류프리

와이파이는 일종의 입구다. 해커는 건물 내부에 직접 들어가지 않고도 와이파이를 통해 네트워크에 침투할 수 있다. 유선 네트워크에 비해 무선은 통신 내용을 탈취하려는 공격자들에게 훨씬 더 개방되어 있기 때문이다. 따라서 사용자들은 보안을 더 신경 써야 한다.


하지만 와이파이 보안 관련 내용은 간단한 암호를 설정하는 것 이상으로 많다. 강화된 보안 조치에 대해 배우고 이를 적용하는 데 시간을 투자하면 네트워크를 더 효과적으로 보호할 수 있다. 와이파이 네트워크를 안전하게 보호하기 위한 6가지 요령을 소개한다.

눈에 띄지 않는 네트워크 이름(SSID)을 사용하라
서비스 세트 식별자(SSID)는 가장 기본적인 와이파이 네트워크 설정 가운데 하나이다. 네트워크 이름은 보안과 상관이 없어 보이지만 실제로 영향을 미친다. “wireless(무선)”처럼 업체 기본 브랜드명처럼 너무 흔한 이름을 사용하면 다른 사람이 WPA 또는 WPA2 보안의 개인 모드를 풀기 쉬워진다. 그 이유는 암호화 알고리즘이 SSID를 사용하며, 해커가 사용하는 암호 풀기 사전에는 흔한 기본 SSID가 이미 등재되어 있기 때문이다. 이 예시 중 하나를 사용하는 것은 해커를 도와주는 것이다.

(나중에 다루겠지만, 이 취약점은 WPA 또는 WPA2 보안의 엔터프라이즈 모드를 사용하는 네트워크에는 적용되지 않는다. 이는 엔터프라이즈 모드 사용의 많은 장점 가운데 하나다.)

식별하기 쉬운 회사 이름이나 주소, 방 번호 등으로 SSID 이름을 설정하는 것이 이해는 가지만 가장 좋은 방법이라고 할 수는 없다. 네트워크가 공동 사용 건물에 있거나 다른 건물 또는 네트워크에 근접해 있다면 특히 더 그렇다. 만일 해커가 밀집 지역을 지나가면서 수십 개의 다른 와이파이 네트워크가 나타나는 것을 보게 된다면 그 중에서 가장 식별하기 쉬운 것을 표적으로 삼을 가능성이 높다. 해킹을 통해 어떤 것을 얻을 수 있지 쉽게 파악할 수 있기 때문이다. 밀집 지역에서 찾기 더 쉬운 것을 선택할 수도 있다.

SSID 브로드캐스트(broadcast)를 끄면, 네트워크 이름이 보이지 않게 된다. 그러나 개인적으로 권장하지 않는 방법이다. 사용자가 직접 SSID 입력해야 되고, 와이파이 조사 요청도 보안상 장점보다 성능에 미치는 부정적인 영향이 더 큰 경우가 많다. 적절한 도구를 갖추고 있으면 SSID가 다른 네트워크 트래픽을 감지하는 것을 잡아낼 수 있다.

물리적인 보안을 잊지 말 것
무선 보안(또는 모든 IT보안)은 복잡한 기술과 프로토콜이 전부가 아니다. 최고의 암호화 기술을 보유하고 있어도 여전히 취약할 수 있다. 물리적인 보안이 그러한 취약점 가운데 하나이다. 배선실을 봉쇄하는 것으로도 충분하지 않다.


대부분의 접근점(Access Point, AP)에는 재설정 버튼이 있다. 누군가 이 버튼을 누르면 공장 기본 설정이 복원되어 와이파이 보안 기능이 사라져서 누구나 연결할 수 있게 된다. 따라서, 시설 전체에 분산된 AP를 물리적으로도 보호해야만 무단 조작을 방지할 수 있다. 손에 닿지 않는 곳에 AP가 설치되어 있는지 확인해야 하고 AP 업체에서 제공하는 잠금 장치를 이용해 AP 버튼과 포트에 대한 접근을 물리적으로 제한하는 방법을 고려한다.

와이파이와 관련해 또 다른 물리적인 보안 문제는 무허가 AP를 네트워크에 추가할 때 생긴다. 이러한 AP를 주로 “불량 AP”라고 한다. 보통 와이파이 범위를 늘리고 싶어하는 직원, 시설 접근권을 얻은 외부인이나 직원이 부정한 의도를 가지고 시도하기 마련이다. 이러한 종류의 불량 AP를 방지하려면 사용하지 않는 모든 이더넷 포트(예: 벽 포트 또는 헐거운 이더넷)를 반드시 설정 해제해야 한다. 포트나 케이블을 물리적으로 제거할 수도 있고 라우터나 스위치에서 해당 콘센트나 케이블의 연결을 해제할 수도 있다. 보안을 제대로 강화하고 싶다면, 유선 쪽의 802.1X 인증을 설정한다(해당 라우터나 스위치에서 지원되는 경우). 그러면 이더넷에 연결되는 모든 기기는 로그인 정보를 입력해야 네트워크에 접근하게 된다.

