- PDF 무료 다운로드

Size: px

Start display at page:

Download ""

병호 조
7 years ago
Views:

3 알기쉬운 공중 무선랜 보안 안내서 소개 알기쉬운 공중 무선랜 보안 안내서 는 방송통신위원회와 한국인터넷진흥원이 공중 무선랜 구 축 운영자 및 일반 이용자들을 대상으로 안전한 공중 무선랜의 구축과 운영, 이용에 대한 방법을 안내하기위해제작한실용안내서입니다. 최근 스마트폰이나 태블릿 PC의 보급 활성화로 언제, 어디서나 인터넷을 이용하려는 수요가 늘 면서 무선랜의 확산이 급격히 가속화되고 있습니다. 특히 기존 이동통신사의 3G 네트워크 보다 상 대적으로 저렴하면서 빠른 통신 속도를 제공하는 공중 무선랜 의 이용이 크게 증가하고 있으며, 그에따른보안의중요성도부각되고있습니다. 전파를 이용하여 통신하는 무선랜 중에서도 대중적인 사용을 목적으로 개방된 환경에서 서비스 되는경우가많은공중무선랜의특성으로인해다양한형태의보안위협이발생할수있습니다. 암 호화된통신을하지않을경우개인정보유출및해킹으로인한추가피해가가능하며, 사용자에대 한인증이없어사고발생시추적이어렵습니다. 알기쉬운 공중 무선랜 보안 안내서 는 통신 사업자 또는 기업 등에서 대중의 사용을 목적으로 공중 무선랜을 설치하고, 운영할 때 어떻게 안전하게 할 것인지 정보를 제공합니다. 또한, 일반 이 용자가개인정보를보호하면서편리하게공중무선랜을이용하는방법을포함하고있습니다. 방송통신위원회와 한국인터넷진흥원은 향후 가정에서 무선랜을 안전하게 이용할 수 있도록 무 선랜 간편 보안설정 솔루션을 개발하는 등 좀 더 편하면서 안전하게 무선랜을 이용환경 조성을 위 해노력할예정입니다. 감사합니다.

전파를 이용하여 통신하는 무선랜 중에서도 대중적인 사용을 목적으로 개방된 환경에서 서비스 되는경우가많은공중무선랜의특성으로인해다양한형태의보안위협이발생할수있습니다. 암 호화된통신을하지않을경우개인정보유출및해킹으로인한추가피해가가능하며, 사용자에대 한인증이없어사고발생시추적이어렵습니다.

4 공중무선랜 보안안내서 :16 AM 알기쉬운 공중무선랜 보안안내서 페이지 맥 번 2 2

5 공중무선랜 보안안내서 페이지 맥 번 :16 AM k o r e 3 a I n 2 t e r n e t & S e c u r i t y A g e n c y C/ O/ N/ T/ E/ N/ T/ S Ⅰ. 공중 무선랜의 이해 5 Ⅱ. 공중 무선랜 보안 취약점 9 공중 무선랜이란 공중 무선랜 서비스 물리적인 취약점 기술적인 취약점 관리적인 취약점 Ⅲ. 안전한 공중 무선랜 구축 운영 및 이용 방법 (설치) 공중 무선랜 안전하게 구축하기 15 ① 공중 무선랜 AP의 안전한 설치 ② 유선랜과 공중 무선랜의 분리 운영 ③ 전송데이터 암호화 ④ 무선랜 접근제어 설정 ⑤ 전파 관리 ⑥ AP의 초기값 설정 변경 (운영) 공중 무선랜 안전하게 운영하기 장비 관점 > ① 장비의 보안 설정 ② 주기적인 로그 점검 ③ 불법 AP의 주기적인 점검 ④ 공중 무선랜 접속 인증서버의 관리 < 서비스 관점 > ① 서비스 범위 및 용도 정의 ② 접근가능 네트워크 범위 정의 ③ 주기적인 무선장비 관련 비밀번호 변경 ④ 무선랜 관리 팀 및 담당자 지정 ⑤ 보안점검 주기 정의 ⑥ 보안점검 목록 작성 및 조치 ⑦ 사용자 대상 주기적인 보안 교육 < (이용) 공중 무선랜 안전하게 이용하기 ① 제공자가 불분명한 공중 무선랜 사용 주의 ② 보안설정 없는 무선랜으로 민감한 서비스 사용 주의 ③ 무선랜 자동접속 기능 사용 금지 부록] 1. 참고양식예시 2. 용어설명 [ 25

안전한 공중 무선랜 구축 운영 및 이용 방법 (설치) 공중 무선랜 안전하게 구축하기 15 ① 공중 무선랜 AP의 안전한 설치 ② 유선랜과 공중 무선랜의 분리 운영 ③ 전송데이터 암호화 ④ 무선랜 접근제어 설정 ⑤ 전파 관리 ⑥ AP의 초기값 설정 변경 (운영) 공중 무선랜 안전하게 운영하기 장비 관점 > ① 장비의

6 공중무선랜 보안안내서 :16 AM 페이지 맥 번 4 2

7 공중무선랜 보안안내서 :16 AM 페이지 맥 번 5 2 Korea Internet & Security Agency Ⅰ. 공중 무선랜의 이해 공중 무선랜이란 공중 무선랜 서비스

