직의 건물 외부까지 AP 서비스가 제공된다면 무선랜의 보안 취약성이 증가한다. AP 서비스 범위 제어는 AP 전력조정을 통해서 가능하지만, AP 전력조정 기능을 내장한 AP는 대중화 되지 않았다. 무선랜 보안평가 도구(취약성 분석도구)를 사용한 정기적인 보안평가가 필요하다.


AP 환경설정시 반드시 지켜야 할 수칙을 소개한다.


패스워드 변경  일반적으로 제조자는 AP 환경을 설정할 수 있는 관리자 패스워드를 설정해 AP를 출고한다. 관리자는 출고 시에 설정된 패스워드를 변경해야 한다. 제조자는 패스워드를 설정하지 않은 상태로 AP를 출고하는 경우도 있으므로 관리자는 조직의 보안정책에 따라서 패스워드를 설정해야 한다. 패스워드를 설정할 때는 안전성이 뛰어난 암호를 사용하도록 한다.

리셋(Reset) 기능  AP를 리셋시키면 설정된 AP환경이 초기화되기 때문에 아무나 AP를 리셋하도록 하면 안된다. AP의 리셋기능에 대한 물리적인 접근제어 장치가 있어야 한다.

SSID 변경  SSID는 도청이 가능하기 때문에 불법적인 사용자의 접근을 막을 수는 없지만, 기술이 뛰어나지 않은 공격자의 접근을 상당 부분 막을 수 있다. 따라서 관리자는 출고 시 설정된 SSID를 변경한 후 사용하도록 한다.

파라미터 변경  어떤 무선랜은 SNMP를 사용해 AP와 무선랜 카드 상태를 모니터링 하거나 AP나 무선랜 카드 환경설정을 변경할 수 있다. 따라서 SNMP의 사용은 가능한 제한하도록 하고, 반드시 사용해야 할 경우는 인증장치를 강화해 인가받지 않은 사용자가 SNMP를 이용할 수 없도록 해야 한다.

기본 채널 변경  AP는 업체별로 특정한 채널을 기본채널로 설정하는 경우가 많다. 2개 이상의 AP가 근접한 위치에서 동일한 채널을 사용할 경우, 다른 AP에 대한 서비스거부(DoS : Denial of Service) 공격에 자신의 AP가 공격을 당할 수도 있다. 근접한 AP는 기본채널이 아닌 다른 채널로 변경해야 한다.

DHCP(Dynamic Host Control Protocol) 사용 제한   AP가 DHCP 기능을 가지고 있는 경우, DHCP 서버는 랜카드의 IP 주소 할당에 관여하지 않아 인가되지 않은 사용자의 접근가능성이 증가할 수 있다. 따라서 DHCP의 기능을 사용할 때는 DHCP 서버를 유선 네트워크의 IPS나 방화벽 내에서 사용해야 한다. 부득이 IPS 밖에서 접근해야 한다면, 반드시 강화된 인증과정을 거치도록 해야 한다.


소프트웨어 패치 및 업그레이드

소프트웨어 보안 취약성이 발표되면 제조업체는 소프트웨어의 취약성을 보완한 패치를 제공한다. 네트워크 관리자는 주기적으로 보고된 보안 문제 및 소프트웨어 패치 발표 상황을 확인하여 적절한 조치를 취해야 한다.


사용자 인증

사용자 인증은 ID·패스워드, 스마트카드, PKI, 생체 인식 등의 다양한 방법이 있다. 일반적으로 가장 많이 사용되고 있는 ID·패스워드 기반의 사용자 인증을 사용할 경우, 높은 복잡도를 가진 PW를 사용해야 한다. 보안정책이 명시하고 있는 패스워드 길이, 패스워드 조합에 필요한 특수 문자, 숫자, PW 유효기간 등을 사용자 인증 메커니즘을 충실하게 반영해야 한다. 다른 종류의 인증 메커니즘을 사용할 경우에도 관리자는 각 메커니즘이 제시하는 요구사항을 만족시켜야 하며, 인증 메커니즘 사용 방법을 숙지해야 한다.


개인용 침입차단시스템(Personal FireWall) 구축

사용자는 자신이 획득한 개인용 침입차단시스템을 사용하는 것보다, 중앙 서버가 관리하는 개인용 침입차단시스템을 무선랜 단말에서 사용하면 보안위협을 더욱 감소시킬 수 있다. 중앙 서버가 개인용 침입차단시스템을 설정 및 관리함으로 조직의 보안정책을 일관되게 적용할 수 있다. IDS을 적용하면 보안 기능이 강화된다.


보안평가

무선랜의 보안 취약성을 확인하는 보안평가는 반드시 필요하다. 무선 네트워크 분석 도구 등을 이용한 정기적인 보안평가를 통해 불필요한 AP 존재나 안전하지 않은 보안 설정 등을 확인해 수정할 수 있다.

<글: 최명길 인제대학교 시스템경영공학과 교수>

 

[월간 정보보호21c 통권 제86호(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>