회사소개

시스코엔터프라이즈 무선랜 보안솔루션 'SAFE WLAN' 발표


시스코, 엔터프라이즈 무선랜 보안솔루션 'SAFE WLAN' 발표


- 기업체를 위한 무선랜 보안 시스템 구현 청사진과 관리 방법 백서
- 안전한 무선네트웍 운영 설계방안 및 조직규모에 따른 보안전략 제시


[2002년 2월 7일] 인터넷 네트워킹의 세계적인 리더 시스코 시스템즈 코리아 (대표 김윤, www.cisco.com/kr)는 7일, 새로운 무선랜 보안 아키텍쳐인 SAFE WLAN을 발표했다.

이 제품은 지난해 12월 31일 시스코 본사에서 발표한 시스코 보안 아키텍쳐(Safe Architecture for E-Business - SAFE)의 확장안으로써, 사용자 인증과 감사, 동적 키를 사용한 데이터 암호화, AP(Access-point)관리, 네트웍 자원의 접근 제어, 고가용성 옵션 등을 통해 기업고객들에게 무선랜의 기능 제공과 함께 보안해결책을 제시해준다.

시스코의 무선랜 개발부서와 스위치 개발팀, 보안 부서의 협력을 통해 탄생된 SAFE WLAN 보안 아키텍쳐는, 안전한 무선네트워크 운영을 위한 설계 방안 및 조직의 규모에 따라 대기업을 위한 정책, 중,소형을 위한 정책 등 규모에 따른 보안 전략을 제시한다. 전략의 핵심은, 조직내 무선구간을 위해선 동적 키 생성과 RC4 보완을 적용한 인증과 암호화를 수용하며, 외부 핫스팟으로부터의 억세스에 대해선 시스코VPN 기술을 적용한 IPsec 암호화를 통해 무선랜사업자들이 제공하지 못하는 보안기능을 제공한다는 것이다.

또한, 무선 암호화는 EAP-Cisco 를 통해 AP 마다 분산 적용하므로 성능이 보장되고, 추가 비용이 필요치 않다는 장점이 있다. IPsec 암호화의 경우, 무선구간의 보안이 적용되지 않는 외부접속 지점으로부터의 보안성을 제공할 수 있고, 시스코 라우터와 PIX, VPN3000 컨센트레이터 등 다양한 종류의 컨센트레이터가 개인방화벽이 장착된 소프트웨어 IPsec 클라이언트를 통해 안전한 통신을 보장한다.

시스코 시스템즈 코리아의 테크니컬솔루션그룹의 김민세차장은 "2001년부터 본격적으로 국내에 소개된 무선랜은, 기업 경쟁력을 위한 최신의 IT 무기로써 무선 네트웍이 각광을 받으면서, 지난 한해 주요 기관 및 기업체에서 도입을 검토하는 탐색기를 거쳐 올해는 본격적인 도입기로 접어들어 폭발적인 성장이 기대되고 있다"고 말하며, "이번 새로운 무선랜 보안 아키텍쳐인 SAFE WLAN전략 발표로 무선랜 장비의 대규모 배치와 실제 사용이 가능하게 되었고, 더불어 보안해결책을 제시할 수 있게 되었다"라고 밝혔다.

또한 "공중 무선랜 솔루션은 802.1x 를 인증과 과금용으로 사용할 수 있도록 일부기능만을 채택한 형태이고, 실제 기업에 필요한 802.1x 솔루션은 억세스 제어와 패킷 암호화를 통해 안전한 무선 통신을 제공해야 한다는 점에서 기업용 무선랜 솔루션과 요즘 많은 화제를 모으고 있는 공중랜과는 차별된다" 라고 기업용 무선랜 솔루션의 차이점을 설명했다.

특히 보안 기능의 부족으로 인해 실제 적용을 위해선 많은 문제점들이 제기되고 있는데, 예를 들면, WEP 암호화를 위한 키의 자동 생성 및 배포, 키관리 필요성, 무선NIC 도난시 또는 임의 설치 AP에 대한 대응 방안, IV(initialization vector) 재사용 공격의 대응 및 패킷 변조 방지를 위한 사용자 인증과 사용자별 보안 정책 부여, AP 의 암호화 설정 및 이의 중앙관리, 인증서버의 배치 및 관리, 기존 유선 인증 시스템과의 통합 등의 문제로 인해, 보안기능의 확장은 필수적인 것으로 받아들여지고 있으며 사용자마다 다른 접근제어, 권한 부여와 같은 정책기반 관리가 필요하다.

