무선랜 공격 지능적으로 진화 … 적합한 관심·투자 선행돼야
최근 국내 모 은행에 설치된 무선 공유기에 원거리 지향성 안테나를 사용해 접속, 내부자료 유출을 시도하다 붙잡힌 무선랜 해킹 사건이 발생한 바 있다. 무선이 시대적 흐름이 된 가운데 상대적으로 소홀했던 무선보안의 중요성이 부각되고 있는 가운데 관리자 및 사용자가 안심하고 사용할 수 있는 무선랜 환경 구축을 위해 검토해야 할 사항들을 짚어본다. <편집자>
최정열 //
케이와이즈 기술컨설팅본부 이사
steve.choi@kwise.co.kr
기존의 유선랜이 제공할 수 없는 무선랜만의 다양한 장점과 편리함에 힘입어 무선랜 사용 범위가 작게는 가정에서 크게는 대기업까지 빠른 속도로 증가하고 있다. 모든 일이 그렇듯이 항상 그 편리함 뒤에는 어두운 면이 있기 마련이다.
최근 국내 모 은행에 설치된 무선 공유기에 원거리 지향성 안테나를 사용해 접속함으로써, 내부자료 유출을 시도하다 붙잡힌 무선랜 해킹 사건이 화제가 되고 있다. 사실 이는 모든 보안전문가들이 이미 오래 전부터 지적한 많은 무선랜 취약점의 하나를 이용한 것에 불과하다. 그간 첩보 영화에서나 볼 수 있었던 해킹들이 현실로 우리 주변에 실제로 나타난 것이다.
이러한 일들을 영화 속의 장면들처럼 신기하고 재미있게만 볼 것은 아니다. 일전에는 국내 유명 경매 사이트 회원들의 개인정보가 유출돼 현재 피해 보상 규모가 최소 수백억에서 수조원에 이를 수 있는 소송이 진행 중이며 이러한 자료유출로 인한 유사 피해 소송이 점차 증가하고 있다.
보안 전문가들에 따르면 국내 대기업이나 금융권 유선 네트워크의 경우 방화벽, IPS 등 각종 보안 솔루션을 다중으로 설치해 네트워크 해킹 위협에 대비하고 있다고 한다. 기업으로 들어오는 모든 외부 데이터 통신은 기업의 방화벽을 시작으로 다중의 보안 솔루션들을 기본적으로 반드시 통과해야 한다. 하지만 문제는 이들 네트워크에 ‘무선’이라는 단어가 추가되면서 시작된다.
기존에는 유선 방화벽 등 겹겹의 보안 감시를 무사히 통과해야만 데이터가 정상적으로 이동을 할 수 있었지만 이제는 데이터가 무선을 통해 관리자가 모르게 어디론가 유출될 수 있다. 다시 말하면 도시와 도시간에 흐르는 튼튼한 송유관이 있는데 중간에 무선 공유기라는 작은 파이프를 누군가 악의적인 목적으로 설치, 관리자 몰래 중간에서 귀중한 기름을 빼돌리는 것과 같은 것이다.
b>비인가 불법 무선 공유기
최근 금융권 해킹사건에서 지적된 무선랜 공유기도 우리가 주위에서 흔히 볼 수 있는 대표적인 무선랜 취약점 중의 하나다. 무선 공유기의 경우, 누구나 손쉽게 구매할 수 있으며, 설치도 쉬워 네트워크에 연결한 후 전원만 넣으면 바로 사용할 수 있다.
하지만 아쉽게도 대부분의 사용자가 암호화나 인증이 없는 개방형이나 취약한 WEP키 암호화만을 적용한 상태에서 사용하고 있다. 그러나 WEP키 암호화 방식을 사용하더라도 인터넷상에서 쉽게 구할 수 있는 에어크랙과 같은 해킹 툴을 사용해 5분 이내에 손쉽게 크랙이 가능하다고 알려져 보안이 거의 되지 않는다.
