[지디넷코리아]어떻게 안전한 무선 네트워크를 구축할 수 있는지 설명하는 기사는 많다. 그러나 무선 기기로부터 어떻게 네트워크를 보호할 수 있을까? 토마스 쉰더 박사의 참조목록을 보면 이런 위험을 줄이는데 도움을 받을 수 있다.

어떻게 안전한 무선 네트워크를 구축할 수 있는지 설명하는 기사는 많다. 그러나 무선 기기로부터 어떻게 네트워크를 보호할 수 있을까에 대한 정보는 별로 없다. 등록 및 미등록 무선 기기로부터 핵심적인 기업 네트워크 자산을 보호하기 위한 10가지 항목에 대해 알아보자.

1. 주변부 네트워크에는 익명의 접속 WAP을 설치하라
익명의 접속 WAP(무선 액세스 포인트)는 사용자나 컴퓨터의 인증없이 사용자 접속이 가능하다. 많은 업체들은 고객과 컨설턴트의 편의를 위해 익명의 접속 WAP 을 제공한다. 익명의 접속 WAP 은 고객에게 엄청난 편의성을 제공하지만 기업 네트워크엔 큰 위협이 될 수 있다. 이들 WAP 에 접속하는 컴퓨터가 등록된 클라이언트가 아니기 때문이며 또한 이들이 웜, 바이러스, 트로이 목마에 감염되었을 수도 있다.

솔루션은 익명의 접근 WAP을 주변부 네트워크에 설치해 기업 네트워크와 분리하는 것이다. 즉 사용자에게 WAP과 WPA 키를 부여하지 않고서도 인터넷 접근 기능을 제공하며 이들 미등록 컴퓨터로부터 기업 네트워크를 보호할 수 있다. 예를 들어, "무선 DMZ를 이용해 네트워크를 보호하면서도 인터넷 접속 기능을 제공하는 방법("Grant Internet access while securing your network using a wireless DMZ)"란 기사에 나온 대로 멀티홈 ISA 파이어월에 무선 DMZ를 만들 수 있다. (유의. 테크프로길드에 가입해야 기사에 접근할 수 있다.)

2. 익명의 접속 WAP 와 기업 네트워크 사이에는 VPN 접속을 요구한다
기업 네트워크의 WAP 는 익명의 접속을 허용하지 않는다. 보안이 잘된 기업 무선 환경이라면 사용자 혹은 컴퓨터 인증이 필요하다. 예를 들어 기업의 무선 환경에서는 EAP 사용자와 컴퓨터 인증서 인증을 사용한다. 인증서 인증은 등록된 컴퓨터와 사용자만 기업 WAP 를 통해 기업 네트워크에 접근할 수 있음을 의미한다.

그러나 익명의 접속 WAP이 고객들에게 제공하는 편리성은 직원에게도 그대로 적용된다. 즉 경영자는 개인 랩톱을 가정에서 사용할 수 있다. 이들 컴퓨터는 기업 WAP을 사용할 수 없기 때문에 익명의 접속 WAP 을 사용할 수밖에 없다.

이런 사용자들에게는 익명의 접속 WAP을 통하지만 VPN 접속을 사용하게 해 기업 네트워크에 접속하도록 한다. VPN 링크는 접속을 안전하게 하며 기업 네트워크 내부의 자원을 사용하는 통신을 가로채지 못하도록 한다. 이런 방식에 대한 자세한 내용은 테크프로길드의 기사인 "무선 DMZ에서 VPN 접속을 허용하는 방법(Allowing VPN access to your network from a wireless DMZ)"를 보면 된다.

3. 익명의 접속 WAP 에서 접근하는 모든 호스트에 대해 검사를 실시하라
익명의 접속 무선 DMZ로 연결되는 VPN 클라이언트 접속을 사용하는 것은 등록된 사용자도 신뢰성없는 네트워크에서 기업 자원을 접근하는데 있어서 퀵-앤-더티(quick and dirty) 한 방식을 제공하는 것이다. 등록된 사용자가 미등록 클라이언트로부터 기업의 자원을 "적시"에 접근한다는 당면 문제를 해결하지만 미등록 컴퓨터 자체와 관련된 문제들을 노출시킨다. 미등록 컴퓨터는 바이러스, 웜, 트로이목마에 감염됐을 확률이 크므로 기업 네트워크에 위협이 된다.

