롯데정보통신보안컨설팅사업부수석컨설턴트김계근
1. 모바일의정의와장점 PDA 사용자 -3-
1. 모바일의정의와장점 모바일의정의모바일 (Mobile)? 휴대폰을이용한데이터송수신 PDA를통한인터넷접속 UMPC를이용한무선접속서비스 -4-
1. 모바일의정의와장점 모바일의장점 Mobile POS USN 과의결합 새로운응용서비스 - 원격의료 -LBS PDA UMPC 휴대폰 -5-
2. 모바일환경의보안위협 PDA 사용자 -6-
2. 모바일환경의보안위협 무선네트워크의종류 802.11 무선랜 W-CDMA, HSDPA 휴대전화망 802.15 무선 PAN (Personal Area Wireless Network) 802.16 WMAN (Metropolitan Wireless Area Network) 802.20 MBWA -7-
2. 모바일환경의보안위협 구성 / 프로토콜상의위협 (802.11 사례 ) 서비스거부공격 비인가 AP -8-
2. 모바일환경의보안위협 War Driving 에사용된장비 무선랜접속프로그램 전파수신증폭장비 -9-
2. 모바일 환경의 보안위협 War Driving을 통한 무선 랜 접속 서울 서부에서 인천 동부로의 무선 AP 지도 강남 일대 무선 AP 지도 - 10 -
2. 모바일환경의보안위협사항 응용프로그램수준의보안위협 W-CDMA 망위에서동작하는무선인터넷서비스는응용프로그램수준에서의침해가능성을가지고있음 -11-
3. 동영상 PDA 사용자 -12-
3. 시연 동영상시연 무선 POS 의보안위협 출처 : YTN -13-
4. 모바일보안대책 PDA 사용자 -14-
4. 무선보안대책 무선랜보안기술은각각의취약성을가지고있으며무선랜보안메커니즘또한보완되어야할부분을가지고있습니다. 무선랜과같이완전한기술적인보안대책이수립되지않은경우관리적보안대책, 운영측면의보안대책등의수립을통해보안을강화할수있습니다. 안전하고신뢰성있는무선환경마련 -15-
4. 모바일보안대책 ( 계속 ) 관리적보안대책적절한보안정책의수립사용자에대한주기적인보안교육운영측면보안대책물리적보안유 / 무선망구축시의보안성점검무선 AP 및단말기에대한접근, 설치과정보안기술적보안 무선 AP, 단말기에대한인증강화 무선통신과정의암호화적용검토 -16-
문의 : 롯데정보통신보안컨설팅사업부김계근 toproach@lotte.net
별첨 1. 무선 AP 환경설정방법 (1/2) 무선 AP (Access Point) 환경설정 관리자패스워드변경 : 제조사마다고유한 default 패스워드를사용하고있기때문에유추하기어려운패스워드변경수행 SSID 변경관리 : 출고시에설정된 Default SSID(Service Set Identifier) 를변경한후사용해야한다. SSID 는도청이가능한정보이므로불법적인사용자의접근을막을수는없지만, 기술이뛰어나지않은공격자의접근을상당부분막을수있다. - 기업에서사용할수있는가장기본적인인증방법으로하나, 또는여러 AP 들을그룹으로특정식별번호부여 - 기업보안정책에따라 SSID 를 Broadcast 하지않고 Hidden SSID 로사용 MAC 필터방식설정 : 인가된사용자의접속통제를위해허가 / 차단하고자하는무선랜카드의 MAC 주소를등록하여무선접속차단 예 ) 링크시스무선랜 MAC 등록예시 -19-
별첨 1. 무선 AP 환경설정방법 (2/2) 무선데이터암호화방식설정 : 사용무선랜 AP에따른암호설정기능에차이가있으나 AP에서제공하고있는암호방식가운데보안수준이높은암호화방식을적용필요 WEP 보안모드사용 링크시스무선 AP 설정 Security Mode: WEP 무선보안기능선택 - WEP(Wired Equivalent Privacy): 무선데이터암호화의가장기본적인방법 ( 대다수의무선장치들이지원함으로호환성이높음 ) Encryption: 암호화수행을위한 Key 수준을결정 - 64bit: 16 진수 10 자리의 Key 를사용 - 128bit: 16 진수 26 자리의 Key 를사용 128bit 를사용하여도 WEP Key 의정적인특성으로인해암호화된키값을복호화가가능하기때문에주기적으로 WEP Key 값변경하거나 WPA 방식적용권고 (WEP Key 는무선보안을위한최소한의보호방법임 ) Passphrase : 임의의단어를입력한후 "Generate" 버튼을누르면 WEP key 1 ~ 4 번까지난수를자동적으로생성 윈도우 XP 가설치된단말의 WEP 설정 무선네트워크연결속성화면 예 ) 링크시스무선단말기데이터암호화설정방식 (WEP 방식설정 ) -20-
