WPA 발표 후 탄력… ‘총체적 접근’ 필요
무선랜과 같이 짧은 기간에 많은 변화를 몰고 온 기술은 그리 많지 않다. 무선랜 기반 기술은 올해 IT의 경영 키워드인 유비쿼터스에 응용하고 있을 정도다. 이러한 변화 속에서 무선랜 보안은 이중적인 얼굴을 하며 무선랜의 핵심적인 역할을 담당하고 있다.

무선랜 보안은 시장의 성장을 더디게 하던 부정적인 힘이었으나 와이파이협회(Wi-Fi Alliance)에서 WPA(Wi-Fi Protected Access)가 발표 된 후에는 무선랜 보안이 무선랜 시장 성장의 원동력이 될 것이라고 전망했다.
일부 벤더는 WPA가 발표되기 전인 2002년 중반부터 RrK(Rapid re-Keying)나 LEAP(Light EAP) 등의 이름으로 엔터프라이즈급 무선랜 보안솔루션을 출시했으나 시장 활성화에는 큰 영향을 미치지 못했다. 이 솔루션들은 엔터프라이즈급의 무선랜 보안기능이었음에도 불구하고 표준이 아니어서 다른 벤더와의 호환이 보장되지 않은 것이 문제였다. 그러나 무선랜을 꼭 사용해야 하는 기업에서는 WPA 발표 이전에도 이들을 도입해 무선랜을 구축했다.
현재는 엔터프라이즈급의 무선랜 보안이 필요한 시장에서 WPA라는 표준기술을 사용 할 수 있는 기반이 마련돼 그동안 무선랜이 활성화되지 못했던 금융시장이나 공공 시장 등에서도 무선랜의 적극적인 검토가 이루어지고 있는 실정이다.
802.11i 표준 정립 시급 비표준으로는 WEP키를 빠르게 갱신하는 기술이나 와이파이협회에서 인증하기로 한 WPA의 TKIP가 있는데 이 기술은 보안의 효과면에서 동일하며 보안 전문가들도 현재의 해킹 기술에 대비해 볼 때 안전한 것으로 인정하는 기술이다. 향후 802.11i까지 표준화가 되면 보안 기술을 하드웨어적으로 구현해 더 빠른 무선랜 기술에 보안 기능을 구현하더라도 속도를 유지할 수 있는 시기가 될 것으로 보인다.
그런데 엔터프라이즈급 무선랜 도입을 검토하는 사람들은 WPA가 IEEE 802.11i의 기능 중에서 소프트웨어적으로 쉽게 적용 가능한 기능들부터 도입해 인증을 시작했다는 것을 잊지 말아야 한다. 무선랜 도입때 WPA로 부족한 점을 향후 어떤 방법으로든지 채워 나가는 방법을 고려해야 한다. 무선랜 도입 규모가 커질수록 무선랜담당자들은 좀더 상세한 방향을 설정한 적용 계획을 준비해야 한다.
그렇지 않으면 802.11a/b/g 등의 여러 가지 표준 기반과 비표준 무선랜 기술들이 시장에서 경쟁을 하고 있는 상황에서 예산을 낭비하는 결과를 초래할 수도 있기 때문이다. 실제로 공공이나 금융 등의 엔터프라이즈 시장에서는 WPA 제품이 출시했으나 아직 무선랜 도입을 쉽게 생각하지 않고 있다. 먼저 무선랜을 도입해 겪을지 모르는 시행착오를 줄이기 위해 동종기업이 먼저 도입한 무선랜 사례를 보기 원하면서 상황을 지켜보고 있는 실정이다. 다행인 것은 WPA 출현 이전보다는 금융권 등에서 무선랜 도입을 검토하는 상황들이 훨씬 편안해졌다는 것이다.

