최근 급부상한 무선LAN 시장의 중심에는 IEEE 802.11b 표준을 따르는 무선LAN 시스템이 있다. 2.4㎓ 대역에서 11Mbps의 데이터 전송속도를 지원하는 802.11b는 무선LAN 시장 급성장의 일등공신으로 자리매김하고 있다.
하지만 802.11b는 그 효용성과 달리 보안 측면에서는 많은 문제점이 지적되고 있다. 최종 사용자들이 권고된 보안 절차에 따라 최신 백신프로그램이나 침입감지 소프트웨어를 자신의 노트북컴퓨터에 설치하는 것으로는 시스템의 안전성을 보장할 수 없기 때문이다. 특히 최근들어 각종 해킹 기술이 첨단화되면서 이 부분에 대한 우려는 더욱 커지고 있는 상황이다.
시장이 활성화되면서 그만큼 논란도 많은 무선LAN의 보안 솔루션에 대해 이야기해 보고자 한다.
보안 솔루션을 하나씩 짚어보면 먼저 SSID(Sub System IDentification)를 들 수 있다.
SSID는 무선LAN에서 논리적인 분할을 수행하는 네트워크의 명칭으로 초보적인 수준의 접속 제어 기능을 제공한다. SSID는 일반적으로 보안 수준이 높지 않기 때문에 이것만으로 네트워크를 구성하는 것은 위험하다.
따라서 802.11b 표준은 WEP(Wired Equivalent Privacy)이라는 선택적 암호화 기법을 사용한다. WEP는 동일한 키와 알고리듬을 사용해 데이터를 암호화하고 해독하는 대칭적 알고리듬을 기본으로 한다. 이것은 정확한 WEP 키를 갖고 있지 않은 무단 사용자의 네트워크 접속을 방지할 수 있다.
그러나 이 방식은 기본 키 값이 널리 분산될 경우 침해당할 가능성이 크다는 문제점을 안고 있다.
무선LAN의 보안 기능은 HTTPS 프로토콜을 사용한 웹 접속 시스템과 IPSec(Internet Protocol Security) 가상사설망(VPN)을 통해서도 제공되는데 VPN이 사용되지 않은 경우는 무선LAN 계층에서 더 강력한 암호화를 요구하는 애플리케이션을 위해 AMSA(Advanced Mobile Security Architecture)의 도입이 가능하다.
AMSA는 WEP이 갖고 있는 여러 취약점을 극복하기 위해 128bit 암호체계인 RC4 기법을 사용한다. 즉 AMSA는 128bit로 사용자마다 다른 두 개의 개인적인 보안 터널을 만들기 때문에 매우 높은 수준의 보안 기능을 지원한다.
이밖에도 무선LAN의 보안성을 높이기 위한 노력은 다양하게 전개되고 있다.
802.11 표준의 하위 그룹인 802.11i도 그러한 노력 중의 하나다. 이 기술은 802.11 네트워크에 사용될 보다 강력한 암호화 알고리듬을 제시하기 위한 것이다. 현재까지 마련된 초안에서는 보안 기능이 강화된 RC-4/프레임별Ⅳ 암호화 알고리듬 및 128비트 ‘AES(Advanced Encryption Standard)’ 암호화 알고리듬이 제안돼 있다.
인증 또한 무선LAN의 안전성 확보에 있어서 중요한 요소다.
인증방법에는 인증서(certificate) 및 공유 시크릿(shared secret) 등 크게 두 가지를 들 수 있다. 각 인증방법에는 장단점이 있지만 개별 배치가 필요한 경우에는 양자 모두 도입될 수 있다.
무선LAN 환경에서 끝단에 위치하는 단말기의 경우는 인증을 위해 PPP(Point to Point Protocol)를 사용토록 돼 있으며 CHAP(Challenge Handshake Authentication Protocol)는 인증을 위해 신청 및 신청응답 방식을 사용함으로써 사용자 이름과 패스워드 정보의 누출을 방지한다.
이 과정에서 PPP 서버에 의해 수신된 신청응답 값은 ‘라디우스 액세스 리퀘스트(RADIUS Access Request)’ 메시지 형태로 라디우스 서버쪽으로 전송된다. 이 경우 네트워크의 액세스 서버는 새로운 신청값을 생성하기 때문에 해커가 이 정보를 액세스 서버에서 재생하는 것을 막을 수 있다.
이는 해커가 사용자 이름을 검색할 수는 있으나 802.1x 인증 프로토콜의 한 방법인 MD5의 순방향 해싱함수를 역산해야만 패스워드를 추출할 수 있도록 돼 있기 때문이다. 물론 MD5 순방향 해싱함수를 역산하는 작업은 ‘사전공격(dictionary attack)’ 방법을 이용하면 이론적으로는 풀어낼 수 있지만 방대한 전산자원을 요구하므로 대부분의 해커들은 포기할 수밖에 없다.
CHAP 인증방식은 우발적인 공격으로부터 네트워크를 보호할 수 있으며 대부분의 애플리케이션에 대해 충분한 인증 기능을 제공한다.
이밖에 PAP(Password Authentication Protocol) 기반 인증시스템은 인증 서버의 프록시-라디우스 계층에 연계돼 사용되고 있는 기술이다. PAP 인증방식에서는 사용자 패스워드가 단말기보다는 액세스 서버의 라디우스 클라이언트측에서 MD5 해싱함수로 처리된다.