802.1X 인증으로 엔터프라이즈 WPA2를 사용하라
가장 유익한 와이파이 보안 장치 가운데 하나는 와이파이 보안의 엔터프라이즈 모드를 실행하는 것이다. 모든 사용자를 개별적으로 인증하기 때문이다. 모든 사용자가 자신만의 와이파이 사용자명과 암호를 가질 수 있다. 만일 노트북/모바일 기기가 분실, 도난 되거나 직원이 퇴사하면 해당 사용자의 로그인 정보를 변경하거나 취소하기만 하면 된다.

(반대로 개인 모드에서는 모든 사용자가 동일한 와이파이 암호를 공유한다. 따라서, 기기가 없어지거나 직원이 퇴사하면 기기마다 일일이 암호를 변경해야 하므로 엄청나게 번거롭다.)

엔터프라이즈 모드의 또 다른 큰 장점은 모든 사용자에게 각자 고유의 암호 키가 배정된다는 점이다. 그러면 사용자들은 자신의 연결에 대해서만 데이터 트래픽의 암호를 해독할 수 있고, 따라서 다른 사람의 무선 트래픽을 엿볼 수 없다.

AP를 엔터프라이즈 모드로 전환하려면 먼저 RADIUS 서버를 설정해야 한다. 그러면 사용자 인증이 가능하고 모든 사람의 사용자명과 암호가 들어 있는 데이터베이스 또는 디렉터리(예: 액티브 디렉터리(Active Directory(AD))로 연결되거나 이를 포함한다.

독립형 RADIUS 서버를 배치할 수도 있지만, 다른 서비스(예: 윈도우 서버(Windows Server))가 이미 이 기능을 제공하는지 먼저 확인해야 한다. 그렇지 않다면 클라우드 기반 또는 호스트 RADIUS 서비스를 고려한다. 또 고려할 점이 있다. 일부 무선 접근점이나 컨트롤러는 기본 내장 RADIUS 서버를 제공하지만, 성능의 한계와 제한 때문에 대개 소형 네트워크에서만 유용하다는 점이다.

클라이언트 설정을 안전하게 보호하라
다른 보안 기술과 마찬가지로 와이파이 보안의 엔터프라이즈 모드에도 취약점이 있다. 그 중 한 가지는 공항이나 카페, 심지어 기업 사무실의 주차장 밖에 앉아 있는 해커가 감행하는 중간자(MITT) 공격이다. 누군가가 자신이 모방하려는 네트워크와 동일하거나 유사한 SSID로 가짜 와이파이 네트워크를 설정할 수 있다. 사용자의 노트북이나 기기가 연결을 시도하면 가짜 RADIUS 서버가 사용자의 로그인 정보를 탈취할 수 있다. 도둑은 탈취한 로그인 정보를 활용하여 진짜 와이파이 네트워크에 연결할 수 있다.

802.1X 인증으로 중간자 공격을 방지하는 한 가지 방법은 클라이언트 측의 서버 인증을 활용하는 것이다. 무선 클라이언트에 서버 인증이 설정되면, 클라이언트는 적법 서버와 통신 중임을 확인하기 전까지는 와이파이 로그인 인증정보를 RADIUS 서버로 전달하지 않는다. 클라이언트에 부과할 수 있는 정확한 서버 인증 기능과 요건은 클라이언트의 OS나 기기에 따라 달라진다.

예를 들어 윈도우에서는 적법 서버의 도메인 이름(들)을 입력하고 서버 인증서를 발급한 인증 기관을 선택한 다음, 어떠한 새로운 서버나 인증 기관도 허용하지 않도록 선택할 수 있다. 따라서 누군가가 가짜 와이파이 네트워크와 RADIUS 서버를 설정했다면 사용자가 거기에 로그인을 시도하는 경우 윈도우가 사용자의 연결을 중단할 것이다.

불량 AP 탐지 또는 무선 침투 방지 기능을 사용하라

취약한 접근점 시나리오 3가지를 이미 살펴봤다. 하나는 사용자가 가짜 와이파이 네트워크 및 RADIUS 서버를 설정하는 경우이고 다른 하나는 누군가가 AP를 공장 기본값으로 재설정하는 경우이며 세 번째 시나리오는 누군가가 자신의 AP에 연결하는 경우다.

