Offcanvas

보안 / 통신|네트워크

'14년만의 전면 보안 강화'··· WPA3의 개선점과 유의점

2018.11.07 Eric Geier  |  Network World

와이파이 얼라이언스(Wi-Fi Alliance)가 14년 만에 처음으로 대대적인 와이파이 보안 개선책인 WPA3를 내놨다. 새로운 보안 프로토콜에서 가장 눈에 띄는 부분은 단순 암호에 대한 보안 강화, 개인 및 개방 네트워크에 대한 개별화된 암호화, 그리고 엔터프라이즈 네트워크를 위한 더욱 강력해진 암호화다.



첫 WPA(Wi-Fi Protected Access) 표준은 WEP를 대체하기 위해 2003년에 나왔으며, 두 번째 WPA 버전은 그로부터 1년 뒤에 나왔다. 이후 오랜 기다림 끝에 이번에 나온 세 번째 WPA 버전은 와이파이 산업과 기업, 그리고 전 세계 수많은 일반 와이파이 사용자에게 (사용자가 알든 모르든) 혜택이 될 반가운 업데이트다.

WPA3는 지난 1월 발표됐으며, 이후 6월 더 개별화된 암호화를 위한 WPA3-퍼스널(WPA3-Personal), 그리고 민감한 데이터를 전송하는 네트워크를 위한 암호화 강도를 높이는 WPA3-엔터프라이즈(WPA3-Enterprise) 인증 프로그램 출범과 함께 공식 출시됐다. 와이파이 얼라이언스는 이 두 가지 배포 모드와 함께 IoT 디바이스와 같이 디스플레이가 없는 와이파이 디바이스의 페어링 프로세스를 간소화하는 와이파이 이지 커넥트(Easy Connect), 그리고 개방 와이파이 핫스팟 네트워크에서 원활한 암호화를 위한 옵션 기능인 와이파이 인핸스드 오픈(Enhanced Open)도 공개했다.

WPA2의 단점 극복
AES(Advanced Encryption Standard)가 적용된 WPA2 프로토콜은 TKIP(Temporal Key Integrity Protocol)을 사용한 첫 WPA의 몇 가지 보안 결점을 패치했다. WPA2는 오래 전에 수명을 다한 WEP 보안에 비해 훨씬 더 안전하다는 평을 받았다. 그러나 WPA2에도 지난 10년 사이 밝혀진 심각한 취약점이 여전히 남아 있었다.

무차별 대입 공격을 사용한 WPA2 퍼스널 암호문 크랙은(일치하는 암호를 찾을 때가지 반복해서 암호를 추정해 대입하는 방식) WPA2의 치명적인 취약점이다. 게다가 전파에서 적절한 데이터를 포착한 해커는 멀리 떨어진 곳에서도 암호 추정 작업을 할 수 있다. 공격의 편의성이 더 높아지는 것이다. 일단 암호를 크랙하면 크랙 전후에 포착한 모든 데이터의 암호화를 해독할 수 있다.

게다가 네트워크의 WPA2 퍼스널 암호문의 복잡함은 보안 크랙의 복잡함과 연계된다. 따라서 네트워크가 단순한 암호를 사용하는 경우(대다수가 그럴 것으로 추정) 보안 크랙도 그만큼 쉽다.

특히 기업 네트워크에서 WPA-2 퍼스널의 또 다른 중요한 취약점은 암호문을 아는 사용자가 다른 사용자의 네트워크 트래픽을 염탐해 공격을 감행할 수 있다는 것이다. WPA/WPA2의 엔터프라이즈 모드는 사용자 대 사용자 스누핑(snooping)에 대한 보호 기능을 제공하지만, 엔터프라이즈 모드를 전개하기 위해서는 RADIUS 서버 또는 클라우드 서비스가 필요하다.

처음부터 존재한 와이파이의 가장 큰 결함은 개방형 공개 네트워크에서의 내장 보안, 암호화, 프라이버시의 부재다. 필요한 툴만 갖추면 누구나 카페, 호텔 및 기타 공개 구역의 와이파이 핫스팟에 연결된 사용자를 스누핑할 수 있다. 이 스누핑은 방문한 웹사이트 모니터링 또는 보호되지 않는 이메일 로그인 인증 정보 캡처와 같이 수동적인 형태도 있고, 사용자의 웹사이트 로그인에 대한 액세스 권한을 획득하기 위한 세션 하이재킹과 같은 적극적인 공격 형태도 있다.

