무선랜은 사용하기 편리하고 비용이 절감된다는 이점 이면에 위험 요소와 취약점을 갖고 있다. 기존의 유선 네트워크는 정보 전송을 위해 케이블을 이용하여 케이블은 외벽 역할을 하는 건물에 의해 보호된다. 따라서 해커가 유선 네트워크에 엑세스 하려면 건물의 물리적 보안층을 우회하거나 방화벽을 통과해야 한다. 반면 무선 네트워크는 통제할 수 없는 매체인 허공을 이용한다. 실제로 무선랜 신로는 건물의 벽, 천정, 창문을 통과해 건물벽 바같으로 이동할 수 있다.
또한 무선랜은 전파를 매체로 사용하기 때문에 누구나 트래픽을 '스니핑' 할 수 있는 공유된 매체일 수 밖에 없다. 보안이 설정되지 않은 무선랜 장치, 엑세스 포인트, 사용자 단말기 등에 다양한 전문화 도구와 툴킷을 사용한다면 해커들은 언제든지 데이터와 애플리케이션을 '스니핑'하고 무선 데이터의 암호화와 인증을 무력화할 수 있다.
해커의 도구
현재 인터넷에는 무료로 사용할 수 있는 무선랜 해킹 도구가 널리 퍼져 있을 뿐만 아니라 매주 새로운 도구가 등장하고 있다. 인터넷에 공개되어 있는 다양한 해킹도구와 지침 중 해커들이 활용하는 대표적인 도구들로는 크게 무선랜스캐너 및 스니퍼 두구, 안테나, WEP 암호 해독도구, 인증 해독 도구 등이 있다.
NetStumbler와 Kismet와 같은 스니퍼 도구의 경우 GPS 정보를 이용하여 보안이 설정되지 않은 무선랜은 물론, 보안이 설정된 무선랜의 실제 위치를 정확하게 찾아낸다. 먼 거리의 무선랜과 연결할 때에는 장거리 상용 안테나를 이용하거나 Pringle 캔 또는 유사 금속 실린더로 자체 안테나를 구축하여 802.11 신호를 수신해 네트워크에 접근할 수 있다.
또한 해커는 WEPwedgile, WEPCrack, WEPAttack, BSD-Airtools, AirSnort 등의 도구를 이용하해 WEP 암호화 표준을 해독할 수 있다. WEB 암호화 알고리즘의 취약점을 악용하는 이러한 도구들은 무선랜 트래픽을 수동으로 관찰하여 패턴을 인식하는데 필요한 데이터를 수집하고 이 정보를 이용해 암호화 키를 해독한다.
이 외에도 THC-LEAPCracker와 같은 도구를 이용해 LEAP(Lightweight Extensible Authentication Protocol), PEAP(Protected Extensible Authentication Protocol) 등 널리 사용되는 포트기반 802.1x 무선 인증 프로토콜을 해독하거나 손상시킬 수 있다.
이러한 프로토콜은 물리적으로 안전한 환경에 구축되는 유선 네트워크에서 사용하기 위해 고안된 것으로 이러한 프로토콜이 제어되지 않는 공유 무선 환경에 배포되면서 스푸핑, 가로채기 공격, 인증 자격 증명 스니핑에 노출된다.
일반적인 무선랜 공격 유형
- 악의적 또는 우발적 접속
해커는 공격을 의심하지 않는 사용자 단말기가 잘못된 또는 스푸핑된 802.11 네트워크에 접속하도록 하거나 사용자 단말기의 구성을 변경해 애드혹 네트워킹 모드로 운영되도록 할 수 있다. 먼저 해커는 HostAP, AirSnarf, Hotspotter와 같은 프리웨어 해킹 도구나 상용도구를 이용해 랩톱을 소프트 액세스 포인트로 설정한다.
공격에 노출된 사용자 단말기가 엑세스 포인트에 접속하기 위한 요청을 브로드캐스트하면 해커의 소프트 액세스 포인트는 이 요청에 응답해 두 장치를 연결하고 노출된 사용자 단말기에 IP를 제공한다. 이때 해커는 윈도우의 취약점을 파악하는 도구를 이용해 사용자 단말기를 스캔할 수 있으면 스파이웨어를 설치할 수 있다. 유선 네트워크에 연결된 경우에는 사용자 단말기를 이용해 다른 서버에도 액세스 가능하다. 사용자의 단말기들이 어떠한 액세스 포인트 또는 네트워크에 접속되었는지 알 수 없을 때가 많고 액세스 포인트의 인증이 이루어지지 않으므로 악의적인 액세스 포인트에 잘못 접속되기도 쉽다.
