Special Theme _ 스마트폰정보보호 국내 Wi-Fi 보안현황및 안전한무선랜이용가이드 Special Report 6 백종현 한국인터넷진흥원무선인터넷팀장 1. 머리말 인유선랜 (LAN) 에비해더욱취약하다. 특히, 공중무 선랜과같이일반대중의사용을목적으로개방된환 최근스마트폰및태블릿 PC 보급은언제어디서나편리하게인터넷을할수있는환경을가져다줌으로써우리생활의많은부분을바꾸어놓았다. 이러한무선인터넷환경에서부각된중요기술중하나가무선랜 (Wireless LAN) 기술이다. 기존국내무선인터넷은이동통신사의고비용폐쇄적인 3G 네트워크를이용한데이터통신위주로이루어져왔다. 특히유선인프라가잘갖추어진국내에서는내부구조변경이잦은백화점, 일부연구소및기업환경등에서제한적으로무선랜이사용되어왔다. 이러한배경에서스마트폰의등장은무선랜확산을가속화시켰다. 스마트폰은이동통신사의네트워크와무선랜을모두이용가능하다. 상대적으로저렴하고빠른통신속도를가진무선랜을선호함으로써가정, 학교, 공중시설등을중심으로무선랜이널리보급되는동시에다양한무선랜이용환경이만들어졌다. 무선랜은다양한장점과편의성을가지고있어이용이급증하고있지만, 전파를통신매개로이용하는특징에따라보안을고려하지않고이용할경우일반적 경의경우다양한보안사고를유발할수있어보안에대한고려가필수적이다. 본고에서는국내무선랜이용환경및구축현황을살펴보고무선랜환경별보안위협을분석한다. 또한제시된무선랜환경별보안위협에따른대응방안을설명한다. 2. 무선랜기술무선랜이란유선랜과대비되는표현으로무선으로네트워크를이용할수있도록하는기술을통칭하며국제표준화기구인 IEEE 에서 802 위원회의하부그룹인 802.11 그룹에서표준화를진행중이다. 현재까지제정된무선랜관련주요표준은 < 표 1> 과같다.[1] 또한국제표준인증단체인 Wi-Fi Alliance 에서는 IEEE 에서제정한무선랜표준을만족하는장치에표준적합인증마크를부여하고있다. 대부분의무선랜관련장치에는와이파이 (Wi-Fi) 인증마크가부착되는데이러한이유로흔히무선랜과와이파이라는표현은혼 TTA Journal No.132 67
용되어사용되고있다.[2] 무선랜보안기술은무선 AP 에서설정하도록하는기 술로인증과암호화방식에따라 WEP(Wired Equivalent Privacy), WPA(Wi-Fi Protected Access), WPA2(Wi-Fi Protected Access2) 로나뉜다. 각보안기술에서사용자인증방법은사전공유한 패스워드입력을통해이용자를인증하는방법 (PSK: Pre-Shared Key) 과별도의인증서버를통해인증하 는방법이있다. 암호화방법은유선상의보안성제공 을목적으로하는 WEP 방식과 Key 동적변경, 인증서 버연동등 WEP 의취약성을개선한 WPA 와강력한블 록암호화방법인 AES(Advanced Encryption Standard) 를적용한 WPA2 방식이있다. 3. 무선랜현황 < 표 1> 무선랜기술표준및특징 무선랜표준제정시기주파수대역속도 ( 최대 ) 802.11 1997 2.4GHz 2Mbps 802.11a 1999 5GHz 54Mbps 802.11b 1999 2.4GHz 11Mbps 802.11g 2003 2.4GHz 54Mbps 802.11n 2009 2.4 / 5GHz 540Mbps < 표 2> 무선랜보안기술 구분 WEP WPA WPA2 인증 PSK PSK or 인증서버 PSK or 인증서버 암호화 RC4 RC4-TKIP AES-CCMP TKIP: Temporal Key Integrity Protocol CCMP: Counter Mode with Cipher Block Chaining Message Authentication Code Protocol 스마트폰은단순한음성통화기능외에인터넷전화, 모바일게임, 모바일웹, 모바일비디오등데이터통 신을이용하는다양한기능을제공하고있어스마트폰 출시를계기로모바일트래픽사용량은증가했다. 