8 Ⅰ 공중 알기쉬운 공중 무선랜 보안 안내서 무선랜의 이해 공중 무선랜이란? 공중 무선랜이란 공공장소에서 무선랜을 사용하여 인터넷에 접속할 수 있는 서비스를 의미한다. 공중 무선랜은 무선 공유기(AP)가 설치되어 있는 공항, 철도역, 버스터미널, 대학, 병원, 유통센터, 호텔등의지역에서노트북이나스마트폰등의단말을이용한무선인터넷서비스를제공한다. 서비스 반경은 최대 수백 미터로 기존 무선랜이 가지는 서비스 반경과 동일하다. 서비스 제공자 입장에서 초기구축 비용 측면에서 유선보다 비싸지만, 장기적으로는 공간 변경시 배선의 변화가 없어 유선랜보다 유지보수 비용을 줄이면서 효과적인 서비스를 할 수 있다는 장점이 있다. 또한 사 용자입장에서는이동성이보장되면서초고속무선통신서비스를받을수있다는장점도있다. 공중 무선랜은 물리적인 구 성요소와 기술적인 구성요소로 구분할 수 있다. 먼저 물리적인 구성요소로는, 유선랜의 마지 막에 위치하여 무선랜과 유선 랜의 연결을 중계해주는 장치 인 무선 AP(Access Point)를 들 수 있으며, 노트북, 스마트 폰 등의 무선 단말기가 있다. 무선 단말기는 내장 또는 외장 형 무선랜 카드와 무선랜 안테 나를 포함해야 하고, 이 외에 2 개 이상의 무선랜을 연결하기 위한 장비로 무선 브릿지가 있 으며, 사용자의 인증을 위한 장 개인이 구매 설치하여 이용하는 무선랜 공공시설에서 고객편의 제공을 위해 운영하는 무선랜 < 개인용 무선랜> < 공중 무선랜> 비로인증서버가있다. [ 일반 이용자 대상 무선랜 환경 ] 인터넷 전화 설치시 제공되는 무선랜 통신 사업자가 서비스 제공을 위해 구축한 무선랜 6 알기쉬운 공중 무선랜 보안 안내서

공중 무선랜은 물리적인 구 성요소와 기술적인 구성요소로 구분할 수 있다. 먼저 물리적인 구성요소로는, 유선랜의 마지 막에 위치하여 무선랜과 유선 랜의 연결을 중계해주는 장치 인 무선 AP(Access Point)를 들 수 있으며, 노트북, 스마트 폰 등의 무선 단말기가 있다.

9 공중 무선랜의 이해 [ 일반적인 무선공유기를 이용한 무선랜 구성 예 ] 기술적인 구성요소로는, 무선랜을 구분하기 위한 이름으로 32바이트의 고유 식별자인 SSID (Service Set Identifier)와사용자인증/암호화관련요소를들수있다. 무선 AP에서 제공하는 인증/암호화 기술은 보안 강도에 따라 WEP, WPA, WPA2 등이 있으며, 안 전한이용을위해WPA2 설정을권고하고있다. [ 무선랜 보안기술 ] 구분 WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (Wi-Fi Protected Access2) 인증 쪾사전 공유된 비밀키 사용 (64비트, 128비트) 쪾사전에 공유된 비밀키를 사용하거나 별도의 인증서버를 이용 쪾사전에 공유된 비밀키를 사용하거나 별도의 인증서버를 이용 암호화 쪾고정 암호키 사용 (인증키와 동일) 쪾RC4 알고리즘 사용 쪾암호키 동적 변경(TKIP) 쪾RC4 알고리즘 사용 쪾암호키 동적 변경 쪾AES 등 강력한 블록 암호 알고리즘 사용 보안성 쪾64비트 WEP 키는 수분내 노출 쪾취약하여 널리 쓰이지 않음 쪾WEP 방식보다 안전하나 불완전한 RC4 알고리즘 사용 쪾가장 강력한 보안기능 제공 알기쉬운 공중 무선랜 보안 안내서 7

[ 무선랜 보안기술 ] 구분 WEP (Wired Equivalent Privacy) WPA (Wi-Fi Protected Access) WPA2 (Wi-Fi Protected Access2) 인증 쪾사전 공유된 비밀키 사용 (64비트, 128비트) 쪾사전에 공유된 비밀키를 사용하거나

10 Ⅰ 공중 알기쉬운 공중 무선랜 보안 안내서 무선랜의 이해 공중 무선랜 서비스 최근 스마트폰의 보급 활성화에 따라 스마트폰 사용자가 2,000만명에 달하고, 무선 데이터 시장 이 급속도로 성장하면서 모바일 트래픽도 크게 증가하고 있다. 이를 효율적으로 처리하기 위한 기 술적 방안으로 공중 무선랜 네트워크 구축이 확대되고 있다. 11년 10월 기준으로 이통사가 언론에 제공한자료에따르면약19만1천개소가Wi-Fi 존으로제공되고있는것으로알려져있다. [ 국내 이동통신사 무선랜 서비스 개소 수 ] 이동 통신사 KT SKT LG U+ 합 계 개소수 87,000 개소 50,000 개소 54,000 개소 191,000 개소 또한 무선랜 기반 인터넷전화가 확산되고 무선공유기 보급이 증대되고 있으며 정부와 지자체의 무선인프라가 확대되는 등 무선인터넷 활성화 정책이 본격적으로 추진되고 있다. 최근에는 스마트 폰의 보급화로 인해 기업뿐 아니라 가정에서도 무선랜의 도입이 늘고 있다. 더불어 3G망과 무선 인터넷 기술을 연계하여 집 안에서는 인터넷 전화로, 외출 시에는 휴대폰으로 사용할 수 있는FMC VoIP가 도입되어 상용화되고 있다. 기업의 FMC VoIP의 이용과 인터넷 전화의 보급화로 인해 공 중무선랜의사용이더욱늘어날전망이다. [ 이용환경에 따른 공중 무선랜의 구분 ] 이용 관점 제공 관점 사 례 공 중 개 인 상 용 사 설 상 용 사 설 olleh WiFi zone, T-WiFi zone, U+Zone 호텔, 커피숍 등에서 제공하는 Wi-Fi 인터넷전화, 홈허브, U+070 등 가정에서 개별 설치한 AP 8 알기쉬운 공중 무선랜 보안 안내서

[ 국내 이동통신사 무선랜 서비스 개소 수 ] 이동 통신사 KT SKT LG U+ 합 계 개소수 87,000 개소 50,000 개소 54,000 개소 191,000 개소 또한 무선랜 기반 인터넷전화가 확산되고 무선공유기 보급이 증대되고 있으며 정부와 지자체의 무선인프라가 확대되는 등 무선인터넷 활성화 정책이 본격적으로 추진되고 있다.

