이 문서의 과거 버전 (r1)을 보고 있습니다. 수정일: 2026.02.14 21:21
무선 랜 보안은 무선 랜 네트워크의 데이터 무결성, 기밀성, 가용성을 보호하기 위한 기술, 정책, 절차의 총체를 의미한다. 유선 네트워크와 달리 전파를 매개로 통신이 이루어지기 때문에, 물리적 경계를 벗어난 접근이 가능하여 특별한 보안 대책이 필요하다.
초기 무선 랜 표준인 IEEE 802.11은 편의성에 초점을 맞추었고, 이로 인해 데이터가 쉽게 도청되거나 네트워크에 무단으로 접근할 수 있는 취약점이 존재했다. 이러한 문제를 해결하기 위해 WEP, WPA, WPA2, WPA3와 같은 암호화 및 인증 프로토콜이 순차적으로 개발되어 왔다.
무선 랜 보안의 핵심 목표는 승인되지 않은 사용자의 접근을 차단하고, 전송 중인 데이터를 암호화하여 외부에서 내용을 알아볼 수 없게 하며, 네트워크 서비스의 안정적인 운영을 유지하는 것이다. 이는 개인 가정 네트워크부터 대규모 기업 인프라에 이르기까지 모든 무선 네트워크 환경에 적용되는 기본 원칙이다.
무선 신호의 특성상, 유선 네트워크와 달리 물리적 경계를 넘어 전파가 도달한다는 점이 가장 큰 보안 취약점이다. 이는 승인되지 않은 사용자가 건물 외부나 인접 공간에서도 네트워크에 접근할 수 있음을 의미한다. 따라서 무선 랜 보안은 단순히 비밀번호를 설정하는 것을 넘어, 전송되는 데이터의 기밀성과 무결성을 보호하고, 네트워크 자원에 대한 무단 접근을 차단하는 포괄적인 체계를 구축하는 것을 목표로 한다.
보안이 취약한 무선 네트워크는 다양한 위협에 노출된다. 가장 기본적인 위험은 스니핑을 통한 데이터 유출이다. 암호화되지 않은 통신은 제3자가 패킷을 수집해 개인정보, 로그인 자격증명, 기업 내부 문서 등을 쉽게 탈취할 수 있게 만든다. 또한, 공격자는 네트워크에 침투해 내부 시스템을 공격하는 발판으로 활용하거나, 불법적으로 인터넷 회선을 사용할 수 있다. 더 나아가, 사용자를 속여 악성 AP에 연결하게 하는 등의 중간자 공격을 수행할 수도 있다.
이러한 위험은 개인 사용자에게는 사생활 침해와 금전적 손실로, 기업에게는 막대한 재정적 피해와 평판 실추로 이어진다. 중요한 비즈니스 통신이나 지식 재산이 유출될 경우 그 결과는 치명적일 수 있다. 따라서 무선 랜 보안은 네트워크 인프라의 신뢰성을 확보하는 핵심 요소이며, 단순한 기술적 조치가 아닌 필수적인 관리 항목으로 인식되어야 한다.
무선 랜 보안 프로토콜은 초기의 취약한 WEP에서 시작하여 WPA, WPA2를 거쳐 현재의 WPA3에 이르기까지 지속적인 발전을 거듭해왔다. 각 프로토콜은 이전 세대의 보안 결함을 해결하고 더 강력한 보호를 제공하기 위해 도입되었다.
초기 무선 랜 표준인 IEEE 802.11의 보안 프로토콜로 등장한 WEP는 RC4 스트림 암호와 정적 키를 사용했다. 그러나 키 스케줄링 알고리즘의 취약점과 초기화 벡터(IV)의 짧은 길이, 재사용 문제로 인해 쉽게 크랙될 수 있었다. WEP의 주요 결함은 2001년에 공개적으로 증명되었으며, 이로 인해 WEP는 현대적인 보안 요구사항을 전혀 충족하지 못하는 프로토콜로 간주된다.
WEP의 한계를 극복하기 위해 2003년 도입된 WPA는 임시 키 무결성 프로토콜(TKIP)을 사용하여 동적 키 생성과 메시지 무결성 검사(MIC)를 도입했다. WPA는 기존 하드웨어에서도 업그레이드가 가능하도록 설계된 과도기적 솔루션이었다. 이후 2004년 공식화된 WPA2는 강력한 AES 기반의 CCMP 암호화 방식을 필수 요구사항으로 채택하여 보안성을 크게 향상시켰다. WPA2는 약 15년 동안 업계 표준으로 자리 잡았다.
그러나 2017년 공개된 KRACK 공격은 WPA2 프로토콜의 핸드셰이크 과정에 존재하는 취약점을 악용하여 안전한 연결도 해독할 수 있음을 보여주었다. 이에 대한 대응으로 2018년 발표된 WPA3는 몇 가지 근본적인 보안 강화 기능을 도입했다. 주요 개선사항은 다음과 같다.
프로토콜 | 도입 연도 | 주요 암호화 방식 | 주요 보안 강화 기능 |
|---|---|---|---|
WEP | 1997년 | RC4 | (기본적인 암호화 제공) |
WPA | 2003년 | TKIP (RC4 기반) | 동적 키, 메시지 무결성 검사(MIC) |
WPA2 | 2004년 | AES-CCMP | 강력한 블록 암호화 AES 채택 |
WPA3 | 2018년 | AES-CCMP / AES-GCMP[1] | 동시 인증 등가(SAE), 향상된 오픈 네트워크 보안, 192비트 보안 스위트 |
WPA3의 가장 중요한 변화는 WPA3-개인 모드에서 동시 인증 등가(SAE)라는 새로운 키 교환 방식을 사용한다는 점이다. 이 방식은 오프라인 사전 공격에 강하며, 이전 암호를 알아내도 과거의 트래픽을 해독할 수 없는 전방향 보안을 제공한다. 또한 WPA3-엔터프라이즈 모드는 192비트 보안 스위트를 옵션으로 제공하여 금융, 정부 등 높은 보안이 필요한 환경에 적합하다. 공용 오픈 네트워크에서는 개별화된 데이터 암호화를 통해 보안을 강화한다.