WPA3-퍼스널, 더 안전하고 개인화된 암호화 제공
WPA3는 이전 WPA 버전에 사용된 PSK(Pre-Shared Key) 인증 방법을 대체하는 SAE(Simultaneous Authentication of Equals)을 통해 일반적인 와이파이 암호화를 더 개선한다. 간단한 암호문을 사용하는 WPA3-퍼스널 네트워크라도 해커가 WPA/WPA2에서와 같이 오프사이트, 무차별 대입, 사전 기반 크랙을 통해 쉽게 해킹하지 못하도록 개선됐다. 물론 디바이스를 사용해서 와이파이에 직접 연결을 시도할 때 매우 간단한 암호를 추정하는 것은 가능하지만 실용적인 크랙 방법은 아니다.

WPA3-퍼스널을 사용한 암호화는 더 개인화된다. WPA3-퍼스널 네트워크의 사용자는 와이파이 암호를 알고 성공적으로 연결하더라도 다른 사용자의 WPA3-퍼스널 트래픽을 스누핑할 수 없다. 외부자가 암호를 알아내더라도 수동적인 데이터 교환 관찰로 세션 키를 알아내기는 불가능하므로 네트워크 트래픽의 전방향 안정성이 확보된다. 또한 크랙에 앞서 캡처한 데이터는 해독하지 못한다.

와이파이 이지 커넥트는 최근 발표된 옵션 기능으로, 많은 WPA3-퍼스널 디바이스에 채택되어 WPA/WPA2와 함께 제공되는 WPS(Wi-Fi Protected Setup) 기능을 대체하거나 부가적인 기능으로 적용될 가능성이 높다. 와이파이 이지 커넥트는 디스플레이가 없는 IoT 디바이스를 와이파이에 쉽게 연결할 수 있게 해준다. WPS와 비슷한 버튼식도 포함될 수 있지만 스마트폰에서 디바이스의 QR 코드를 스캔해서 안전하게 디바이스를 연결하는 등의 방법도 추가될 수 있다.

대규모 와이파이를 위한 WPA3-엔터프라이즈
WPA3-엔터프라이즈의 경우 더 향상된 보호를 위해 192비트 보안을 옵션으로 제공한다. 정부 기관, 대기업 및 기타 민감한 정보를 다루는 조직에서 반길 만한 기능이다. 다만 WPA3-엔터프라이즈의 192비트 보안 모드는 특정 RADIUS 서버 구현에 따라 RADIUS 서버의 EAP 서버 구성요소 업데이트가 필요할 수 있다.

와이파이 인핸스드 오픈, 공개 네트워크용 암호화 구현
이번 업데이트에서 가장 큰 개선 중 하나는 와이파이 인핸스드 오픈(Wi-Fi Enhanced Open)이다. 와이파이 인핸스드 오픈은 개방 네트워크(암호문 또는 암호가 없는 네트워크)에서 액세스 포인트와 개별 클라이언트 간의 와이파이 통신을 OWE(Opportunistic Wireless Encryption)를 기반으로 고유하게 암호화할 수 있게 해준다. 또한 보호되는 관리 프레임(Protected Management Frame)을 사용해서 액세스 포인트와 사용자 디바이스 간의 관리 트래픽도 보호한다.


와이파이 인핸스드 오픈은 사용자 간의 웹 트래픽 스누핑 및 세션 하이재킹과 같은 공격을 차단한다. 이러한 모든 작업은 백그라운드에서 수행되며, 사용자는 개방 네트워크에서 지금까지 해왔듯이 연결만 하면 되고 암호를 입력하는 등의 추가되는 작업은 없다.

사실 와이파이 인핸스드 오픈은 WPA3 사양에 공식적으로 포함되지는 않지만 WPA3와 동시에 제품에 추가될 가능성이 높다. 이 기능은 장비 업체가 제품에 포함할지 여부를 선택할 수 있는 옵션 기능이다. 또한 암호화되지 않는 레거시 개방 연결에 대한 지원도 옵션이다. 따라서 WPA3가 사용되지 않는 경우 와이파이 인핸스드 오픈 사용을 강제하는(또는 기본적으로 활성화하는) 방식을 택한 AP 및 라우터 장비업체도 나올 수 있다.