11 공중무선랜 보안안내서 :16 AM 페이지 맥 번 9 2 Korea Internet & Security Agency Ⅱ. 공중 무선랜 보안 취약점 물리적인 취약점 기술적인 취약점 관리적인 취약점

12 Ⅱ 공중 알기쉬운 공중 무선랜 보안 안내서 무선랜 보안 취약점 무선랜은기존유선랜의확장개념에서가정또는일반사무실환경에서사용되는경우 가많아, 대부분이 기존의유선랜에 무선 AP를연결한후, 클라이언트에 무선랜카드를 장착하여접속하는형태로구성되고있다. 따라서유선랜과무선랜의분리는전혀고려 되지않는 경우가많으며, 이로인한보안상문제점이존재하게된다. 물리적인 취약점 1 무선 AP의 외부 노출 무선랜 구성의 중요한 요소인 무선 AP는 일반적으로 외부에 노출된 형태로 위치한다. 외부에 노 출된 무선 AP 장비는 비인가자에 의해 장비의 파손, 리셋을 통한 설정 값 초기화 등의 문제가 발생 할수있다. [ 무선AP 대상 물리적 보안 취약점의 대표적 유형 ] 유 형 도난 및 파손 구성설정 초기화 전원 차단 LAN 차단 내 용 외부에 노출된 무선 AP의 도난 및 파손 무선 AP의 리셋버튼을 통한 장비의 초기화 무선 AP의 전원 케이블의 분리 무선 AP에 연결된 내부 네트워크 케이블의 절체 2 무선 단말기의 분실위험 및 정보유출 이동성을 가진 노트북, PDA 등의 경우, 항상 분실의 위험성이 존재하게 된다. 분실시 저장 데이 터의유출은물론무선랜의내부보안설정이함께유출될가능성이존재한다. 10 알기쉬운 공중 무선랜 보안 안내서

외부에 노 출된 무선 AP 장비는 비인가자에 의해 장비의 파손, 리셋을 통한 설정 값 초기화 등의 문제가 발생 할수있다.

13 기술적인 취약점 1 암호화 하지 않은 통신 데이터에 대한 도청 무선랜은공기를전송매체로사용하는서비스의특성상많은취약점이존재하게된다. 무선랜은 국제적으로 ISM(Industrial, Science, Medical) 밴드를 사용하므로 2.4Hz 대역의 통신 주파수를 사용한다. 동일한 주파수를 수신할 수 있는 무선단말기는 불특정 다수의 신호수신이 가능하므로 암호화 하지 않은 통신의 경우 도청이 가능하다. 암호화를 하더라도 WEP의 경우 수분 내에 해독 이가능하다. 2 무선전파 전송 장비에 대한 서비스 거부 공격 무선AP 장비에 대량의 무선 패킷을 전송하는 서비스 거부 공격을 통해 무선랜을 무력화할 수 있 다. 또한, 무선랜이사용하는주파수대역에대해강한방해전파를방사하는것도통신에영향을주 게된다. 무선 클라이언트와의 통신을 위해서는 설정된 SSID를 포함한 Probe Request 메시지를 브로 드케스트로 전송하게 된다. 이 신호를 수신한 무선 AP는 해당 클라이언트가 접속하는 것을 허용할 경우 Probe Response 메시지를 회신하게 된다. 이러한 과정에서 다량의 request 메시지를 무선 AP로 전송하는 경우, response 메시지 회신 동작의 반복으로 인해 다른 무선 단말기가 AP에 접속 하는것이불가능할수있다. 공중 무선랜 보안 취약점 이러한 무선 AP에 대한 서비스 거부 공격은 실제 내부 네트워크로의 침입으로까지 연결되지는 않는다. 그러나, 백화점의 POS 결재와 같이 실시간으로 무선랜을 이용해 주요 업무가 이루어고 있 는경우, 공격으로인해무선랜서비스의중지는치명적인결과를가져올수있게된다. 3 불법 AP를 통한 전송 데이터 수집 공격자가 불법적으로 무선 AP를 설치하여 무선랜 사용자들의 전송 데이터를 수집하는 것이다. (Rogue AP 또는Fake AP 의미) 불법 AP의 설치유무를 탐지하는 것은 어렵지 않으나 무선의 특성 상 정확한 불법 AP의 위치를 알기쉬운 공중 무선랜 보안 안내서 11

또한, 무선랜이사용하는주파수대역에대해강한방해전파를방사하는것도통신에영향을주 게된다. 무선 클라이언트와의 통신을 위해서는 설정된 SSID를 포함한 Probe Request 메시지를 브로 드케스트로 전송하게 된다. 이 신호를 수신한 무선 AP는 해당 클라이언트가 접속하는 것을 허용할 경우 Probe Response 메시지를 회신하게 된다.

14 Ⅱ 공중 알기쉬운 공중 무선랜 보안 안내서 무선랜 보안 취약점 파악하는 것은 쉽지 않은 일이다. 일부 무선 보안솔루션에서는 다수의 무선 AP를 이용해 불법 AP 의 무선 강도 등을 참고하여 대략적인 불법 AP의 위치정보를 파악할 수도 있으나 실제 정확한 위 치를파악하여제거하기는쉽지않다. 관리적인 취약점 1 무선 AP 장비에 대한 관리 미흡 공중 무선랜을 운영하는 대부분의 기관에서는 사용하는 AP의 개수 정도만 파악할 수 있다. 이럴 경우 실제로 장비가 파손되거나 도난당하여 무선랜 서비스를 제공하지 못하고 있어도 이를 파악하 지못하는경우가발생할수있다. 2 사용자의 보안의식 부족 공중무선랜운영주체에서마련한보안정책과보안기능을사용하지않는사용자가있으면, 전체 서비스의 보안에 허점이 발생하기 마련이다. 사용자의 정보보호 무관심으로 인해 무선랜 단말기에 보안기능을 미설정하거나, 무선랜 보안을 위해 사용하기로 정한 기능을 사용하지 않는 경우가 많 다. 이럴 경우 무선랜 보안기능을 설정하지 않은 사용자는 공격자의 표적이 될 수 있다. 또한, 사용 자들이 정보보호에 대한 인식 부족으로 침해사고가 발생할 수 있다. 사용자의 부주의로 인한 비인 가 AP를 설치하고 운영하면 공격자의 공격 수단으로 악용될 소지가 있으며 이로 인한 피해가 발생 할수있다. 3 전파 출력 관리 부족 AP의전파출력조정을하지않아기관외부로무선랜전파가유출되는경우이다. 외부로전파가 도달되면, 공격자는 전파 정보를 수집하여 취약점을 파악할 수 있으며, 이를 이용해 공격을 할 수 있다. 무선랜 채널 설정이 미흡한 경우, 무선랜은 중심 주파수를 기준으로 3개 채널까지 전파 간섭 을 일으킬 수 있어 가용성에 문제가 발생할 수 있다. 2.4GHz 대역을 사용하는 경우 와이파이 혼신 최소화 가이드라인에 따라 1/5/9/13번 채널의 사용을 권고한다. 12 알기쉬운 공중 무선랜 보안 안내서