별첨 1. 무선 AP 환경설정방법 (2/2) WPA 보안모드사용 링크시스무선 AP 설정 Security Mode: WPA 무선보안기능선택 - WPA(Wi-Fi Protected Access): TKIP, AES 두가지암호화방식을통해보다안전한암호화기능제공 - 사용하는무선랜카드및기타무선장치가 WPA 보안기능을지원한다면꼭 WPA 를통한보안설정을권장 Encryption: TKIP 또는 AES 중선택. Windows XP 에서는별도의선택없이각암호화방식에따라서자동인식 Passphrase : WPA 는 8~63 자리의문자 / 숫자를자유롭게암호로이용가능함으로원하는암호입력 하드웨어에따라암호화지원모드설정방식의차이가있으므로관련 AP 매뉴얼을참조 윈도우 XP 가설치된단말의 WEP 설정 네트워크인증은 WPA-PSK 방식설정 데이터암호화는 TKIP( 가정용 ), EAP( 비즈니스, 기업용 ) 을반영하여설정 - EAP 암호화방식을적용하기위해서는 801.x 기술을적용한 RADIUS 서버구축필요 네트워크키 에무선 AP 와동일한구문을입력 네트워크키확인 란에도동일하게입력 예 ) 링크시스무선단말기데이터암호화설정방식 (WPA 방식설정 ) -21-
별첨 2. 무선랜보안점검방법 (1/3) 무선랜보안점검방안 기업내무선보안침해요소제거및가능성축소를위해비인가된엑세스포인트 (Rouge AP) 및 Ad-hoc 연결을단말에대한점검을수행합니다. 수행방법은다음과같습니다. 비인가무선랜보안점검방법정의및계획수립 무선랜보안점검시나리오수립 - 비인가무선랜 (Rouge AP) 및불법사용자 (Rouge Client), 비인가 Ad-hoc 단말기점검을위한무선랜점검시나리오수립 - 기업외부점검, 로비점검, 내부망점검등구역및영역에따른점검장소및대상선정 시나리오에따른무선 AP 점검툴로무선랜보안점검수행 점검결과분석 무선랜사용자및장비현황파악을통해내부망접속이허가되지않은무선 AP 및 Ad-hoc 단말, 취약한 AP 도출 취약점보완및보호대책수립 -22-
별첨 2. 무선랜보안점검방법 (2/3) 무선 AP 점검툴사용방법 1. 무선 AP 점검툴다운로드 아래 URL을참조하여대상무선AP 점검툴다운로드 - http://www.netstumbler.com/downloads 2. 프로그램실행 무선AP 점검툴을노트북에설치후프로그램실행 - 해당노트북에는무선랜카드설치필수 -23-
별첨 2. 무선랜보안점검방법 (3/3) 무선 AP 점검툴사용방법 3. 무선 AP 점검수행 실행을통해현재위치에서잡히는무선 AP 및 Ad-hoc 통신중에있는무선단말들을확인이가능함각단말들의 SSID 및 MAC 주소, 그리고무선암호화사용방식등을확인을통해취약한무선 AP 확인 MAC, SSID, Type(AP, Peer-to-Peer), Encryption 여부확인 4. 점검결과분석 툴실행후도출된정보를통해 SSID 보안기능미적용, 사용자인증미설정및취약한암호화방식을적용하고있는무선 AP 그리고 Ad-hoc 연결을통해무선통신을하고있는단말정보확인인증미적용 AP 에대한보안설정강화적용보안장비리스트비교검색을통해내부 / 외부장비여부판별및등록되지않은비인가 AP 확인을통한보호대책마련 Encryption Off 되어있고현재활성화되어있는 AP 장비 無 -24-
별첨 3. 무선보안을위한점검항목 무선보안점검체크리스트 안전한무선랜운용에필요한보안대책점검항목입니다. 필수항목 은무선랜의안전한운용을위해서반드시필요한항목이며, 선택항목 은현실적으로불가능하거나고차원의보안서비스를제공하지않을경우불필요한항목입니다. 점검항목 도 확인 무선사용필요성검토 무선랜사용과관련된조직의보안정책개발 무선랜사용자에대한보안교육 무선랜카드및 AP 의보안패치적용 주기적인보안점검실시 건물및무선랜장비사용장소에대한물리적인접근제어 AP 서비스범위결정 보유한무선랜카드및 AP의목록작성 / 관리 근접한 AP간의이종채널설정 AP 설치시외부와인접한장소 ( 벽, 창문등 ) 회피 인가되지않은사용자의 AP에대한물리적인접근방지 AP 미사용시전원차단 인가된사용자에의한 AP 리셋기능수행 AP 리셋수행시설정된보안환경으로복구하는기능확보 기본으로설정된 AP의 SSID 변경 AP의 SSID 브로드캐스트 (Broadcast) 기능차단 AP의 SSID 설정시부서명, 회사명, 제품명등의사용회피 -25-
별첨 3. 무선보안을위한점검항목 무선보안점검체크리스트 점검항목도확인란 모든기본설정값에대한이해및변경 128 비트이상의, 가능한최대크기의암호키사용 유선네트워크와무선네트워크 (AP 또는 Hub to APs) 구간에침입차단시스템설치무선랜클라이언트시스템안티바이러스 (Anti-Virus) 제품설치 AP 간의연결을위해허브대신에레이어 2 스위치설치교환되는정보의도를고려한적절한암호메커니즘사용주기적으로소프트웨어패치및업그레이드모든 AP에보안강도가강한관리패스워드사용모든패스워드주기적인변경고정 IP 사용 DHCP 기능차단 AP 관리를위한사용자인증 SNMP의적절한설정 ( 쓰기기능금지 ) 및미사용시기능해제무선랜카드사용자에대해 RADIUS, Kerberos 등의사용자인증고려무선통신구간에침입탐지시스템 (IDS) 설치향상된보안기능을제공하는 802.11 제품사용보안기능을사용전에보안기능숙지 IETF, IEEE 등의보안관련표준화작업확인 선택선택선택선택선택선택선택선택선택 KISA 무선랜안전운영가이드참조 -26-