무선랜보안 기술 비교
| 구분 | WEP | WPA | WPA2 | WPA3 |
| 등장시기 | 1997년 | 2002년 10월 | 2004년 9월 | 2018년 6월 |
| 사용자 인증 | 동일한 SSID의 AP 및 모든 기기에서 동일한 PSK 사용 | 동일한 SSID의 단말에서 동일한 사전공유 키(PSK, Pre Shared Key)를 공유하는 '퍼스널 모드'와 IEEE 802.11x 인증 서버에서 EAP(Extensible Authentication Protocol)를 이용하여 단말마다 별도의 키를 배포하는 '엔터프라이즈 모드'가 있음 | ||
| 암호방식 (암호화 알고리즘) |
RC4 | RC4-TKIP | AES-CCMP | AES-CCMP |
| 키의 길이 | 40비트/104비트 | 104비트 | 128비트 | 128비트/192비트(엔터프라이즈) |
| 현재 안정성 | 낮음 | 낮음 | 보통 | 높음 |
| 특징 | - RC4 기반의 약한 암호화 능력 - 모든 AP가 인증기능 수행을 위해 암호키를 관리해야 하는 부담 - 하나의 AP가 한 개의 암호키 사용하여 암호키 노출시 해당 AP사용자 전체에 리스크 - AP에 대한 인증 미지원으로 허가되지않은 불법 AP에 접속할 가능성 높음 |
- TKIP, AES 방식의 강화된 암호화 - AS(Authentication Server)의 통합된 인증서버통해 관리통해 암호키 관리 부담 경감 |
||
- TKIP : WEP를 소프트웨어적으로 확장하여, WEP 방식 하드웨어 교체 없이 구현 가능한, 무선 채널 보호용 공유 비밀키 동적 생성을 통한 무선 구간 암호화 알고리즘
- CCMP : AES가 제공하는 블록 암호 모드 중, CTR(Counter mode) 기반으로 CBC-MAC을 결합한 CCM(CTR 기반 암호화와 CBC-MAC기반 메세지 인증을 동시에 제공) 모드 기반 알고리즘
- RADIUS : 네트워크 통신에서 3A(Authentication, Authorization, Accounting)을 중앙에서 처리할 목적으로 사용하는 서버/클라이언트 프로토콜로 UDP를 사용한 인증서버
- EAP : 단순 캡슐화 개념의 포로토콜로, EAP 자체는 실제 인증 프로토콜이 아니며, 인증 방법을 전송하는 역할을 수행
무선랜 보안 취약점
| 구분 | 취약점 | 설명 |
| 관리적 | 무선 AP 장비에 대한 관리 미흡 | 파손, 도난 등이 발생하여도, 파악하지 못하는 경우 다수 |
| 사용자의 보안의식 부족 | 보안 정책과 보안 기능을 따르지 않는 사용자에 의해 허점이 발생 가능 | |
| 전파 출력 관리 부족 | 전파 출력 조정을 하지 않아, 기관 외부로 무선랜 전파가 유출되어, 정보 노출 등의 취약점 발생 가능 | |
| 물리적 | 무선 AP 외부 노출 | 비인가자에 의한 도난, 파손 및 리셋을 통한 설정 초기화 등의 문제 |
| 무선 단말기 분실 위험 및 정보 유출 | 분실 시, 저장 데이터 유출 및 내부 보안설정 유출 가능성 | |
| 기술적 | 암호화 하지 않은 통신 데이터에 대한 도청 | 무선랜은 공기를 전송매체로 하여, Broadcast하는 특성으로 인한 도청/스니핑에 매우 취약 |
| 무선전파 전송 장비에 대한 DoS | - 대량의 무선 패킷을 전송하여 무선랜 무력화 - 무선랜이 사용하는 주파수 대역에 방해전파 방사하여 통신에 악영향 |
|
| 비인증 AP(Rogue AP)를 통한 데이터 수집 (Evil-Twin) |
공격자가 불법 무선 AP를 설치하여, 무선랜 사용자들의 접속을 유도, 개인정보 등 데이터 수집 |
무선랜 보안 대책
| 구분 | 대책 | 설명 |
| 관리적 | SSID 변경 및 Broadcast 금지 | SSID 초기 설정값이 아닌, 새로운 값으로 변경, SSID를 Broadcast 하지 않고, 숨김 모드로 설정하여 노출 방지 |
| Default PW 변경 | 초기 설정된 PW가 아닌, 추측하기 어려운 방식으로 주기적으로 변경, 무선 AP 관리자 모드 접속을 방지 | |
| MAC 주소 필터링 | 접속을 허용할 단말의 MAC 주소를 무선 AP에 사전 등록 | |
| 물리적 | 물리적 접근 제한 | 도난 방지를 위한 보호케이스 설치, AP 리셋 버튼 차단 등 |
| 기술적 | 안전한 암호화 방식 권고 | WPA2 규격의 AES-CCMP 방식 권고 |
| 안전한 인증 방식 권고 | 기업 환경 무선단말 인증은 WPA2로 RADIUS 서버를 통한 EAP 기반 인증 권고 |
- 자체적인 인증서버 구입이 어려울 경우 이동통신사에서 제공하는 인증서버를 통한 단말 인증 기능 고려
'메가노트 > 토픽과제(정리)' 카테고리의 다른 글
| 반복적 개발모델(문경숙 수석님) (0) | 2022.10.08 |
|---|---|
| 소프트웨어공학 (0) | 2022.10.08 |
| 망분리(김도현) (0) | 2022.10.03 |
| 자율주행자동차보안(황선환) (1) | 2022.10.01 |
| IPSec(이강욱) (0) | 2022.10.01 |