안전한 무선 랜을 운영 및 관리를 위해 무선 랜의 보안 정책 수립이 필요하다.
보안 정책은 무선 랜의 운영 방안과 보안 기준을 설정함으로써 세부적인 시스템의 구성과 운영방향이 명확해진다. 또한, 보안 수준의 유지와 보안을 향상시킬 수 있다.
이런 보안 정책은 무선 랜을 최초 도입하는 시점에 수립하여 적절한 무선 장비의 도입이 가능해지고, 보안 유지가 가능하다.
무선 랜 운영정책
무선 랜 운영정책은 최초 무선 랜을 도입하는 시점에 이용 목적과 운영 방향을 결정해야 한다. 다음 사항에 설명하는 것중 수행할 수 있는 부분을 포함한다.
1. 무선 랜의 서비스 범위 및 용도 정의
첫째, 무선 랜이 사용되고 있는 업무의 종류와 범위를 정의한다. 회사에서 진행하는 여러 가지 업무 중 무선 랜이 이용되는 업무의 종류와 다른 업무의 연관성을 포함한다. 이는 무선 랜의 장애가 발생했을 경우 영향을 받는 업무와 관련 업무의 범위를 신속히 파악하기 위한 것이다.
둘째, 실질적으로 무선 랜이 서비스되는 시간, 범위를 정의한다. 무선 랜이 설치되어 제공되야 하는 범위를 사전에 정의하여 불법적인 무선 랜의 운영 상황을 신속히 파악할 수 있다.
2. 무선 랜 네트워크 구성도 (유선랜 포함)
첫째, 무선 랜 네트워크만 포함하는 네트워크 구성도가 필요하다.
둘째, 유선 랜과 무선 랜의 구성을 함께 포함하는 네트워크 구성도가 필요하다.
3. 무선 랜을 통한 접근가능한 네트워크 범위 정의
무선 랜 네트워크를 이용하여 내부, 외부 네트워크에 접근이 가능하도록 정책을 세울 것인지 정의한다. 반드시 무선 랜은 기존의 유선 랜과 분리하여 운영하는 것을 원칙으로 한다. 또한, 분리가 어려울 경우 별도의 보안 장비를 이용해 내부 유선 랜에서 접근을 제한한다.
4. 무선 랜을 통한 인터넷 접속여부 및 기준 정의
무선 랜에 연결된 무선 단말기가 인터넷에 접속이 가능한지 결정한다.
5. 주기적인 무선장비 관련 암호의 변경
무선 랜의 관리자 페이지, 무선 AP 등 모든 패스워드는 주기적으로 변경해야 한다.
6. 무선 랜 관리팀 및 담당자 지정
무선 랜 시스템의 유지와 보안 수준의 지속적인 관리를 위해 관리 업무를 전담하는 인력을 마련해야 한다.
7. 무선 랜 보안점검 주기 정의
무선 랜에 대한 정기적인 보안 점검의 실시에 대한 항목으로, 무선 랜의 운영상태 및 보안수준에 대해 주기적으로 점검하는 정책을 수립하는 것을 말한다.
8. 무선 랜 보안 점검리스트
무선 랜의 점검을 실시하기 위해 보안 점검 리스트의 준비가 필수적이다. 보안 점검리스트에 포함되어야 하는 항목들은 여러 내용이 포함될 수 있있다.
기본적으로 무선 장비 및 무선 단말기에 대한 점검항목과 사용자 점검항목은 철저히 준비해야 하며, 지속적으로 점검 리스트를 추가해야 한다.
무선장비 운영정책
무선장비 운영정책은 무선 랜을 구성하고 있는 주요 장비의 관리 및 보안설정 내용을 포함한다.
1. 무선 장비(무선AP/무선 단말기)의 설정 정의
무선 랜을 운영하는데 필요한 무선 장비의 설정 값을 정의한다. 다음과 같은 사항을 전체적으로 정의하여 무선 랜 보안점검리스트에 포함시켜 정기적으로 점검해야 한다.
○ 무선AP : SSID, 무선 인증 방식(WEP, WPA), 암호화 방식(TKIP, AES), MAC 인증 사용설정, MAC 등록 등
○ 무선 단말기 : 무선 인증방식 설정, 인증 암호값, 암호화 방식
2. 접속 허용 무선 단말기 리스트
접속을 허용할 무선 단말기의 리스트를 작성한다.
3. 무선 단말기에 설치되는 소프트웨어 리스트
무선 단말기에 설치되는 소프트웨어 리스트를 작성하여 사용자에게 전달하고, 주기적인 점검을 수행하여 불필요한 소프트웨어나 악의적인 소프트웨어의 설치 여부를 점검하도록 한다.
