무선 네트워크 보안위협 대응방안 WIPS(2)

WIPS 통해 차단되는 10가지 보안위협

[보안뉴스=더보안] 유선과 달리 물리적 공간에서 혼재하는 무선은 무선 주파수의 특성으로 인해 취약성에 많이 노출되어 있다. 유선 네트워크는 인라인 방식이든 미러링 방식이든 네트워크 보안 시스템들로 트래픽 수집 분석이 가능하지만, 무선 네트워크 환경에서는 무선의 현황 분석이 쉽지가 않다. 실제로 무선보안 솔루션을 도입해 로그분석을 해보면 사내 무선 네트워크는 취약성에 많이 노출되어 있고, 여러 형태의 위협을 받고 있다.

이러한 위협에 대해 무선보안이 이루어져 있지 않으면 주위에서 어떠한 위협 행위들이 일어나고 있는지 알 수가 없다. 무선 네트워크를 통해 개인정보뿐만 아니라, 회사의 중요 정보들이 본인도 모르게 유출될 수가 있다.

알다시피 무선침입방지 시스템(Wireless Intrusion Prevention System, WIPS)은 무선공유기(AP)를 탐지하고 정책으로부터 인가되지 않은 무선단말기의 접속을 차단하여 취약한 무선보안을 강화하는 솔루션이다.

WIPS 시장규모의 성장세

기존에 무선이라고 하면 크게 2가지로 인식됐다. 첫 번째는 느리다. 두 번째는 보안에 취약하다는 것이다. 하지만 IEEE 802.11 a/b/g/n프로토콜 방식의 무선연결 방식(2.4GHz 및 5GHz 대역)의 802.11 n의 도입으로 무선이 일반 유선만큼 빠른 속도를 제공하게 된 후 이러한 인식은 사라지고, 보편적으로 널리 사용하게 됐다. 이러한 배경 아래 무선보안에 대한 인식 또한 점점 커져갔고 WIPS의 시장 규모도 점점 커져왔다.

특히, WIPS가 국내 소개된 이래 지난 3~5년간 민간 기업을 중심으로 수요가 일었다. 하지만 국가정보원과 금융감독원, 한국인터넷진흥원 등 보안감독권한이 있는 주요 정부 부처들이 무선 보안 취약점에 대해 경고하기 시작하면서 최근에는 공공과 금융 분야로 확산되는 추세다.

그 결과 시장 규모는 훌쩍 컸다. 올 상반기 국내 무선침입방지 시스템 시장 규모는 업계 추산 200억~300억 원 사이로 작년 시장 규모 150억 원보다 높은 수치다. 게다가 올해 연간 시장 규모가 최대 350억 원 가까이 성장할 것이란 전망도 있다.

이렇게 WIPS 시장이 확대되면서 참여 기업들도 크게 늘었다. 기존 WIPS 시장이 에어타이트와 에어디펜스로 형성되었다고 하면, 최근에는 외산과 국산 제품의 경쟁 구도가 만들어지고 있다. 퓨쳐시스템, 유넷시스템, 코닉글로리 등 국내회사가 개발한 국산 WIPS 제품이 외산에 도전하고 있다.

지난해까지 에어타이트와 에어디펜스는 시장 선두주자로서 시장 선점을 통해 지난해까지 전체 WIPS 시장의 80%를 점유했다는 평가를 받고 있다. 하지만 작년부터 기존 외산 솔루션 중심의 시장에 국내 기업들이 가세하고, 특히 공공기관 중심의 사업이 시장 비중에 무게를 실으면서 경쟁이 가열될 전망이다.

WIPS 기능 및 구성요소

WIPS를 통해 탐지 및 차단할 수 있는 무선 위협은 10가지로 나눌 수 있다. 10가지는 다시 크게 Inbound 위협과 Outbound 위협으로 구분된다. 대표적인 Inbound 무선 위협으로는 불법 AP설치를 통한 내부망 접근, Ad-hoc 연결을 통한 ICS(Internet Connection Sharing) 연결 등이 있다.

사내 망에 불법 AP를 몰래 설치하고 악의적인 목적을 가진 사용자가 외부에서 무선을 통해 내부망으로 접근해 내부 정보를 외부로 유출 하거나 내부 네트워크에 대해 공격을 시도하는 것이 대표적인 사례다.

이런 무선 위협에 대해 WIPS는 전용 센서를 통해 무선 위협을 탐지하고 차단할 수 있으며, 나아가 무선 위협이 발생하는 위치에 대한 정보를 정확하게 제공해 무선 위협을 원천적으로 제거할 수 있는 환경을 제공해준다.

▲ 그림 1. WIPS를 통해 차단되는 10가지 무선 위협

WIPS는 일반적으로 관리서버와 전용센서로 구성되며, 관리서버와 전용센서는 유선 네트워크를 통해서 통신을 하게 된다. 관리 서버에서는 각종 무선 정책의 설정 및 현황 분석 등의 기능을 제공하며, 설정된 정책을 전용 센서에 적용시켜 준다.