한 가지 해결책은 VPN 클라이언트 위생 솔루션을 사용하는 것으로 VPN 클라이언트의 소프트웨어 환경을 분석하고 기업 보안 요구사항과 비교하는 것이다. 다수의 VPN 서버 솔루션들이 이 기능을 제공하며 여기에는 ISA 서버 2004의 VPN 쿼런틴(Quarantine) 콘트롤 기능이 포함된다. 대부분의 VPN 클라이언트 위생 솔루션을 사용하면 기업의 보안 요구를 만족하지 못하는 VPN 클라이언트들의 보안 수준을 끌어 올리는 치료 서비스를 제공 받을 수 있다.

4. 익명의 접속 네트워크에서는 비암호화 프로토콜만 허용한다
손님에게 익명의 접속 무선 네트워크를 제공하고 싶지만 위험한 소프트웨어를 다운로드하거나 인터넷과 연결된 다른 네트워크를 공격하는데 사용되는 것은 분명히 원치 않을 것이다. 미등록 컴퓨터와 무제한의 인터넷 접속이 결합하면 재앙이 닥칠 수도 있다.

따라서 익명의 접속 무선 네트워크에는 비암호화 프로토콜만 허용해 상태 패킷과 애플리케이션 계층 검사 기능을 가진 방화벽이 의심스럽고 위험한 통신을 막을 수 있도록 해야 한다. 네트워크 계층 VPN 접속(L2TP/IPSec, PPTP, IPSec 터널 모드)과 SSL 세션을 이용하는 통신은 애플리케이션 계층에서 분석될 수 없다. 만약 애플리케이션 계층 방화벽이 통신을 검사할 수 없다면 바이러스, 웜, 트로이목마 공격도 막을 수 없으며 보고서 작성을 위한 사용자 활동내역도 기록할 수 없다.

5. 익명의 접속 WAP 네트워크에서는 강력한 대역폭 제한을 한다
유선이건 무선이건 미등록 컴퓨터를 이용한 익명의 접속은 대역폭의 낭비를 가져온다. 기업 네트워크 사용자의 대역폭 낭비를 막는 강력한 네트워크 이용 정책이 있지만 익명 접속을 위한 무선 네트워크에는 적용이 되지 않는다.

익명의 무선 사용자를 대상으로 인터넷 대역폭의 비율과 대역폭 할당량을 강력하게 제한하는 하드웨어 혹은 소프트웨어 솔루션을 사용해야 한다. 이렇게 하지 않으면 직원들이 업무 처리에 필요한 자원 접근을 할 수 없으며 매월 지불하는 대역폭 요금이 올라갈 수도 있다.

6. 기업 네트워크에 연결된 WAP은 인증서 인증을 하도록 한다
익명의 사용자가 기업 WAP을 사용하지 못하도록 해야 한다. 즉 기업 네트워크 접속을 하기 전에 컴퓨터 인증 혹은 사용자 인증을 실시해야만 한다. 모든 기업 네트워크 WAP 제품은 기업 네트워크 접속을 하기 전에 인증을 받는 기능을 제공한다.

많은 네트워크 환경에서 컴퓨터 인증서 인증은 충분히 안전한 것으로 간주된다. 보안수준이 높은 네트워크에서는 기업 네트워크에 접속하기 전에 컴퓨터 인증서와 사용자 인증서 ("소프트" 인증서나 스마트카드 포함)를 동시에 요구하는 솔루션의 채택을 검토한다. 이렇게 되면 기업 무선랜을 통해서는 등록된 컴퓨터만 기업 자원에 접속할 수 있다.

7. ‘비밀 요원’을 뽑아 미등록 WAP들을 찾는다
기업 네트워크에 미등록 WAP는 지속적인 위협이다. 기업들이 강력한 네트워크 사용 정책을 펴지 않는다면 위협의 범위가 넓지 않을 수도 있지만 미등록 WAP는 익명의 무선 컴퓨터가 기업 네트워크의 자원에 접속할 수 있도록 하기 때문에 중요한 보안 문제라고 볼 수 있다.

