최신 버전의 WPA(Wi-Fi Protected Access) 표준인 WPA3는 거의 20년 동안 무선 네트워크 주요 보안 프로토콜로 사용되어 온 WPA2의 뒤를 잇는 존재다. 이 새로운 표준은 WPA2에 내재된 보안 취약점을 해결하고 새로운 보안 기능을 지원한다.
퍼스널 모드, 엔터프라이즈 모드, 개방형 네트워크 모두에서 WPA3는 와이파이 도청 및 해킹으로부터 훨씬 더 강력한 보호 기능을 제공한다. 다음은 WPA3의 주요 기능이다.
- 퍼스널 모드의 암호화 강화: WPA3는 오프라인 사전 공격(오프라인 사진공격)에 대해 강력한 보호 기능을 제공하는 SAE(동시 인증) 등의 강화된 암호화 프로토콜을 도입했다. 드래곤클라이라도도 알려진 이 프로토콜은 WPA/WPA2-Personal에서 사용되는 PSK(사전 공유 키) 방식을 대체한다.
- 퍼스널 모드에 대한 무차별 대입 공격 보호: WPA3는 퍼스널 보안 모드 사용 시 무차별 암호 대입 공격에 대한 추가 보호 기능을 제공해 공격자가 와이파이 비밀번호를 해독하기 훨씬 더 어렵게 만든다.
- 퍼스널 모드에 대한 순방향 비밀성(Forward secrecy): WPA3를 사용하면 각 연결은 고유한 세션 키를 사용한다. 따라서 공격자가 연결을 가로채 암호를 해독하는 데 성공하더라도 획득한 키를 사용하여 과거 또는 미래의 세션을 해독할 수 없다. 순방향 비밀성이 보장된다.
- 엔터프라이즈 모드에 대한 192비트 보안: WPA3-엔터프라이즈 네트워크에는 192비트 보안 제품군(옵션)이 추가된다. 이는 최고 수준의 보안이 필요한 조직에 추가적인 보호 계층을 제공한다. 이 보안 제품군은 정부 및 국방 부문의 엄격한 보안 요구 사항을 충족하는 상용 국가 보안 알고리즘(CNSA) 제품군 암호화를 사용한다.
- 개방형 네트워크에 대한 암호화된 공용 연결: 와이파이 6와 함께 발표된 새로운 기회적 무선 암호화(OWE)는 암호 없이 와이파이 네트워크를 암호화하는 기능(와이파이 얼라이언스에서 ‘와이파이 인핸스드 오픈’(Wi-Fi Enhanced Open)이라고 부름)을 추가한다.
이 기능을 사용하면 퍼블릭 핫스팟에 연결할 때 VPN을 사용하여 트래픽을 암호화하는 것과 비슷하게 개방형 및 공용 와이파이 네트워크에서도 보다 안전하게 비공개로 연결할 수 있다. 이 기능은 네트워크 디바이스의 옵션이기에 하드웨어가 와이파이 6 또는 WPA3와 호환될 때만 지원하는 것은 아니다. 또한 OWE에는 인증이 필요하지 않으므로 모든 클라이언트가 연결할 수 있다. 어쨌든 개방형 네트워크에서 개인 정보 보호를 제공한다는 것이 요점이다.
엔터프라이즈 네트워크에서 WPA3를 사용하기 위한 요구 사항
WPA3를 구현하려면 몇 가지 영역에서 신중한 계획과 고려가 필요하다:
- 네트워크 지원: 액세스 포인트 및 컨트롤러를 포함한 네트워크 인프라가 WPA3 및 (원하는 경우) 개방형 네트워크용 OWE(선택 사항)를 지원하는지 확인한다. 대부분의 최신 네트워크 디바이스는 WPA3와 호환되지만, 구형 하드웨어는 업데이트 또는 교체가 필요할 수 있다.
WPA3의 특정 선택적 기능을 활용하려면 해당 기능에 대한 모든 요구 사항을 조사하고 고려해야 한다. 예를 들어, 엔터프라이즈 모드에서 192비트 보안을 사용하려면 RADIUS 서버가 특정 EAP 모드를 지원해야 하며 802.1X 인증을 위해 서버 및 클라이언트 측 인증서를 사용하여 EAP-TLS를 구현해야 한다. 무선 컨트롤러가 지원을 제공하거나 외부 RADIUS 서버를 활용해야 할 수도 있다.
- 클라이언트 지원: 네트워크에 연결하는 디바이스가 WPA3를 지원하는지 확인한다. 대부분의 최신 스마트폰, 태블릿, 노트북은 WPA3와 호환되지만, 일부 레거시 디바이스는 업데이트 또는 교체가 필요할 수 있다. 모든 클라이언트 디바이스가 WPA3를 지원하지 않는 경우 WPA2/WPA3 혼합 모드로 네트워크를 실행할 수 있다.
- 소프트웨어 업데이트: 네트워크 및 클라이언트 하드웨어가 이미 WPA3 및 OWE를 지원하더라도 더 많은 표준을 지원하기 위해 펌웨어 및 드라이버 업데이트가 나온 경우가 있다. 펌웨어 및 드라이버 업데이트를 확인할 필요가 있는 셈이다. 업데이트하면 배포 옵션이 추가될 수 있다.
