무선 보안 침탈 ‘재깍 째깍'

Eradicating Wireless Intruders

무선 보안 침탈 '재깍 째깍'



무선 네트워크로 인해 전 세계 네트워크 사용자들은 엄청난 이동성, 유연성, 생산성 향상의 덕을 톡톡히 보고 있다. 하지만 이런 상황을 보안의 관점에서 보면 새로운 보안 위협 요소가 네트워크 에 침입하려 한다는 의미일 수도 있다. 사실상 무선 공격이나 DoS 공격이라는 완전 새로운 품종이 WLAN IDS(Intrusion Detection System) 상에서 보안 신제품을 개발하고자 노력하는 무선 LAN(WLAN) 벤더들을 위협하고 있다. 브로드캐스팅 데이터를 위협하는 요소는 무선이 가능한 대부분의 최신 무선 노트북이 디폴트 값으로 윈도우 2000이나 XP를 운영하고 있고 언제 어디서나 인터넷에 접속할 수 있는 Wi-Fi를 원하고 있다는 사실이다. 사용하는 AP(acess point)가 정식 허가를 받았는지 상관없이 말이다. 그러므로 '무선 환경' 뿐만 아니라, 컴퓨터 연결에 있어서 안전성 역시 확보해야 된다. 시스코는 부실한 장비와 침입 시도 같은 위협 요소들을 제거하기 위해서 네트워크 관리자들에게 몇 가지 방어막과 안전장치를 설치하는 방법에 대해 조언한다.

"지난 10년 동안 무선 네트워크 상에서 보았던 IDS로 많은 놀라움과 경계를 무너뜨렸던 시스템을 쉽사리 만들어 낼 수는 없는 노릇이다. 이제 WLAN 사용자들은 무선 침입 방어력, 무선 침입 예방과 보안 기능을 원하고 있다"고 시스코 무선 네트워킹 비즈니스 사업부의 제품 마케팅 이사인 브루스 맥머도(Bruce McMurdo)는 말한다.

현재 방어와 치료 기능은 분포되고 계층적인 보안 모델에서 일어나고, 사용자부터 데이터 센터에 이르는 각 네트워크 레이어에서 네트워크 위협을 방어하는 역할을 한다. 침입을 방어하기 위해 시스코 무선 아키텍처는 아래와 같은 성능을 제공한다:

AP 인증
무허가 AP 기능 억제
사용자 보호 기능
사용자 정책 시행
장소 기반 침입 방지

시스코 아키텍처에서 시스코 고객과 시스코 제품 호환 고객 뿐만 아니라 시스코 에어로넷 시리즈 AP와 시스코 경량 AP도 네트워크 IPS(intrusion prevention system) 센서를 사용할 수 있다. 모든 WLAN IDS 벤더들이 보안 장비용 AP에 의존하고 있는 반면, 시스코는 고객들이 장비를 확장해서 사용할 수 있게 해주는 독특한 능력이 있다. 사용자들이 WLAN 환경을 오가는 데 있어 시스코 솔루션은 보다 포괄적인 방어 기능을 제공하고 있다.


다양한 변종 발생
IPS 센서 역할의 시스코 액세스 포인트는 시스코 무선 제어와 운영 장비 측에 변종 발견을 알려준다. 그런 다음, 네트워크 관리 정책에 기초해 자동으로 네트워크와 연결된 무허가 장비나 변종 장치를 방어한다.

시스코 솔루션은 통합과 오버레이 침입 보안 시스템 둘 다 지원한다. 오버레이 침입 보안 시스템은 개별적으로 분포된 라디오 센서를 사용하는 전파 영역을 관리한다. 이런 경우, IT 업계 측은 보통 비용과 유효성 사이에서 취사선택해야한다. 고성능 WLAN 액세스 포인트까지 무선 센서를 1:1 비율로 측량하는 것은 최상의 네트워크 서비스 범위를 보증할 수 있지만 가격이 비쌀 수 있다. 물론 센서를 줄이면 가격은 저렴해지지만 서비스 범위에 허점이 생길 수 있다. "모니터링과 무선 데이터 네트워크 두 가지용의 공동 시설을 마련함으로써 기업 네트워크에 더 나은 미래를 선사해 줄 것이다. 그런 이유에서 사용자 전송을 지원하는 동시에 액세스 포인트가 센서로 작동되는 통합 침입 보안 시스템을 추천하는 것"이라고 맥머도는 설명한다.

