개인용 와이파이(Wi-Fi) 보안 모드를 사용하면 구성과 사용이 쉽다. 그러나 기업은 802.11i로도 알려져 있는 기업용 WPA2 모드를 사용해야 한다.
비록 802.1X 인증을 위해서는 RADIUS 서버가 필요하며 구성도 더 복잡하지만, 뛰어난 와이파이 보안을 제공하여 장기적으로 시간과 돈을 절약할 수 있다. 여기 기업과 기관들이 기업용 와이파이 보안을 활용해야 하는 몇 가지 이유를 살펴본다.
1. 공유된 암호의 보안 위험 제거
PSK(Pre-Shared Key) 방식이라 불리는 WPA 또는 WPA2 보안 개인용 모드를 활성화하면 1개의 유일무이한 범용 암호를 생성하게 된다. 모든 사람이 무선 네트워크에 연결하기 전에 동일한 암호를 입력하고, 이 암호는 해당 기기에 저장된다.
여기서 문제는 노트북 또는 스마트폰을 분실하거나 도난 당했을 때 이를 습득하는 사람이 암호를 확보할 수 있어 네트워크에 연결할 수 있다는 점이다. 또한 직원이 퇴사하더라도 여전히 와이파이 암호를 갖고 있어 기존에 사용하던 기기로 연결이 가능하다.
이에 따라 네트워크를 적절히 보호하기 위해서는 누군가 기기를 분실하거나 기관을 떠날 때마다 범용 와이파이 암호를 변경해야 한다. 그러면 모두에게 변경된 암호를 알려주고 모든 와이파이 기기에 새로운 암호를 입력해야 한다.
게다가 일부 윈도우 버전과 기타 모바일 기기는 기존의 암호로 연결을 시도하면서 새로운 암호 입력을 허용하지 않기 때문에, 기존에 저장된 암호를 삭제하거나 수정해야 한다. 이 때문에 최종 사용자에 혼란스러워하게 된다.
하지만 WPA 또는 WPA2 보안의 기업용 모드는 각 사용자에게 유일무이한 사용자명과 암호를 할당할 수 있다. 누군가 기기를 분실하거나 떠나면 개별 암호를 변경하거나 사용자명을 삭제하면 그만이다.
2. 스누핑(Snooping) 차단
개인용 와이파이의 보안 모드는 무선 암호가 있는 모든 사람이 무선 네트워크의 트래픽을 수집하고 읽을 수 있다. 모든 사람의 웹 브라우징을 엿보는 것 외에 일부 소셜 네트워크와 이메일 제공자 등 암호화되지 않은 사이트의 로그인 정보를 수집 또는 가로챌 수 있다.
하지만 기업용 와이파이 보안 모드를 이용하면 백그라운드(Background) 상태로 암호화키가 할당되고 교환된다. 이 방식 덕분에 누군가 다른 사람의 무선 트래픽을 해독하고 보는 것을 방지할 수 있다. 동시에 네트워크 공유에 영향을 끼치지 않기 때문에 사용자는 여전히 공유 폴더 또는 프린터에 접속할 수 있다.
3. 향상된 보안 방식 활성화
기업용 모드는 802.1X의 PEAP 방식을 통한 유일무이한 암호 제공 기능 외에 EAP-TLS 방식을 사용할 때 클라이언트에 SSL(X-509) 보안 인증서를 요구할 수 있다. 이는 클라이언트 인증서의 배포와 설치가 필요하긴 하지만 암호보다 더욱 안전한 방법일 수 있다.
게다가 좀더 강력한 보안을 위해서는 스마트 카드에 저장되어 있는 사용자 인증서 방식을 도입할 수 있다. 이는 802.1X 인증을 완료하기 위해 클라이언트에 물리적인 카드를 삽입하도록 요구하게 된다.
4. 유선 네트워크로 확대할 수 있는 인증 방식
기업용 모드에서는 RADIUS 서버가 요구된다. 이 서버가 제공하는 802.1X 인증을 활용하여 유선네트워크에서 인증을 제공할 수 있다. 물론 802.1X만으로는 유선 이더넷(Ethernet) 네트워크에서 스누핑을 방지할 수 없다. 하지만 연결된 것들은 연결에 앞서 로그인 정보를 제공해야 한다.
5. 동적으로 할당할 수 있는 VLAN
802.1X 인증을 이용하면 VLAN에 클라이언트를 동적으로 할당할 수 있다. 예를 들어, SSID에 접속하는 모든 사람에게 동일한 VLAN을 할당하는 대신에 RADIUS 서버에서 각 사용자에 특정 VLAN ID를 정의하고 각각의 유일무이한 사용자명으로 SSID에 연결할 때 해당 VLAN에 자동으로 입력되도록 할 수 있다.
