어베스트가 추천하는 WPA2 Wi-Fi 취약점 보호 방안

2017.10.24 21:35새로운 소식/보안정보 공유

최근 무선 네트워크에서 널리 이용되는 WPA2 보안의 취약점이 다수 발견됨에 따라, 개인뿐만 아니라 기업에서 적절한 대응 및 대안을 고민하고 있다. 왜냐하면, WPA2가 취약하다고 해서 WPA를 사용하거나 하는 등의 대체할 수 있는 방안이 거의 없다는 점 때문이다. 본 글에서는 무선 네트워크에서 이용되는 보안 기술에 대한 간략한 설명과, WPA2의 취약성을 보완할 수 있는 어베스트 제품의 기능 및 서비스에 대해 소개한다.

 

 

1. 무선 네트워크의 보안

 

개인뿐만 아니라 기업에서도 무선 공유기를 널리 이용하고 있다. 무선 공유기는 유선과 달리 배치에 큰 어려움이 없기 때문에 중요한 장치인 경우를 제외하고는 대부분 무선으로 연결하는 추세이다.

 

하지만, 무선은 도청하기 쉽다는 보안상 문제점이 있기 때문에 다음과 같이 다양한 보안 기술을 이용하고 있다.

 

  • SSID 숨김 - SSID(무선 네트워크 ID)는 AP(액세스 포인트, 무선 공유기)와 무선 랜 클라이언트(이하 클라이언트)간에 SSID를 이용하여 연결한다. SSID를 숨기는 Secure Access를 사용하여, 클라이언트가 이 SSID를 알고 있어야만 연결이 가능하다. 물론, 스니핑을 통해 SSID를 알아낼 수 있는 방법도 있다.
  • MAC 필터링 - AP에 접속하는 클라이언트의 MAC 주소를 AP에 미리 등록해 두어, 기존에 등록된 MAC 주소의 클라이언트만 접속을 허용하게 하는 방법이다. 이 또한 MAC 자체가 암호화되지 않았을 경우 스니핑을 통해 알아낼 수 있다는 약점이 있다. 게다가, 관리자가 일일이 등록해야 한다는 부담도 있어 적용하기가 쉽지 않은 보안 방식이다.
  • WEP 보안 - Wired Equivalent Privacy. 유선 네트워크와 동일한 방식으로 프라이버시를 제공하기 위해 개발된 방식으로 클라이언트와 AP간에 WEP 암호화를 통해 데이터를 주고 받는다. 보통 64비트 IV(Initialization Vector)또는 128비트를 이용한다. WEP는 다른 암호화 프로토콜에 비해 구현이 간단하고 사용방법도 편리하여 무선 네트워크에서 널리 이용된다. 하지만, 알고리즘의 취약점 등으로 인해 WEP 키 값이 노출될 수 있는 등 보안이 상대적올 취약하며, 패킷의 위변조 공격에 취약하다. 하지만, 무선랜 초기부터 널리 이용되어 왔기 때문에 현재에도 많은 사용자가 사용하고 있는 실정이다.
  • IEEE 802.1x - 인증서버(RADIUS)를 이용하여 사용자 인증을 수행하여, 그 결과에 따라 네트워크 접속을 제어하는 보안 방식이다. 앞에서 언급한 MAC 필터링이나 WEP은 AP에 따라 설정하는데 반해, 사용자 별로 인증을 제공할 수 있어 사용자 별 애플리케이션 사용 권한 부여 등과 같은 기능을 제공할 수 있다. 특히, 보안상으로 큰 취약점이 발견되지 않아 안전한 프로토콜로 인정받고 있으며, 국내에서 대규모 무선랜을 구축할 때 가장 많이 이용된다. 참고로, EAP-MD5를 이용하는 IEEE 802.1X 인증 기능은 무선랜 공중망 서비스를 위한 보안 기술로 활용된다.
  • TKIP 보안 - Temporal Key Integrity Protocol. WEP 알고리즘의 취약점을 보완하기 위해 개발된 보안 방식이다. WEP을 적용할 수 있도록 구성된 기존의 무선랜 장비를 펌웨어 또는 소프트웨어 업그레이드만으로 보안을 강화할 수 있는 방법으로 제시되고 있어, 실제 하드웨어의 추가 설치 비용이 들지 않아 많이 선호하는 보안 방식이다. TKIP 기술은 WPA(WiFi-Protected Access)의 표준으로 새로운 무선랜 장비에서 제공되고 있다.
    • WPA - IEEE 802.11i가 승인하기 전에, 와이파이 얼라이언트가 개발한 인증 프로그램으로 TKIP 프로토콜을 통해 데이터 암호화 기능을 향상시키고, EAP(Extensible Authentication Protocol)을 통해 사용자 인증을 제공함. BSS 모드만 지원
    • WPA2 - WPA의 차세대 버전으로 보안 기능이 개선되었으며, AES(Advanced Encryption Standard) 암호화 지원, 사전 인증 및 PMKID 캐시 구성 등을 특징으로 한다. BSS 및 IBSS(Ad hoc)모드 지원
  • VPN 보안 - Virtual Private Network. 네트워크 인프라에서 안전한 정보를 전송하는 수단으로 이용되며, 원격 사용자에 대한 인증 및 접근 제어, LAN-to-LAN 연결, 익스트라넷에서 주로 이용된다. IPSec 프로토콜을 이용하여 기밀성, 데이터 무결성, 리플레이 공격 방지, 트래픽 방지 등 다양한 보안 서비스를 제공한다. IPSec을 이용하여 무선랜 클라이언트부터 AP를 통과하여 실제 VPN 장비까지 터널링이 이뤄지게 되어, 무선망 뿐만 아니라 유선망까지 암호화된다는 장점을 제공한다. 다만, 특정한 애플리케이션에 대한 인증이나 권한 부여와 같은 접근 제어(ACL)는 제공하지 않는다.