센서가 많은 변종들을 발견할 것이다. 맥머도에 따르면 "연결되어서는 안 되는 기업 네트워크나 위험한 웹 환경에 처한 액세스 포인트에 접속할 때는 활발한 주목을 받는 근거리 네트워크를 올바르게 확인하는 것이 중요하다"는 것이다.

변종 액세스 포인트 억제와 함께 센서는 무선 장비 정보를 발견하고 모아서 서로 관련 있는 네트워크 요소에 전달해준다. 무선 액세스 포인트가 네트워크 상에서 발견되면, WLAN 침입 예방 시스템이 접속 고객을 분리시켜 변종과 연결된 스위치 포트 전원을 끄기 위해 RF 관리 신호를 보낸다.

시스코와 함께 사용자들은 분포 솔루션이나 경량 솔루션을 사용하는 침입 보안 시스템을 배치할 수 있다. 분포 솔루션은 시스코 WLSE(Wireless LAN Solution Engine) 릴리즈 2.9와 WLSM(Wireless LAN Service Module)을 장착한 시스코 카탈리스트 6500 시리즈 이더넷 스위치가 탑재된 시스코 에어로넷 1230, 1200, 1130, 1100 시리즈 액세스 포인트를 사용한다. 이러한 솔루션과 함께 시스코 호환 제품 무선 고객 장비는 시스코 에어로넷 액세스 포인트뿐만 아니라 모든 합법적인 시스코 제품들에 대해 즉각적으로 모든 정보를 수집한다.

시스코가 최근 인수 합병한 에어스페이스(Airespace) 제품 포트폴리오에 기반한 경량 솔루션의 경우 시스코 무선 랜 콘트롤러와 시스코 WCS(Wireless Control System)가 장착된 시스코 1000 시리즈 경량 액세스 포인트를 사용한다.

WLAN이 가진 침입 위협은 가장 강력한 신호에 자동적으로 연결하기 위해 존재하는 물리적 경계인 조직의 벽과 무선 고객 장비 내에서 전파 전송을 저지시키기 힘들다는 점이다.

"네트워크에 침투해 데이터를 도난당하는 경우 802.11i에 암호화와 인증 방법을 배치하는 것이 가장 좋다"고 시스코 기술 마케팅 엔지니어인 제이크 우드햄스(Jake Woodhams)는 말한다. 그는 이어 "변종 장비를 널리 퍼뜨릴 수 있는 데이터 공격과 서비스 중단을 저지하기 위해서는 무허가 장비를 확인해 차단하도록 전파를 스캐닝하는 것이 중요하다고"덧붙인다.

구체적으로 침입 방어와 예방이 완화시키고자 하는 것을 알아보자:

변종 시설 액세스 포인트의 영향
이더넷 스위치 포트나 WLAN 콘트롤러 포트에 직접 플러그를 꽂은 전파의 경우, 해킹을 목적으로 침입자가 고의로 설치했을 수도 있다. 그러나 무선 접속을 쉽게 하기 위해 직원이 해놓았을 경우가 더 많다. 고객 장비를 직접 매치하는 특성 상 사무실 근처에 있는 고객이나 주차장, 카페가 이러한 변종들과 의도적이든 고의든 연결될 수 있다. 대부분의 회사들이 현재 이더넷 스위치 상에 레이어2 포트를 열어두고 있기 때문에, 변종을 유선 LAN 시설에 연결하는 것은 관련된 고객 모두 몇 가지 기업 정보에 접근할 가능성을 시사하고 있다.

WLAN 트래픽 "공격" 시그니쳐
관리 체계, 인증 요청, 공격 종류에 의존하는 다양한 종류의 패킷을 가진 합법적인 무선 장비가 넘쳐나면서 바람직하지 않은 트래픽 용량이 무선 이동 경로로 나아갈 수 있다.

애드 혹 네트워크
사용자들끼리 직접 연결할 때 애드 혹(ad-hoc) 네트워크가 생겨난다. 이런 P2P 커넥션은 무허가 사용자가 민감한 데이터를 저장하고 있는 합법적인 사용자와 자동적으로 연결될 경우, 위험이 발생할 수 있다. 장비의 하드 드라이브로 접근할 수도 있기 때문이다. 게다가 내부 무선 네트워크 정보에 다른 사람이 접근할 수 있는 사용자 목말(piggyback) 방식으로 이어질 수도 있다.