디바이스 지원 등 보편화에 걸리는 시간
WPA3가 하룻밤 사이에 광범위하게 확산되지는 않을 것이다. 2018년 말까지 WPA3를 지원하는 와이파이 디바이스가 일부 나오겠지만, WPA3 지원은 여전히 옵션 기능이며, 앞으로 최대 2년까지 와이파이 얼라이언스 인증의 의무 요건에서 제외될 수 있다. 일부 솔루션 업체는 기존 제품을 대상으로 WPA3 기능이 포함된 소프트웨어 업데이트를 출시할 수 있지만 확실한 보장은 없다. 또한 일부 WPA3 기능에는 제품의 하드웨어 업데이트가 필요할 수 있다는 점도 중요한 부분이다.

또한 일반 소비자와 기업이 업그레이드하는 데 몇 년이 더 걸릴 수 있다. WPA3 디바이스는 WPA2 네트워크에 여전히 연결이 가능하지만 사용자가 WPA3 지원 노트북이나 스마트폰을 구매하더라도 개선된 보안 기능을 이용하려면 네트워크가 WPA3를 지원해야 한다.

가정에서는 사용자가 네트워크를 직접 관리하고 라우터와 디바이스를 WPA3로 업그레이드할 수 있지만, 대규모 네트워크에서 발생하는 업그레이드 비용을 감안하면 기업과 엔터프라이즈 시장에서 WPA3가 도입되기까지는 상당한 시간이 소요될 수 있다. 소규모 공개 와이파이 핫스팟 역시 마찬가지다. 무선 인터넷은 일반적으로 수익이 발생하지 않는 편의 서비스이기 때문이다. 따라서 공개 네트워크에서는 항상 VPN 연결을 사용하는 보안에 민감한 사용자는 향후 몇 년 동안 VPN 연결을 고수할 가능성이 높다.

WPA3-퍼스널은 WPA2-퍼스널 디바이스 연결을 허용하면서 WPA3 퍼스널 네트워크로의 점진적인 마이그레이션을 위한 전환 모드를 제공한다. 그러나 WPA3-퍼스널의 이점을 온전히 얻으려면 네트워크가 WPA3 전용 모드여야 한다. 전환 모드에서 손실되는 이점과 보안에 미치는 영향은 현재 시점에서는 알 수 없다. 이는 일부 기업에서 더 많은 WPA3 최종 사용자 디바이스가 출시될 때까지 WPA3 네트워크 구축을 미루는 이유가 될 수 있다.
 


와이파이 인핸스드 오픈의 잠재적인 제약
와이파이 인핸스드 오픈에서 고려해야 할 또 다른 점은 일부 사용자에게 보안에 대한 잘못된 인식을 심어줄 수 있다는 점이다. 트래픽 도청을 차단하기 위해 사용자에게 개별화된 암호화 기능이 제공되기는 하지만 완전한 보안은 아니라는 점을 인식하는 것이 중요하다. 사용자는 WPA3 네트워크와 같은 방식으로 인증되지 않으므로 집이나 직장 또는 학교에서 개인용 네트워크에 연결할 때 더 취약하다.

와이파이 인핸스드 오픈 네트워크를 사용할 때 유의해야 할 점은 사용자 디바이스에 표시되는 개방 네트워크는 다른 사용자에게도 연결이 개방되어 있을 가능성이 높다는 점이다. 액세스가 암호로 보호되지 않으므로 와이파이 인핸스드 오픈은 가짜 허니팟 네트워크를 차단하는 데는 아무런 도움이 되지 않는다.

현재 대부분의 와이파이 디바이스는 네트워크에서 활성화된 와이파이 보안의 유형을 명확하게 표시하지 않는다. 이 점은 와이파이 인핸스드 오픈에서 문제가 될 수 있다. 지원되는 디바이스를 사용하더라도 공용 핫스팟과 같은 서드파티 네트워크에서 보호 기능이 활성화되어 있는지 여부를 쉽게 판단할 수 없기 때문이다. 이로 인해 디바이스 업체와 운영체제에서 네트워크의 보안 기능을 더 효과적으로 표시할 방법을 고민해야 할 수 있다. 예를 들어 네트워크에서 와이파이 인핸스드 오픈이 활성화되어 있는지 여부가 명확히 표시되고, 보안이 설정되지 않은 개방 네트워크에 대해서는 경고가 표시된다면 좋을 것이다. 후자의 경우 이미 일부 디바이스와 운영체제에서 실행하고 있다. editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.