이외에도 시스코는 IEEE 802.11i 무선랜 보안표준을 주도하며 패킷별 WEP 키 해싱, MIC 와 같은 기술을 통해 WEP 암호화를 보완하고 있으며, 더불어 공중망 무선랜을 통한 기업 네트웍 접속 보안을 위해 VPN 아키텍쳐를 공중망 무선랜 서비스 사업자의 802.1x 인증과 연동, 최적의 무선랜 보안 아키텍쳐를 구축하고 있다.

* WEP로 무선 신호를 암호화하기

무선국으로부터 일정 거리 안에 있는 사람들이 누구나 그 무선국의 주파수에 맞추어 신호를 들을 수 있는 것처럼 액세스 포인트의 일정 범위 안에 있는 어떤 무선 네트워크 장치도 그 액세스 포인트의 전파를 받을 수 있습니다. WEP (Wired Equivalent Privacy)는 침입자에 대한 첫번째 방어책이기 때문에 시스코는 무선 네트워크 전부에 암호화를 사용할 것을 권장합니다.

WEP 암호화는 통신을 보호하기 위하여 액세스 포인트와 클라이언트 장치 사이의 통신을 스크램블합니다. 액세스 포인트와 클라이언트 장치는 무선 신호를 암호화하고 해독하는데 동일한 WEP 키를 사용합니다. WEP 키는 유니캐스트와 멀티캐스트 메시지 모두를 암호화합니다. 유니캐스트 메시지는 네트워크 상의 단 하나의 장치로 발송됩니다. 멀티캐스트 메시지는 네트워크 상의 다수의 장치로 발송됩니다.

EAP (Extensible Authentication Protocol) 인증은 무선 사용자에게 동적인 WEP 키를 제공합니다. 동적인 WEP 키는 정적인 또는 변하지 않는 WEP 키보다 안전합니다. 만일 어떤 침입자가 동일한 WEP 키로 암호화된 충분한 양의 패킷을 수신한 경우 그 침입자는 계산을 통하여 키를 알아낸 후 그 키를 사용하여 여러분의 네트워크에 침입할 수 있습니다. 동적인 WEP 키는 자주 바뀌기 때문에 침입자가 계산을 통하여 키를 알아내는 것을 막을 수 있습니다.

* 추가적인 WEP 보안 기능들

세 가지 추가적인 보안 기능이 무선 네트워크의 WEP 키를 방어합니다:

MIC(Message Integrity Check) - MIC는 비트 플립 (bit-flip) 공격이라고 불리는 암호화된 패킷에 대한 공격을 막아줍니다. 비트 플립 공격에서 침입자는 암호화된 메시지를 가로채서 이것을 조금 바꾼 후 다시 전송하는데 그러면 수신자는 재전송된 메시지를 정당한 것으로 받아들입니다. 액세스 포인트 및 모든 관련 클라이언트 장치 양쪽에 구현된 MIC는 패킷을 변경하지 못하게 만들기 위하여 각 패킷에 몇 바이트를 추가합니다.

WEP 키 해싱 - 이 기능은 침입자가 WEP 키를 계산하기 위하여 암호화된 패킷에 포함된 암호화되지 않은 IV(initialization vector)를 사용하는 WEP 공격으로부터 보호합니다. WEP 키 해싱은 IV를 사용하여 WEP 키를 도출해낼 수 있다는 침입자들의 기대를 제거해줍니다

브로드캐스트 키 로테이션 - EAP 인증은 클라이언트 장치들을 위해서 동적인 유니캐스트 WEP 키를 제공하지만 정적인 브로드캐스트 또는 멀티캐스트 키를 사용합니다. 브로드캐스트 WEP 키 로테이션이 활성화되어 있을 때 액세스 포인트는 동적인 브로드캐스트 WEP 키를 제공하고 여러분이 선택하는 간격으로 그것을 바꾸어줍니다. 시스코장비가 아니거나 또는 시스코 클라이언트 장치를 위한 최신 펌웨어로 업그레이드할 수 없는 무선 클라이언트 장치들을 여러분의 무선 LAN이 지원해야 할 경우, 브로드캐스트 키 로테이션은 WEP 키 해싱에 대한 훌륭한 대안입니다.

시스코 시스템즈에 대해
시스코 시스템즈는 인터넷 네트워킹 분야의 세계적인 리더이다.
시스코 시스템즈와 시스코 시스템즈 코리아에 대한 뉴스와 정보는 http://www.cisco.comhttp://www.cisco.com/web/KR/ 에서 볼 수 있다.

보도자료 문의:
시스코 시스템즈 코리아 홍소연 부장 (전화: 02-3429-8050)
한국마케팅커뮤니케이션스 김우석 / 배문선 (전화: 02-6243-8114)

Cisco에 문의하세요