하드웨어에 대한 투자 보호해야 와이파이협회에서는 IEEE 802.11i 보안 표준을 WPA v2라는 이름으로 인증할 계획이다. 그래서 무선랜 도입을 검토하는 담당자들은 802.11i가 하드웨어적으로 구현돼 상품으로 출시되는 시기와 WPA v2인증으로 호환성까지 얻을 수 있는 시기를 미리 예측해 각자 무선랜 보안 적용 계획을 준비해야 한다.
또 향후 무선랜 속도의 향상과 정보통신부에서 5GHz 대의 무선랜 서비스 허용시기 등에 따라서 영향을 받지 않고 이미 설치된 무선랜 하드웨어에 대한 투자를 보호할 수 있는 적용 계획을 가지고 있어야 한다. <그림 1>의 와이파이협회 보안 인증 일정은 표준 기반의 무선랜 보안을 적용하려고 할 때 어느 시기에 맞추어 무선랜을 도입해야 할지 결정하는데 도움이 될 수 있다.
아직 표면적으로는 보이지 않지만 WPA의 발표와 함께 무선랜 핫스팟의 양적인 증가는 많은 사람들이 무선랜 기반의 사업을 구상하도록 하고 있다. 머지않아 PDA나 다양한 무선랜 전화기, 무선랜 단말기 기반의 게임이나 서비스 그리고 주정차 지역과 상습 정체 구역에서의 무선랜 핫스팟 서비스를 이용할 수 있는 차량용 솔루션들을 볼 수 있을 것으로 기대된다. 특히 핫스팟에서 사용 가능한 무선랜 보안 방안들이 이미 준비되고 있어 안전함까지 같이 제공될 수 있을 것으로 예측된다.
현재 한국전자통신연구원에서는 리눅스 기반의 WPA기술을 일반 기업들에게 전수하고 있고, 마이크로소프트에서 새로 발표하는 OS는 PDA까지도 VPN 클라이언트 기능을 기본으로 내장하는 등 기업 업무에 응용할 수 있는 무선랜 보안기반이 마련되고 있다.
와이파이협회가 WPA무선랜 보안 인증 발표 이후 무선랜이 더욱 활성화되고 있지만, 아쉬운 점은 아직도 무선랜 보안 운영에 무관심한 기업이 있다는 것이다. 기존에 무선랜 장비가 보유한 기능으로도 무선랜 보안을 안전하게 구축 할 수 있는 기능이 있는데도 말이다. 이 때문에 정보통신부는 이런 환경을 개선하려고 지난 7월에 별도의 무선랜 보안 운영 지침을 발표했다.

현재의 보안기술 최대한 활용하라
한편 무선랜 보안을 향상시킬 수 있으면서 적용하지 않고 무방비 상태로 운영하는 상황들이 자칫 무선랜 보안에 문제가 있는 것처럼 비춰져 무선랜 시장을 냉각시키는 작용을 하기도 한다. 실제로 얼마전 한 TV 방송국에서 허술한 무선랜 보안 운영 실태를 방영해 큰 반향을 일으키기도했다.
무선랜 도입 초창기에는 비용 부담으로 인해 보안에 관련한 추가 비용 지출을 하지 않는 것이 시장 활성화를 위해 도움이 됐던 시기가 있었던 것은 사실이다. 하지만 이제는 장기적인 시장 활성화 측면에서 무선랜 보안이 완벽하게 이뤄지지 않으면 시장 성장에 부정적인 요소로 작용하고 있다.
2002년 초기만 하더라도 기업에서 VPN을 통해 무선랜 보안을 보강하는 것은 부담으로 작용했지만 소호에서의 VPN은 기존 PC 공유기나 보안 라우터에서 추가 비용없이 적용할 수 있게 됐다. 또 엔터프라이즈용 무선랜 보안 부분은 일부 벤더들에 의해서 WEP키를 다이나믹하게 갱신하는 무선랜 장비의 기능이 구현되면서 그 부담을 대폭 경감시켰다.
그러나 엔터프라이즈 시장은 아직도 보안기능이 완벽하지 않은 저가 장비들로 인해 활성화되지 않는 상황이다. 최근까지도 표준을 적용하지 않았다는 이유로 보안기능이 취약한 무선랜 장비를 도입하는 근거를 만들고 있다.
와이파이협회에서는 기능적으로는 완벽하지만 비표준 무선랜 보안 솔루션이라는 상황을 해결하기 위해서 WEP키를 다이나믹하게 갱신하는 802.11i의 TKIP을 사용하는 WPA를 인증하기로 했고 올해 하반기를 지나면서 WPA관련 제품들이 출시될 예정이다.
사용자들은 보안을 우선적으로 고려해야 하고 현재 가지고 있는 보안기술을 최대한 사용하는 적극적인 자세로 무선랜 보안에 대처해 나가야 할 것이다. 그렇다면 어떻게 대처해 나가야 하는 것일까. WPA에서 아직 포함하지 않는 802.11i의 Secure IBSS, Secure Fast Handoff, Secure De-authentication, Disassociation, AES와 같은 프로토콜을 적용하기 위해서는 하드웨어적인 업그레이드가 필요하다. 802.11i의 표준이 완성되어 모든 기능이 적용되면 무선랜 서비스제공자가 가입자들을 위해 공유를 막으며, 보안이 유지되면서도 빠른 로밍이 가능 할 것이다.