2 사용자의 보안의식 부족 공중무선랜운영주체에서마련한보안정책과보안기능을사용하지않는사용자가있으면, 전체 서비스의 보안에 허점이 발생하기 마련이다. 사용자의 정보보호 무관심으로 인해 무선랜 단말기에 보안기능을 미설정하거나, 무선랜 보안을 위해 사용하기로 정한 기능을 사용하지 않는 경우가 많 다.

15 기술적인 구성요소로는, 무선랜을 구분하기 위한 이름으로 32바이트의 고유 식별자인 SSID (Service Set Identifier)와사용자인증/암호화관련요소를들수있다. 무선 AP에서 제공하는 인증/암호화 기술은 보안 강도에 따라 WEP, WPA, WPA2 등이 있으며, 안 전한이용을위해WPA2 설정을권고하고있다. <참고> 국내외 주요 무선랜 보안사고 사례 국내에는 아래와 같은 가능성 및 시도 등이 알려졌으나 실제 발생한 사고 사례는 없음 발생일 주요 내용 비고 쪾하나은행, 외환은행의 무선망 통신 데이터를 채집후 중국에서 암호화된 자료 를 해독하려 한 혐의로 검거 쪾경찰청은 명동 일대에서 하나은행, 외환은행의 정보통신망에 침입을 시도한 3명 검거 발표 ( ) 쪾성균관대는 서울시내 백화점 10곳을 대상으로 시험한 결과 대부분이 취약한 무선 인터넷서비스(결제 시스템) 사용을 확인 ( ) 무단통신 자료수집 모의해킹 공중 무선랜 보안 취약점 국외에서는 아래 표와 같이 실제 해킹 및 피해사례가 있음 발생일(국가) 주요 내용 비고 (미국) (독일) (미국) 쪾미네소타에서 이웃의 무선랜을 해킹하여 개인정보를 수집, 이메일 계정을 만 들어 성인물 불법 유포 및 부통령 등에게 테러를 하겠다는 협박 메일 발송 등의 혐의로 기소 쪾최근 법원은 18년 형을 선고 ( ) 쪾개인의 가정용 무선랜을 무단 이용, 불법 컨텐츠를 다운 받은 이용자 및 무 선랜 운영자가 벌금형에 처해짐 쪾인터넷 이용자는 자신의 개인 무선 네트워크가 제3자로 하여금 저작권을 위 반하는 목적으로 사용되지 않도록 암호를 설정할 의무가 있다는 취지 쪾해커 집단이 보안설정 안된 공중 무선랜을 통해 현금수납기 인증 시스템을 해킹하여 고객신용카드 기록 탈취 혐의로 기소 쪾4,100만명 신용정보(카드번호, 비밀번호, 계좌번호) 유출 최초 설치시는 보안적용 필요 알기쉬운 공중 무선랜 보안 안내서 13

9 쪾하나은행, 외환은행의 무선망 통신 데이터를 채집후 중국에서 암호화된 자료 를 해독하려 한 혐의로 검거 쪾경찰청은 명동 일대에서 하나은행, 외환은행의 정보통신망에 침입을 시도한 3명 검거 발표 ( 08. 5. 15) 쪾성균관대는 서울시내 백화점 10곳을 대상으로 시험한 결과 대부분이 취약한 무선 인터넷서비스(결제 시스템) 사용을 확인 ( 07. 9.

16 Ⅱ 공중 알기쉬운 공중 무선랜 보안 안내서 무선랜 보안 취약점 발생일(국가) 주요 내용 비고 04. (미국) 04. (미국) 쪾공개된 WiFi를 이용하여 포르노 사이트 광고 스팸메일 발송 쪾여러 곳의 공개된 WiFi를 이용하여 특정인에게 협박 메일을 발송 공개 WiFi 이용 스팸 발송 03. (미국) 쪾디트로이트에서 공개된 WiFi에 접속 후, 기업 네트워크를 해킹하여 고객의 신용카드 리스트 등 정보를 획득하려다가 경찰에 적발 공개 WiFi 이용 03. (미국) 쪾노스캐롤라이나 주에서 의료기관의 무선 인터넷에 접속하여 환자의 진료기 록 등 개인정보 유출 쪾무선 인터넷 해킹으로 유죄 판결된 첫 사례 (18개월 보호관찰과 1만달러 벌금형) 03. (미국) 쪾무선랜 ISP에서 해고당한 직원이 고객의 무선랜 접속 암호를 이용하여 무단 사용 무단사용 14 알기쉬운 공중 무선랜 보안 안내서

(미국) 쪾디트로이트에서 공개된 WiFi에 접속 후, 기업 네트워크를 해킹하여 고객의 신용카드 리스트 등 정보를 획득하려다가 경찰에 적발 공개 WiFi 이용 03.