WEP는 1997년 IEEE 802.11 무선 네트워크 표준의 일부로 도입된 최초의 보안 프로토콜이다. 그 목적은 유선 네트워크의 프라이버시 수준에 상응하는 보안을 제공하는 것이었으나, 설계와 구현에 심각한 결함이 존재했다. WEP는 RC4 스트림 암호를 사용하여 데이터를 암호화하고, CRC-32 체크섬을 통해 데이터 무결성을 검증했다.
WEP의 주요 취약점은 정적이고 재사용 가능한 암호화 키와 취약한 초기화 벡터 관리 방식에서 비롯되었다. WEP 64비트에서는 40비트의 공유 키가 사용되었고, WEP 128비트에서는 104비트 키가 사용되었으나, 둘 다 24비트의 초기화 벡터가 결합되었다. 이 짧은 초기화 벡터는 비교적 빠른 시간 내에 재사용되어 공격자가 충분한 암호화된 트래픽을 수집하면 키를 복구할 수 있게 했다.
취약점 | 설명 |
|---|---|
정적 키 | 모든 장치가 동일한 공유 키를 장기간 사용하여 키 관리가 어려웠다. |
취약한 초기화 벡터(IV) | 24비트 IV는 짧아 빠르게 재사용되어 통계적 분석 공격에 취약했다. |
RC4 스트림 암호 취약점 | 키 스케줄링 알고리즘의 약점과 관련된 공격이 가능했다. |
무결성 검사 불충분 | CRC-32는 암호화되지 않아 악의적인 데이터 변조가 가능했다. |
2001년을 전후로 이러한 취약점들이 공개적으로 증명되었고, 일반적인 컴퓨팅 성능으로도 수분 내에 키를 크랙할 수 있는 도구들이 등장했다. 이로 인해 WEP는 무선 네트워크 보안에 전혀 적합하지 않은 프로토콜로 간주되었다. 이후 이를 대체하기 위해 WPA가 긴급 보안 패치로 도입되었고, 궁극적으로는 더 강력한 WPA2 표준이 등장했다. 현대의 무선 네트워크에서는 WEP 사용이 절대 권장되지 않는다.
WPA는 WEP의 심각한 보안 취약점을 해결하기 위해 Wi-Fi 얼라이언스가 2003년 도입한 무선 보안 프로토콜이다. WEP의 정적 암호화 키와 취약한 RC4 스트림 암호 방식을 대체하기 위해 설계되었다. WPA는 임시 키 무결성 프로토콜(TKIP)을 도입하여 패킷당 동적 키를 생성하고 메시지 무결성 검사(MIC)를 추가하여 데이터 변조를 방지했다. 이는 기존 WEP 하드웨어에서 펌웨어 업그레이드만으로 구현 가능한 과도기적 솔루션이었다.
WPA는 두 가지 운영 모드를 제공한다. 개인 모드(WPA-Personal 또는 WPA-PSK)는 소규모 가정이나 사무실 환경에 적합하며, 미리 공유된 키(PSK)를 사용한다. 기업 모드(WPA-Enterprise)는 더 강력한 보안이 필요한 조직을 위해 설계되었으며, RADIUS 인증 서버와 802.1X 프로토콜을 활용하여 사용자별 인증과 동적 키 생성을 지원한다.
모드 | 공식 명칭 | 주요 인증 방식 | 주요 사용처 |
|---|---|---|---|
개인 모드 | WPA-Personal / WPA-PSK | 미리 공유된 키(PSK) | 가정, 소규모 사무실 |
기업 모드 | WPA-Enterprise | 802.1X/EAP (RADIUS 서버) | 기업, 교육기관, 공공기관 |
그러나 WPA의 핵심 암호화 엔진인 TKIP도 결국 보안 연구자들에 의해 공격 가능성이 확인되었다[2]. 특히 PSK를 사용하는 개인 모드는 사전 공격이나 무차별 대입 공격에 취약할 수 있다. 이러한 한계로 인해 WPA는 WEP보다는 훨씬 향상되었지만, 궁극적인 해결책이 아닌 임시 조치로 간주되었으며, 이후 더 강력한 WPA2로 빠르게 대체되는 계기가 되었다.
WPA2는 2004년에 도입되어 WPA를 대체한 표준이다. 핵심은 CCMP 암호화 프로토콜을 기반으로 한 AES 블록 암호를 사용하는 것이며, 이는 WEP와 초기 WPA의 취약점이었던 RC4 스트림 암호를 완전히 대체했다. WPA2는 강력한 보안을 제공하여 장기간 산업 표준으로 자리 잡았으나, 2017년 공개된 KRACK 공격은 프로토콜의 핸드셰이크 과정에서 취약점을 노출시켰다[3].
이러한 한계를 극복하기 위해 와이파이 얼라이언스는 2018년 WPA3 인증 프로그램을 발표했다. WPA3는 개인 네트워크와 엔터프라이즈 네트워크 모두에 향상된 보안 기능을 도입했다. 주요 개선 사항은 다음과 같다.
