누구나 손쉽게 따라할 수 있는 무선 네트워크 보안법

보안을 강화하기 위해 관련 전문가를 고용하고 첨단 보안장비를 도입하는 일 모두 매우 바람직한 일이 아닐 수 없습니다. 하지만 문제는 그런 노력만으로는 보안문제를 모두 해결할 수 없다는 것입니다. 일례로 첨단 보안장비를 사용하고는 있지만 ID와 비밀번호를 한번도 바꾸지 않는다면 어떻게 될까요? 첨단 장비라도 무지불식간에 무용지물로 전락해 버릴 수 있게 될 것입니다. 이런 측면에서 사용 중인 네트워크 장비와 단말기의 환경 설정만 일부 변경하는 것만으로도 보안 수준을 한층 강화할 수 있는 유용한 방법을 함께 살펴 봤으면 합니다. 기업 고객들을 위한 솔루션 마케팅을 담당하고 있는 삼파 초우드후리(Sampa Choudhuri)가 전하는 손쉬운 보안 요령. 원문   포스팅은 5 Configuration Changes to Fortify Your WLAN Security 에서 확인하시기 바랍니다. 

장비를 교체하거나 새로운 장비를 도입하는 등의 거창한 작업 없이도 몇가지 손쉬운 대응만으로도 무선 네트워크   인프라를 외부 침입자로부터 보호할 수 있다는 사실을 알고 계신가요? 지금부터 그 방법을 소개해 드리겠습니다.

무선 네트워크는 소규모 비즈니스에 부합한 통신환경이라 할 수 있습니다. 유선과 무선 단말기 접속이 가능하며,    네트워크 기능을 확장하기도 용이하고 무엇보다 직원들의 생산성을 높여주기 때문이지요. 또 무선랜은 유선
네트워크에 비해 설치가 쉽고 경제적이며, 직원과 방문객 모두가 쉽고 빠르고 편리하게 인터넷을 통해 비즈니스        인프라에 접근할 수 있도록 해 줍니다.


무선 네트워크를 구성하는 것은 어떤 측면에서 보면 전혀 어려운 일이 아닙니다. 무선 라우터나 무선 액세스포인트와 같은 네트워크 장비들은 기본 환경 설정이 모두 세팅된 상태에서 출시되기 때문에 복잡한 설치작업 또는 설정과정이
불필요하기 때문이지요. 하지만 보안 측면에서 보면 이런 일련의 과정은 큰 문제를 야기할 수 있습니다. 실제로 특수한 업무 특성 및 환경을 고려하지 않은채 미리 설정된 구성 및 패스워드는 보안 측면에서 보면 재앙에 가까운 문제 상황을 불러올 수 있습니다. 그러므로 여러분이 사용 중인 무선 네트워크가 외부 침입으로부터 안전하기를 바란다면 각종 장비의 환경 설정을 변경함으로써 침입을 미연에 방지할 수 있어야 할 것입니다. 그 작업이 결코 어렵지는 않습니다. 제가 다음에 제안드리는 다섯가지 방법에 따라 사용 중인 무선 네트워크를 보다 안전하게 지켜 보심은 어떠실지요?


1. 사전 설정된 ID와 비밀번호를 모두 바꾸십시오. 시스템이나 단말기를 새롭게 사용하게 될 경우    사전에 설정된 ID와 비밀번호를 바꿔야 한다는 사실은 상식이겠지요. 하지만 현실은 그렇지 못합니다. 놀랄 정도로 많은 사람들이 라우터와 액세스 포인트 상의 SSID(Service Set Identifier)라 불리는 무선 네트워크 이름을 여전히
바꾸지 않은채 사용하고 있습니다. 디폴트로 설정된 SSID는 ‘Cisco’와 같이 장비공급업체 이름으로, 비밀번호는  ‘password’로 주로 사전 설정되어 있는데도 말입니다. 이런 사실은 금시초문이시라고요. 문제는 해커들은 이런 사실을 모두 숙지하고 있다는 것입니다. 이제 왜 ID와 비밀번호를 바꿔야 하는지 금방 이해가 되시지요. 이때 기본 SSID를 바꾸는 것과 별개로 관리자 계정을 포함한 각종 단말기 계정 역시도 사전에 설정된 패스워드를 변경해 주셔야 합니다. 