 

복잡하지만, 쉽게 정리해 보면, 가정이나 중소기업에서는 대부분 WPA/WPA2를 이용하고 있으며, 주고 받는 데이터를 제3자가 볼 수 없도록 숨기기 위해 VPN 서비스를 활용한다고 보면 된다.

 

 

2. WPA2 WIFI 취약점(KRACK)

 

지난 10월 16일, 보안 전문가인 Mathy Vanhoef(매씨 반호프)는 KRACK(Key Reinstallation Attack)이라는 공격을 통해 WPA2 보안을 우회할 수 있다고 밝혔다. 공격자는 KRACK 공격 기법을 활용하여 무선 네트워크를 이용하는 사용자의 신용카드 번호, 비밀번호, 이메일 등 개인정보를 훔칠 수 있다. 또한, 네트워크 설정에 따라 공격자는 피해자가 접속한 네트워크에 조작한 데이터를 주입하는 것도 가능하다는 설명이었다.  특히, 취약점은 무선 네트워크에서 이용되는 장비나 제품에서 발생하는 것이 아닌 WPA2 표준 자체에 있으며, 리눅스와 안드로이드 6 이상의 운영체제가 공격에 취약하다.

 

이 문제의 해결을 위해 다수의 보안 전문가들은 아래와 같이, 네트워크를 안전하게 보호하는 방법을 제시했다.

 

1) 무선으로 연결되는 모든 컴퓨터, 장치를 업데이트한다. 윈도우 운영체제는 이미 업데이트가 된 상태이며, 리눅스/iOS/안드로이드 운영체제는 한번 더 검확인할 필요가 있다.

 

2) 라우터 또는 유무선 공유기를 최신의 펌웨어로 업데이트한다.

 

3) 가능하다면, 무선을 사용하지 않고 유선을 사용한다.

 

4) 스마트 폰에서 무선 네트워크를 이용하지 않고 LTE와 같은 셀룰러 데이터 네트워크를 이용한다. 하지만, 이용 요금이 높다는 단점이 있다.

 

5) HTTPS로 구현된 웹사이트를 방문한다.

 

6) 신뢰할 수 있는 VPN 서비스를 이용한다.

 

 

3. 어베스트에서 추천하는 권고안

 

이용자가 무선 네트워크를 통해 인터넷을 이용하는 환경에서는 다음과 같이 한단계 보안을 강화함으로써 개인 정보 유출이나 기타 다른 위협으로부터 예방할 수 있다. 특히, 웹서버에서 SSL 인증서가 구현된 사례가 많기 때문에 피싱과 같은 공격은 손쉽게 식별이 가능하다. 그리고, 어베스트 위협 분석 연구소에서 근무하는 Michal Salat는 다음과 같은 기능을 활용하는 것을 추천한다.

 

 

1) 패치 - 네트워크에 위치한 모든 장치 및 장비를 최신으로 업데이트한다. 어베스트에서 제공하는 소프트웨어 업데이터(Software Updater) 모듈을 이용하여 어베스트가 설치된 PC에서 윈도우 이외, 브라우저, 플러그인과 같이 보안상 취약할 가능성이 있는 소프트웨어를 항상 최신으로 유지한다.

 

 

 

2) VPN - 노출된 무선 네트워크 환경에서 안전하게 웹서핑이 가능하도록 VPN 서비스를 이용한다. 어베스트에서 제공하는 SecureLine VPN 서비스를 이용하여 안전한 인터넷 서핑을 즐길 수 있다. 게다가, SecureLine VPN은 어베스트 인터넷 시큐리티 및 프리미어 제품에서 제공하는 방화벽 기능과 효율적으로 동작할 수 있도록 설계되었다.

 

 

 

3) 안전한 Wi-Fi 환경 - 커피숍, 식당과 같이 일반인이 접속하는 무선 네트워크나 개인이 무심코 열어 놓은 무선 네트워크를 이용하는 것은 보기에는 돈을 절약할 수 있다고 생각할 수 있지만, 반대로 개인 정보가 유출되는 위험을 초래할 수 있다. 어베스트에서 제공하는 Wi-Fi 검사기(Wi-Fi Inspector)는 무선 네트워크에 존재하는 취약점 및 잠재적인 보안상 문제점을 찾을 수 있도록 도와준다. 특히, 이용하는 무선네트워크 및 연결된 장치들을 식별하고, 관련된 취약점, 취약한 비밀번호 등 다양한 문제점을 효율적으로 찾아 주는 기능을 제공한다.

 

 

 

어베스트 보안 솔루션에서는 악성코드의 탐지 및 치료, 샌드박스, 웹 사이트를 통한 감염 예방, 랜섬웨어 방어와 같이 최신 유행하는 다양한 보안 위협을 효과적으로 대응할 수 있는 모듈을 탑재하고 있다.

 

앞서 소개한, 소프트웨어 업데이터, SecureLine VPN, Wi-Fi 검사기 등을 통해 무선 네트워크를 이용할 때 효과적으로 보안을 강화하는 방안과 더불어 WPA2 취약점으로부터 보호할 수 있는 수단으로 활용하기 바란다.

 

고맙습니다.