Wifi 무선랜보안 안전성이 문제다

네트워크 보안에서 유선 못지 않게 중요한 것이 무선네트워크 보인다. 모든 기기가 모바일화 되어가고 있고, IoT, BYOD 등이 생활화 되면서 무선 관련된 보안은 가장 중요한 부분이 되어가고 있다.

WIPS-보안 AP 경계가 무너졌다

무선랜이 일반 업무에서도 보편적으로 사용되면서 무선랜 보안에도 많은 투자가 이루어지고 있다. 그러면서 무선침입방지시스템(WIPS) 전문 솔루션은 무선랜 인프라 영역으로 확장하고, 무선랜 솔루션은 보안을 강화하며 WIPS 시장까지 잠식하고 있다. 우리나라에서는 국내기업이 국내 환경에 맞춤형으로 제공되는 WIPS 솔루션을 공급하며 빠르게 시장을 장악해 나가고 있다.

무선랜이 유선랜의 속도를 뛰어넘으면서 업무에도 무선랜을 사용하는 환경이 확산되고 있다. 기업 내에 구축된 무선랜은 물론이고, 공공기관이나 공공장소, 버스, 지하철에서도 무선랜을 이용할 수 있다. 통신사의 인터네서비스에 802.11ac 와이파이 무료 제공 상품이 늘어나고 있으며, 모바일 기기의 성능이 높아지면서 일상적인 업무 처리도 모바일로 가능하게 돼 자연스럽게 모바일 오피스도 구현할 수 있게 된다. 네트워크 접속이 편해진 만틈 보안은 약화됐다. 단말이 비인가 AP에 접속해 단말에 저장된 정보가 탈취되거나 악성코드가 설치돼 좀비단말이 될 수 있다. 해커는 악성코드를 이용해 백도어를 만들고, 단말이 업무 시스템에 접속할 때 시스템 내부로 침투할 수 있따. 무선랜에 연결되 POS, 호텔 전자키카드 시스템, 재난관리리도 해킹으로 인한 피해가 발생한다. 안드로이드 기반 모바일 기기는 특히 해킹에 취약해 비인가 AP 를통해 악성앱이 배포되고 사용자를 교묘하게 속여 악성앱을 설치하도록 만든 뒤 기기의 개인정보를 유출하고 기기 권한을 탈취하는 공격이 진행된다. 비인가 AP는 무선 스캐너를 사용해 탐지할 수 있지만 비인가 AP에 접속한 내부 사용자가 누구인지 알 수 없으며, 모바일 핫스팟 기능을 이용해 생성된 AP와 무선모뎀도 관리할 수 없다. WPA2 암호를 사용해 인증받은 AP 만 사용하면 보안 위협을 크게 낮출 수 있지만, 공유기의 DNS 주소를 변조하는 파밍공격은 막을 수 없다. 공유기 DNS 변조 공격으로 공유기는 가짜 DNS가 안내하는 가짜 금융사이트에 접속해 금융 개인정보를 입력하고, 금융사고를 당하게 된다. 공유기를 악성코드 유포지로 사용하는 공격도 급증하고 있다. 2014년 11월 대량의 유무선 공유기가 악성코드에 감염된 후 통신사 DNS 서버에 DDoS공격을 진행해 서비스 장애가 발생했다. 공격자는 상요자가 많이 방문하는 사이트에 악승스크립트를 삽입해 사용자 단말이 연결된 공유기에 접근한다. 공유기 펌웨어 취약점을 이용해 악성코드를 실행시켜 공유기 자체를 좀비화 한 것이다. 공유기 IP 를 디폴트로 사용하거나 관리자 ID/PW를 변경하지 않을 때 이러한 공격에 취약하다. 일반 사용자의 공유기는 WEP으로 암호화 되지만 WEP 방식은 30분 이내에 풀릴 수 있다. 엔터프라이즈에서는 WPA2를사용해 높은 보안성을 유지마히만, 운 DNS 주소를 변경하는 파밍 공격은 암호화 인증으로 막을 수 없어 공유기 최신 펌웨어를 유지하는 등 보안 관리를 강화해야 한다.

이처럼 무선랜 보안 문제가 심각해지자 공공기관에서도 무선공유기 관련 보안대책을 마련하고 있는데, 공공기관의 경우, 망분리로 안전한 인트라넷을 구축한 후 무선, 무바일 기기를 안전하게 활용할 수 있도록 무선침입방지 시스템 구축 수요가 늘고 있다.