전용 센서는 무선을 통하여 WiFi 주파수 대역대인 2.4Ghz 및 5Ghz를 사용해 통신하는 AP 및 Client에 대하여 탐지하고 모니터링하게 된다. 탐지된 AP 및 Client에 대해서는 관리서버에 미리 등록된 Whitelist 및 RSSI 신호세기 등을 통하여 내부/불법/외부/Guest 등으로 분류한다.

분류된 결과에 따라 다음 그림 2처럼 무선 연결에 대하여 허용 혹은 차단하게 된다. 차단 시에는 불법으로 분류된 Client 및 AP에 대하여 무선 공격 등의 방법으로 가용성을 떨어뜨리거나 서비스를 마비시키는 방법을 사용하지 않고, AP와 Client간의 3-Hand Shaking 연결 과정을 모니터링 하다가 전용 센서가 연결을 시도하는 Client 혹은 AP인척 Spoofing해 상대 AP 혹은 Client에 인증해제 패킷(De-Authentication)을 전송함으로써 세션을 끊는 방법으로 차단하게 된다.

이렇게 무선 연결 세션이 끊기게 되면 무선의 특성상 AP와 Client는 재 연결을 자동으로 시도하게 되며, 전용 센서는 계속해서 이 연결 시도를 끊게 된다. 지속적으로 전용 센서를 통해 무선 연결을 끊게 되면, 당연히 센서에 부하가 올라갈 수밖에 없다.

이 때 WIPS에서 핵심적으로 제공하는 기능이 바로 위치추적 기능이다. 불법적인 연결이나 무선 위협을 하는 Client 및 AP에 대해 정확한 위치 결과를 관리서버에 표시해주어 관리자가 물리적으로 무선 위협 원인을 제거함으로써 원천적으로 무선 위협을 제거할 수 있는 환경을 제공해 준다.

전용 센서에서 탐지되는 AP 및 Client의 신호세기 정보를 바탕으로 삼각측량 방식을 통해 AP 및 Client의 정확한 위치 결과를 제공한다. 삼각측량 방식의 특성상 최소 3대 이상의 전용 센서가 동일한 공간에 설치되어야 좀 더 정확한 위치 추적 결과를 나타내며, 전용 센서의 설치 수량이 많으면 많을수록 더 정확한 결과를 나타내게 된다.

▲ 그림 2 WIPS 분류에 따른 허용/차단

WIPS 운영방안

WIPS은 기본적으로 Whitelist를 기반으로 운영되며, 내부 Client의 MAC값을 등록하게 된다. 등록 방법은 기존 무선 컨트롤러와의 연동을 통해 등록하거나 텍스트 문서 일괄 등록, 수동 등록 등의 방법을 사용한다. 또한, WIPS 구축 시에는 무선의 특성상 구축되는 환경의 파티션, 외벽의 두께, 외벽의 재질 등의 영향을 많이 받게 된다.

예를 들어 오픈된 공간에서는 설치되는 센서의 수량이 상대적으로 줄어들게 되며, 탐지되는 AP 및 Client가 많을수록 센서의 수량은 늘어나게 된다. 따라서 구축에 투입되는 엔지니어의 경험과 노하우에 따라 무선 보안 환경의 구축 결과에 대한 고객만족도에 있어 많은 차이를 나타내게 된다.

특히, Whitelist 기반의 분류 기법이 아닌 RSSI 신호세기 기반의 분류 기법은 정확하게 설정하지 않으면 외부 AP 및 Client 등에 대하여 연결을 차단함으로써 서비스 장애를 유발하기도 한다.

RSSI 분류 기법은 특정 신호세기 이상의 값은 내부에 위치한 것으로 간주하여 탐지된 AP 및 Client를 자동 분류하게 되는 기법으로 주변에 잡히는 AP 및 Client가 강한 신호로 잡히면, 내부에 위치한 불법 AP 및 불법 Client로 분류해 무선 연결을 차단할 위험이 있다. 이런 외부의 무선 환경에 대한 서비스 장애 방지를 위해서는 구축 환경에 적합한 정확한 RSSI 신호값 설정이 필요하다.

현재 대부분의 무선기기들은 IEEE 802.11 a/b/g/n 프로토콜을 사용하고 있으며, 계속해서 무선 기술은 발전하고 있다. 이런 무선 기술의 발전에 따라 전용 센서에서 지원하는 프로토콜도 발전하고 있으나, 언젠가는 한계에 직면하게 될 가능성이 농후하다. 이에 다음 회에서는 무선 방식이 아닌 Agent 방식을 통한 무선보안 솔루션에 대해서 살펴보도록 하자.

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)