17 공중무선랜 보안안내서 :16 AM 페이지 15 맥번 2 Korea Internet & Security Agency Ⅲ. 안전한 공중 무선랜 구축 운영 및 이용 방법 (설치) 공중 무선랜 안전하게 구축하기 (운영) 공중 무선랜 안전하게 운영하기 (이용) 공중 무선랜 안전하게 이용하기

18 Ⅲ 안전한 알기쉬운 공중 무선랜 보안 안내서 공중 무선랜 구축 운영 및 이용 방법 공중 무선랜 안전하게 구축하기 1 공중 무선랜 AP의 안전한 설치 2 유선랜과 공중 무선랜의 분리운영 3 전송데이터 보안 4 무선랜 접근제어 설정 5 전파 관리 6 AP의 초기값 설정 변경 공중 무선랜 안전하게 운영하기 < 장비 관점 > 1 장비의 보안 설정 2 주기적인 로그 점검 3 불법 AP의 주기적인 점검 4 공중 무선랜 접속 인증서버의 관리 < 서비스 관점 > 1 서비스 범위 및 용도 정의 2 접근가능 네트워크 범위 정의 3 주기적인 무선장비 관련 비밀번호 변경 4 무선랜 관리 팀 및 담당자 지정 5 보안점검 주기 정의 6 보안점검 목록 작성 및 조치 7 사용자 대상 주기적인 보안 교육 공중 무선랜 안전하게 이용하기 1 제공자가 불분명한 공중 무선랜 사용 주의 2 보안설정 없는 무선랜으로 민감한 서비스 사용 주의 3 무선랜 자동접속 기능 사용 금지 16 알기쉬운 공중 무선랜 보안 안내서

서비스 관점 > 1 서비스 범위 및 용도 정의 2 접근가능 네트워크 범위 정의 3 주기적인 무선장비 관련 비밀번호 변경 4 무선랜 관리 팀 및 담당자 지정 5 보안점검 주기 정의 6 보안점검 목록 작성 및 조치 7 사용자

19 공중 무선랜 안전하게 구축하기 1 공중 무선랜 AP의 안전한 설치 공중 무선랜 장비를 설치하기 전에 네트워크 운영자는 네트워크 보안담당자에게 보안성 검토를 의뢰, 승인을 득한 후 설치하여 승인되지 않은 공중 무선랜 장비를 설치하거나 작동할 수 없게 한 다. 모든 공중 무선랜 장비는 도난방지 및 장비 상태 유지 등을 위해 설치 장소에 대한 물리적 접근 제어에대한보안대책을사전에강구하여설치하여야한다. [ 무선 AP 생명주기 단계 ] 공중 무선랜 AP는 그의 생명주기에 맞게 설치, 운영, 폐기에 대한 별도 양식에 의거하여 신청/승 인절차를지켜야하며그에맞게관리되어야한다. 2 유선랜과 공중 무선랜의 분리운영 안전한 공중 무선랜 구축 운영 및 이용방법 일반적으로 무선랜을 기존 유선랜의 확장한 개념으로 사용하는 경우가 많다. 이 경우 무선랜을 통해 기존의 내부 네트워크에 접속이 가능하게 되어 무선랜의 보안설정이 취약할 경우, 외부의 사 용자가 아무런 제한 없이 유선 내의 주요 시스템에 접근할 수 있음을 뜻한다. 기본적으로 무선랜과 유선 네트워크는 분리하여 운영하는 것이 필요하며, 분리 운영이 어려운 경우에는 무선랜의 보안 강화를 위해 무선랜을 통한 유선망으로의 접근을 차단하도록 하거나, VLAN을 이용하여 망을 분 리한다. 또한 유선랜과 공중 무선랜 사이에 침입차단 시스템을 설치하여 공중 무선랜 망을 통한 유 선망의침입을사전에탐지및차단할수있도록해야한다. 알기쉬운 공중 무선랜 보안 안내서 17

2 유선랜과 공중 무선랜의 분리운영 안전한 공중 무선랜 구축 운영 및 이용방법 일반적으로 무선랜을 기존 유선랜의 확장한 개념으로 사용하는 경우가 많다.

20 Ⅲ 안전한 알기쉬운 공중 무선랜 보안 안내서 공중 무선랜 구축 운영 및 이용 방법 인터넷 공중 무선랜 유선랜 [ VLAN을 이용한 공중 무선랜와 유선랜의 분리 ] 3 전송데이터 보안 전송데이터 보안은 일반적으로 무선 클라이언트와 무선 AP와의 구간에서의 보안성 유지를 위해 전송데이터암호화를사용해야한다. 설치환경및그중요도에따라아래사항을권고한다. 쪾WPA2 또는WPA의암호화를설정한다(WEP 사용금지). 쪾128비트이상의가능한최대크기의암호키를사용한다. 쪾WPA 모드에서TKIP 방식이사용될경우키변경주기를1분이하로설정한다. 4 무선랜 접근제어 설정 무선랜에 접속하도록 허가된 무선 클라이언트만이 접속 가능하도록 운영하는 것이 필요하다. 일 반적으로 무선 AP의 네트워크 이름(SSID)와 네트워크 키 값을 이용해 인증과정이 진행되게 되며, 이를통해기본적인접근제한이적용될수있다. 하지만, 취약한 인증방식이 사용되는 경우, 임의의 무선 클라이언트의 접속이 가능하게 되어 보 안사고의 발생 가능성이 높아지게 된다. 따라서 최초 무선랜의 구축 시에 안전한 인증방식을 선택 하고, 해당 방식이 지원되는 무선 관련 장비를 구매해야 한다. 사용자 인증은 802.1x EAP를 이용 하여인증서버를구축하는것이안전하다. 18 알기쉬운 공중 무선랜 보안 안내서

4 무선랜 접근제어 설정 무선랜에 접속하도록 허가된 무선 클라이언트만이 접속 가능하도록 운영하는 것이 필요하다. 일 반적으로 무선 AP의 네트워크 이름(SSID)와 네트워크 키 값을 이용해 인증과정이 진행되게 되며, 이를통해기본적인접근제한이적용될수있다.