무선랜을 많이 사용하는 곳이던 안 하는 곳이던 이들 비인가 무선 공유기는 보안 담당자들에게 많은 보안상의 문제점을 만들어 준다. 업계에서는 관리자의 허가를 받지 않고 회사의 유선망에 몰래 연결해 사용하는 비인가 무선 공유기 들을 로그(Rogue) AP라고 정의한다. 이들 불법 로그 AP들은 이웃이나 회사 주변에 있는 외부 AP가 아니라 회사 내부에 개인적인 혹은 업무용으로 보안관리자의 허가를 받지 않고 회사 유선망에 연결해 사용하는 비인가 무선 공유기를 말한다.
이러한 불법 로그 AP 하나가 기업의 유선 방화벽이나 다른 보안 솔루션들을 바이패스해 유선 네트워크를 침투할 수 있게 해 주는 손쉬운 게이트웨이 역할로 이용되고 있다. 기존 유선네트워크 관리 기반의 보안 솔루션들은 유선 네트워크에 붙어있는 불법 로그 AP가 일반 PC 혹은 노트북인지, 비인가 무선 공유기인지 전혀 구별할 수 없다. 또한 이들 비인가 무선 공유기들은 DHCP 기능을 기본으로 내장하고 있어 기존 회사 유선망의 사용자들에게 잘못된 IP 정보를 부여해 예기치 않은 장애를 유발시킬 수도 있다.
이런 불법 로그 AP를 사용하는 대부분의 경우 기업 내부 업무나 대형 개발 프로젝트 추진 시 자료 공유의 목적으로 관리자에게 허가를 받지 않고 사용하는 경우가 흔하며 관리자의 통제를 받지 않았기 때문에 보안이 거의 적용되지 않고 사용된다. 이들 AP에 또 다른 사용자가 접속해 업무상 공유하는 소중한 프로젝트 파일이나 고객정보가 외부로 몰래 빠져 나갈 수 있다면 정말 심각한 문제가 아닐 수 없다.
클라이언트간 비인가 애드혹 통신
최근 판매되고 있는 모든 노트북에는 기본적으로 무선랜카드가 장착돼서 나오고 있다. 금융권이나 자료 유출에 민감한 기업이라면 무선 클라이언트가 애드혹(Ad-Hoc) 통신을 사용하고 있는지 정밀하게 감시해야 한다. 애드혹 통신은 무선 AP를 거치지 않고 무선 클라이언트끼리 네트워크를 구성해 자료를 공유하는 것을 말한다.
사내의 사용자가 악의를 품고 노트북이나 무선랜카드가 장착된 PC를 정상적으로 유선으로 연결 한 채 중요한 내부 데이터를 노트북 혹은 PC에 저장한 후, 애드혹을 구성한 무선랜 카드를 켜 놓은 후, 사전에 협의한 외부에서 기다리고 있던 사람에게 애드혹으로 접속해 주용한 데이터를 유출할 수 있게 할 수 있다.
아니면 사용자가 이전에 사용하던 애드혹 모드를 오프시키는 것을 깜빡 잊고 회사에서 유선에 연결해 업무를 보는 동안, 이 애드혹 모드를 탐지한 침입자가 접속해 회사 공유 폴더나 개인 공유 폴더들에 들어가 파일을 복사하거나 악성 바이러스를 침투시킬 수도 있다. 이 경우, 사용자는 다른 사람이 애드혹으로 붙어 자료를 빼가는지 알 수 없다.
하니팟·에빌 트윈스 - SSID 도용 공격
하니팟/에빌 트윈스(HoneyPot/Evil Twins)란 공격 대상 AP의 SSID를 도용, 공격 대상 AP 사용자들을 유혹해 정보 수집 목적으로 사용한다. 우선 공격 대상 AP의 SSID가 ‘AAA’라고 하자. 이를 사용하는 클라이언트는 ‘AAA’라는 SSID을 보고 접속을 하게 된다. 우리가 사용하는 컴퓨터는 대부분 윈도우 클라이언트인데 여기에는 최근에 접속했던 SSID 리스트가 저장돼 있다.