프로토콜 | 주요 암호화 | 핵심 보안 개선사항 | 비고 |
|---|---|---|---|
WPA2 | KRACK 공격에 취약 | ||
WPA3-Personal | SAE를 통한 오프라인 사전 공격 방지, 향상된 전송 보안 | 개인용 네트워크 | |
WPA3-Enterprise | 192비트 보안 스위트 지원, 더 강력한 802.1X 인증 | 기업/정부용 네트워크 |
개인용 모드(WPA3-Personal)에서는 동시식 피어 오프 인증이 WPA2의 PSK를 대체하여 오프라인 사전 대입 공격에 대한 저항성을 강화했다. 엔터프라이즈 모드(WPA3-Enterprise)는 192비트 보안 스위트를 옵션으로 제공하여 금융이나 정부와 같이 높은 보안이 요구되는 환경에 적합하다. 또한, WPA3는 이지 커넥트와 같은 편의 기능을 위한 보안 강화도 포함한다.
무선 랜은 전파를 매개로 하기 때문에 유선 네트워크에 비해 물리적 경계가 없어 다양한 보안 위협에 노출된다. 주요 공격 유형으로는 데이터 도청을 위한 스니핑, 인증을 우회하기 위한 무차별 대입 공격, 합법적인 네트워크인 것처럼 위장하는 악성 AP 설치, 그리고 통신을 가로채 조작하는 중간자 공격 등이 있다. 이러한 공격들은 개인 정보 유출, 네트워크 권한 탈취, 또는 악성 코드 유포 등의 심각한 결과를 초래할 수 있다.
스니핑은 무선 네트워크 상의 데이터 패킷을 수동적으로 감청하는 행위이다. 암호화가 취약하거나 비활성화된 네트워크에서는 평문으로 전송되는 아이디, 비밀번호, 대화 내용 등이 쉽게 노출된다. 무차별 대입 공격은 약한 암호나 예측 가능한 WPS PIN을 대상으로 가능한 조합을 지속적으로 시도하여 암호를 추측하는 공격 방식이다. 특히 WEP나 약한 WPA 패스프레이즈를 사용하는 네트워크에서 효과적이다.
악성 AP 공격은 공격자가 자신의 무선 액세스 포인트를 설치하여 합법적인 네트워크인 것처럼 사용자를 유인하는 것이다. 사용자가 이 악성 AP에 연결하면 모든 트래픽이 공격자를 통과하게 되어 정보가 유출된다. 중간자 공격은 공격자가 합법적인 통신 경로 사이에 침입하여 양측의 통신을 모두 수신하거나 조작하는 것이다. 무선 환경에서는 ARP 스푸핑이나 위조된 인증 페이지를 통한 공격이 빈번하게 이루어진다.
공격 유형 | 주요 목표 | 설명 |
|---|---|---|
정보 탈취 | 무선 신호를 도청하여 평문 데이터를 획득한다. | |
인증 우회 | 자동화 도구로 암호를 반복 추측하여 네트워크 접근 권한을 얻는다. | |
사용자 유인 및 트래픽 감시 | 합법적인 네트워크를 사칭하는 가짜 액세스 포인트를 운영한다. | |
통신 가로채기 및 조작 | 통신 경로 중간에서 트래픽을 차단, 감시 또는 변조한다. |
스니핑은 무선 네트워크 상에서 전송되는 데이터 패킷을 불법적으로 가로채어 수집하고 분석하는 공격 기법이다. 유선 네트워크와 달리 무선 랜의 신호는 공중에 전파되기 때문에, 물리적으로 네트워크에 연결되지 않은 공격자도 적절한 무선 네트워크 카드와 소프트웨어만 있다면 통신 내용을 엿들을 수 있다. 이는 무선 통신의 근본적인 취약점 중 하나로 간주된다.
스니핑 공격은 일반적으로 수동적 공격에 해당하며, 네트워크 트래픽을 모니터링하는 것만으로도 평문으로 전송되는 민감한 정보를 획득할 수 있다. 공격자는 와이파이 신호가 도달하는 범위 내(예: 건물 외부나 주차장)에 위치하여 패킷 분석기 도구를 사용해 주변의 모든 무선 트래픽을 캡처한다. 초기 WEP 프로토콜이 사용되던 시절에는 암호화 자체가 취약했기 때문에, 캡처된 패킷을 쉽게 복호화하여 사용자 ID, 비밀번호, 이메일 내용, 방문한 웹사이트 정보 등을 탈취할 수 있었다.
공격 목표 | 수집 가능한 정보 예시 |
|---|---|
인증 정보 | |
개인 데이터 | |
네트워크 정보 |
이러한 위협을 방지하기 위한 가장 효과적인 방법은 강력한 암호화 프로토콜을 사용하는 것이다. WPA2나 WPA3와 같은 현대적인 프로토콜은 패킷을 암호화하여 스니퍼가 패킷을 캡처하더라도 내용을 알아볼 수 없도록 만든다. 또한, HTTPS를 사용하는 웹사이트를 접속하거나, 가상 사설망을 활용하면 무선 구간에서도 데이터를 보호할 수 있다.
무차별 대입 공격은 암호나 암호화 키를 찾아내기 위해 가능한 모든 조합을 체계적으로 시도하는 공격 방법이다. 무선 랜 환경에서는 주로 액세스 포인트의 사전 공유 키를 알아내기 위해 사용된다. 공격자는 자동화된 도구를 이용해 사전 파일에 저장된 수많은 단어와 조합, 또는 특정 문자 집합으로 생성된 모든 문자열을 순차적으로 인증 요청에 시도한다. 이 과정은 정확한 키가 발견되거나 모든 가능성이 소진될 때까지 계속된다.