이것이 개방형 상호접속시스템(OSI : Open System Interconnection) Layer 2(데이터 링크)의 취약점이다. Layer 3(네트워크) 인증으로보 이를 방지할 수 없으며 VPN을 사용해도 마찬가지이다. Layer 2dptj 802.1x 기반 인증을 사용하는 무선랜은 악의적인 접속으로부터 보호할 수 있지만 여전이 취약하다.
- MAC 스푸핑(ID 도용)
허가된 사용자의 ID 도용은 무선 네트워크에 대한 심각한 위협 중 하나다. SSID와 MAC(미디어 액세스 제어) 주소가 PIN 역할을 하여 허가된 클라이언트의 ID를 확인해도 기존 암호화 표준으로는 안전하지 않다. 숙련된 해커는 허가된 SSID와 MAC 주소를 이용해 대역폭을 도용하고 파일을 손상시키거나 다운로드하고 전체 네트워크를 교란시킬 수 있다. 일부 기업에서는 인증에 허가된 단말기 MAC 주소 목록을 사용하여 무선랜을 보호한다. 이러한 방법으로 소규모 구축 환경을 어느 정도 보호할 수는 있지만 MAC 주소가 원래 이러한 용도로 만들어진 것은 아니다.
암호화나 VPN을 사용해도 MAC 주소는 항상 공중에 노출되어 있다. 해커는 Kismet 또는 Ethereal과 같은 소프트웨어 도구를 이용해 유효한 사용자의 MAC 주소를 쉽게 알아낼 수 있다. 해커는 SMAC(Spoof MAC)과 같은 스푸핑 유틸리티를 이용하거나 윈도우 레지스트리 항목을 직접 변경해 자신의 MAC 주소를 공격 대상자의 MAC 주소로 변경하는 방식으로 ID를 도용한다.
LEAP와 같은 802.1x 기반 인증 체계도 안전하지 않다. ASLEAP, THC-LeapCracker와 같은 도구를 사용하면 손쉽게 LEAP를 해독하여 ID를 도용할 수 있다. RF 모니터링을 사용할 경우, 인증 시도가 지나치게 많이 이루어진다면 해커의 악의적인 공격이 발생했다는 의미일 수 있다.
- 메세지 가로채기 공격
보다 정교한 공격 방법인 메시지 가로채기 공격은 공격 대상자의 단말기와 액세스 포인트 사이에 악의적인 단말기를 삽입하여 허가된 단말기와 액세스 포인트 간 VPN 연결에 침투하는 것이다. 이 공격은 유선 네트워크에서 일어나는 메시지 가로채기 공격과 매우 유사해 유선 네트워크 공격에 이용하는 도구를 그대로 이용할 수 있다. 해커는 SoftAP 소프트웨어를 사용해 무선 장치를 쉽게 소프트 액세스 포인트로 전환시키고 이 액세스 포인트를 통신 세션의 중간에 배치한다.
메시지 가로채기 공격은 챌린지와 핸드셰이크 프로토콜을 이용해 실행하는 인증 해제 공격으로 보다 정교하게 진화됐다. 인증 해제 공격은 사용자와 액세스 포인트의 연결을 해제하고 사용자로 하여금 다른 액세스 포인트를 찾도록 한다. 이때 해커의 SoftAP 액세스 포인트가 실행되고 있기 때문에 사용자는 해커의 랩톱, PDA 등의 장치에 다시 연결된다.
다음으로 해커는 다른 무선 인터페이스로 실제 무선랜에 연결해 모든 인증 트래픽을 실제 무선 네트워크에 전송하고 이를 알 수 없는 사용자는 해커를 통해 모든 데이터를 전송하게 된다. VPN은 OSI 모델에서 Layer 3에 연결을 설정하고 무선 네트워크는 VPN 아래의 Layer 1과 Layer 2에 위치하기 때문에 이러한 시나리오가 가능하다.
무선랜 연결에 성공한 해커는 DSNIFF, Ettercap, IKEcrack 또는 다른 메시지 가로채기 공격 도구를 이용해 VPN 보안을 다운그레이드하거나 롤백하여 트래픽이 일반 텍스트로 전송되게 하거나 쉽게 해독할 수 있는 취약한 암호화 방식을 사용하게 만든다. 이는 IPSEC, PPTP, SSH, SSL, L2TP를 비롯한 대부분의 VPN 프로토콜에서 흔히 발생하는 문제이다.
