새로 출시되는 모든 와이파이 기기는 WPA3 지원 인증을 받아야 한다. 이는 기존과는 다른 방식으로 무선랜 보안을 관리해야 함을 시사한다.
WPA3는 엔터프라이즈 네트워크의 보안을 위해 개발된 최신 와이파이 보안 인증이다. 모든 와이파이 장치는 WPA3를 의무적으로 지원해야 한다. 최근처럼 원격 근무자가 많아지고 보안 위협이 부상하는 상황 속에서 강화된 무선 네트워크 보안이 시기적절하게 등장한 셈이다.
WPA3란?
WPA3는 전 세계 와이파이 서비스 제공사들의 단체인 와이파이 얼라이언스가 2018년 6월 도입한 3세대 WPA다. 1세대 WPA는 2003년 처음 등장했고 2세대 WPA2가 2004년부터 활용돼 왔다.
와이파이 얼라이언스의 와이파이 인증 ‘공식 승인’ 표기가 붙은 제품은 상호운용성과 하위호환성이 검증되었다는 의미이자, 업계 표준 보안 보호 기능을 갖췄음을 뜻한다.
WPA3가 필요한 이유
공공 와이파이 네트워크의 보안 취약성은 오래 전부터 제기돼 왔다. 2020년 7월 뮌헨재보험(Munich Re) 산하 사이버 보험사인 HSB의 보고서에 따르면, 해커들은 개인정보를 도용하거나 자금을 탈취하기 위해 신원 도용, 사이버 공격, 온라인 사기 등의 행각을 지속적으로 벌이고 있는 추세다.
HSB가 조그비 애널리틱스에 의뢰해 미국 소비자 1,151명을 대상으로 설문조사를 실시한 결과, 대다수의 사람들이 공공 와이파이를 통한 해킹이나 개인정보 도용을 우려하고 있는 것으로 나타났다.
설문 조사 대상자 가운데 약 4분의 1은 본인의 신원이 도용된 적이 있다고 응답했다. 2018년과 2016년에 HSB에서 비슷한 내용으로 설문조사를 실시했을 때와 대비해 응답 비율이 5% 상승했다.
또 3분의 1은 사이버 공격을 겪은 적이 있다고 응답했으며 컴퓨터 바이러스나 기타 맬웨어에 의한 피해 사례가 가장 많았다(응답자의 72%가 언급함). 본인의 이메일이나 SNS 계정이 모르는 사람에 의해 무단으로 조작되거나 접수 또는 사용된 사례가 있다고 응답한 비율(23%)도 4분의 1에 가까웠다.
그럼에도 와이파이 수요는 계속해서 늘고 있다. 마켓앤마켓이 최근 발간한 보고서에 따르면, 서비스로서의 와이파이 시장은 2020년 34억 달러 규모에서 2025년경이면 84억 달러 규모까지 연평균 20%의 속도로 성장할 것으로 관측된다.
또 최근 코로나 19 사태 동안, 직원들에게 업무용 모바일 기기를 제공하지 않는 회사들은 직원 개인장비 지참(BYOD) 정책을 추진하고 있다. 이로 인해 직원들은 와이파이를 통해 자신의 모바일 기기에서 회사 자료에 접근할 수 있게 됐다.
그러나 한편으로는 많은 기업들이 데이터 보안과 개인정보보호 침해 우려와 같은 이슈로 인해 와이파이를 업무에 도입하는 걸 꺼리고 있는 상황이다.
WPA3인증은 무선 네트워크상의 보안 위협이나 취약점을 해결하여 기업들이 안심할 수 있도록 하기 위해 도입됐다. WPA3 인증과 관련하여 사이버보안 팀에서 알아야 할 8가지 사항은 다음과 같다.
1. WPA3는 모든 와이파이 장치가 의무적으로 받아야 한다
와이파이 얼라이언스의 수석 부사장 케빈 로빈슨에 따르면, 2020년 7월 1일부로 모든 신규 와이파이 인증 장치는 이 최신 인증을 의무적으로 받아야 한다.
IT 시장조사기관 IDC의 연결성 및 스마트폰 반도체 리서치 담당자인 필립 솔리스는 “과거 2년간 WPA3 인증은 선택 사항이었다. 와이파이 장치들은 짧게는 2년에서 길게는 20년 동안 사용될 수 있다. 따라서 앞으로는 최신 와이파이 보안 표준을 사용하는 게 중요하며, 이는 더 이상 선택 사항이 아니다”라고 덧붙였다.
2. WPA2 장치는 WPA3와 연동된다
WPA3는 WPA2에 각종 보안 기능이 추가된 버전이다. 로빈슨에 따르면 WPA3는 와이파이 보안 절차가 간소화되고, 인증이 강화되며, 민감 데이터의 암호화 수준도 강화된다. 또한, 중요 네트워크의 회복탄력성을 유지하기 위한 기능들도 추가돼 있다.
업체들이 WPA3에 맞춘 와이파이 서비스 제공에 나섬에 따라 기존 WPA2 규격 장치들이 WPA3와의 연동은 물론 적정한 보안도 제공할 것으로 전문가들은 내다보고 있다. 하지만 이 과정에서 업그레이드가 요구된다는 설명이다.
솔리스는 “WPA2는 세상에 나온 지 15년이 지났다”면서 “새로운 규격으로 넘어갈 때가 됐다”라고 말했다.