공격의 성공 가능성은 암호의 복잡성과 길이에 직접적으로 영향을 받는다. 짧고 단순한 암호, 혹은 사전에 등장하는 일반적인 단어를 사용한 암호는 매우 빠른 시간 내에 크랙될 위험이 있다. 예를 들어, 8자리 숫자로만 구성된 암호는 최대 1억 가지(10^8)의 조합을 가지지만, 현대의 컴퓨팅 파워로는 상대적으로 짧은 시간 내에 모든 경우의 수를 시도해볼 수 있다.
암호 유형 예시 | 조합 수 (대략적) | 상대적 안전성 |
|---|---|---|
8자리 숫자 (0-9) | 10^8 (1억) | 매우 낮음 |
8자리 소문자 (a-z) | 26^8 (약 2090억) | 낮음 |
8자리 대소문자+숫자 (a-z, A-Z, 0-9) | 62^8 (약 218조) | 중간 |
12자리 대소문자+숫자+기호 | 94^12 (약 475해) | 높음 |
이 공격을 방어하기 위한 가장 효과적인 방법은 충분히 길고 복잡한 암호를 사용하는 것이다. WPA2나 WPA3를 사용하는 경우, 최소 12자 이상의 길이에 대문자, 소문자, 숫자, 특수문자를 무작위로 조합한 암호를 사용하는 것이 권장된다. 또한, WPA3 프로토콜은 사전 공격에 더욱 강력한 SAE 인증 방식을 도입하여, 오프라인 무차별 대입 공격의 위험을 크게 줄였다. 정기적인 암호 변경과 함께, 네트워크 로그를 모니터링하여 짧은 시간 내에 다수의 실패한 인증 시도를 탐지하는 것도 중요한 보안 조치이다.
악성 AP는 합법적인 무선 네트워크 환경에 침투하기 위해 공격자가 고의로 설치한 무단 액세스 포인트이다. 이는 정식 네트워크 관리자의 통제를 받지 않으며, 종종 합법적인 AP를 가장하여 사용자들을 속여 연결하도록 유도한다. 악성 AP는 저렴한 무선 라우터나 특수 제작된 소형 하드웨어를 이용해 쉽게 구축될 수 있으며, 공공장소나 기업 건물 내부 및 주변에 은밀히 배치된다.
주요 공격 방식은 피싱과 유사하게, 신뢰할 수 있는 SSID와 동일하거나 유사한 이름을 사용하는 것이다. 예를 들어, "Company_Guest"라는 공식 게스트 네트워크가 있다면, 공격자는 "Company-Guest" 또는 "Company Guest Free"와 같은 SSID를 가진 악성 AP를 운영할 수 있다. 사용자가 이에 연결하면, 모든 네트워크 트래픽은 공격자의 장치를 통과하게 되어 스니핑이나 중간자 공격에 노출된다.
공격 유형 | 주요 목적 | 일반적 위치 |
|---|---|---|
직원에 의한 설치 | 편의성 확보, 정책 우회 | 사무실 내부 |
외부 공격자에 의한 설치 | 정보 탈취, 추가 공격 발판 마련 | 건물 로비, 주차장, 인접 카페 |
클라이언트 장치의 소프트AP 기능 악용 | 모바일 장치를 통한 네트워크 침투 | 내부 네트워크에 이미 연결된 노트북이나 스마트폰 |
악성 AP는 단순한 정보 유출을 넘어서, 내부 네트워크에 대한 발판 역할을 할 수 있다. 공격자는 먼저 악성 AP에 연결된 피해자의 트래픽을 분석하고, 이를 통해 기업 내부 시스템에 대한 공격을 시작하거나 멀웨어를 유포할 수 있다. 또한, 합법적인 AP의 신호를 방해하거나 재밍하여 사용자들이 더 강력한 신호를 뿌리는 악성 AP로 자연스럽게 재연결되도록 유도하는 공격도 가능하다.
중간자 공격은 공격자가 자신을 합법적인 통신 경로인 것처럼 위장하여 두 당사자 사이의 통신을 가로채거나 조작하는 공격 방식이다. 무선 랜 환경에서는 통신이 공중에 전파되기 때문에 유선 네트워크보다 이러한 공격이 훨씬 쉽게 수행될 수 있다. 공격자는 합법적인 액세스 포인트를 가장하거나, 클라이언트를 가장하여 양측의 연결을 자신에게로 유도한 후, 모든 데이터 트래픽을 자신을 통해 전달하게 만든다.
무선 랜에서의 중간자 공격은 주로 다음과 같은 방법으로 이루어진다.
공격 방법 | 설명 |
|---|---|
악성 AP 설정 | 공격자가 'Evil Twin'이라 불리는 합법적인 AP와 동일한 SSID를 가진 악성 AP를 설치하여 사용자를 유인한다. |
ARP 스푸핑 | 공격자가 네트워크 내에서 위조된 ARP 메시지를 브로드캐스트하여, 특정 IP 주소에 대한 MAC 주소가 공격자의 장비라고 속인다. |
공격자가 위조된 DNS 응답을 보내 사용자가 의도한 합법적인 웹사이트 대신 공격자가 운영하는 가짜 사이트로 접속하게 만든다. |
이 공격의 주요 목적은 사용자의 로그인 자격 증명, 금융 정보, 개인 데이터 등 민감한 정보를 탈취하는 것이다. 또한, 통신 내용을 도청하거나, 사용자가 전송하는 데이터를 변조하거나, 사용자의 트래픽에 악성 코드를 주입할 수도 있다. 성공적인 중간자 공격은 사용자와 서비스 제공자 모두에게 심각한 피해를 입힌다.