만일 적절한 보호 장치가 없다면 이러한 무단 AP는 오랜 시간 동안 IT직원의 눈에 띄지 않고 방치될 수도 있다. 따라서, 해당 AP 또는 무선 컨트롤러 업체에서 제공하는 불량 AP 감지 기능이라면 무엇이든 설정하는 것이 좋다. 정확한 탐지 방법과 기능은 다르지만 대부분은 적어도 주기적으로 전파를 살피고 만일 인증 AP범위 내에 새로운 AP가 탐지되면 사용자에게 경보를 발송한다.

더 많은 탐지 기능을 위해서 일부 AP업체는 제대로 된 무선 침투 탐지 시스템(WIDS)이나 침투 방어 시스템(WIPS)를 제공한다. 이들 시스템은 잘못된 인증 해제 요청과 잘못된 연결 요청, MAC 주소 염탐 등 다양한 공격과 수상한 활동을 불량 AP와 함께 감지할 수 있다.

또한, 단순히 ‘탐지’만 하는 WIDS가 아닌 ‘보호’ 기능을 제공하는 진정한 WIPS라면 자동 보호조치를 취할 수 있어야 한다. 예를 들면, 수상쩍은 무선 클라이언트를 차단하거나 연결을 해제하여 공격을 받고 있는 네트워크를 보호하는 것이다.

만일 해당 AP업체가 내장 불량 탐지 또는 WIPS기능을 제공하지 않는다면 서드파티 솔루션을 고려하라. 세븐시그널(7SIGNAL), 케이프 네트웍스(Cape Networks), 네트비즈(NetBeez)와 같은 업체가 제공하는 와이파이 성능과 보안 문제를 모두 감시할 수 있는 센서 기반 솔루션을 검토해 볼 수 있다. editor@itworld.co.kr

원문보기: 
http://www.itworld.co.kr/news/106493#csidxebe58970ff5ca599678a3c60bc1f444 

DDoS 공격 규모가 커지고 그 기세도 갈수록 맹렬해지고 있다. 누구나 언제든 공격 목표가 될 수 있다. DDoS 공격에 맞서 자산을 보호하기 위한 몇 가지 필수적인 조언을 모았다.

1. DDoS 완화 계획 마련
조직은 공격자의 목표물이 될 수 있는 애플리케이션과 네트워크 서비스를 예상하고 이러한 공격을 완화하기 위한 비상 대응 계획을 마련해야 한다.

산테스는 “기업들은 이러한 공격과 그 공격에 대처하는 방법을 계획하는 데 주력한다. 내부적으로 수집한 공격 정보와 벤더가 제공하는 정보를 조합해 방어에 활용하는 역량을 향상시키는 중”이라고 말했다.

IBM의 프라이스도 “조직의 대처 능력이 향상되고 있다. 내부 애플리케이션과 네트워킹 팀을 통합하고 있으며 무방비 상태로 당하지 않도록 언제 공격 대응 단계를 높여야 하는지를 알고 있다. 공격자가 갈수록 교묘해지고 있지만 그에 대처하는 금융 기관들 역시 마찬가지”라고 말했다.

데이는 “비즈니스에 영향을 미치는 DDoS 공격이 발생하면 적절한 대외 메시지를 포함한 재해 복구 계획과 테스트된 절차가 마련되어 있어야 한다. 유형과 지리적 위치 측면에서 인프라의 다양성, 그리고 퍼블릭 및 프라이빗 클라우드를 활용한 적절한 하이브리드화도 DDoS 공격을 완화하는 데 도움이 될 수 있다”고 말했다.

비욘드트러스트(BeyondTrust)의 기술 고문 스콧 칼슨은 “규모가 큰 기업은 모두 여러 WAN 진입점, 대규모 트래픽 스크러빙(scrubbing) 제공업체와의 계획을 통해 네트워크 수준 보호부터 시작해서 공격을 완화하고 경계에 접근하기 전에 공격 경로를 돌려야 한다. WAN 속도 공격을 따라갈 수 있는 물리적 DDoS 장비는 없으므로 이를 클라우드에서 가장 먼저 스크러빙해야 한다. 운영 담당자가 스크러빙을 위해 트래픽 경로를 손쉽게 재설정하고 포화된 네트워크 장비를 장애 조치(fail over)할 수 있는 절차가 필요하다”고 말했다.