다수의 기업용 WAP 제품은 미등록 WAP를 탐지해 이를 폐쇄할 수 있는 기능을 갖췄다. 그러나 이 기술은 증명된 것이 아니며 유선 접속만 가능하고 무선 접속은 가능하지 않은 부분이 존재하는 기업에는 도움이 되지 않는다. 이 문제를 해결하는 한 가지 방법은 비밀 요원의 도움을 받는 것이다. 우편물 취급 직원 혹은 각 부서의 직원에게 소형의 WAP 탐지기를 나눠주고 미등록 WAP를 찾을 때마다 포상한다. "인센티브를 제공"한 후 얼마나 많은 미등록 WAP가 존재하는지 알게 되면 그 숫자에 놀라게 될 것이다.

8. IPSec 기반의 도메인 격리를 통해 도메인 멤버를 보호하라
어떤 조치를 취하건 간에 직원이 WAP을 이용해 기업 네트워크에 접속할 가능성은 존재한다. 이렇게 되면 네트워크 서버가 감염될 수 있다. 이는 수비 강화 전략을 사용해 막을 수 있다. 서버 보안을 강화하고, 모든 네트워크 서버와 서비스의 특권을 조절하며, 주변부 방화벽을 이용해 보안 영역을 분리한다.

미등록 무선 사용자로부터 네트워크를 보호할 수 있는 매우 효과적 방법의 하나는 IPSec 기반의 도메인 격리이다. IPSec 도메인 격리는 도메인 서버나 모든 도메인 멤버 컴퓨터를 미등록 컴퓨터로부터 분리하는 기법이다. IPSec 도메인 격리는 오늘날 윈도우 네트워크의 경우 중요한 서버를 무선 클라이언트와 기업 네트워크에서 신뢰할 수 없는 모든 컴퓨터로부터 보호하는 가장 효과적 방식이다.

IPSec 기반 도메인 격리에 대한 추가 정보는 테크넷 기사 "IPSec과 그룹 정책을 통한 서버와 도메인 격리(Server and Domain Isolation Using IPSec and Group Policy)"를 보면 된다.

9. 기업 네트워크에서 무선 기기가 인터넷에 접속하는 것을 막는다
불행하게도 사용자들이 기업 네트워크에서 사용하려는 무선기기를 전부 관리하기는 어렵다. 포켓 PC, 스마트 폰, 다른 무선 핸드헨드 기기는 인터넷 접속에 사용되는 경우가 많다. 사실 이런 이유 때문에 많은 사용자들이 미등록 WAP를 설치한다. 핸드헬드 기기들은 인터넷에 접속해 위험한 소프트웨어, 웜, 바이러스, 트로이목마를 기업 네트워크에 다운로드 할 수 있다. 심지어 인터넷 건너에 있는 다른 네트워크를 공격하는데 사용될 수도 있다.

방화벽의 애플리케이션 계층 액세스 콘트롤을 이용해 인터넷에 이런 기기가 접속하지 못하게 할 수 있다. 예를 들어 ISA 방화벽을 설정해 기업 네트워크에서 인터넷 접속을 하는 경우 사용자 인증을 요구할 수 있다. 웹 프로토콜의 경우 애플리케이션 계층 검사 방화벽을 이용해 핸드헬드 기기로부터 보내진 유저 에이전트 헤더가 포함된 메시지를 막아버리거나 밖으로 나가는 인터넷 접속을 허용하기 전에 통합 인증을 요구할 수도 있다. 핸드헬드 기기들은 도메인 멤버가 될 수 없기 때문에 인터넷 접속 시도는 모두 실패할 것이다.

10. 무선 핸드헬드 기기로부터 VPN 접속 금지
익명의 그리고 기업 사용자들이 암호화 프로토콜을 사용해 기업 방화벽을 통과하는 것은 금지하고 싶을 것이다. 암호화된 통신은 상태 패킷과 애플리케이션 계층 검사 방화벽을 통해 검사를 할 수 없기 때문에 VPN 링크를 사용해 인터넷 서버에서 온갖 네트워크 바이러스들이 유입될 수 있다. 많은 무선 핸드헬드 기기들은 신뢰성없는 서버에 VPN 접속을 열 수 있다. 이는 밖으로 나가는 VPN 접속은 신뢰성이 높은 사용자와 컴퓨터에서만 가능하도록 방화벽 설정을 해 방지할 수 있다.@