이러한 공격을 방어하기 위해서는 강력한 암호화 프로토콜(예: WPA3)을 사용하여 통신 내용을 보호하는 것이 기본이다. 또한, 사용자는 신뢰할 수 없는 무선 네트워크에 연결할 때 주의해야 하며, 중요한 작업 시에는 VPN을 사용하여 추가적인 터널 암호화를 적용하는 것이 효과적이다. 기업 환경에서는 802.1X 기반의 강력한 인증과 무선 인트루전 방지 시스템을 도입하여 악성 AP를 탐지하고 차단할 수 있다.
무선 랜 보안을 강화하기 위해서는 액세스 포인트의 설정을 적절히 구성하고 관리해야 한다. 이는 개인 사용자부터 기업 환경까지 공통적으로 적용되는 기본적인 방어 수단이다.
가장 핵심적인 조치는 강력한 암호화 프로토콜을 선택하는 것이다. 현재 기준으로는 WPA3를 사용하는 것이 가장 안전하며, 지원하지 않는 장비라면 WPA2-AES 방식을 사용해야 한다. 절대 WEP나 WPA-TKIP는 사용하지 않아야 한다. 또한, 암호는 예측하기 어려운 긴 패스프레이즈로 설정해야 한다. 무차별 대입 공격에 취약한 짧은 암호나 사전에 등록된 단어 조합은 피해야 한다.
SSID 관리와 관련해서는 기본값을 변경하고, 필요하지 않다면 브로드캐스트를 숨기는 설정을 고려할 수 있다. 그러나 숨겨진 네트워크(SSID)는 완벽한 보안 방법이 아니며, 일부 탐지 도구로는 발견될 수 있다는 점을 인지해야 한다. MAC 주소 필터링은 알려진 장치의 물리적 주소만 네트워크 접속을 허용하는 추가 보안 계층으로 활용될 수 있지만, MAC 주소가 위조될 수 있으므로 단독 보안 수단으로 의존해서는 안 된다.
설정 항목 | 권장 사항 | 참고 사항 |
|---|---|---|
암호화 프로토콜 | WPA3 또는 WPA2-AES | WEP/WPA(TKIP)는 사용 금지 |
암호(패스프레이즈) | 12자 이상, 복잡한 무작위 조합 | 사전 단어, 생일, 전화번호 등 피하기 |
관리자 암호 | 공장 출고값에서 반드시 변경 | 액세스 포인트 웹 설정 페이지 접근 보호 |
펌웨어 | 정기적으로 최신 버전으로 업데이트 | 보안 취약점 패치 포함 |
마지막으로, 장비 제조사에서 제공하는 펌웨어를 정기적으로 최신 상태로 유지하는 것이 중요하다. 펌웨어 업데이트에는 새로 발견된 보안 취약점에 대한 패치가 포함되는 경우가 많다. 또한, 액세스 포인트의 웹 관리 인터페이스에 접근하는 데 사용하는 관리자 암호도 공장 출고 시 설정된 기본값에서 반드시 변경해야 한다.
WEP는 초기 무선 랜 표준인 IEEE 802.11에 포함된 보안 프로토콜이었다. 그러나 취약한 RC4 스트림 암호와 고정된 초기화 벡터(IV) 사용으로 인해 쉽게 해독될 수 있어, 현재는 보안상 전혀 사용되지 않는다. 모든 현대 무선 장비에서 WEP 사용은 반드시 피해야 한다.
WPA는 WEP의 취약점을 해결하기 위해 도입된 과도기적 프로토콜이다. WPA는 TKIP 암호화 방식을 사용하여 동적 키 생성을 도입했지만, 여전히 RC4 암호를 기반으로 하여 완전히 안전하지는 않다. WPA는 가능한 한 WPA2 이상으로 대체되어야 한다.
WPA2는 현재 가장 널리 채택된 표준으로, 강력한 AES 암호화 알고리즘을 기반으로 한 CCMP 프로토콜을 사용한다. WPA2는 개인용 네트워크에서는 PSK 모드를, 기업 환경에서는 802.1X 인증과 결합된 엔터프라이즈 모드를 제공한다. WPA2는 장기간 안정성을 입증받았으나, KRACK 공격과 같은 일부 공격에 취약할 수 있다.
최신 표준인 WPA3는 WPA2의 약점을 보완하여 더 강력한 보안을 제공한다. 주요 개선 사항은 다음과 같다.
기능 | 설명 |
|---|---|
향상된 공개 네트워크 보안 | 개방형 네트워크에서도 장치 간 트래픽을 암호화하는 개인 데이터 암호화를 제공한다. |
강력한 패스워드 보호 | 오프라인 무차별 대입 공격에 저항하는 동시 인증 등록 프로토콜을 사용한다. |
향상된 암호화 | 192비트 보안을 지원하는 엔터프라이즈 모드를 도입했다. |
가능한 모든 장비에서 WPA3를 사용하는 것이 권장된다. WPA3를 지원하지 않는 오래된 장치의 경우, WPA2/WPA3 혼합 모드를 사용할 수 있으나, 순수 WPA3 모드만큼의 보안 강점은 제공하지 않는다.
SSID는 무선 네트워크를 식별하는 고유한 이름이다. 기본적으로 액세스 포인트는 이 SSID를 정기적으로 브로드캐스트하여 주변 기기들이 네트워크를 발견하고 연결할 수 있도록 한다. SSID 관리는 이 네트워크 식별자를 설정하고 관리하는 과정을 의미하며, 보안 강화를 목표로 한다.