태 블릿 PC, 와이파이제공피처폰 (feature phone) 등다 양한형태의모바일단말기가출시되고다양한모바일 서비스가활성화됨에따라향후에도모바일데이터트 래픽은지속적으로증가할것으로예상되고있다.[3] TB per Month 3,600,000 1,800,000 0 이동통신사에서는이동통신네트워크만으로는급증 하는모바일트래픽을수용하기어려워짐에따라분산 처리를위한대체망확보가시급하게되었고이에따 라무선랜이주목받게되었다. 무선랜은공공주파수대역을사용하므로전파사용 료지불및송출허가가불필요하고무선 AP 의가격이 저렴하여단기간에구축하기적합하다. 또한사용자입 장에서도기존이동통신네트워크보다빠른속도와저 렴한이용료로이용할수있는장점이있다. 이러한무선랜의장점으로 2010 년상반기부터경쟁 적으로이동통신사의무선랜구축이이루어졌으며, 그 결과국내에서는 2010 년 11 월현재약 7 만곳이상의와 이파이존이구축되어운용되고있다. < 표 3> 에서는국 내이동통신사업자가구축한와이파이존현황을보여 주고있다. 2009 2010 2011 2012 2013 2014 한편국내에서는무선공유기를함께제공하는인터 넷전화보급확대와저렴한무선공유기판매로일반 가정에서도무선랜을구축하는사례가증가하고있다. 또한은행, 호텔, 레스토랑, 공항등공공시설에서도 고객편의제공을위한무선랜접속시설을확대하는등 4% 5% 8% 17% 66% [ 그림 1] 모바일트래픽전망 Mobile VoIP Mobile Gaming Mobile P2P Mobile Web/Data Mobile Video 출처 : CISCO(2010.2) 68
Special Theme _ 스마트폰정보보호 전국적으로무선랜을이용할수있는환경이조성되고있다. < 표 3> 국내이동통신 3 사와이파이존구축현황 이동통신사 2009 년말 2010 년 7월 2010 년 11월 KT 약 12,000 27,000 40,000 SKT - 5,000 14,000 LG U + - - 16,000 계 약 12,000 32,000 70,000 < 표 4> 국내인터넷전화보급현황 출처 : 각사업자발표, 언론보도 구분 2007 2008 2009 KT 32 328 1,701 SK브로드밴드 47 121 1,333 LG 텔레콤 212 1,203 2,216 합계 291 1,943 7,103 [ 단위 : 곳 ] [ 단위 : 천명 ] 서만접속을허용한다. 특히, 최근무선랜구축이마케팅의방법으로대두되면서경기장, 해수욕장, G20 정상회담과같은각종행사장소등지에한시적인무료와이파이존을구축하기도했다. 4.2 공중무선랜환경고객들이무료로이용할수있도록공공기관, 호텔, 카페등에서공중시설에구축한무선랜환경을의미하며이동통신사가구축한무선랜환경이주로자사가입자중심인데반해공중무선랜환경의이용자는해당사업자를방문하는모든고객이대상이다. 공중무선랜환경은소규모환경으로서별도의보안관리자를두고있지않아상대적으로보안이취약한편이다. Special Report 6 출처 : 방송통신위원회 / 정보통신산업진흥원재인용 (2010.7) 4. 국내무선랜환경국내무선랜이용환경은구축주체, 관리주체, 이용주체에따라크게다섯가지로구분되며세부특징및보안현황은다음과같다.[4] 4.1 상용무선랜환경이동통신사업자가자사고객서비스용으로구축 운영하는무선랜환경으로사업자이용정책에따라개방형과폐쇄형으로나뉜다. 