사전 설정된 SSID가 보안 리스크를 가져오는 치명적인 요인은 아니지만 침입자에게 무선랜으로 가는 길을 알려주는
길잡이 역할은 충분히 할 수 있습니다. 보안 전문가들은 계정 이름, 비밀번호 등을 10개 혹은 그 이상의 문자와
숫자로 이뤄진 무작위 조합으로 구성해 SSID를 바꾸라고 권합니다. 이때 기업 이름과 연관돼 있거나 쉽게 연상이
가능한 데이터는 피해야 할 것입니다. 


2. 데이터 암호화 기능을 이용하십시오. 모든 무선랜 장치들은 어떤 형태로든 암호화를 지원하고 있습니다. 다소
낮은 암호화 수준을 제공하는 WEP(Wired Equivalent Privacy), 보다 강력한 WPA(Wi-Fi Protected Access)나
WPA2 보안 프로토콜과 같은 것들이 그 일례입니다. 가능하시다면 WPA 혹은 WPA2를 이용하십시오. 이들은 AES
(Advanced Encryption Standard)를 포함하고 있어 보다 수준 높은 암호화 기능을 제공하기에 보다 안전합니다. WEP의 경우 대부분 무선랜 네트워킹 장비에 포함되어 있긴 하지만 손쉽게 해킹될 수 있기 때문에 여러분의 비즈니스 네트워크를 안전하게 지켜준다고 보장할 수 없습니다. 

이 밖에도 암호화 과정시 명심해야 할 사실이 하나 있습니다. 각의 무선랜 장비들은 동일한 암호화 프로토콜로 설정돼 있어야 한다는 것입니다. 만약 일부 장비가 낡아 WPA 혹은 WPA2와 호환이 불가능하다면 보다 강력한 네트워크 프로토콜로 업그레이드 하셔야 합니다.

3. 사용자 인증 기능을 작동시키십시오. 사용자 인증을 활용하게 되면 네트워크 접속을 사전에 승인받은
사용자들에게만 허용할 수 있기 때문에 한결 안전해집니다. 무선 라우터와 액세스 포인트의 기능에 따라
다양한 방식으로 사용자 인증을 구현할 수 있습니다. 무선 네트워킹 장비가 WPA2를 지원한다면 여러분은
802.1X/EAP (Extensible Authentication Protocol)를 통해 사용자 인증을 제공할 수 있습니다. 만약 ACL(Access
Control List)을 지원한다면 무선 라우터와 액세스 포인트 안팎에 흘러 다니는 트래픽을 걸러주는 역할을 할 수
있습니다. 이렇게 하면 네트워크 상에서 확실하게 인증된 컴퓨터만이 무선랜에 접근하도록 허용하게 됩니다. 

사용자 인증을 가능하게 하는 또 다른 방법은 MAC(Media Access Control) 어드레스 필터링을 통해서입니다.
랩탑을 비롯한 각각의 무선 단말기들은 라우터와 액세스 포인트 장비에 의해 할당된 고유의 MAC 어드레스를 갖고
있습니다. 네트워크 접속을 위해 입력해놓은 MAC 어드레스만 무선랜 장비의 접근을 허용하게 되는 것이죠. 그러나
해커는 여러분의 네트워크에 접속해서 MAC 어드레스를 손쉽게 획득하고 도용할 수 있습니다. MAC 어드레스 도용을 완전하게 막을 수는 없다는 얘기죠. 그렇기 때문에 보안을 생각한다면 MAC 어드레스 필터링에만 의존해서는
안됩니다.

이와 함께 라우터와 액세스 포인트 상에서 DHCP(Dynamic Host Configuration Protocol)를 끄고 유동 IP주소
대신에 고정형 IP주소를 사용하는 것을 권합니다. 일련의 사설 IP주소는 칩입자들이 DHCP 풀(pool)안에서 IP주소를 임의로 이용하는 것을 방지해주는 역할을 합니다.

가장 좋은 것은 이 모든 사용자 인증 방법을 이용해 환경 설정을 할 수 있는 장비를 갖추는 것이겠지요.
WPA2 암호화, ACL, MAC 어드레스 필터링 기능 등을 모두 포함하는 그런 장비 말입니다. 시스코 AP500 시리즈
무선 액세스 포인트가 대표적인 바로 그런 장비랍니다!

4. 내장된 방화벽을 켜세요. 시스코 RV220W 라우터와 같은 무선 라우터와 시스코 RV110W Wireless-N VPN
Firewall와 같은 무선 액세스 포인트는 방화벽을 내장하고 있습니다. 이는 여러분 네트워크에 스며드는
악의적이고 위험한 트래픽을 상시적으로 막아주는 역할을 한답니다. 내장 방화벽을 갖춘 장비라면 그 기능을 꼭 활용하십시오.