4. 무선AP 물리적 보안 정의
무선 AP는 특성 상 외부에 노출된 형태로 설치되는 것이 일반적이다. 이 경우 비인가자의 접근이 가능하게 되므로 무선장비 운영 정책에 반드시 명기하여 기본적인 무선 장비의 물리적인 보안 수준을 유지하도록 한다.
5. 무선장비의 로그 점검
무선장비에서 생성되는 로그를 주기적으로 분석하고, 로그를 일정기간 보관하도록 해야 한다.
6. 불법AP 주기적인 검색
내부 및 외부 비인가 불법AP가 존재하는지 주기적으로 검색해야 한다.
사용자 관리정책
사용자 관리정책은 시스템과 보안에 대한 인식이 부족한 사용자에 대한 관리방안을 명시하는 정책이다.
1. 무선 랜 사용자 리스트 작성
무선 랜을 사용하는 사용자의 리스트 작성을 통해 임의의 사용자가 무선 랜에 접속하는 것을 차단하는 목적에 활용한다. 단순한 사용자 리스트만으로 실제 접속 제한을 구현할 수 없다.
사용자별 접속 아이디와 패스워드 리스트, 앞서 언급된 무선장비 운영정책의 접속 허용 무선 단말기 리스트를 하나의 리스트로서 관리하여 접근제한을 구현하는 것이 효과적이다.
Index | 이름 | 아이디 | 비밀번호 | 무선 단말기 | MAC 주소 |
1 | AAA | ID_01 | PW_01 | 결재 단말기 | AA-BB-CC |
2 | BBB | ID_02 | PW_02 | POW | AA-BB-DD |
2. 무선 랜 사용자의 주기적인 보안교육 실시
무선 랜의 보안은 관리자의 노력으로 유지 될 수 없다. 사용자의 작은 실수하나가 전체 무선 랜의 보안에 치명적인 영향을 줄 수 있으므로 사용자를 대상으로 주기적인 보안교육을 실시해야 한다.
내/외부 비인가 불법 AP 점검
관리자가 내부 직원, 상주 근무자에게 주기적으로 무선 보안 교육을 시키더라도 무선 보안의 홀은 사람이다. 개인은 보안보다는 자신의 편리성을 요구하므로 허가 되지 않는 무선 AP를 설치하거나 외부에 위치한 무선 AP에 접속하는 경우가 있다.
1. 허가 받은 무선 AP가 보안 설정이 잘 적용되어 있는가
회사 자산으로 식별된 무선 AP, 개발 테스트 용도로 사용할 무선 AP 등 허가 받은 무선 AP에 내부 직원들이 연결하므로 보안 설정을 해야 한다. 무선 점검 항목 기반으로 취약점 진단을 수행한 후 도출된 취약점에 대해 보안 조치를 수행해야 한다.
만약, 자신의 편의성을 위해 보안 설정을 하지 않으면 공격자가 무선 AP에 접속이 되므로 이것은 내부 시스템에 침투한 것과 동일한 효과를 가지므로 유선망을 이용하는 것보다 더 쉬운 공격 루트이다.
2. 허가 받지 않은 무선AP(Rouge AP)가 내부 시스템과 연결되어 있는가
내부 네트워크 대역의 모든 호스트 (서버, 단말PC, 무선 단말기 등)가 허가 받지 않은 무선 AP에 연결되었는지 확인하는 해야한다. 대부분 사용자는 보안보다 편리성을 먼저 생각하므로 사무실에 무선AP를 가져와서 무작정 연결한다.
특히, 상주하고 있는 외부 업체는 자신의 무선AP에 연결한다. 고객 관리자에게 허가를 받고 연결을 해야 하는데, 우선 연결이 가능하다고 판단하면 사용하게 된다.
3. 내부 시스템에서 외부에 위치하고 있는 무선AP에 접속하는가
회사 직원들의 노트북에는 기본적으로 무선 랜카드가 장착되어 있고, 스마트폰, PC에 USB 무선 랜카드 등의 장비는 무선AP에 접속이 가능한 장비이다. 이런 것들을 제어하지 않으면 무선AP에 연결될 가능성이 존재한다.
내부 직원들은 무선 신호가 잡히고, 무선 AP의 네트워크키가 없으니 자동으로 연결하여 당연히 사용해도 된다고 생각한다. 하지만, 직원들이 연결한 무선AP가 공격자가 만든 가짜 AP라면 접속하는 순간 내부 시스템에 연결이 가능하다.
WIPS (무선침입탐지시스템) – 자동 점검 및 탐지
WIPS는 외부에 허가 받지 않는 장비가 내부 네트워크에 접속하려고 할 때 접근을 차단해주는 솔루션이다. 솔루션은 무선 랜의 보안 취약점 및 불법 무선 공유기를 탐지하고, 외부 침입을 차단하는 역할을 한다.