이어 “WPA3는 트랜지션 모드에서 WPA2와도 연동된다”라며 “단 WPA3만 사용하는 것보다는 보안상 취약하다”라고 설명했다. 향후 WPA3가 대세가 될 것이므로 소비자용 와이파이 네트워크의 보안은 시간의 흐름에 따라 더욱 탄탄해지고 기업용 네트워크는 WPA3 장치의 연결만 허용하게 될 거라는 설명이다.
3. WPA3규격에는 개인용 보안 모드가 있다
WPA3규격에는 개인 사용자를 위해 비밀번호를 설정할 수 있는 WPA 3-퍼스널이라는 보안 모드가 있다. 보안 권고수준에 못미치는 비밀번호가 허용되는 모드다. 로빈슨은 “또 개인 사용자 모드는 오프라인 사전 공격(offline dictionary attack)에 대처할 수 있다”라고 전했다. 사전 공격은 네트워크에 연결되지 않은 상태에서 사전의 단어를 순차적으로 입력해 비밀번호를 알아내는 해킹 공격이다.
WPA3-퍼스널은 SAE(Simultaneous Authentication of Equals)을 활용한다. SAE는 장치 간 보안 키를 설정하는 프로토콜로, 제3자가 추측을 통해 비밀번호를 해킹하려는 시도를 막을 수 있어서 보호 기능이 한층 강화된다. 솔리스는 “WPA-퍼스널의 핵심은 순방향 비밀성을 보장한다는 점이다. 혹여 비밀번호가 해킹되더라도 해킹 시점 이전의 데이터는 보호된다”라고 설명했다.
4. WPA3에는 조직용 보안 모드가 있다
WPA3에는 조직 전용인 WPA3-엔터프라이즈라는 보안 모드도 있다. 로빈슨에 따르면, 이 모드는 상업용국가보안알고리즘(CNSA)에 부응하는 192비트의 최소 강도 프로토콜(192-bit minimum-strength security protocols)과 암호화 도구를 사용해 민감한 자료를 한층 강력하게 보호해준다.
192비트 보안 모드는 암호화 도구들이 적절히 결합되어 사용되고 있는지 여부를 확인하고 WPA3 네트워크 내에 일관성 있는 보안 기준을 세팅한다. 로빈슨은 “WPA3-엔터프라이즈는 WPA2를 기반으로 하며 정부기관, 금융기관, 기업용 네트워크 전반에 보안 프로토콜이 일관성 있게 적용될 수 있도록 한다”라고 말했다.
솔리스는 WPA3-엔터프라이즈의 핵심 특징은 192비트 암호 설정 기능을 지원한다는 점이라며, 이는 정부 및 금융부문에 의미가 크다고 덧붙였다.
5. WPA3 인증 장치에는 최신 보안 프로토콜이 있다
로빈슨은 WPA3이 의무화됨에 따라 때문에 조직과 소비자가 (최근 구입했거나 향후 구입할 와이파이 기기에) 최신 보안 프로토콜이 적용돼 있을 것으로 간주할 수 있게 됐다고 말했다. 그는 “WPA3-퍼스널 사용자들은 비밀번호 해킹 시도를 훨씬 효과적으로 예방할 수 있으며 WPA3-엔터프라이즈 사용자들은 민감한 데이터가 오고가는 네트워크에 고급 보안 프로토콜을 적용할 수 있다”라고 전했다.
6. WPA3 장치에선 특히 비밀번호를 재사용하지 못하도록 하는 게 중요하다
텔아비브 대학교 컴퓨터과학대학에서 사이버보안과 응용 암호학을 연구하는 에얄 로넨 교수는 WPA3와 관련해 잘 납득이 되지 않는 점이 하나 있다고 지적했다. WPA3가 사용자의 모든 장치에 비밀번호를 암호화해 저장하도록 강제한다는 점이 바로 그것이다. 클라이언트 측과 액세스 포인트 측에 모두 같은 방식이 적용된다.
로넨 교수는 “이는 일반적으로 서버에 비밀번호가 저장되는 방식과 대조된다(보통은 비밀번호의 솔티드 해시(salted hash) 아웃풋만 저장된다). 그렇기 때문에 그 어떤 다른 경우라도 와이파이 비밀번호를 재사용하지 않도록 하는 것이 중요하다”라고 덧붙였다.
7. WPA는 WEP의 단점을 해결한다
와이파이 얼라이언스는 과거 사용된 암호화 방식인 WEP(Wired Equivalent Privacy)에서 발견된 취약점을 해결하기 위해 WPA를 세상에 내놓았다. 솔리스에 따르면 “(WEP는) 각 패킷에 동일한 암호화 키를 사용했기 때문에 자동화된 소프트웨어로 빠르게 해킹할 수 있었다. WEP 해킹과 관련한 언론 보도와 보안 기능이 없는 공개형 와이파이 AP 때문에 와이파이가 보안에 취약하다는 인식이 만들어졌다”라고 말했다.
8. WPA3는 계속 개발되는 중이다
로빈슨은 와이파이 얼라이언스가 WPA3를 계속 개발하고 있다고 밝혔다. WPA3는 2018년에 도입된 이후 2019년 12월에 기능이 업그레이드됐고 현재도 지속적으로 개발되고 있는 중이다. ciokr@idg.co.kr