미사용 무선랜도 보안대상이다

무선랜을 사용하지 않는 환경이라도 무선랜 보안은 필요하다. 스마트폰, 태블릿 등의 와이파이를 활성화 시킨상태에서 충전이나 모바일 기기에 저장된 자료를 이용하기 위해 PC와 연결시켰을 때, 모바일 기기가 연결된 비인가 AP를 통해 사용자 PC로 공격이 유입될 수 있다. 노트북의 무선랜카드로 와이파이존을 만들거나 테더링을 이용해 업무에서 금지한 인터넷 서핑, P2P 파일 내려받기, 사적인 메신저를 통한 파일 유출입 등으로 악성코드에 감염될 가능성도 있다. 무선랜을 보호하기 위해 무선침입방지시스템(WIPS)이 제안된다. 외부에서 유입되는 공격을 막는 유선 IPS와 달리 WIPS는 내부 단말이 외부 AP에 접속하는 것을 통제하는 한편 외부로부터의 공격도 막는 역할을 한다. 국내 기업/기관이 요구하는 WIPS는 비인가 단말 접속 통제 수준으로, 기술적인 진입장벽은 낮은 편이었다. 그러나 무선랜 사용환경이 늘어나고 보안위협에 대한 인식도 높아지면서 가격보다 기술을 중요하게 검토하는 기업이 늘고 있ㅓ어 WIPS 시장에서도 기술경쟁이 시작되었다. 기업들은 802.11ac 기반 무선랜을 구축하고 있는데, WIPS는 이전 버전인 802.11n 표준을 지원하고 있어 하위 프로톹콜도 완벽 지원한다. 무선랜 보안위협에 대한 인식도 높아져 WIPS시장은 2015년 이후 과열되고 있다.

WIPS 국내 솔루션의 강세

WIPS 솔루션 기읍은 에어디펜스와 에어타이트를 대표제품으로 꼽아왔으며, 무선침입탐지시스템 즉 WIDS 는 에어마그넷까지 3개 제품이 3강구도를 이뤄왔다. 하지만 WIDS/WIPS 주요 3사에 큰 변화가 생기면서 시장구도에 지각 변동이 일어나고 있다. 에어디펜스는 모토로라솔루션에 인수됐다가 다시 지브라로 넘어가고 에어마그넷은 플루크네트웍스가 인수했다. 지브라와 플루크네트웍스는 WIPS 단독솔루션보다 전체 무선랜 인프라 중 일부로 보안기능으로 접근하고 있어 집중도가 떨어지는 상황이다. 에어타이트는 2013년 퀀텀솔루션으로 충판을 바꾼 이후 국내 시장에서 주목할 만한 성과를 거두지 못하고 있다. 국내 기업의 WIPS가 기술적인 성숙도를 높이면서 성장하고 있는 것도 외산 솔루션의 입지를 흔드는 이유 중 하나가 되고 있다. 2012년부터 2013년 까지 코닉글로리, 유네시스템, 퓨쳐시스템이 순차적으로WIPS를 자체 개발해 출시하고 CC인증까지 완료하면서 국내 공공기관과 금융권의 WIPS 구축 사업을 장악하기 시작했다. 하지만 최근 퓨쳐시스템은 법정관리에 들어가면서 다른 솔루션이 그 자리를 차지할 것으로 예상된다.

2016년부터 교육청 망교체 사업이 순차적으로 진행되고 있다. 또한 스마트시티 사업도 전국적으로 확산되고 있어 WIPS 시장의 발전 가능성은 매우 높은 것으로 전망된다. 유넷시스템의 애니클릭 은 사용자 인증과 데이터 암호화 기능을 가진 애티클릭 AUS 와 무선 통제 기능을 가진 애니클릭 AIR 그리고 무선통합관제시스템 애니클릭 WNMS로 구성된다. 보호, 통제, 관리 기능을 통합해 무선 환경을 안전하게 관리할 수 있도록 한다.