<그림1>와이파이 협회의 보안인증 일정

<그림2>무선랜 DMZ 보안의 방안

내부자 침입 방지책 확보해야
<그림2>의 무선랜 DMZ 보안의 방안에서 보듯이 내부 무선랜과 핫스팟을 이용한 비즈니스 수행시 내부 무선랜 보안을 위해서 WLAN DMZ 구간에 VPN 게이트웨이를 벤더 솔루션이나 WPA 그리고 향후 IEEE 802.11i를 적용하는 로드맵을 준비해야 한다. 802.11a 등으로 속도를 향상시키는 계획 속에 802.11i를 동시 적용을 하는 것이 경제적이면서도 안전한 방법 중의 하나로 보인다.
또 운영면에서 심각하게 고려해야 할 점이 있는데 이는 내부보안 강화이다. 전체 보안 사고의 70%가 방화벽 내부의 직원 및 관련업체들로부터 이루어지고 있다는 것은 이를 강화해야 한다는 것을 반증하는 결과다. 대부분의 사람들이 완벽한 방어를 제공해줄 것이라고 생각하고 있는 장비가 결국 주된 보안 공격들에 대해서는 장님인 셈이다. 최근 문제가 된 은행권의 고객 비밀번호 유출 역시 내부 직원에 의한 정보 유출로 드러났다.
내부자 공격에 의한 문제를 해결하기 위해서는 인프라의 취약 부분들을 모두 관찰하고 각각에 적절한 방어체계를 구축하는 소위 ‘총체적 접근’의 보안이 필요하다. 이것은 무선 네트워크 액세스 포트 단계에서부터 인증을 적용하는 IEEE 802.1x 같은 새로운 표준을 기반으로 해 확장된 보안정책을 각각의 IT 사용자 별로 적용하는 것이다.
특히 ‘총체적 보안’ 아키텍처는 누가 시스템을 공격하는지를 탐지하는 것은 물론 시스템을 자동으로 보호하는 데에도 초점을 맞추어야 한다. 구체적인 장비로는 IDS기반의 IPS 등이 해결책이 될 것이다. 또한 내부자에 의한 정보 오용 및 유출을 막기 위해 사용자 맞춤형의 네트워크를 구축하는 것도 한 방법이다.
즉 특정 사용자의 업무나 직책에 따라 적절한 네트워크 자원에 대한 접근이 이뤄지도록 하는 사용자 기반의 네트워크를 도입하는 것이다. 이 같은 네트워크 도입은 네트워크 전 포트에 방화벽을 설치한 효과를 보여주며 내부까지도 안전한 네트워크가 이뤄질 수 있도록 한다.
무선랜은 유선과 달리 해킹 흔적을 추적하기가 힘들어 완전범죄를 만들 수 있는 환경이 될 수도 있다. 우리 모두 보안 사고들이 주는 교훈을 잊지 말고 무선랜 보안에 대한 사항은 항상 최우선으로 다뤄야 할 것이다.