무선 네트워크는 유선 네트워크보다 설치가 간편하다. 하지만, 편할수록 보안에 더 취약한 법이다. 이 글에서는 무선 네트워크에서
살펴보아야 할 보안 10계명에 대해 자세히 다룬다.
1. 암호화하라
암호화는 무선 보안의 가장 첫번째 방법이다. 하지만 대부분의 WAP(Wireless access points)에서는 기본적으로 사용하기 않게 되어 있다. 요즘 대부분의 WAP들은
WEP(Wired Equivalent Privacy) 프로토콜을 지원하지만 이 또한 기본적으로 사용하지 않게 구성되어 있는 경우가
많다. WEP 프로토콜은 수많은 보안 취약점을 가지고 있으며 이를 알고 있는 해커들은 크랙할 수도 있지만, 가장 중요한 것은 암호화를 하지 않는 것보다 낫다는 점이다. WEP 인증방식에
모두에게 열어두지 않고 ‘미리 공유된
키’등의 인증
방법을 사용하고 있는지 확인한다. WEP에서 아무런 인증방법을 사용하지 않는다면 송수신되는 데이터들은
클라이언트 인증만 확인할 뿐 암호화가 이루어지지 않게 된다. 또한
WEP 키를 자주 바꾸고 40비트보다 128비트의 WEP을 사용하는 것이 좋다.
2. 강력한
암호 방식을 사용하라
WEP 프로토콜이 보안상 약하기 때문에 가급적 WEP 보다는 WPA(Wi-Fi Protected Access)를
사용하여야 한다. WPA를 사용하기 위해서는 먼저 WAP이
이를 지원해야 한다.( 지원하지 않는 제품 중에는 펌웨어 업그레이드를 통해 WPA를 이용할 수도 있다. 제조사 홈페이지를 참고한다.) 또한 랜카드도 WPA를 지원해야 한다. Windows XP SP2에서부터 WPA를 설치한다. XP SP1 사용자는 다음의 URL에서 WPA를 지원하는 롤업 패키지를 다운로드하여 이용할 수 있다. http://support.microsoft.com/kb/826942
3. WAP의 기본 암호를
변경하라
WAP 제조사들은 모델 별로 WAP의 구성정보를 보거나 변경할 수 있는 웹 페이지 등을 제공하며 이를 액세스할 수 있도록 기본 관리자 계정과
암호를 제공한다. 이러한 계정 정보는 널리 알려져 있기 때문에 해커들이 쉽게 이용할 수 있다. 따라서, WAP를 설치할 때에는 가장 먼저 이 관리자 계정의 암호를
바꿔야 한다. 당연히 8자 이상의 긴 복잡한 암호를 사용하는
것이 좋다.
4. SSID
브로드캐스팅
옵션 끄기
SSID(Service Set Identifier)는 무선 네트워크에서 WAP의 이름을 나타낸다. 기본적으로 모든 WAP은 SSID를 브로드캐스팅하도록 설정되어 있다. 이렇게 하면 WAP에 처음 접근하는 사용자들이 쉽게 액세스할 수
있다는 장점이 있다. 하지만, 브로드캐스팅 옵션을 끄게 되면
사용자들은 무선 WAP에 접속하기 위해서 SSID를 알아야
한다. 브로드캐스팅 옵션을 끄더라도 해커들은 패킷 스니퍼링을 통해
SSID를 쉽게 알아낼 수 있기 때문에, 이 옵션을 끌 필요가 없을 지도 모른다. 하지만, 좀 더 나은 보안을 위해 이 옵션을 꺼두는 것이 좋다.
5. WAP를 사용하지
않을 때에는 꺼둔다.
아주 간단한 보안 방법이지만 실제 회사나 개인이 이를 제대로 지키는 경우는 보기가 드물다. 사용자들이 24시간 내내 접속하지 않고 낮 근무시간에만 접속한다면
접속하지않는 시간대에는 WAP를 꺼두는 것이 좋다. 항상
켜두어 침입자가 침입할만한 시간적 여유를 주지 않는 것이 좋을 것이다.
6. 기본 SSID를 변경하라.
WAP 제조사들은 각 모델별로 일정한 SSID 이름을 기본적으로 제공한다. 보통 제조사의 약자로 주어지는
경우가 많다. 해커는 이를 통해 어떤 WAP을 이용하는지
알아 낼 수도 있으므로 SSID를 변경하는 것이 좋다.
7. MAC
필터링을
사용하라.
대부분의 WAP들은 MAC 주소
필터링을 제공한다. 즉 사용자의 MAC 주소를 WAP에 등록하여 인증되지 않은 사용자의 접속을 막는 기술이다. 물론, 패킷 스니퍼링을 통해 무선 네트워크에 흘러다니는 정상적인 MAC 주소를
해커들이 알아 낼 수도 있다.
8. 유선 LAN과 무선랜을 분리하라.
무선 네트워크와 연결되는 유선 LAN을 보호하기 위해 무선 네트워크가
연결되는 지점에 DMZ이나 경계(perimeter) 네크워크를
설치한다. 즉, 무선네트워크와 유선네트워크 사이에 방화벽을
위치시키라는 뜻으로 무선 네트워크의 사용자들이 유선랜에 액세스할 때에는 특정한 사용자 및 여러가지 보안 규칙을 이용하여 허용하거나 차단시킬 수
있다. 추천할만한 보안 방법으로는 무선 VPN을 구현하는
것이다.
9. 전파 수신
거리 조절
보통 802.11b WAP는 약
300 피트 거리까지 유효하게 사용할 수 있다. 하지만,
이 거리는 중간에 WAP를 추가 설치하여(리피터처럼
또는 고성능 전파 안테너를 설치) 사용 반경을 더 넓힐 수도 있다. 사용
반경을 넒힘으로 인해 사무실이 위치한 빌딩 밖에서도 WAP에 액세스할 수 있다면 보안적 부분에서 문제가
될 수 있다. 따라서, WAP나 고성능 안테너의 설치시에는
이러한 사용반경을 고려해야 한다. 몇몇 WAP에서는 전파
세기와 방향을 변경할 수도 있다.
10. 서로다른 주파수를
이용하여 통신하라.
일반적인 802.11b/g 무선기술을 사용하는 경우 해커들에게 노출되지
않게 하는 방법중 하나는 802.11a 기술을 이용하는 것이다. 802.11a는 5GHz 대역을
사용하며 b/g는 2.4GHz를 사용한다. 802.11a의 단점으로는 이 제품이 널리 사용되지 않았다는 점에 있다. 따라서
이 항목은 한번 고려할 만할 뿐 그리 추천되지는 않는다.
이제까지 무선 AP를 사용할 때 고려해야 할만한 보안 10계명에 대해 모두 살펴보았다. 필자도 집에서 유무선 공유기를 통해
유선 랜 설치의 부담없이 편하게 무선랜을 사용한다. 회사에서는 좀더 나은 보안 정책을 구현해야 할 것이며
이 글이 좀더 독자에게 도움이 되었으면 한다.
원문 : http://insight.zdnet.co.uk/communications/wireless/0,39020430,39223889,00.htm