상용무선랜환경중개방형환경은자사고객뿐만아니라타사고객까지이용을허가하는환경을의미하며자사고객의경우 USIM(Universal Subscriber Identity Module), MAC(Media Access Control), ID/Password 등을통해이용하고, 타사고객의경우실명인증등의방법을통해이용하는방식이다. 폐쇄형환경은자사고객에대해 4.3 사설무선랜환경일반인들이전자상가등지에서구매한무선공유기를임의로설치하여운영하는환경으로자신또는주변인만이용가능하도록구축한환경이다. 무선공유기는보안기능은탑재되어있으나, 초기에보안이설정되어있지않고이용자가보안설정지식및인식부족, 편의성을이유로보안을설정하지않고이용하는사례가많다. 4.4 인터넷전화용무선랜환경인터넷전화설치시에제공되는무선랜환경으로서인터넷전화용무선공유기는인터넷전화용과데이터통신용의두가지무선랜을동시에제공한다. 인터넷전화용무선랜의경우보안이설정되어있고무선랜정보가숨겨져있기에비교적안전하지만데이터통신용무선랜의경우외부에알려진초기패스워드사용으로무단접속, 정보유출등다양한보안위협이있다. 최근이러한문제를개선하기위해인터넷전화사업 TTA Journal No.132 69
무료인터넷접속 와이파이존에서침해사고유발 OPEN AP 인터넷망 IPPBX 중요시스템권한없는접근 도청 / 스니핑 무선 DoS MAC Spoofing 해킹 OPEN AP 웹서버 Rogue AP misconfigured AP 내부정보수집 스니핑등 External AP Firewall IPS 그룹웨어서버 UC 서버 15 [ 그림 2] 무선랜보안위협 자들은초기패스워드를기기마다다르게설정해출시하고있으나, 기존보급된인터넷전화용무선랜의경우안전한이용이필요하다. 4.5 기업무선랜환경기업이내부업무용으로구축한무선랜환경을의미하며최근스마트폰을이용한스마트오피스, 스마트워크도입이확산됨에따라점차구축사례가증가하고있다. 기업유선네트워크로접근할경우 Firewall, IDS(Intrusion Detection System) 등다양한보안시스템들로내부망을보호할수있으나무선네트워크의경우유선상의보안장치들을우회접근할수있어별도의보안시스템적용이필수적이다. 일반적으로기업무선랜환경에서는무선 AP 자체의보안설정, 인증서버구축을통한인증및접근제어, WIPS(Wireless Intrusion Prevention System) 등다양한보안시스템을적용하고있다. 5. 무선랜보안위협및대응방안무선랜은전파를이용해통신하므로물리적인접근없이무선랜서비스를이용할수있고전파수집및교 란을통한다양한보안위협을야기할수있다. [ 그림 2] 에서는무선랜을통한보안위협을보여주고있다.[5] 본장에서는무선랜에서의보안위협을기술적인측면과함께관리적, 물리적측면으로나누어무선랜보안위협과대응방안을설명한다. 5.1 기술적보안위협무선랜의기술적보안위협은전파수집, 불법접속, 중간자공격 (Man in the Middle Attack) 등을통한사용자주요정보유출과전파교란 (Jamming), 다량의패킷전송을이용한서비스거부공격이있으며 WEP 등취약한보안설정을해킹해불법접속및내부망으로침투하는등다양한공격유형이있다. 무선랜의기술적보안위협은 WPA2 등무선 AP에서제공하는보안을설정함으로써대부분차단가능하다. 하지만기업환경등중요정보를취급하는장소에서무선랜이용은 WIPS 등전문무선보안시스템도입이필수적이다. 5.2 관리적보안위협무선랜에강력한보안기술을적용하여도적절한관리가이루어지지않는다면이를쉽게우회할수있다. 70