- 서비스 거부공격
DoS(서비스 거부) 공격으로 다운타임을 발생시키고 생산성을 저하시키기도 한다. Wireless LANJack이나 hunter_killer와 같은 DoS 공격에 사용되는 프리웨어 도구들은 쉽게 구할 수 있다. DoS 공격은 특정 사용자 단말기가 네트워크와 통신할 수 없게 하거나 특정 액세스 포인트가 단말기와 연결되지 못하게 한다. 또는 전체 네트워크 장치를 대상으로 감행되어 모든 무선랜 활동을 중단시키기도 한다.
해커는 확장 가능 인증 프로토콜(EAP:Extensible Authentication Protocol)을 악용해 인증 서버를 대상으로 DoS 공격을 실행, 서버에 처리 요청이 쇄도하게 할 수 있다. 이 경우 유효한 사용자가 무선랜 접속을 위한 인증을 받지 못하고 기업 전체에서 서비스가 거부되는 혼란이 발생한다. 게다가 이로 인해 유선 네트워크도 중단될 수 있다.
- 네트워크 주입공격
새롭게 등장한 DoS 형태인 네트워크 주입 공격은 부적절하게 구성된 무선랜이나 제어되지 않는 액세스 포인트를 이용해 전체 네트워크를 공격한다. 액세스 포인트가 기업 네트워크에서 필터링되지 않는 부분에 연결되면 ‘Spanning Tree’(802.1D), OSPF, RIP, HSRP 및 기타 브로드캐스트, 또는 멀티캐스트 트래픽을 비롯한 네트워크 트래픽을 브로드캐스트한다. 이러한 패킷은 유무선 네트워크 장비를 다운시키는 공격을 유도하여 허브, 라우터, 스위치를 포함한 전체 내부 네트워크 인프라에 장애가 발생한다.
이외에도 해커는 다양한 방식으로 무선랜 네트워크를 공격한다. Spanning Tree는 병렬 브리지와 다수의 이더넷 세그먼트로 이루어진 네트워크에서 루프 없는 이더넷 토폴로지를 제공하는 알고리즘이다. 해커는 무선랜 세그먼트에 트래픽을 주입함으로써 의도적으로 네트워크에 루프를 삽입해 트래픽을 증가시키고 네트워크 성능을 떨어뜨려 네트워크 응답을 중단시키는 방식으로 DoS 공격을 실행한다. 악의적인 스니퍼는 무선랜 액세스 포인트에 조작된 Spanning Tree 세션을 반향시켜 DoS 공격을 실행하고 액세스 포인트는 다른 내부 호스트에 패킷을 반향시켜 도미노 효과를 일으키기도 한다.
라우팅 공격도 기업 DoS 공격의 좋은 수단이 되고 있다. 해커는 IRPAS나 라우팅 공격 도구를 이용해 네트워크에 가짜 라우팅 업데이트를 주입해 기본 게이트웨이를 변경하거나 라우팅 테이블을 손상시킨다. 게이트웨이로 필터링되지 않는 네트워크에 제어되지 않는 액세스 포인트가 있으면 네트워크가 이러한 공격에 노출되기 쉽다. 모토로라의 조사에 따르면 조사 대상 기업 중 20%가 이러한 공격에 취약한 것으로 드러났다.
- AP 및 무선공유기 환경설정 에러
무선랜 AP의 컨피그에 종종 에러가 발생하기도 한다. 시장 조사 기관인 가트너(Gartner)에 따르면 대부분의 무선 보안 사고는 컨피그 에러가 발생한 장치때문이며 컨피그 에러의 원인으로 담당자의 실수, AP 관리 소프트웨어의 버그 등이 흔히 지적된다. 컨피그 에러가 발생한 AP가 매장이나 유통 센터에서 사용되면 해커가 이를 통해 네트워크에 액세스하여 내부 서버 및 애플리케이션을 공격할 수 있다. 이때는 확립된 정책을 토대로 무선 네트워크를 지속적으로 감시하는 것이 중요하다. 방화벽은 무선 장치의 구성을 파악하기 어렵기 때문에 허가된 AP가 해킹이나 우연에 의해 기본 설정 상태로 재설정되어도 문제를 감지하지 못한다. WLAN AP 및 인프라에는 정보 공개, 권한 확대, 고정된 인증 자격 증명을 통한 무단 액세스 등을 초래할 수 있다는 단점이 있다.
무선랜 보안 위협으로부터 대응방법
- 외부 무선단말기(AP 및 무선랜 탑재 단말기)의 차단
- 무선랜을 이용한 통신의 보안(인증, 암호화 및 VPN)
- 네트워크 트래픽에 대한 24x7 실시간 모니터링
- 무선침투방지시스템 고려
자료출처 : 정보보호21c 2010. January, March