21 5 전파 관리 유선랜 UTP 케이블의 거리제한과 같이 무선랜도 거리제한을 고려해야 한다. 무선에서는 대기 중의 잡음, 사무실 환경 등에 따라 거리의 제한이 발생하므로 최초 구축 시 무선랜이 사용될 범위 및 사용자 수에 따라 속도저하가 발생한다. 이를 고려하여 무선 AP의 수를 조정해야한다. 사용자 수의 증가로 인해 속도저하가 발생할 경우, 무선 AP의 확장이 필요하므로, 초기 구축 시 확장성을 염두에두어야한다 b 또는 g에서 사용되는 2.4GHz 대역은 몇몇 전자기기에서도 사용되는 대역으로, 아래와같은기기와는일정거리이상의거리를두거나무선AP의설정변경을필요로한다. [ 전자기기별 AP운영 주의사항 ] 전자기기 전자레인지 플라즈마 전구 주의사항 5m 이상 이격이 필요. 무선AP의 채널을 1, 2, 12, 13번으로 조정 무선AP의 채널을 11~13번으로 조정 블루투스 5m 이상 이격이 필요 DSRC a 설정 무선 AP의 경우, 161번 채널 사용금지 2.4GHz 대역을사용할경우방송통신위원에서제공하는와이파이혼신최소화가이드라인에따 라1, 5, 9, 13번채널을사용하는것이권장된다. 안전한 공중 무선랜 구축 운영 및 이용방법 6 AP의 초기값 설정 변경 장비의 출고 시 초기 관리자의 ID/Password는 설정되어 있지 않거나 공통적으로 동일하게 설정 되어 있으며 이는 암호화 설정을 하지 않은 보안수준에 해당한다. 무선랜 관리자는 반드시 안전한 암호설정을 통해 무선 AP를 관리 및 운영해야 한다. 공중 무선랜 관리페이지는 무선으로는 접근이 불가능하게 항상 유선으로만 접근할 수 있어야 한다. 또한, 비인가자의 접속을 통한 네트워크 설정 변경 및 중요 정보가 노출될 위험이 존재하므로 허가된 장비에서만 관리자 페이지에 접근이 가능 하도록고정IP와고유하게부여된MAC 주소로접근제어를수행해야한다. 알기쉬운 공중 무선랜 보안 안내서 19

22 Ⅲ 안전한 알기쉬운 공중 무선랜 보안 안내서 공중 무선랜 구축 운영 및 이용 방법 공중 무선랜 안전하게 운영하기 < 장비 관점 > 1 장비의 보안 설정 공중 무선랜을 운영하는데 필요한 장비는 무선 AP, 무선 단말기, 인증시스템 등이며 기본적 인무선랜의운영에필요한무선AP의설정값은물론보안관련설정값도필히포함되어기본 설정값을정의하고따라야한다. 2 주기적인 로그 점검 무선 AP나 인증서버 등의 무선 장비에서 생성되는 로그파일을 주기적으로 점검하여 불법행 위가있었는지확인하고자할때필요하며, 로그파일은일정기간보관되어야한다. 3 불법 AP의 주기적 점검 운영중인무선랜의서비스지역내에불법적으로설치한무선AP가존재하는지확인하는것 을 말한다. 불법 AP를 통해 시도되는 공격유형은 무선랜을 통해 전송되는 정보의 획득이 주 를이루며, 이러한공격을차단하기위해서는주기적인불법AP의검색이필요하다. 4 공중 무선랜 접속 인증서버의 관리 i에서 802.1x/EAP를 이용해 무선랜 인증을 구축한 경우에는 별도의 인증 서버를 구성 하게 된다. 이 경우 인증서버는 일반적으로 기존 유선 네트워크에 위치하여 공중 무선랜의 무 선AP를통해전달받은내용을근거로무선랜의인증여부를판단하게된다. 20 알기쉬운 공중 무선랜 보안 안내서

23 < 서비스 관점 > 1 서비스 범위 및 용도의 정의 무선랜이 설치되어 제공되어야 하는 범위를 사전에 정의함으로서 무선 서비스 제공지역 이 외에서 불법적인 무선랜의 운영상황을 신속히 파악할 수 있게 된다. 또한 보유한 공중 무선랜 AP의목록을작성및관리해야한다. 2 접근가능 네트워크 범위 정의 무선랜 네트워크를 통해 내부 또는 외부 네트워크로의 접근이 가능하도록 정책을 세울 것인 지 정의하는 것을 의미한다. 이 부분은 보안운영정책에서아주 중요한 부분으로서, 무선랜 또 는 유선랜의 취약점을 통해 침해사고가 발생한 경우, 피해 규모와 피해의 확산을 제한된 범위 로한정하겠다는것을뜻한다. 3 주기적인 무선장비 관련 암호의 변경 무선장비의 보안을 강화하기 위한 기본적인 방안으로서 무선 AP와 같은 무선장비의 관리자 암호와 무선 AP의 인증암호 등을 강화하는 정책을 수립해야 한다. 모든 AP에 보안강도가 강 한 관리 패스워드를 사용하고, 초기 비밀번호 변경 및 1개월 또는 3개월 등 주기를 정하여 비 밀번호를변경해야한다. 안전한 공중 무선랜 구축 운영 및 이용방법 4 관리팀 및 담당자 지정 무선랜 시스템의 유지와 보안수준의 지속적인 관리를 위해서는 관리업무를 전담하는 인 력이 필요하다. 무선랜 관리 담당자를 두어 보안 정책 개발, 기획 및 이행 여부에 대한 검 증을 해야 한다. 알기쉬운 공중 무선랜 보안 안내서 21

24 Ⅲ 안전한 알기쉬운 공중 무선랜 보안 안내서 공중 무선랜 구축 운영 및 이용 방법 5 보안점검 주기 정의 무선랜을 구성하고 있는 주요 장비 및 운영 상태에 대한 점검과 함께 무선랜의 불법적인 이용에 대해 수시 모니터링 및 보안점검 주기를 정하고 이에 따라 점검해야 한다. 6 보안 점검 리스트 작성 및 조치 무선장비 및 무선 단말기에 대한 점검항목과 사용자 점검항목을 만들고 실제 점검을 해 야 한다. 7 사용자 대상 주기적인 보안 교육 무선랜의 보안은 시스템의 보안유지와 관리자만의 노력으로는 유지 될 수 없다. 무선랜 사용자의 작은 실수 하나가 전체 무선랜의 보안에 치명적인 영향을 줄 수 있으므로, 사용 자 대상의 주기적인 보안교육을 통해 사용자 인식 제고가 필요하다. 22 알기쉬운 공중 무선랜 보안 안내서