EMM 연동으로 사마트워크 지원

국내 기업중 WIPS를 가장 먼저 출시한 코닉글로리는 총판을 맡고 있는 모바일아이언 EMM 솔루션을 WIPS에 연동해 스마트워크의 유연성과 안정성을 보장할 수 있다고 강조한다. 무선랜이 활성화된 이유 중 하나가 BYOD 가 정착되면서 모바일 업무가 가능해졌기 때문이다. 스마트폰, 태블릿PC의 성능이 높아지고, 모바일 오피스를 지원하는 애플리케이션과 업무 시스템이 확장되면서 진정한 스마트워크 시대가 열리게 됐다. 업무의 유연성이 높아진 만큼 보안위협도 높아지게 됐는데, 관리자는 임직원이 소유한 단말이 업무 시스템에 접속할 때 보안위협 요소가 있는지, 권한 있는 사람이 인증받은 단말을 이용해 접속하는지, 접속하는 네트워크는 안전한지, 업무 애플리케이션에 위변조나 침투 흔적은 없는지 등을 확인하고 허가해야 한다. 이 모든 체크리스트는 자동화돼 적용돼야 한다. 임직원의 보직변경, 입사, 퇴사, 단말교체 등의 변화가 있을 때에도 쉽게 변경이 가능히야 한다. 특히 단말 변경이나 추가는 관리자 개입 없이 직원이 셀프서비스 인터페이스로 직접 등록, 변경할 수 있도록 해야 관리 업무가 줄어들고 임직원이 스스로 업무 효율성을 높이는 방법을 찾을 수 있다.

EMM과 WIPS를 긴밀하게 연동시키년 이러한 일련의 과정을 자동화해 관리 편의성, 업무 효율성, 보안성을 함께 높일 수 있다. 코닉글로리의 에어티엠에스는 모바일아이언 EMM과 연동해 무선랜 위협을 관리하면서 임직원이 BYOD 환경을 안전하고 편리하게 이용할 수 있도록 한다. 에어티엠에스는 정보보호기술의 위협관리시스템 기술을 기반으로 하고 있으며, 2013년 802.11ac 지원 제품을 국내 최초로 출시하면서 차세대 무선랜 보안 기술을 선도했다. 대부분의 WIPS가 비인가 AP를 발견했을 때 30초 이내 차단하는 보장하는 반면, 에어티엠에스는 2초 이내 차단응ㄹ 보잔하는 반면, 에어티엠에스는 2초 이내 차단을 보장하고 있어 비인가 AP로 인한 공격 침투 시간을 최소화했다.

코닉글로리의 에어티엠에스는 국내 대형 금융그룹 전체에 공급한 것을 베스트 프랙티스로 꼽는다. 이 사례는 무선보안에서 인증까지 결합시켜 전국 모든 은행에 적용된 국내 최대규모 사업으로, 이 회사는 전사 모바일 오피스 구현해 유선 없이 무선으로만 업무를 진행하고 있다. 이외에도 다수의 지방자치단체 및 공공기과, 금융기관에 제품을 공급했다. 에어타이트의 총판 유피니트 출신 인사들이 창업한 더보안은 에어타이트를 공급하면서 획득한 기술을 기반으로 무선랜 보안 솔루션을 출시했으며, 사용자 단말 관리 기술도 적용해 BYOD와 스마트워크에서 안전한 업무 활동이 가능하도록 하고 있다. 더보안이 선보인 무선위협차단 시스템(WTPS)에어스캔은 다양한 유무선 통신 디바이스 사용현황을 분석,제어하는 솔루션으로, 네트워크와 디바이스 정보를 실시간 모티터링하고 관리하며, 외부의 불법접속을 차단해 내부정보 유출을 막는다. 에어스캔 스마트는 방문자 스마트폰을 제어하며, 카메라, 와이파이, 3 G, 4G LTE, 블루투스, 테더링 등 스마트폰의 무선통신을 통제한다. 에어사이트는 무선정보관리 시스템으로 다양한 무선솔루션의 통합관리를 위한 대시보드를 제공한다.