컴퓨터의 무선랜 장치를 작동하게 되면 윈도우에 저장돼 있는 접속 우선 순위 리스트(PNL) 순서대로 찾는 신호를 보내게 된다. 이 신호를 해커가 감지해 SSID(AAA)를 도용한 후, 원래의 공격대상 AP를 DoS 공격으로 공격대상 AP와 클라이언트간의 연결 세션을 끊게 되면 여기에 붙어 있던 클라이언트들은 순식간에 SSID를 도용한 하니팟 AP에 자동으로 연결된다. 클라이언트들은 이전과 같이 ‘AAA’에 연결돼 있다고 보일 뿐 악의적인 하니팟/에빌 트윈스 AP에 접속돼 있는 것을 알 수 없다.
이 밖에도 다른 전형적인 무선랜 공격 방법에서 최근 발표된 카페라테(Caffe Latte) WEP 키 해킹 공격, 바이러스 상태의 애드혹 등 다양하고 창의적인 공격 방법 등이 계속해서 나타나고 있다. 경찰은 최근 국내외에서 잇달아 해킹으로 인한 정보유출 사고가 발생하고 있다면서 금융당국 및 금융기관 보안 담당자들에게 보안을 강화해 줄 것을 권고했다.
기업들의 무선랜 사용과 그 사용자들이 증가하면서 유선보다 취약성이 많이 보완되지 않은 무선랜으로 공격을 우회하는 경우가 많아 졌지만 소수의 기업을 제외하고는 무선랜 보안에 취약한 상태다. 강력한 보안 솔루션이 적용된 무선랜의 경우, 사용자와 기업들에게 여러 장점을 주지만 보안이 취약한 무선랜을 사용하게 된다면 이는 보안이 상대적으로 잘 갖춰진 유선망에 아무나 들어와 정보를 유출해 갈 수 있는 백 도어를 만들어 주는 꼴이 된다.
보안업계에서는 이러한 위협들을 효과적으로 방지하고 안전한 무선랜 환경 구축 및 보호를 위해 다음과 같은 보안 지침을 권장하고 있다.
· 사내 AP와 클라이언트의 무선 통신구간에 WPA, WPA2와 같은 강력한 암호화 적용
· 건물 밖에서 사내의 AP 접속이 안 되도록 사내 AP의 출력 조정
· 사내에 반입돼 있는 모든 무선랜 디바이스 현황 파악 및 등록 관리 강화
· 사내에 비인가된 무선 공유기 또는 무선랜 장비 반입 시도 차단 및 검색 강화
· 관리자의 허가 없이 사내에 설치돼 사용중인 비인가 무선 공유기 탐지 및 제거
· 사내 사용자의 외부 AP 접속 금지
· 모든 클라이언트의 애드혹 모드 사용 금지
· 사내 사용자의 유무선망 동시접속 사용 금지
· 모든 공유 폴더에 액세스 암호 적용
· WIPS와 같이 실시간으로 무선랜 공격이나 무선랜을 통한 불법 행위 등을 탐지하고 방지할 수 있는 전문 무선보안 및 통합관제 솔루션 도입 운영
· 정기적인 무선보안진단 감사 실시
안심할 수 있는 무선랜 환경 구축 필수
무선랜 사용량 증가 및 확산은 이전의 다른 신기술 들이 그랬듯 앞으로도 막을 수 없는 추세다. 앞서 언급한 취약성들과 다른 대부분의 무선 취약점들은 보안 관리자와 사용자가 조금만 관심을 가지고 신경을 쓰면 위험에 대한 노출을 많이 줄일 수 있다. 이전에 유선 네트워크와 마찬가지로 무선랜 보안 역시 적합한 관심과 투자가 이뤄져 관리자 및 사용자들이 안심하고 사용할 수 있는 무선랜 환경을 구축해야 할 것이다.