- 구성: WPA3 및/또는 OWE 암호화 및 인증 프로토콜을 사용할 수 있도록 컨트롤러/액세스 포인트를 구성해야 한다. 모든 네트워크 장비가 정확히 동일한 배포 옵션을 지원하는 것은 아니다.
WPA3 사용을 위한 팁
다음은 기업 네트워크에서 WPA3의 이점을 극대화하기 위한 몇 가지 팁이다:
1. WPA2/WPA3 혼합 모드를 사용한다: 모든 클라이언트가 WPA3를 지원하도록 할 수 있는 소규모의 통제된 네트워크에서 작업하는 경우가 아니라면 여전히 WPA2 클라이언트도 지원하는 것이 적절하다. 이는 WPA2/WPA3 혼합 또는 전환 모드를 사용하면 가능해진다. 성능 면에서 최선은 아닐지라도, 구형 클라이언트 연결을 지원할 수 있다.
2. 다양한 배포 구성을 이해한다: WPA3를 지원하는 장비를 구성할 때 보안과 관련된 새로운 배포 옵션을 많이 찾을 수 있다. 이는 배포 전, 장비를 선택할 때에도 고려해야 할 사항이므로 원하는 방식을 지원하는지 확인해야 한다. WPA3-퍼스널의 경우, 비밀번호 생성을 위한 H2E(Hash-to-Element) 또는 빠른 전환이 활성화된 옵션과 같은 옵션을 찾을 수 있다.
또 다른 예도 있다. 일부 네트워크 장비는 6GHz 대역에서 브로드캐스팅하는 SSID에 대해서만 WPA3를 지원하는 반면, 다른 네트워크 장비는 최신 대역에 대해 WPA2/WPA3 혼합 모드를 지원할 수 있다. WPA3-엔터프라이즈의 경우 802.1X-SHA256 AES CCMP 128, GCMP128 SuiteB 1x, GCMP256 SuiteB 192비트 등 다양한 배포 옵션이 지원되는 것을 볼 수 있다. 선호하는 옵션이 있는 경우 선택한 장비가 이를 지원하는지 확인한다. 지원되는 각 배포 구성을 조사하여 무선 LAN 및 클라이언트에 가장 적합한 것이 무엇인지 파악한다.
3. OWE 혼합 모드 사용: 와이파이 인핸스드 오픈 연결을 위해 OWE를 사용하려면 혼합 또는 전환 모드를 사용한다. 이렇게 하면 네트워크가 기존 클라이언트의 암호화되지 않은 기존 연결과 OWE를 지원하는 최신 클라이언트의 암호화된 연결을 모두 허용하게 된다.
4. 어디서나 강력한 비밀번호 사용: WPA3의 강화된 보안에도 불구하고 취약한 비밀번호는 위험할 수 있다. 복잡하고 추측하기 어려운 와이파이 비밀번호를 사용하고, 사용자 비밀번호가 있는 엔터프라이즈 모드를 사용하는 경우 RADIUS 서버를 통해 안전한 사용자 비밀번호를 적용한다.
5. 펌웨어 및 드라이버를 정기적으로 업데이트: 네트워크 인프라 펌웨어를 최신 상태로 유지하여 최신 보안 패치 및 개선 사항, 특히 WPA3에 대한 업데이트를 적용한다. 클라이언트 장치에도 같은 원칙이 적용되며, 새로운 드라이버 소프트웨어는 더 나은 또는 새로운 WPA3 기능을 지원할 수 있다.
6. 불량한, 잘못 구성된, 간섭을 일으키는 AP 모니터링: AP에 우수한 와이파이 보안과 군사급 암호화를 설정해도 직원이나 공격자가 네트워크에 연결한 불량 AP로 인해 보안에 구멍이 생길 수 있다. 또는 승인된 AP가 잘못 구성될 수도 있다. 따라서 사용 가능한 모든 악성 AP 탐지 또는 모니터링을 활성화한다.
거듭 말하지만 WPA3에는 취약점을 해결하고 새로운 보안 기능을 도입하는 등 상당한 개선 사항이 있다. 그러나 고려해야 할 요구 사항이 많다. 퍼스널 모드에서 훨씬 더 안전한 암호화와 전달 비밀을 사용하거나 엔터프라이즈 모드에서 192비트 보안을 사용하려면 그만한 가치가 있을 수 있다. 또한 퍼블릭 와이파이에 와이파이 인핸스드 오픈을 활용하려면 실제로 이를 지원하는 네트워크 장비와 클라이언트를 찾아야 한다는 점도 기억해야 한다.
WPA3를 성공적으로 구현하려면 업데이트된 네트워크 인프라, 클라이언트 호환성 및 신중한 구성이 필요한다. WPA2/WPA3 및 OWE에 혼합 또는 전환 모드를 사용하고, 강력한 비밀번호를 적용하고, 펌웨어 및 드라이버를 최신 상태로 유지하는 것은 WPA3의 이점을 극대화하고 강력한 와이파이 보안을 보장하기 위한 필수 요건이다. ciokr@idg.co.kr