Special Theme _ 스마트폰정보보호 관리적보안위협으로는무선랜장비및단말관리미흡, 사용자보안의식결여로인한침입허용, 전파관리미흡에따른외부자의내부 AP 접속및내부자의외부 AP 접속허용등이있다. 무선랜관리적보안위협의대응방안으로는 AP와같은접속장치및단말에대한관리방안을수립 실시하고, 이용자들에대한주기적인인식제고및교육, 내 외부불법접속에대한점검등을실시해야한다. 5.3 물리적보안위협유선인터넷환경의네트워크장비들이대부분일반사용자가접근하기어려운곳에설치 관리되는것에비해, 무선 AP는전파송출의필요성등으로외부에노출되어설치되는경우가많다. 이러한경우무선 AP는도난 / 파손, 전원차단, 랜선분리등의위험이있으며, 서비스에장애상태가발생할수있다. 또한무선단말기가분실되어저장된무선랜접속정보및보안설정정보가유출될경우비인가자의무선랜접속을허용할수있다. 이와같은위협에대비하기위해서는무선 AP가외부에노출되지않도록하고설정정보를주기적으로변경하며동시에무선랜을이용하는단말관리및분실대비방안을강구해야한다. 5.4 기타보안위협최근인터넷전화보급및공중무선랜구축이증가하게되면서새로운보안위협이등장하고있다. 먼저인터넷전화의경우초기패스워드가외부로알려져있으나인터넷전화사용자들이보안지식및인식부족으로이를변경하고이용하지않아이를통한다양한보안사고발생위협이있다. 따라서사업자및정부차원에서무선랜의보안위협을충분히인지시키고이용자들이스스로또는사업자들이서비스제공시보 안설정및암호변경을하도록유도해야한다. 공중무선랜의경우누구나이용할수있도록구축되어져있어일반인뿐만아니라해커가접속할수도있다. 이러한경우악성코드유포및스팸발송의근원지가될수있으며공중무선랜에서침해사고발생시무선 AP까지만추적이가능하여대응에어려움을야기할수있다. 따라서공중무선랜구축시에는이용자접속관리시스템등침해사고추적을위한장치가필요하다. 6. 맺음말 2009 년하반기부터시작된스마트폰열풍으로무선랜이용은급격히증가했다. 무선랜기술이갑자기등장한것은아니지만이동통신사업자의적극적무선랜인프라활용, 유무선융합서비스출시, 다양한형태의사설무선 AP 보급등으로다양한환경에서무선랜을사용하게됨으로써무선랜은점차필수적인서비스가되고있다. 무선랜의전송특성상보안의고려는필수적이지만무선랜이용환경의다양화로인해일관된보안정책적용에어려움이있기에다방면으로보안강화를위한노력을추진해야한다. 정부에서는사설무선랜에보안을강화할수있도록보안설정지식을제공하고무선랜보안홍보를통해대국민인식제고를추진하고있다. 이동통신사업자들은정부와협조를통해상용무선랜에서보안사고대응체계를수립하는동시에인터넷전화등가정용무선랜상품에대한보안대책을추진해야한다. 이외, 기업의전산운영자및보안담당자들은자사운영무선랜에대한보안관리체계를수립하고주기적인점검을통해보안사고발생을최소화해야한다. 안전한무선랜이용을위해서는무엇보다개개인이 Special Report 6 TTA Journal No.132 71
무선랜보안위협을이해하고안전한무선랜이용의필 요성과방법을지키는것이필요하다. [ 참고문헌 ] [1] http://standards.ieee.org/getieee802/802.11.html [2] http://www.wi-fi.org/ [3] Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2009-2014(CISCO, 2010.2.9) [4] 백종현, Wireless LAN Status and Security Issues in Korea CJK SWIS 2010, 2010.11 [5] 한국인터넷진흥원 무선랜보안안내서 2008 정보통신용어해설 스마트페이먼트 Smart Payment [ 통신서비스 ] 스마트폰등으로결제하는방식. 기존의카드결제, 멤버십, 쿠폰, 포인트따위를스마트폰으로처리하는서비스를말한다. 스마트폰만들고다니면자동으로결제가진행되기때문에굳이신용카드, 교통카드들을가지고있을필요가없다. 다만, 스마트페이먼트를지원하는스마트폰이필요하다. 72