Getty Images Bank

2. 실시간 조정
기업은 DDoS 공격에 맞서 실시간 조정이 가능해야 한다는 것은 예전부터 익히 알려진 사실이지만 2012년과 2013년, 연거푸 이어진 공격이 뱅크 오브 아메리카(Bank of America), 캐피탈 원(Capital One), 체이스(Chase), 시티뱅크(Citibank), PNC 뱅크(PND Bank) 및 웰스 파고(Wells Fargo)를 포함한 금융 서비스 및 은행 업계를 강타한 후 그 중요성이 더욱 부각됐다. 이러한 공격은 정교하고도 끈질겼다. 아버 네트웍스(Arbor Networks)의 솔루션 설계자인 개리 소크라이더는 “당시 공격은 다중 벡터 공격이었을 뿐만 아니라 수법이 실시간으로 바뀌었다”고 말했다. 공격자들은 사이트가 어떻게 반응하는지 살피다가 사이트가 다시 온라인 상태로 복귀하면 새로운 방법으로 공격했다.

소크라이더는 "이들은 끈질기게 물고 늘어지며 다른 포트, 다른 프로토콜을 공격하거나 새로운 소스에서 공격하는 등 끊임없이 전술을 바꾼다. 따라서 기업도 공격자와 대등한 수준으로 빠르고 유연하게 움직일 수 있는 태세를 갖추어야 한다”고 말했다.

3. DDoS 보호 및 완화 서비스 확보
사이너지스텍(CynergisTek)의 사이버 보안 전략 담당 부사장인 존 니예는 공격에 따라 조정이 가능하도록 기업 스스로 할 수 있는 일도 많지만 가장 경제적인 방법은 서드파티 DDoS 보호 서비스를 받는 것이라면서 “기업 내에서, 일반적으로 SOC 또는 NOC에서 모니터링을 통해 과도한 트래픽을 감시할 수 있으며, 이 트래픽이 정상 트래픽과 충분한 정도로 구분된다면 웹 애플리케이션 방화벽(WAF)이나 다른 기술 솔루션으로 차단할 수 있다. 큰 트래픽 부하를 감당할 수 있는 더 견고한 인프라를 구축하는 것도 가능하지만 이 솔루션은 서드파티 서비스를 사용하는 방법에 비해 훨씬 더 많은 비용이 든다”고 말했다.

데이터 센터 서비스 제공업체 사익스테라(Cyxtera)의 최고 사이버 보안 책임자인 크리스 데이 역시 니예와 같은 의견으로, 기업은 전문 서비스의 도움을 받는 방안을 고려해야 한다면서 “기업은 DDoS 완화 기업 또는 네트워크 서비스 제공업체와 협력해서 완화 역량을 확보하거나 최소한 공격이 발생할 때 신속하게 그러한 역량을 전개할 수 있는 태세를 갖추어야 한다”고 말했다.

니예는 “웹 자산이 비즈니스의 핵심인 기업이 할 수 있는 가장 효과적인 조치 중 하나는 서드파티 DDoS 보호 서비스를 받는 것”이라면서 “최선의 선택은 상황에 따라 다르고, 기업이 그러한 서비스를 사용하는 방안을 고려한다면 당연히 가용한 옵션을 철저히 조사할 것이므로 특정 벤더를 추천하기는 어렵다”고 덧붙였다.

4. 경계 방어에 의존하지 말 것
몇 년 전 금융 서비스 업체들을 강타한 DDoS 공격에 대해 취재하는 과정에서 인터뷰한 사람들은 하나같이 전통적인 구내 보안 장비(방화벽, 침입 차단 시스템, 로드 밸런서 등)로는 공격을 막을 수 없었다고 말했다.

몇 년 전 은행과 금융 서비스를 상대로 발생한 공격에 대해 이야기하면서 소크라이더는 “이러한 장비가 (방어에) 실패하는 것을 목격했다. 교훈은 단순하다. DDoS 공격이 그러한 장비에 도달하기 전에 완화할 역량을 갖추어야 한다는 것이다. 이러한 장비는 기업이 보호하고자 노력하는 서버와 똑같이 취약하다”고 말했다. 완화를 위해 할 수 있는 일 중 하나는 네트워크 경계에서 멀리 떨어진 지점부터 공격을 막을 수 있는 업스트림 네트워크 제공업체 또는 관리형 보안 서비스 제공업체에 의존하는 것이다.

대규모 공격에 직면할 경우 더 멀리 떨어진 업스트림에서 공격을 완화하는 것이 특히 중요하다.

소크라이더는 “10GB 용량의 인터넷 연결을 사용하는데 100GB 공격을 받는다면 10GB 선에서 맞서 싸우는 것은 헛수고다. 이미 업스트림부터 빈사 상태이기 때문”이라고 말했다.

