Home > 전체기사
지자체 ‘공공 와이파이’ 전성시대! 예상되는 보안 위협은
  |  입력 : 2019-07-05 10:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
ARP 스푸핑, 이블 트윈, 데이터 도청 등 다양한 보안 위협 존재

[보안뉴스 양원모 기자] 모바일 환경 확산에 따라 지방자치단체의 공공 와이파이 사업이 확대되고 있는 가운데, 와이파이를 노린 보안 위협 가능성에 관심이 쏠린다. 예상치 못한 ‘보안 구멍’이 생길 경우 공공사업 특성상 불특정 다수가 피해를 볼 수 있어 각별한 관리가 필요하다는 지적이다.

[이미지=iclickart]


4일 정부와 언론 보도를 종합하면, 올해 공공 와이파이 확대나 신규 구축을 결정한 지자체는 △충남 공주시 △경북 영천시 △경기 광명시 △충남 예산군 △경북 구미시 △강원 태백시 등 10곳이 넘는다. 경기도 다음으로 인구 규모가 큰 서울시는 올 연말까지 이전 2배 수준인 2만 개로 와이파이 단말기를 증설한다.

그러나 와이파이 보안 대책은 여전히 미비하다. 더불어민주당 박홍근 의원에 따르면, 2017년 정부가 운영하는 공공 와이파이 1만2,300여 개 중 암호화 접속 기능을 지원하는 건 61.3%에 불과했다. 자유한국당 송희경 의원이 과학기술정보통신부의 ‘2017년 1·2분기 공공 와이파이 현장 점검 실태 보고서’를 분석한 결과, 도심 공공 와이파이 74곳 중 32곳(43.2%)은 데이터를 암호화하는 보안 공유기(AP)가 설치돼 있지 않았다. 허술한 보안이 통계로 입증된 셈이다.

공공 와이파이는 다양한 보안 위협에 노출될 수 있다. 중간자 공격인 ‘스푸핑(Spoofing)’은 그 중 하나다. 스푸핑이란 위장된 MAC, IP, 이메일 주소 등으로 상대방을 속여 중간에서 데이터를 가로채는 행위다. 특히, 근거리 무선통신인 와이파이는 ARP(Address Resolution Protocol) 스푸핑에 취약하다. 공격자는 ARP가 IP 주소를 MAC 주소로 바꾸는 과정에서 자신이 만든 가짜 MAC 주소로 와이파이 이용자를 낚아 개인정보를 탈취한다.

네트워크 위장 공격인 ‘이블 트윈(Evil twin)’도 위험하다. 진짜처럼 꾸며진 가짜 와이파이로 접근을 유도한 뒤 사용자 신상정보를 훔치는 것이다. 공격자는 이 과정에서 와이파이 이름(SSID)을 바꾸거나, AP 신호를 확대하는 등 다양한 유인책을 활용한다. 사회공학 기법을 전면에 내세우는 이블 트윈도 있다. 라우터 설정 페이지처럼 생긴 가짜 홈페이지를 띄워 WPA 비밀번호를 알아내는 식이다.

데이터 도청도 가능한 시나리오다. AP에서 발송되는 전파는 강도, 지형에 따라 기준 범위를 넘어서까지 전달될 수 있다. 외부의 다른 무선 클라이언트에서 AP의 존재를 파악할 수 있고, 데이터 수신을 통한 도청이 가능해진다는 뜻이다. 특히, 무선 데이터가 암호화되지 않았다면, 공격자가 모든 전송 데이터를 그대로 볼 수 있어 개인정보 유출 등 심각한 피해가 초래될 수 있다.

지자체는 보안 접속, 컨트롤러 내 필터링 시스템(브로드캐스트 필터) 등으로 보안 위협에 대비하고 있다는 입장이다. 서울시 정보통신보안담당관 정보통신기획팀 신경철 주무관은 “서울 공공 와이파이는 인터넷 접속 시 ‘일반 접속’과 ‘보안 접속’을 선택할 수 있게 돼 있다”며 “보안 접속은 현재 무선 네트워크가 터널 방식 및 WPA2 암호화 방식으로 사용되고 있고, 무선 네트워크를 통한 데이터는 암호화가 돼 터널 내부로 통신을 하므로 데이터 감청이 어렵다”고 말했다.
[양원모 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)