우발적인 연결
근접한 액세스 포인트 서비스 구역이 합법적인 회사의 전파권(air space)으로 번지게 되면, 근접한 액세스 포인트와 이어지는 회사의 합법적인 무선 장비가 연쇄 반응을 일으키면서 우발적인 연결이 발생할 수 있다. 합법적인 고객 장비가 개별 방화벽이나 시스코 시큐리티 에이전트 같은 소프트웨어의 보호를 받지 않을 경우, 일단 연결되면 근접한 네트워크상의 고객 장비는 아주 손쉽게 접근할 수 있다. 우드햄에 따르면, 변종 액세스 포인트에 연결된 무허가 사용자의 행동을 저지하기 위해 센서 모드의 시스코 액세스 포인트는 무인증 패킷을 사용자에게 보내 연결을 해제하고 합법적인 액세스 포인트를 찾도록 할 것이다.

원치 않은 스패닝 트리 브리지 루프
오픈 액세스(open-access)의 위협 뿐만 아니라 윈도우 XP 노트북은 제로-컨피규레이션 디폴트 세팅을 포함한다. "이로 인해 전체 네트워크를 마비시킬 수 있는 구식 이더넷 스위치와 함께 스패닝 트리 브리지 루프가 발생할 수도 있다"고 우드햄은 설명한다.

스패닝 트리 프로토콜 정보가 조직 방화벽 외부로 새어나가면, 프리웨어 툴이 알아채서 스패닝 트리 침입에 대비할 수 있다. 이 때 네트워크 백본망을 위해 효과적인 서비스 거부 현상이 생겨난다는 게 우드햄의 말이다.

무선 모니터링 시스템은 조직 경계망 외부로 네트워크 프로토콜이 새나가는 것을 막으면서, 합리적인 조치를 취하게끔 네트워크 운영자에게 알려준다.


"최적의 툴을 찾아라"
가장 안전한 모니터링 솔루션은 WLAN 장비와 그 기능을 인지할 수 있는 네트워크 센서를 배치한다는 의미다. 주요 기능과 툴은 다음과 같다.

광대역·세부망 가시화
액세스 포인트 설치만으로는 건물 구석구석까지 다 섭렵할 수는 없다. 시스코 IOS 소프트웨어로 관리되는 모든 시스코 액세스 포인트의 경우 액세스 포인트와 침입 감지 센서 두 가지 기능을 자랑한다. 게다가 시스코 호환 확장성 프로그램을 통해 노트북과 고객 장비 서버는 변종의 유무를 체크해주는 센서로 작동된다. 이에 따라 분포된 솔루션을 위한 침입 감지 기능이 한층 확장된다.

보안 계층 네트워크상 여러 계층들은 데이터 납치와 DoS 공격으로부터 정보를 안전하게 지켜준다.


멀티프리퀀시 스캐닝
전파 영역을 모니터링 할 때 회사는 보통 전파를 지속적으로 체크한다. 센서는 조직이 실제로 트래픽이나 각각의 무선 밴드를 계속 관리하는지와 상관없이, 802.11a, b, g 네트워크를 스캔해야한다. 그렇지 않으면 다른 밴드에서 관리하는 애드 혹과 변종 액세스 포인트에서 발생하는 보안 위협에 시달리게 된다.

위치 추적
시스코의 위치 추적을 변종 장비 감지에 적용한 능력은 수많은 악성 공격의 근원을 근절시키는데 도움이 된다. 공격 효과를 무마시키기 위해 적절한 조치를 취하는 것 외에 고도의 추적은 문제 해결에 적절치 않은 행위의 실질적 근원을 밝혀내게 된다.

무선 LAN을 사용하게 되면서 이상이 있을 때 전파 상태를 가끔 체크하는 것만으로는 더이상 충분치 않은 상황에 이르렀다.

무선 분야는 특히 공격받기 쉽다. 누구나 무허가 RF 스펙트럼에서 전송하고 전송받을 수 있으며, 무선 사용자와 액세스 포인트가 자체 결합되었다는 특성 때문이다. 802.11 기반 트래픽 양이 증가함에 따라 애드 혹 결합은 피해라는 가능성만 더욱 증대시킬 것이다. 다행히도 시스코의 보안 장치가 존재해 무선 서비스 중단과 습격이라는 사태에 대비할 수 있다.

추가자료


■ 시스코의 구조적인 무선 인식 네트워크 솔루션
    cisco.com/go/swan




 

Cisco에 문의하세요



Packet 지난 호 보기