5. 애플리케이션 계층 공격에 즉시 맞서기
특정 애플리케이션을 노리는 공격은 일반적으로 은밀하게 이루어지며 규모는 훨씬 더 작지만 집중적이다.

소크라이더는 “이러한 공격은 저공비행으로 레이더망을 피해가도록 설계되므로 애플리케이션 계층에서 딥 패킷 검사를 수행하고 모든 요소를 볼 수 있는 구내 또는 데이터 센터 보호가 필요하다. 이러한 종류의 공격을 완화하는 최선의 방법”이라고 말했다.

시그널 사이언스(Signal Sciences)의 전략, 마케팅 및 파트너십 담당 부사장 타일러 실즈는 “조직에는 애플리케이션 계층 DoS 공격에 대처할 수 있는 웹 보호 툴이 필요하다. 비즈니스 로직을 충족하도록 구성 가능한 툴이어야 한다. 네트워크 기반 완화책으로는 더 이상 충분하지 않다”고 말했다.

컨테이너 보안 업체 아쿠아 시큐리티(Aqua Security) 공동 창업자이자 CTO인 아미르 저비는 DDoS 공격에 대처하기 위해 취할 수 있는 단계 중 하나는 애플리케이션을 복수의 퍼블릭 클라우드 제공업체에 배포함으로써 중복성을 추가하는 것이라면서 “이렇게 하면 애플리케이션 또는 인프라 제공업체가 공격을 당하더라도 다른 클라우드 환경으로 손쉽게 옮길 수 있다”고 말했다.

6. 협업
은행들은 이러한 공격과 관련하여 약간이나마 협력하고 있다. 이들이 공개하는 모든 정보는 엄격하게 은행들 사이에서만 공유되고 철저히 보호되지만 제한적인 방법이긴 해도 은행들은 대부분의 다른 업계에 비해 협업을 잘 하는 편이다.

IBM의 금융 부문 보안 전략가인 린 프라이스는 “은행들은 상호, 그리고 각자의 통신 제공업체와 협력하고 있으며 서비스 제공업체와도 직접 협력한다. 그래야만 한다. 따로 떨어져 혼자서는 보안에 성공할 수 없기 때문”이라고 말했다.

예를 들어, 금융 서비스 업계가 공격 목표가 되었을 당시 이들은 금융 서비스 정보 공유 및
분석 센터(Financial Services Information Sharing and Analysis Center)에 지원을 요청하고 위협에 대한 정보를 공유했다. 아카마이 테크놀로지(Akamai Technologies)의 금융 서비스
부문 수석 전략가인 리치 볼스트리지는 “이러한 정보 공유 회의에서 대형 은행들은 현재 일어나는 공격의 유형, 사용해본 결과 효과적인 것으로 입증된 솔루션 등에 대해 매우 개방적으로 대화했다. 이런 방법으로 대형 은행들은 최소한 서로 대화는 해오고 있다”고 말했다.

업종을 불문하고 다른 분야에서도 이러한 금융 분야의 전략을 받아들일 수 있으며 받아들여야만 한다.

7. 2차 공격 경계
DDoS 공격은 그 자체로도 큰 피해를 입힐 수 있지만 가끔 더욱 극악한 공격을 위해 단순히 주의를 분산시키는 용도로 사용되는 경우도 있다.

프라이스는 “DDoS는 다른 방향에서 감행되는 더 강력한 공격을 위한 분산 전술일 수 있다. 은행들은 DDoS 공격을 모니터링하고 방어해야 할 뿐만 아니라 DDoS가 예를 들어 계정이나 기타 민감한 정보를 훔치기 위한 다면적 공격의 한 가지 요소에 불과할 수 있다는 점도 인지해야 한다”고 말했다.

8. 경계태세 유지
DDoS 공격은 규모가 큰 업계와 기업만 목표로 하는 것처럼 보이는 경우가 많지만 연구 결과 이는 사실이 아닌 것으로 드러났다. 상호 연결된 현대의 디지털 공급망(모든 대기업은 수십, 많게는 수백 개의 온라인 공급업체에 의존함), 공격으로 의사를 표현하는 온라인 행동주의와 다른 국가의 산업을 대상으로 한 정부 후원 공격의 확산, 그리고 DDoS 공격의 간단함까지 감안하면 모든 조직은 스스로를 공격 목표라고 생각해야 한다.

따라서 항상 대비하고, 이 기사의 조언을 조직의 대 DDoS 전략 구축을 위한 시작 지점으로 활용하기 바란다. editor@itworld.co.kr

원문보기: 
http://www.itworld.co.kr/news/106463#csidxd441051fb372ad288cbd69c07338c16