Interview

최형기 성균관대학교 정보통신공학부 교수

보안 규격 802.11i 또는 WPA 사용해야 안전

최근 백화점과 금융권 등에서 무선 랜을 많이 도입하고 있고 또 이를 도입하려고 하는 곳도 많이 있다. 그러나 최근 보안 관련 사고로 한개의 은행에서 500~600억원 규모의 피해가 발생하고 있는 것으로 추정되고 있다. 또 증권회사 등 제 2금융권에서도 충분히 무선 랜 서비스가 가능하기 때문에 앞으로도 이 같은 보안 사고가 발생할 위험이 높다. 누군가 악의적으로 마음만 먹으면 충분히 해킹 등으로 타인의 개인정보를 빼낼 수 있다.

최근 백화점과 유통점 등에서도 무선 랜을 많이 사용하고 있는데 거의 해킹 위협에 무방비로 노출되어 있다고 할 수 있다. 병원 등에서도 무선 랜을 사용해서 의사들이 단말기만 가지고 다니면서 환자들의 의료 정보를 바로 확인할 수 있어 향후 무선 랜 사용이 확대될 전망이다. 하지만 이 모든 것은 편리성에 앞서 개인정보보호 차원에서 충분한 보안이 이루어져야 안전하게 사용할 수 있을 것이다.

실제 무선 해킹이 어떻게 이루어지고 있는가?

정확한 피해 규모는 알 수 없으나 상당히 많은 피해가 발생하고 있을 것으로 추정된다. 무선 랜의 해킹 방법은 주로 무선 AP를 끌어들여 암호를 깨고 들어와 중요한 정보를 가져 갈 수 있다. 우리 연구팀이 서울시내 백화점 10곳을 대상으로 무선 인터넷 암호체계를 시험한 결과, 대부분이 보안에 취약한 무선 인터넷 서비스를 사용하고 있음을 알 수 있었다. 실험 대상 백화점에서 사용하는 무선인터넷 결제 시스템은 대부분 WEP(Wired Equivalent Privacy) 기법의 무선 인터넷 암호화 방법을 사용하고 있었다. 그러나 WEP은 특별한 보조 장치 없이 일반적으로 사용하는 노트북과 무선 랜카드만을 이용해 비밀키를 쉽게 찾아낼 수 있는 허술한 암호화 방법이다.

현재 백화점들은 무선 AP가 허용하는 범위 내에서 누구나 쉽게 접속할 수 있는 무선 인터넷을 사용해 결제를 한다. 이 무선인터넷은 해킹의 위험뿐 아니라, 비밀키가 노출될 경우 백화점 매장에서 사용하는 암호화된 거래 정보가 공개되기 때문에 거래내역 조작 및 고객 정보의 노출할 수 있다. 10개 백화점 중 아예 암호화로 보호되지 않는 무선 인터넷 환경인 곳이 2곳이었으며 비밀 키로 무선 인터넷을 보호했더라도 WEP 암호화 기법을 사용해 쉽게 뚫렸다. WEP 암호화 기법이 확인된 AP 중 하나를 임의로 선택해 복호화를 시도한 결과 성공률이 75%였으며 복호화에 걸린 시간은 데이터 수집시간을 포함해 평균 30분이 소요됐다.

사용자들이 무선 랜을 안전하게 사용하는 방법은?

주기적으로 프로토콜을 업데이트하고 현재 사용하고 있는 보안 표준이 대부분 3~4년 전의 버전이기 때문에 암호화키가 쉽게 깨진다. 특히 백화점 등에서는 최신 버전의 보안 표준을 사용하기 위해서 현재 사용하고 있는 AP와 단말기를 바꿔야 한다. 아울러 취약한 무선인터넷 서비스를 사용하고 있는 백화점은 보다 안전한 보안 규격인 802.11i를 사용하거나 WPA(Wi-Fi Protected ACCESS)를 사용해야 한다. 최신 버전으로 설치하면 이중 투자를 막아 비용을 최소화 할 수 있다. 이 외에도 직원들의 보안에 대한 인식 전환이 무엇보다 중요하다.

[월간 정보보호21c 통권 제90호 김태형 기자(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>