25 공중 무선랜 안전하게 이용하기 1 제공자가 불분명한 공중 무선랜 사용 주의 악의적인 목적으로 설치한 무선공유기를 이용할 경우 개인정보가 쉽게 유출될 수 있다. 무선 AP 를 경유하는 모든 트래픽을 무선공유기 제공자가 수집할 수 있으므로 악의적인 의도를 가질 경우 중간에서 민감한 개인정보를 가로챌 수 있다. 부득이 외부에서 무선랜의 이용이 필요한 경우 잘 알 고있거나, 제공자가확인된공중무선랜만을이용해야한다. [ 제공자가 분명한 무선랜의 예 ] 유형 통신사, 지자체에서 제공하는 무료 와이파이존 커피숍 호텔 등에서 제공하는 무선랜 자신의 집에 설치된 인터넷전화기용 무선랜 예 KT: Olleh Wi-Fi, SKT: T WiFi Zone, LGU+: U+Zone 커피숍 호텔 등에서 제공하는 무선랜 KT_WLAN, U+Net 등 자신이 설치했거나 기업에 설치된 사설 무선랜 2 보안설정 없는 무선랜으로 민감한 서비스 사용주의 보안설정이 없는 무선랜의 경우 이용자의 접속행위, 개인정보 등이 유출될 수 있다. 부득이 무선 랜 이용이 필요할 경우 금융거래, 기업업무, 로그인이 필요한 서비스, 개인정보를 입력하는 서비스 등 민감한 서비스는 가급적 사용하지 않아야 한다. 보안설정이 있는 AP의 경우 해당 SSID 옆에 자 물쇠표시( )로구분이가능하다. 안전한 공중 무선랜 구축 운영 및 이용방법 특히 보안설정이 없고 제공자가 불분명한 AP의 경우 해커가 ID/PW와 같은 민감한 개인정보를 탈취 목적으로 설치한 로그 AP일 가능성이 높다. 로그 AP로 무분별한 인터넷을 사용할 경우는 설 령 SSL 보안설정을 사용하여 서버와 단말간 보안접속을 하더라도 보안접속을 위한 초기 보안설정 신호메시지를가로채암호화통신의키가누출되어민감한개인정보가누출될가능성이높다. 알기쉬운 공중 무선랜 보안 안내서 23

26 Ⅲ 안전한 알기쉬운 공중 무선랜 보안 안내서 공중 무선랜 구축 운영 및 이용 방법 [ 보안설정이 없는 무선랜 접속 금지 ] 특히 인증서를 통한 SSL 보안접속 시 PC의 경우 로그 AP에서 중간자공격(MITM)의 위험이 감 지되어 경고창이 뜨지만 스마트폰에서는 이런 위험 경고창이 없이 그대로 중간자공격의 희생양이 될수있으므로주의해야한다. 로그AP 인증서 서버인증서 사용자 로그AP 보안서버 사용자 인증서 로그AP 인증서 [ 로그 AP를 이용한 중간자(MITM) 공격 ] 3 무선랜에 자동접속 기능 사용 금지 무선단말기에는 한번 접속한 무선랜에 자동으로 접속하는 기능이 있다. 무선랜 이름은 관리자가 임의로 변경이 가능하기 때문에 해커가 로그 AP를 설치하고 잘 알려진 무선랜의SSID로 가장하여 자동접속기능을통해이용자의접속을유도할경우개인정보유출등의위험에노출될수있다. 따라서, 무선랜의자동접속기능은끄고, 기존에접속한무선랜리스트는주기적으로지워야한다. 24 알기쉬운 공중 무선랜 보안 안내서

27 공중무선랜 보안안내서 :16 AM 페이지 25 맥번 2 Korea Internet & Security Agency 부록. 참고양식예시 2. 용어정리 1.

28 알기쉬운 공중 무선랜 보안 안내서 부 록 1. 참고양식 예시 <별첨> 공중 무선랜 장비 설치/ 운용/ 폐기 관련 양식(안) 1. 공중 무선랜 장비 (설치/폐기) 계획서 공중 무선랜 (설치/폐기) 계획서 업무부서장 보안관리자 신청자 소속 성명 직위 종류 제조사 모델명 무선랜 사양 IP주소 MAC주소 OS버전 설치 위치 (설치/폐기)의 필요성 비고 위와 같이 공중 무선랜 장비를 (설치/제거)하고자 하오니 검토 후 재가하여 주시기 바랍니다. `신청자 : (인) 26 알기쉬운 공중 무선랜 보안 안내서

29 2. 변경요청 확인서 운영담당자 보안담당자 요청 승인 제목 자산범주 요청일 변경구분 등록 관리 폐기 쫝 문서 쫝 파일 쫝 미디어 쫝 정보시스템 쫝 네트워크장비 쫝 OA장비.. 예상완료일.. 변경전 변경후 변경 사유 변경사항 상세기술 검토결과 쫝 가능 쫝 불가 쫝 보류 검토 결과 사유 변경 수행 사항 완료일.. 확인자 서명 보안담당자 부록. 참고양식 예시 알기쉬운 공중 무선랜 보안 안내서 27

