2011.11.22

와이파이 보안: 해야 할 것과 하지 말아야 할 것

Eric Geier, | CIO

와이파이는 본질적으로 해킹과 도청에 취약하지만, 올바른 보안 조치를 취한다면 안전하게 이용할 수 있다. 안타깝게도 웹에는 오래된 버전의 조언들만 널리 퍼져있다. 이러한 잘못된 믿음을 해결할 수 있도록 와이파이 보안과 관련해 해야 할 것과 하지 말아야 할 것들에 관해 살펴보도록 하자.

1. WEP을 사용하지 말라

WEP(wired equivalent privacy) 보안은 오래 전에 사멸한 기술이다. 경험이 많은 대부분의 해커들은 WEP의 기저 암호화를 쉽게 빠르게 뚫을 수 있다. 그러므로 WEP를 절대로 사용하지 말아야 한다. 만약 WEP를 사용하고 있다면, 802.1X 인증 기능이 있는 WPA2(와이파이 보호 접속)인 802.11i로 즉시 업그레이드하라. 만약 WPA2를 지원하지 않는 레거시 클라이언트 혹은 액세스포인트(AP)가 있다면, 펌웨어를 업그레이드하거나 장비를 교체하라.

2. WPA/WPA2-PSK를 사용하지 말라

WPA와 WPA2의 선공유키(PSK) 모드는 비즈니스 또는 기업 환경에 안전하지 않다. 이러한 모드를 사용하고 있다면, 동일한 선공유키가 각 클라이언트로 입력돼야 한다. 그러므로 직원들이 퇴사할 때, 클라이언트를 분실하거나 도난당할 때마다 PSK를 변경해야 하기 때문에 대부분의 환경에서 실용적이지 않다.

3. 802.11i를 사용하라

WPA와 WPA2 보안의 EPA(확장형 인증 프로토콜, extensible authentication protocol) 모드는 PSK 대신 802.1X 인증을 사용하기 때문에 각 사용자 혹은 클라이언트가 자신만의 로그인 정보(사용자명과 비밀번호 그리고/또는 디지털 인증)를 사용할 수 있는 기능을 부여할 수 있다.

실제적인 암호화 키는 정기적으로 변경되고 백그라운드로 교환된다. 그러므로 사용자의 접속을 변경하거나 취소하기 위해서 해야 할 일은 각 클라이언트에서 PSK를 변경하는 것이 아닌 중앙 서버에서 로그인 정보를 수정하는 것이다. 고유한 세션별 키를 통해 사용자들이 다른 사용자의 트래픽을 도청하는 것을 방지할 수 있다(이러한 기능은 파이어폭스용 애드온 파이어십(Firesheep)과 안드로이드 앱 드로이드십(Driod Sheep)으로 손쉽게 수행할 수 있다).

802.1X를 사용하는 WPA2에서 최고의 보안 효과를 거두기 위해서는 802.11i를 사용해야 한다는 것을 명심하라.

802.1X 인증을 사용하기 위해서는 RADIUS/AAA 서버를 가지고 있어야 한다. 만약 윈도우 서버 2008 또는 그 이후 버전을 사용하고 있다면, 네트워크 정책 서버(NPS) 혹은 이전 서버 버전의 인터넷 인증 서비스(IAS)의 사용을 고려해보라. 만약 윈도우 서버를 사용하고 있지 않다면, 오픈 소스로 제공되는 FreeRADIUS 서버를 사용하라.

윈도우 서버 2008 R2 혹은 이후 버전을 사용하고 있다면 그룹 정책(Group Policy)을 통해 802.1X 설정을 도메인 결합 클라이언트로 밀어낼 수 있다. 그렇지 않다면, 클라이언트 구성을 위해 제3의 솔루션을 사용함으로써 도움 받을 수 있을 것이다.




2011.11.22

와이파이 보안: 해야 할 것과 하지 말아야 할 것

Eric Geier, | CIO

와이파이는 본질적으로 해킹과 도청에 취약하지만, 올바른 보안 조치를 취한다면 안전하게 이용할 수 있다. 안타깝게도 웹에는 오래된 버전의 조언들만 널리 퍼져있다. 이러한 잘못된 믿음을 해결할 수 있도록 와이파이 보안과 관련해 해야 할 것과 하지 말아야 할 것들에 관해 살펴보도록 하자.

1. WEP을 사용하지 말라

WEP(wired equivalent privacy) 보안은 오래 전에 사멸한 기술이다. 경험이 많은 대부분의 해커들은 WEP의 기저 암호화를 쉽게 빠르게 뚫을 수 있다. 그러므로 WEP를 절대로 사용하지 말아야 한다. 만약 WEP를 사용하고 있다면, 802.1X 인증 기능이 있는 WPA2(와이파이 보호 접속)인 802.11i로 즉시 업그레이드하라. 만약 WPA2를 지원하지 않는 레거시 클라이언트 혹은 액세스포인트(AP)가 있다면, 펌웨어를 업그레이드하거나 장비를 교체하라.

2. WPA/WPA2-PSK를 사용하지 말라

WPA와 WPA2의 선공유키(PSK) 모드는 비즈니스 또는 기업 환경에 안전하지 않다. 이러한 모드를 사용하고 있다면, 동일한 선공유키가 각 클라이언트로 입력돼야 한다. 그러므로 직원들이 퇴사할 때, 클라이언트를 분실하거나 도난당할 때마다 PSK를 변경해야 하기 때문에 대부분의 환경에서 실용적이지 않다.

3. 802.11i를 사용하라

WPA와 WPA2 보안의 EPA(확장형 인증 프로토콜, extensible authentication protocol) 모드는 PSK 대신 802.1X 인증을 사용하기 때문에 각 사용자 혹은 클라이언트가 자신만의 로그인 정보(사용자명과 비밀번호 그리고/또는 디지털 인증)를 사용할 수 있는 기능을 부여할 수 있다.

실제적인 암호화 키는 정기적으로 변경되고 백그라운드로 교환된다. 그러므로 사용자의 접속을 변경하거나 취소하기 위해서 해야 할 일은 각 클라이언트에서 PSK를 변경하는 것이 아닌 중앙 서버에서 로그인 정보를 수정하는 것이다. 고유한 세션별 키를 통해 사용자들이 다른 사용자의 트래픽을 도청하는 것을 방지할 수 있다(이러한 기능은 파이어폭스용 애드온 파이어십(Firesheep)과 안드로이드 앱 드로이드십(Driod Sheep)으로 손쉽게 수행할 수 있다).

802.1X를 사용하는 WPA2에서 최고의 보안 효과를 거두기 위해서는 802.11i를 사용해야 한다는 것을 명심하라.

802.1X 인증을 사용하기 위해서는 RADIUS/AAA 서버를 가지고 있어야 한다. 만약 윈도우 서버 2008 또는 그 이후 버전을 사용하고 있다면, 네트워크 정책 서버(NPS) 혹은 이전 서버 버전의 인터넷 인증 서비스(IAS)의 사용을 고려해보라. 만약 윈도우 서버를 사용하고 있지 않다면, 오픈 소스로 제공되는 FreeRADIUS 서버를 사용하라.

윈도우 서버 2008 R2 혹은 이후 버전을 사용하고 있다면 그룹 정책(Group Policy)을 통해 802.1X 설정을 도메인 결합 클라이언트로 밀어낼 수 있다. 그렇지 않다면, 클라이언트 구성을 위해 제3의 솔루션을 사용함으로써 도움 받을 수 있을 것이다.


X