액세스 서버는 해당 패스워드를 라디우스 서버에 전송하기 전에 이를 암호화하고 패스워드를 다시 라디우스 공유 시크릿으로 암호화하는 과정을 수행한다.
이러한 시스템은 중재자 공격방식(man in the middle attacks)에 의해 침입당할 수도 있다. 여기서 중재자 공격은 해커가 라디우스 서버에서 MD5방식으로 전환된 패스워드를 유출하거나 액세스 서버 소프트웨어 로드를 생성, 패스워드가 전환되기 전에 이를 탈취한 경우에 가능하다.
일회용 패스워드를 제공하는 보안 토큰을 사용한 액세스 서버도 인증의 한 방법이다. 네트워크 라디우스 서버에서는 유무선 사용자의 네트워크 접속을 위한 ‘일회용 패스워드’를 제공할 수 있도록 할 수 있는데 해커들이 해당 네트워크에 접속하려면 1분내에 패스워드를 빼내서 사용하거나 보안 토큰 및 사용자 패스워드를 가로채야 한다.
무선LAN과 연계돼 있는 단말기의 인증은 IEEE 802.11 표준에 제시된 MAC 계층 접근 방식이나 라디우스와 같은 상위 계층 접근 방식을 이용해 수행될 수 있다.
MAC 계층 접근 방식은 개방시스템(open system) 및 공유키(shared key) 방식 두 가지를 지원한다. 개방시스템 인증 방식은 액세스포인트(AP) 또는 상대 단말기와 연결하고자 하는 단말기의 요구를 알리는 인증 서비스며 공유키 방식은 Wi-Fi 표준을 따르지 않는 방식이다.
여기서 802.1x 인증은 해당 단말기 및 라디우스 서버에 세션키의 설치 및 인증서 기반의 상호 인증을 위한 메커니즘을 제공한다. 802.1x 포트 기반의 인증 프로토콜은 목표 네트워크상의 보안 연결을 통해 단말기와 서버측의 사전 배분 기능을 필요로 한다.
802.1x의 보안 표준이다. 이 표준은 마이크로소프트의 윈도XP에 의해 소개됐으며 향후 무선LAN의 진보된 표준인 802.11i의 일부가 될 것으로 보인다.
이 표준은 인증서버와 단말기 간에 EAP(Extensible Authentication Protocol) 인증방법을 이용한다.
EAP는 대략 네 가지를 들 수 있는데 현재 EAP-TLS(Transport Level Security), EAP-TTLS(Tunneled TLS), EAP-SRP(Secure Remote Password), EAP-MD5(Message Digest 5)가 무선LAN에서 802.1x의 EAP 방식으로 거론되고 있다.그림참조
물론 이밖에 무선LAN에서는 최종 사용자에 대한 인증도 필요하다. 예를 들어 기업용 애플리케이션은 오직 허가된 사용자만이 인트라넷에 접속할 수 있도록 허용한다. 공공장소에서의 애플리케이션은 서비스제공업체가 사용자의 신원확인을 통해 정확한 사용료를 부과할 수 있도록 해 준다.
일반적으로 최종 사용자 또는 단말기에 대한 인증은 디지털인증서(digital certificate) 또는 패스워드를 사용한다.
그림1은 전형적인 무선LAN을 구현하는데 필요한 네트워크 구성을 나타낸 것이다. 이 네트워크의 구성 요소는 무선 단말, AP, 인증서버, 허브 및 라우터 등이다.
이 요소들은 특정 EAP 인증 방법을 구현하는 데 적용되며 이에 적합한 하드웨어와 소프트웨어로 구성돼야 한다.
PKI(Public Key Infrastructure)는 인증서를 기반으로하는 인프라를 지원하는 데 필요한 기술이다. 특정 인증기관(certificate authority)가 공중망의 인증서를 관리하고 운영하는 데 필요한 요소다.
일반적인 인터넷 보안은 PKI를 기반으로 한 방식을 선호한다. 만약 특정 회사에만 국한되면 자신들의 인증기관을 사용해 AP와 무선 단말기에 인증서를 발급함으로써 무선LAN의 접속을 제한할 수 있다.
위에서 살펴본 바와 같이 무선LAN에서 보안에 대처하는 방법에는 여러 가지가 있다. 이러한 방법들의 장단점을 비교해 고객의 요구사항과 사이트의 특징에 맞게 무선LAN의 보안 문제를 해결해야 할 것이다.
물론 현재 나와 있는 방법으로 보안과 관련된 모든 문제를 해결할 수는 없을 것이다. 아마도 향후 표준안이 마련될 IEEE 802.11i에서 더욱 진보적인 보안 방법이 나타날 것으로 필자는 기대하고 있다. 또한 앞부분에서 언급된 VPN을 사용하는 것도 보안적인 측면에서 좋은 해결책이 될 수 있다고 생각한다.
필자 : 얀 하크 Jan Haagh
85년 네덜란드 아인호벤 공과대학 졸업
85∼91년 NCR 무선LAN 개발 분야 담당
91∼95년 AT&T 기술 엔지니어
95∼2001년 루슨트테크놀로지스 프로덕트 매니지먼트 부서
2001년∼현재 아기어시스템스 오리노코 엔터프라이즈 제품 선임 매니저
haagh@agere.com
관련 통계자료 다운로드 EAP 인증 방법