30 알기쉬운 공중 무선랜 보안 안내서 부 록 2. 용어설명 중간자 공격 (MITM, MIMA) 쮌 Man In The Middle attack 또는 Man In the Middle Attack의 약어로 통신하고 있는 두 당사자 사이에 들키지 않게 끼어들어 당사자들이 교환하는 통신내용을 바꾸거나 도청 하는 공격기법이다. AES (Advanced Encryption Standard) 쮌 미국 국립 표준 기술연구소(NIST)가 데이터 암호화 표준(DES)의 차세대 국제 표준 암호 로 대체하는 순서 공개형의 대칭 키 암호 방식이다. IEEE i에서 AES의 CCM 모드 를 이용한 데이터 암호화 방식을 정의하고 있으며, 이는 하드웨어 암호기법을 사용하여 TKIP보다 안전하다. DSRC (Dedicated Short Range Communications, 단거리 전용 통신) 쮌 지능형 교통 시스템(ITS)을 구현하기 위한 단거리 전용 통신 시스템. 단거리 전용 통신 (DSRC)은 톨게이트나 도로변에 설치하여 자동차에 탑재한 단말 장치와 수~수십 m의 거리에서 양방향 무선 통신을 통하여 다량의 정보를 순간적으로 교환한다. 주로 통행료 자동 지불 시스템(ETC)에 이용되고 있지만 향후에는 다양한 지능형 교통 시스템(ITS) 서 비스와 무선 인터넷 서비스까지 제공을 목표로 하고 있다. 기본적으로 5GHz 대역을 사 용하며 데이터의 전송 속도가 수백 kbps 이상인 통신 방식이다. EAP (Extensible Authentication Protocol) 쮌 IEEE 802.1x에서 사용자 인증을 위해 사용하는 프로토콜이다. EAP 자체는 실제 인증 프 로토콜이 아니지만 확장성을 지원하여 내부적으로 MD5, 1회용 패스워드(One-Time Password), 스마트 카드, 전송 계층 보안(EAP-TLS), 터널 방식으로 개량된 TLS(EAP- TTLS)와 같은 인증 방식을 사용할 수 있게 되어 있다. 기업용 또는 공중 무선랜 환경 등 에서 인증서버를 이용한 인증에 사용된다. 28 알기쉬운 공중 무선랜 보안 안내서

31 SSID (Service Set IDentifier) 쮌 무선랜을 통해 전송되는 패킷 헤더에 붙는 고유 식별자로, 무선 장치들이 BSS(Basic Service Set)에 접속할 때 사용하는 텍스트 데이터로 무선랜 이름에 해당한다. SSID는 하나의 무선랜을 다른 무선랜으로부터 구분해주므로, 특정 무선랜에 접속하려는 모든 AP 나 무선 장치들은 반드시 일정한 SSID를 사용해야만 하며 SSID가 변경되면 해당 BSS에 접속할 수 없다. TKIP (Temporal Key Integrity Protocol) 쮌 WEP 알고리즘의 취약성을 보완하기 위해 연구된 기술이다. 패킷당 키 할당, 키값 재설정 등 기존 WEP 방식에 소프트웨어 패치만으로 안전성을 개선한 보안 기술이다. UTP (Unshielded Twisted Pair wire, 비차폐 연선) 쮌 차폐 연선과는 달리 외부의 전계, 자계 또는 다른 전송선에서 유도되는 전계, 자계로부터 의 영향을 차단하기 위해 도전성 물질이 많은 피복(sheath)을 둘러싸지 않은 연선. 보통 의 구내 전화선이나 구내 정보 통신망(LAN)의 전송 매체로 사용된다. 전송 가능 대역에 따라 카테고리 1~5의 5종류로 분류되는데, LAN에서 널리 사용되는 것은 카테고리 3, 4, 5이다. 카테고리 3은 10Mbps, 카테고리 4는 16Mbps, 카테고리 5는 100Mbps의 전송 속도를 보증한다. 비차폐 연선을 카테고리에 따라 흔히 UTP 3, UTP 4, UTP 5 등으로 부른다. VLAN (Virtual LAN) 쮌 가상의 기능을 가진 근거리통신망(LAN) 스위치 혹은 비동기전송 방식의 스위치를 사용해 서 물리적인 배선에 구애받지 않고 동보 패킷이 전달되는 범위를 임의로 나눈 가상의 근 거리 통신망이다. 부록. 용어설명 알기쉬운 공중 무선랜 보안 안내서 29

32 알기쉬운 공중 무선랜 보안 안내서 부 록 2. 용어설명 WEP (Wired Equivalent Privacy) 쮌 초기 무선랜 보안설정 방법으로 유선랜과 동등한 수준의 보안성 제공의 목적으로 만들어 진 보안 기술이다. 대칭키 기반 암호화 기법으로, 현재는 암호 알고리즘 자체의 취약성이 많이 알려져 있어 사용이 권고되지 않는다. WPA (Wi-Fi Protected Access) 쮌 WEP의 취약성에 대한 대안으로 발표한 무선랜 보안 기술 규격으로 IEEE802.11i 표준이 완성되기 전에 단기간 보안 해결책으로 Wi-Fi alliance에서 제시한 표준이다. TKIP을 통 한 암호화 향상, EAP를 통한 사용자 인증 등이 포함된다. WPA2 (Wi-Fi Protected Access 2) 쮌 IEEE802.11i 규격의 완성에 따라, IEEE802.11i 규격을 완전히 수용하는 표준으로서 WPA 와 구분하기 위해 WPA2로 불린다. AES-CCMP를 통한 암호화 기능 향상, EAP 사용자 인증 강화 등이 포함된다. 30 알기쉬운 공중 무선랜 보안 안내서

< 목차 > I. 공유기보안 2 1. 유무선공유기란? 2 2. 공유기보안의필요성 2 3. 공유기환경에서의해킹유형 3 II. 유무선공유기보안관리방법 5 1. 보안항목 5 2. 보안항목별조치방법 5 III. 제조사별공유기보안설정 iptime D-Lin

[ 붙임 1] 유무선공유기보안가이드 2018 년 5 월 < 목차 > I. 공유기보안 2 1. 유무선공유기란? 2 2. 공유기보안의필요성 2 3. 공유기환경에서의해킹유형 3 II. 유무선공유기보안관리방법 5 1. 보안항목 5 2. 보안항목별조치방법 5 III. 제조사별공유기보안설정 10 1. iptime 10 2. D-Link 12 3. ZIO 15 4. NetTop