무선랜 인프라 솔루션 WIPS 사장을 위협

무선랜 시장 활성화와 함께 보안위협이 높아지게 되자 무선랜 인프라 솔루션 업체들도 보안기능을 강화하면서 WIPS 시장을 잠식하고 있다. 이들은 WIPS 기능 뿐 아니라 MDM, NAC 기능까지 통합해 스마트워크 보안을 강화한다. 휴렛팩커드 엔터프라이즈 아루바의 클리어패스는 무선랜과 보안, NAC, MDM 기능까지 통합한 무선랜 포트폴리오로, 광범위한 네트워크 모니터링을 통해 상요자와 연결 된 디바이스, 디바이스 상태 정보를 분석한다. 상황인식 기술과 리스크 관리를 지원해 상황에 따른 지능적인 관리를 제공하고, 네트워크에 대한 실시간 가시성을 확보할 수 있도록 한다. 다양한 이종장비 전반에서 액세스 정보를 관리할 수 있으며, 다양한 보안 기술과 연동돼 기존 IT 및 사이버 보안 투자를 활용할 수 있도록 한다. 사고 탐지 및 대응을 위한 데이터를 공유하는 통합 허브 역할을 수행하며, SIEM 시스템, 위협 인테리전스 데이터 피드, MDM 안티멀웨어 게이트웨이, 방화벽 등 모든 보안툴 및 기술과 데이터를 교환한다. 과거 2015년 무선랜 시장에서는 삼성잔자의 활약이 돋보였다. 삼성전자의 스마트무선랜은 WES 기술을 탑재한 보안 AP로, 전용 보안 모듈을 통해 보안서버와 연동, 보안위협을 탐지, 차단한다. 무선랜 인증 서버와도 연동하며, WIPS 센서를 지원하는 전용 안테나로 보안위협 탐지 성능을 높인다. 무선랜 기업들은 무선AP의 보안기능을 강화하면서 WIPS 시장을 잠식해가고 있다. 초기 보안 AP는 비인가 AP차단, DoS 방어, 안티바이러스 등 기본적인 보안 기능을 추가하는 수준이었지만, 이제는 AP 자체에 보안 모듈을 탑재하고 WIPS에서 요구되는 보안 기능을 제공하는가 하면, 보안 전용 안테나를 추가로 탑재해 공격을 지능적으로 탐지한다. AP와 무선랜 컨트롤러, WIPS 센서와 WIPS 컨트롤러를 이중으로 관리해야 하는 어려움을 해결하고 비용절감 효과도 노릴 수 있다.

에어로하이브로도 무선AP와 보안기능을 통합해 안전한 무선랜 환경을 만들 수 있도록 한다. AP 센서를 통해 부하분산과 보안위협 탐지, 차단 기능을 제공해 컨트롤러의 역할을 상당부분 덜어낸다. 이를 통해 컨트롤러 비용과 관리 복잡성 문제를 낮추고, 로컬에서 발생하는 이벤트를 즉시 차단할 수 있어 보안 강화 효과도 높다. 예를 들어 특정 단말에서 다량의 동영상 스트리밍 트래픽이나 P2P 다운로드로 트래픽을 장악하고 있으며 이 트래픽을 차단한다. 업무에 필요한 트래픽이라면 인근의 단말을 다른 AP로 분산시켜 트래픽을 효율적으로 사용할 수 있다.

WIPS, 이제는 무선랜 인프라 플랫폼으로 발전

단일 센서에서 무선AP 기능과 WIPS센서 기능을 동시에 수행하다 보면 센서에 부하가 심해지고 장애발생률이 높아진다. 그럼에도 불구하고 보안 AP의 인기가 지속적으로 높아지고 있는데, 센서와 컨트롤러의 숫자를 줄여 비용절감과 관리 편의성을 높일 수 있으며, 기술의 안정성이 높아져 업무 수행에 큰 지장을 주지 않는다는 판단 때문이다. 무선랜 솔루션 기업들이 보안 기능을 강화하면서 WIPS 시장을 흡수하고 있는 것과 반대로, WIPS 기업들은 AP센서를 출시하면서 무선랜 인프라 기업으로 확장하고 있다. 에어타이트는 2013년 WIPS 전문 기업에서 무선랜 인프라 전반으로 포트폴리오를 확대했으며, 클라우드 기반WIPS 에어타이트 클라우드를 출시하면서 비용과 관리문제로 무선랜 보안 도입을 주저하는 SMB 기업을 대상으로 영업을 전개하고 있다. 에어타이트 클라우드는 고객사에 센서를 설치하고, 해당 센서에서 탐지하는 정보를 클라우드에서 분석해 위협 여부를 판단, 차단/허용 정책을 센서에 배포하는 방식이다. 기업 내에 관리자가 없어도 무선랜 보안위협 관리가 가능하며, 글로벌 보안위협을 빠르게 대처할 수 있다는 장점이 있다.

WIPS 시장의 최강자인 지브라 에어디펜스 는 무선랜 인프라 전체에서 보안을 담당하는 솔루션으로 기능할뿐 아니라 무선랜 전체의 관리와 안정성, 보안성을 높이고 있다. 에어디펜스는 고급 무선 포렌식 기술을 제공해 보안사고가 발생했을 때 사고의 원인과 결과를 알 수 있도록 한다. 국제인증인 CC인증 EAL-2 등급을 보유하고 있으며, 무선랜 환경에서 나타날 수 있는 보안사고에 대한 다양한 시나리오를 바탕으로 공격을 방어한다. 다른 무선 통신을 방해하지 않도록 스마트 터미네이션을 통한 무선차단 기술을 제공하며, 위치에 상관없이 모바일 사용자를 보호한다. 에어디펜스가 제공하는 포렌식 기능은 단순한 알람 기반 로그가 아니라 모든 무선랜 활동에 대한 기록을 저장하고, 3개월에서 6개월까지 자체 저장, 추적이 가능하며, 1개 디바이스에 대해 채널활동, 신호특성, SSID 의 변화, 디바이스 활동, 트래픽의 흐름과 같이 관리에 있어 반드시 필요한 300 여 가지를 디바이스 별로 저장한다.