5. Wi-Fi 브로드캐스트 기능을 끄세요. 라우터와 액세스 포인트에서 SSID의 브로드캐스트 기능을 끄시길
바랍니다. 이렇게 하면 해커들이 무선랜을 찾는데 곤란을 겪게 됩니다. 무선랜 네트워킹 장치들은 일반적으로 무선 네트워크의 SSID를 사방에 뿌려 댑니다. 이는 이용자들이 무료 공용 핫스팟 지역에서 손쉽게 로그인하는
데는 유용하지만 기업의 사설 무선랜에서는 반드시 필요한 기능이 아닙니다. 보안을 생각한다면 꺼두시는 게 더
낫습니다.

브로드캐스트 기능을 활성화하지 않는 것보다 무선랜을 찾기 더 어렵게 만드는 방법이 있습니다. 액세스 포인트를
숨겨서 보통의 관찰자가 그것들을 볼 수 없게 하는 것입니다. 즉, 빌딩 외부에서 손쉽게 무선 신호가 잡히지 않도록 액세스 포인트를 덮어버릴 수 있을 만큼 네트워크 장비의 무선통신 출력을 강하게 설정해 놓으면 됩니다.

어떻습니까? 무선 네트워크 보안을 시작하는 방법 크게 어렵지 않으시죠. 그런데 위에서 소개해 드린 다섯가지 방법만으로는 뭔가 부족함을 느끼신다고요. 그러시면 보다 강력한 보안 장치를 추가로 설치하는 것을 고려해 보십시오.  원격 근무자를 위한 가상사설망(VPN)은 물론 시스코 SA 500 시리즈 Security Appliance와 같은 침입차단시스템(IPS) 장비들이 좋은 대안이 될 것입니다. 더불어 안티바이러스 소프트웨어를 최신 버전으로 바꾸고 무선랜 하드웨어에 보안 패치를 업데이트하는 작업 역시도 안전한 네트워크 환경을 유지하는데 크게 도움을 줄 것입니다.

마지막으로 무선 네트워크 보안을 걱정하는 여러분들께 당부하고 싶은 말이 있습니다. "늘 경계하고 조심하는 자세만큼 보다 확실한 보안 대책을 없다"고요.  

무선랜 보안을 지켜 나가고자 노력하는 여러분들에게 이 글이 부디 많은 도움이 됐기를 바랍니다.^^
  • SSID 브로드캐스트를 하지 않는 것은 AP 보안에 별 도움이 되지 않으며, 오히려 클라이언트 측 보안을 약화시킬 수 있다고 합니다. 아래 두 페이지 참고.

    http://www.itworld.co.kr/news/84090
    http://windows.microsoft.com/ko-kr/windows/cant-find-wireless-network#1TC=windows-8

  • 안녕하세요, 시스코 코리아 블로그입니다. 먼저 저희 블로그 글에 이렇게 관심 가져 주셔서 감사 드립니다. ^^

    보안은 항상 '보안성'과 '편의성', 이 두 가지에 대한 균형감 유지가 매우 중요합니다. 이에 기업 업무용 SSID의 경우 가능하다면 노출시키지 않는 것이 기본적인 권고사항이며, Guest 등을 위한 SSID는 편의성 측면을 고려하고 보안성은 별도의 장치(접근제어정책)를 통해 제공되는 것이 좋겠지요.

    그리고 링크에서 언급한 것처럼, SSID을 노출시키지 않더라도 해커들은 이를 쉽게 확인할 가능성이 있는 것은 맞습니다. 하지만 그렇다고 해서 기본적으로 갖추어야 할 보안 사항을 무시하고 기업의 업무용 SSID를 노출시키는 것은 바람직하지 않습니다. 자칫 누구나 쉽게 접근할 수 있는 타겟이 될 수도 있으니까요.

    기업 인프라의 보호는 IT 기술을 잘 아는 사람들의 오남용 방지와 더불어 IT에 익숙하지 않은 사람들에 의한 오남용 역시 가능한 한 최선의 노력을 기울여 대응할 때에 가능합니다. 그래야만이 심층적인 보안성과 편의성에 균형감을 갖춘 보안을 시작할 수 있을 테니까요.

    도움이 되셨으면 좋겠습니다. 아무쪼록 앞으로도 시스코 코리아 블로그에 많은 관심과 성원 부탁 드립니다! 감사합니다. ^^