SSID를 숨기는 것은 액세스 포인트의 브로드캐스트 기능을 끄는 것을 말한다. 이 설정을 하면 네트워크가 주변 기기의 무선 네트워크 목록에 자동으로 표시되지 않는다. 사용자는 정확한 SSID 이름을 수동으로 입력해야만 연결을 시도할 수 있다. 이는 네트워크의 존재를 무차별적으로 탐색하는 공격자나 일반 사용자에게는 보이지 않게 만드는 효과가 있다.
그러나 SSID 숨김은 완벽한 보안 조치로 간주되지 않는다. 숨겨진 SSID는 여전히 네트워크에 연결된 기기와 액세스 포인트 간의 정상적인 통신 과정에서 유출될 수 있다. 전문적인 패킷 스니핑 도구를 사용하면 비교적 쉽게 숨겨진 SSID를 탐지하고 확인할 수 있다[4]. 따라서 이 방법은 보안의 일차적인 수단보다는 보조적인 위협 감소 전략으로 활용된다.
보다 효과적인 SSID 관리를 위한 모범 사례는 다음과 같다. 기본값이나 회사명 등 추측하기 쉬운 이름을 사용하지 않고, 네트워크 용도나 위치를 직접적으로 드러내지 않는 중립적인 이름을 선택한다. 또한, 게스트 네트워크와 내부 네트워크는 서로 다른 SSID를 사용하여 명확히 구분하는 것이 좋다.
MAC 주소 필터링은 무선 AP가 사전에 등록된 특정 MAC 주소를 가진 기기만 네트워크에 접속하도록 허용하거나, 반대로 특정 MAC 주소를 가진 기기의 접속을 명시적으로 차단하는 접근 제어 방식이다. 각 네트워크 인터페이스에 할당된 고유한 물리적 주소인 MAC 주소를 기준으로 접근을 통제한다는 점에서 화이트리스트 또는 블랙리스트 방식으로 운영될 수 있다.
이 방법을 설정하려면 관리자가 AP의 관리 콘솔에 접속하여 허용 목록(화이트리스트)에 접속을 허용할 기기의 MAC 주소를 수동으로 등록해야 한다. 등록되지 않은 MAC 주소를 가진 기기는 네트워크에 연결을 시도해도 거부당한다. 반대로, 블랙리스트에 등록된 MAC 주소는 명시적으로 차단된다.
장점 | 단점 |
|---|---|
개념이 단순하고 설정이 비교적 쉬움 | MAC 주소는 쉽게 스푸핑될 수 있음 |
추가적인 소프트웨어나 하드웨어가 필요 없음 | 대규모 네트워크에서 관리 부담이 큼(기기 추가/변경 시 수동 등록 필요) |
비공격적인 일반 사용자에 대한 간단한 차단 수단 제공 | 유효한 기기의 MAC 주소를 획득하면 공격자가 이를 위조하여 네트워크에 침입할 수 있음 |
따라서 MAC 주소 필터링은 단독으로 사용될 경우 강력한 보안 장벽으로 간주되지 않는다. 이는 주로 보안에 무관심한 일반 사용자의 실수로 인한 접속을 방지하거나, 기본적인 접근 통제 계층을 추가하는 보조적 수단으로 활용된다. 효과적인 보안을 위해서는 WPA2 또는 WPA3와 같은 강력한 암호화와 함께 사용하거나, 802.1X와 같은 더 견고한 인증 방식과 결합하는 것이 권장된다.
무선 액세스 포인트와 무선 라우터의 펌웨어는 해당 하드웨어의 운영 체제와 통신 기능을 제어하는 소프트웨어입니다. 펌웨어 업데이트는 제조사가 발견한 보안 취약점을 패치하거나, 새로운 기능을 추가하며, 장치의 안정성과 성능을 개선하기 위해 정기적으로 배포합니다.
사용자는 제조사의 공식 웹사이트나 장치의 관리자 콘솔을 통해 최신 펌웨어 버전을 확인하고 적용해야 합니다. 업데이트를 적용하지 않으면 알려진 취약점을 악용한 공격에 무방비 상태로 노출될 수 있습니다. 예를 들어, 공격자는 오래된 펌웨어의 취약점을 이용해 장치에 대한 무단 접근을 획득하거나, 장치를 봇넷에 편입시킬 수 있습니다.
펌웨어 업데이트를 수행할 때는 몇 가지 주의사항을 지켜야 합니다. 반드시 제조사의 공식 채널에서 펌웨어 파일을 다운로드해야 하며, 업데이트 과정 중에는 장치의 전원을 끄거나 네트워크 연결을 방해하지 않아야 합니다. 일부 기업 환경에서는 변경 관리 절차에 따라 업데이트를 테스트한 후에 배포하기도 합니다. 또한, 사용하지 않는 오래된 장치는 보안 업데이트 지원이 중단될 수 있으므로 교체를 고려해야 합니다.
기업 환경에서 무선 랜은 광범위하게 배치되며, 방대한 양의 민감한 데이터를 전송하기 때문에 보안 요구사항이 가정용 네트워크보다 훨씬 높다. 이를 위해 802.1X와 EAP를 기반으로 한 강력한 사용자 인증 체계가 필수적으로 도입된다. 이 방식은 단순한 네트워크 암호 대신, 각 사용자마다 고유한 자격 증명(예: ID/패스워드, 디지털 인증서)을 요구하여 네트워크 접근을 통제한다. 인증 서버(RADIUS 서버)가 중앙에서 접근 권한을 관리하고 검증하므로, 권한이 없는 사용자나 기기의 접속을 효과적으로 차단할 수 있다.