6. 추가적인 통제 가능
개인용 모드를 사용할 때, 모두가 동일한 암호로 와이파이에 로그인하며, 관리자는 개별 클라이언트의 연결에 대하여 통제력을 갖지 못하는 경우가 대부분이다. 하지만 기업용 모드를 이용하면 RADIUS 서버가 개별 사용자 또는 사용자 그룹에 선택적으로 적용하고 사용자가 자산의 유일무이한 사용자명으로 로그인할 때 확인할 수 있는 속성을 지원한다.
RADIUS 서버가 지원하는 공통 속성으로는, 로그인이 가능한 일자와 시간을 정의할 수 있는 로그인 타임(Login-Time), 어떤 AP(Access Point)를 통해 접속할 수 있는지를 명시하는 호출된 스테이션 ID(Called-Station-ID), 어떤 클라이언트 기기로부터 연결할 수 있는지를 명시하는 호출하는 스테이션 ID(Calling-Station-ID)가 있다.
7. NAP(Network Access Protection) 지원
사용자는 RADIUS 서버가 지원하는 기본적인 클라이언트 접속 속성 외에 802.1X 인증과 함께 서버의 NAP 기능을 활용할 수 있다. 예를 들어, 윈도우 서버 2008 이상의 OS를사용해 NPS(Network Policy Server)를 구성함으로써 NAP 기능과 802.1X 인증 할 수 있다.
NAP는 마이크로소프트가 클라이언트의 원하는 시스템 건전도(system health)에 기초해 사용자의 네트워크 접속을 관리할 수 있도록 개발한 기술이다. 예를 들어, 클라이언트가 네트워크 전체 접속이 가능하도록 하려면 OS와 백신을 최신으로 유지하고 개인용 방화벽을 활성화하며 기타 보안 설정을 원하는 대로 구성하면 된다.
도입 팁
비록 상용 RADIUS 서버, 소프트웨어, 하드웨어 장비가 있기는 하지만 수천 달러의 비용일 발생할 수 있다. 그러나 대부분 IT 인력이 이해할 수 있는 중소형 네트워크를 위한 더욱 비용 효율적인 솔루션이 존재한다. 따라서 예산이나 경험이 부족하다는 이유로 기업용 와이파이 보안을 사용하지 못할 일은 없다.
우선, 네트워크의 서버 또는 구성요소가 이미 RADIUS 서버 기능을 제공할 수 있는지 확인해보자. 예를 들어, 윈도우 서버가 있는 경우 윈도우 2003 R2 이전 버전에서는 IAS(Internet Authentication Service) 구성요소를 찾아보고 윈도우 서버 2008 이후 버전에서는 NPS(Network Policy Server)를 이용할 수 있다.
자신만의 RADIUS 서버를 구축하고 싶지 않다면 인터넷을 통해 802.1X 인증을 수행할 수 있는 호스팅(Hosting) 또는 클라우드(Cloud) 기반의 서비스를 고려해 보자.
윈도우 XP에서는 기업용 보안이 적용된 와이파이 네트워크에 연결하기 전에 802.1X 인증을 사전에 구성해야 한다. 하지만 윈도우 비스타 이상에서는 사전에 설정할 필요 없이 연결하면서 사용자명과 암호를 입력하면 된다. 또한 대부분의 모바일 기기 또는 운영체제도 마찬가지이다.
예를 들어, EAP-TLS 사용 시에 802.1X 설정을 사전에 구성하여 특정 보안 설정을 구성하거나 사용자 인증서를 배포하고 싶을 때, 도움이 되는 솔루션이 있다. 도메인(Domain) 연결 머신의 경우, 그룹 정책(Group Policy)을 통해 네트워크 프로필을 배포할 수 있다.
또한 윈도우 비스타 이상에서는 언제든지 커맨드 라인 도구를 사용하여 사용자에 네트워크 설정을 제공할 수 있다. 또는 제 3자 툴의 경우, 무료 SU1X802.1X 구성 배치 툴(Configuration Deployment Tool) 또는 익스프레스커넥트(Xpressconnect) 또는 클리어패스 퀵커넥트(ClearPass QuickConnect) 등의 상용 옵션도 있다.
WEP 또는 WPA의 PSK만 지원하는 레거시(Legacy) 머신 도는 기기가 있는 경우에는 미리 802.1X 인증을 이행해야 했다. 이런 경우, 이런 클라이언트를 다시 확인해 보는 것이 좋다. 802.1X 지원을 추가하는 소프트웨어 업데이트가 있거나 해당 무선 어댑터를 업그레이드할 수 있는지 검토해 보자. 만약 불가능하다면 비 802.1X 클라이언트를 위해 WPA/WPA2의 PSK 모드로 개별 SSID를 생성하는 것도 하나의 방법이다. dl-ciokorea@foundryco.com