로그 AP 스캐너, 저비용 고효율 달성

WIPS 시장이 빠른 속도로 성장하고 있지만, 무선랜 전체 시장 규모에 비하면 아직 턱없이 작은 상황이다. 무선랜 보안위협에 대해 잘 인식하고 있지만, 인증서버만 구현하면 보안이 해결된다고 믿고 있기 때문ㅇ이다. 그러나 사용자 단말은 신호가 강한 AP로 자동접속되기 때문에 비인가 AP를 차단하지 않으면 보안에 매우 심각한 상황이 될 수 있다. 이 점에 착안해 저렴한 비용으로 비인가 AP만 탐색하는 스캐너도 출시되고 있다. 스캐너는 인근에서 사용하는 정상 AP를 비인가 AP로 탐지하는 문제를 해결할 수도 있다. 예를 들어 사무실의 윗층이나 아랫층 혹은 옆 건물에 설치된 WIPS 로 인해 자사 사무실의 정상 AP가 차단돼 갈등이 빚어지기도 한다. 실제로 서울시내의 한 학원에서는 무선랜에 연결된 태불릿을 이용해 강의를 진행하는데, 옆 건물의 은행에 설치된 WIPS 때문에 창가에서는 무선 접속이 안되는 일로 갈등을 빚고 있다. 아파트에서 층간소음이 있다면 사무실에서는 무선 갈등이 벌어지고 있는 셈이다. 

무선네트워크 취약점을 점검하는 전용 솔루션도 출시돼 보다 합리적인 비용으로 무선랜 보안을 보장할 수 있다. 노러마의 엣이어는 무선 네트워크 현황 파악과 모의해킹을 통해 점검 결과 리포트를 제공하며, 자체 스캐너 엔진을 통해 무선 네트워크를 세부적으로 분류하는 기술, 무선 침입 공격 및 내부 망 확인 기술, 사용하는 AP의 신규 취약점 확인 및 공격 방안 등 다기능을 지원한다. 이 제품은 고속의 무선패킷 수집으로 보안과 성능을 동시에 보장할 수 있으며, MA 주소만으로 AP 단말과 모델타입을 분류하고 취약한 AP/단말을 확인할 수 있다. 비인가 AP 추적 연동 도구를 이용해 비인가 AP 발견시 음향과 진동을 통해 사용자에게 알려준다. 무선랜 보안을 위해 다양한 기술이 소개되고 있지만 무선랜을 사용하는 환경에 비해 보안 솔루션을 구축하는 비중은 매우 적은 편이다.

임직원의 보안교육이 먼저다

특히 무선랜 보안 솔루션을 도입하기 전, 임지권에 대한 보안교육을 강화하는 것도 필요하다. 보안의식이 낮은 임직원들이 무단으로AP를 설치하거나 휴대용 무선모뎀 테더링, 블루투스 등 허가되지 않은 네트워크를 이용해 업무 시스템에 연결하면서 보안위협을 높이기 때문이다. 이러한 행위가 왜 위험하고, 어떤 사고로 이어질 수 있는지 철저히 교육을 진행해야 하며, 그 후 허가되지 않은 네트워크 사용 차단을 위한 솔루션을 도입해야 한다. 무선랜 보안 취약점은 암호 크랙보다 AP 취약점을 이용하기 때문에 새로운 무선 취약점을 확인하고 패치를 진행해야 하며, 모의해킹을 통해 취약점을 정기적으로 점검해야 한다. 그리고 자사 환경에 맞는 무선보안 시스템을 선탤해 운영하면서 지속적으로 보안우이협을 제거하는 것이 바람직하다.

보안은 정말 귀찮은 영역이다. 통제를 하는 입장에서도 이렇게 까지 해야 할까 라는 의구심이 들 정도로 불필요한 절차가 아닌가 생각이 들 때도 있다. 바꿔서 보안통제를 받는 경우 빼돌릴 데이터가 아무것도 없는데 뭘 이렇게 까지 하는가 하는 불만이 터져나온다. 하지만 중요한 것은 그 귀찮은 절차없이 행해지는 모든 행위는 해커의 타겟이 될 수 있음을 명심해야 할 것이다.