주요 보안 위협에 대응하기 위해 무선 인트루전 방지 시스템이 구축된다. WIPS는 네트워크를 지속적으로 모니터링하여 정식으로 승인되지 않은 악성 AP를 탐지하고 차단한다. 또한 중간자 공격이나 비정상적인 트래픽 패턴, 알려진 공격 시도를 실시간으로 분석하여 관리자에게 경고를 발령하거나 자동으로 대응 조치를 취한다.
네트워크 설계 측면에서 네트워크 분리는 핵심적인 보안 전략이다. 게스트, 직원, 관리자, IoT 기기 등 서로 다른 신뢰 수준과 역할을 가진 사용자 및 장비를 논리적 또는 물리적으로 분리된 네트워크 세그먼트로 격리한다. 이를 통해 한 세그먼트에서 보안 침해 사고가 발생하더라도 다른 중요한 영역(예: 재무 서버가 위치한 네트워크)으로의 확산을 방지할 수 있다. 분리는 VLAN 기술을 통해 효율적으로 구현된다.
보안 요소 | 설명 | 주요 목적 |
|---|---|---|
사용자/기기 단위의 강력한 인증 | 무단 접근 방지, 접근 통제 | |
네트워크 모니터링 및 위협 탐지/대응 | 악성 AP 및 실시간 공격 차단 | |
네트워크 분리 (세그멘테이션) | VLAN 등을 이용한 논리적 네트워크 격리 | 침해 사고 시 피해 범위 최소화 |
802.1X는 네트워크 포트에 대한 인증, 권한 부여, 계정 관리를 제공하는 IEEE 표준이다. 무선 랜 환경에서는 사용자나 디바이스가 네트워크에 접근하기 전에 중앙 집중식 인증 서버를 통해 신원을 확인받는 강력한 인증 프레임워크로 활용된다. EAP는 802.1X 프레임워크 내에서 실제 인증 메시지를 교환하는 데 사용되는 프로토콜이다.
802.1X/EAP 인증은 세 가지 주요 구성 요소로 이루어진다.
구성 요소 | 역할 |
|---|---|
요청자 | 네트워크 접근을 원하는 무선 클라이언트(예: 노트북, 스마트폰) |
인증자 | 일반적으로 무선 액세스 포인트가 담당하며, 요청자와 인증 서버 간의 중개자 역할 |
인증 서버 | 사용자 자격 증명 데이터베이스를 보유하고 인증을 수행하는 서버(주로 RADIUS 서버) |
이 구조에서 액세스 포인트는 인증이 성공적으로 완료될 때까지 클라이언트의 데이터 트래픽을 차단한다. 인증 서버는 다양한 EAP 방법을 통해 요청자의 신원을 검증한다. 널리 사용되는 EAP 방법에는 EAP-TLS, EAP-TTLS, PEAP 등이 있으며, 각각 디지털 인증서, 사용자명/패스워드 등 다른 형태의 자격 증명을 사용한다.
802.1X/EAP를 도입하면 네트워크 접근을 강력하게 통제할 수 있다. 각 사용자나 디바이스마다 고유한 자격 증명이 필요하며, 인증 서버를 통해 정책 기반의 접근 제어가 가능해진다. 또한 세션마다 동적으로 생성되는 암호화 키를 사용하여 데이터 기밀성을 강화하는 데 기여한다. 이는 정적 PSK를 사용하는 소규모 네트워크에 비해 확장성과 관리 효율성이 뛰어나 기업 및 교육 기관 환경에서 무선 보안의 핵심 요소로 자리 잡았다.
무선 인트루전 방지 시스템은 무선 네트워크를 모니터링하고, 비인가된 액세스 포인트나 클라이언트를 탐지하며, 다양한 무선 보안 위협으로부터 네트워크를 보호하는 데 중점을 둔 솔루션이다. 이 시스템은 일반적으로 전용 센서, 중앙 관리 서버, 그리고 보고 및 대응 엔진으로 구성된다. 센서는 무선 주파수 스펙트럼을 지속적으로 스캔하여 네트워크 내외부의 모든 무선 활동을 감시한다. 수집된 데이터는 중앙 서버로 전송되어 분석되며, 사전 정의된 정책이나 이상 징후에 기반해 경고를 생성하거나 자동화된 대응 조치를 취한다.
WIPS의 주요 기능은 크게 탐지, 예방, 보호로 구분된다. 탐지 기능에는 비인가 또는 악성 AP의 식별, 클라이언트의 정책 위반 행위 감지, 그리고 중간자 공격이나 스니핑과 같은 악성 활동의 식별이 포함된다. 예방 기능은 이러한 위협이 네트워크에 실제로 접근하는 것을 차단하는 것으로, 예를 들어 악성 AP에 대한 연결을 방해하거나 비인가 클라이언트를 차단하는 방식으로 작동한다. 보호 기능은 WPA2 또는 WPA3와 같은 강력한 암호화를 사용하지 않는 취약한 장치나 연결을 감지하고 관리자에게 알리는 것을 말한다.
이 시스템이 탐지하고 대응할 수 있는 일반적인 위협 유형은 다음과 같다.
위협 유형 | 설명 |
|---|---|
직원이 무심코 설치한 비인가 AP나 공격자가 네트워크 내부에 설치한 악의적인 AP를 탐지한다. | |
클라이언트 위반 | 회사 정책에 따라 허용되지 않은 장치가 회사 무선 네트워크에 연결을 시도하거나, 직원의 장치가 외부의 불안전한 네트워크에 연결되는 경우를 감지한다. |
네트워크 스푸핑 | |
서비스 거부 공격 | 무선 채널을 방해하거나 액세스 포인트를 과부하시키는 공격을 탐지한다. |
기업 환경에서 WIPS는 단순한 모니터링 도구를 넘어선 적극적인 보안 인프라의 핵심 구성 요소이다. 이는 규정 준수 요구사항을 충족하는 데 도움을 주며, 네트워크 가시성을 확보하고 보안 사고에 대한 대응 시간을 단축시킨다. 효과적인 운영을 위해서는 위협 시그니처의 정기적인 업데이트와 탐지 정책을 네트워크 환경에 맞게 세심하게 조정하는 것이 필요하다.
네트워크 분리는 물리적 분리 또는 논리적 분리를 통해 무선 네트워크를 여러 개의 독립된 구역으로 나누는 보안 기법이다. 이는 무선 액세스 포인트가 하나의 통합된 네트워크에 연결되어 있을 때 발생할 수 있는 위험을 완화한다. 주요 목적은 보안 사고 발생 시 피해 범위를 국한시키고, 중요 자산에 대한 접근을 엄격히 통제하며, 네트워크 트래픽을 효율적으로 관리하는 것이다.
기업 환경에서는 일반적으로 게스트 네트워크, 직원 네트워크, 관리자 네트워크, IoT 기기 네트워크 등과 같이 업무 성격과 보안 요구사항에 따라 세그먼트를 구분한다. 각 세그먼트는 가상 사설망(VLAN)을 통해 논리적으로 격리되며, 세그먼트 간 통신은 방화벽이나 라우터의 접근 제어 목록(ACL)을 통해 엄격히 규제된다. 예를 들어, 게스트 네트워크의 사용자는 인터넷만 접속할 수 있고 내부 직원 네트워크의 서버에는 접근하지 못하도록 제한한다.
효과적인 네트워크 분리를 구현하기 위한 주요 방법은 다음과 같다.
분리 방식 | 설명 | 주요 활용 예 |
|---|---|---|
VLAN (가상 LAN) | 단일 물리적 네트워크 인프라에서 논리적으로 독립된 여러 네트워크를 생성한다. | 직원, 게스트, IoT 기기를 서로 다른 VLAN으로 할당하여 트래픽을 격리한다. |
서브넷팅 | IP 주소 공간을 여러 개의 작은 네트워크로 분할한다. 각 서브넷은 고유의 주소 범위와 기본 게이트웨이를 가진다. | 관리 네트워크, 서버 네트워크, 사용자 네트워크를 별도의 서브넷으로 구성한다. |
방화벽 정책 | 세그먼트 간의 트래픽 흐름을 세부적으로 제어하는 규칙을 설정한다. | 특정 서브넷에서만 데이터베이스 서버의 특정 포트로의 접근을 허용한다. |
이러한 분리 전략은 측면 이동(Lateral Movement) 공격을 차단하는 데 특히 효과적이다. 공격자가 게스트 네트워크와 같은 보안 수준이 낮은 구역에 침투하더라도, 방화벽과 VLAN 설정으로 인해 중요한 직원 네트워크나 재무 시스템이 위치한 세그먼트로의 이동이 어려워진다. 결과적으로 네트워크 분리는 무선 랜을 포함한 전체 기업 네트워크의 보안 태세를 강화하는 핵심 요소이다.
스마트폰과 태블릿 컴퓨터 같은 모바일 기기, 그리고 사물인터넷 기기들은 전통적인 노트북이나 데스크톱 컴퓨터와는 다른 보안 취약점과 관리상의 어려움을 가지고 있다. 이들 기기는 제한된 계산 능력과 배터리 수명을 고려하여 설계되며, 사용자가 보안 설정에 무관심하거나 업데이트를 소홀히 하는 경우가 많다. 또한 수많은 IoT 기기들은 '설정 후 잊어버리는' 방식으로 운영되어 오랜 기간 동일한 취약한 상태로 네트워크에 머무를 수 있다.
이러한 기기들을 보호하기 위한 주요 고려사항은 다음과 같다. 첫째, 기기 자체의 펌웨어와 운영 체제를 정기적으로 업데이트해야 한다. 많은 보안 침해는 알려진 취약점에 대한 패치가 적용되지 않은 기기를 통해 발생한다. 둘째, 가능한 경우 가상 사설망을 사용하여 무선 통신을 암호화해야 한다. 특히 공공 와이파이 네트워크를 사용할 때는 필수적이다. 셋째, 기기별로 고유하고 강력한 비밀번호를 설정하고, 기본 제공 비밀번호는 반드시 변경해야 한다.
고려사항 | 설명 | 모범 사례 예시 |
|---|---|---|
기기 관리 | 제한된 인터페이스와 자원으로 인한 관리 소홀 | 제조사 제공 보안 업데이트 정기 적용, 사용하지 않는 기기 네트워크 연결 해제 |
네트워크 격리 | IoT 기기의 취약성이 전체 네트워크로 확산되는 것 방지 | |
인증 및 암호화 | 약한 기본 비밀번호와 구형 프로토콜 사용 | |
통신 보안 | 공용 네트워크에서의 데이터 도청 위험 | 신뢰할 수 없는 네트워크에서는 VPN 사용 |
특히 사물인터넷 기기들은 대량으로 배포되고 제조사 지원이 일찍 종료되는 경우가 많아 지속적인 관리가 어렵다. 따라서 네트워크 수준에서의 보호가 중요해지며, 이를 위해 게스트 네트워크 또는 별도의 VLAN을 통해 주요 네트워크 자산과 분리하는 네트워크 분할 전략이 권장된다. 또한, 기업 환경에서는 모바일 디바이스 관리 솔루션을 도입하여 기기 등록, 정책 적용, 원격 초기화 등을 통합 관리할 수 있다.