오해 1. SSID를 브로드캐스트 하지 마라
모든 무선 라우터(또는 무선 AP(Access Point))는 할당된 네트워크 이름을 갖고 있다. 이를 기술 용어로 SSID(Service Set Identifier) 라 부른다. 기본적으로 라우터는 무선 표지로 SSID를 브로드캐스트하여 범위 내의 모든 사용자들이 PC 또는 기타 기기로 해당 네트워크를 발견할 수 있도록 한다.

라우터가 이런 정보를 브로드캐스트하지 못하도록 하여 자신의 네트워크를 사용하지 않았으면 하는 사람들에게 이름이 표시되지 않도록 하는 방법은 꽤나 괜찮은 생각처럼 들린다. 하지만 윈도우 7 이상으로 구동하는 PC를 포함하여 일부 기기는 이름은 파악할 수 없더라도 존재하는 모든 네트워크를 확인할 수 있기 때문에 SSID를 숨기는 작업은 불필요하다 할 수 있다. 사실, 이런 식으로 SSID를 숨기면 근처의 와이파이 해커에게 자신의 네트워크에 민감한 데이터가 포함되어 있을 수 있다는 신호를 보낼 수도 있다.

무선 표시에 라우터의 SSID가 포함되지 않도록 설정할 수는 있지만 데이터 패킷, 연결/연결 해제 요청, 탐색 요청/응답에 포함되는 정보는 어쩔 수 없다. 키스멧(Kismet) 또는 컴뷰 포 와이파이(CommView for WiFi)같은 무선 네트워크 분석기는 전파에서 SSID를 즉시 잡아낼 수 있다.


무선 네트워크 분석기는 숨겨져 있는 SSID인 cottage111을 이 네트워크에 연결한 뒤 표시했다. 분석기는 SSID를 라우터와 디바이스가 교환하는 패킷에서 찾아냈다.

SSID 브로드캐스팅을 비활성화하면 일반인들에게는 네트워크명이 보이지 않겠지만 네트워크 해커들에게는 무용지물이며 숙련된 악질 해커나 이웃의 꼬마들의 시간을 낭비할 뿐이다.

오해 2. MAC 주소 필터링을 활성화하라
유일무이한 MAC(Media Access Control) 주소는 네트워크 상의 모든 기기를 확인시켜 준다. MAC 주소는 00:02:D1:1A:2D:12 처럼 콜론으로 분리되어 있는 알파벳과 숫자 문자열이다. 네트워크 기기는 네트워크를 통해 데이터를 주고 받을 때 이 주소를 식별자로 사용한다. 소문에 따르면 라우터가 특정 MAC 주소를 가진 장치만을 허용하도록 설정하여 네트워크를 보호하고 원치 않는 기기가 접속하지 못하도록 할 수 있다고 한다.

이런 설정 작업은 쉽긴 하지만 꽤나 지루한 과정이 수반된다. 네트워크 상에서 허용하고자 하는 모든 기기의 MAC 주소를 결정하고 라우터의 사용자 환경(User Interface)에서 표를 작성하게 된다. 이 표에 포함되어 있지 않은 MAC 주소를 가진 그 어떤 기기도 무선 네트워크 암호를 알고 있더라도 네트워크에 접속할 수 없다.

하지만 굳이 이런 작업을 할 필요가 없다. 무선 네트워크 분석기를 사용하는 해커는 네트워크 상에서 허용된 모든 컴퓨터의 MAC 주소를 볼 수 있으며 자신의 컴퓨터의 MAC 주소를 사용자가 고생해서 만든 표의 그것과 일치하도록 변경할 수 있다. 결국, 다른 목적을 위해 네트워크 클라이언트의 전체 MAC 주소 목록을 작성하는 것이 아니라면, 이를 통해 얻는 것이라곤 시간 낭비뿐이다.


무선 네트워크 분석기는 전파를 스캔해서 무선 라우터와 엑세스 포인트뿐만 아니라 여기에 연결되어 있는 모든 컴퓨터와 디바이스의 MAC 주소를 보여준다.

MAC 주소 필터링을 통해 허용되지 않은 컴퓨터 또는 기타 기기를 이용한 일반인들의 라우터 접속을 막을 수는 있겠지만 해커는 막을 수 없다. 하지만 새로운 기기를 추가하거나 손님에게 임시 접속을 허용할 때마다 라우터를 설정해야 하기 때문에 정상적인 사용자가 네트워크에 접속하는데 더 번거로워질 뿐이다.

오해 3. 라우터의 IP 주소 풀을 제한하라
네트워크 상의 모든 기기는 또한 IP(Internet Protocol) 주소로 확인할 수 있다. 라우터가 할당한 IP 주소에는 192.168.1.10. 같은 숫자열이 포함된다. 기기가 라우터에 전송하는 MAC 주소와는 달리 라우터는 자체 DHCP(Dynamic Host Control Protocol) 서버를 이용해 네트워크에 접속하는 각 기기에 유일무이한 IP 주소를 할당하고 전송한다. 아직까지도 사라지지 않는 네트워크에 관한 소문에 따르면 라우터가 사용할 수 있는 IP 주소의 범위를 192.168.1.1 - 192.168.1.10 등으로 한정하면 네트워크에 접속할 수 있는 기기의 수를 제한할 수 있다고 한다. 이것은 말도 안 되는 소리이며, 그 이유는 다음의 오해와도 같다.

오해 4. 라우터의 DHCP 서버를 비활성화하라
이 소문의 근거는 라우터의 DHCP 서버를 비활성화하고 각 기기에 수동으로 IP 주소를 할당함으로써 네트워크의 보안을 강화할 수 있다는 것이다. 사용자가 할당한 IP 주소가 없는 기기는 네트워크에 접속할 수 없다. 이 때, 사용자는 MAC 주소와 마찬가지로 IP 주소와 주소가 할당된 기기로 구성된 표를 작성한다. 또한 각 기기를 수동으로 설정하여 지정된 IP 주소를 사용하도록 한다.


라우터의 DHCP 서버를 비활성화 하고, 각 기기에 수동으로 IP 주소를 할당하는 것도 보안 측면측면 좋은 것은 아니다. 

이 방법의 약점은 해커가 이미 사용자의 네트워크에 침투한 경우, 간단한 IP 스캔으로 네트워크가 사용하고 있는 IP 주소를 찾아낼 수 있다는 점이다. 그리고 나서 해커는 수동으로 호환이 되는 주소를 기기에 할당하여 네트워크에 접속할 수 있다. MAC 주소 필터링과 마찬가지로 IP 주소 제한(또는 수동 할당)의 주된 효과는 네트워크에 접속을 허용한 새로운 기기의 접속 과정을 복잡하게 만든다는 것이다.


이 스캐닝 앱은 무선 네트워크를 사용 중인 IP 주소를 표시해준다.

오해 5. 소규모 네트워크의 침입이 어렵다
이 소문에 따르면 무선 라우터의 출력을 낮추면 집 또는 회사 밖에 있는 사람들이 신호를 잡을 수 없어 네트워크에 접속할 수 없다고 한다. 이 아이디어가 가장 멍청하다고 생각한다. 무선 네트워크 해킹을 생각하는 사람은 대형 안테나를 사용해 라우터의 신호를 잡아낼 것이다. 라우터의 출력을 낮추면 허용된 사용자들의 사용 범위와 효율성을 떨어뜨릴 뿐이다.

실제 팁 : 암호화가 최선의 네트워크 보안이다
지금까지 와이파이 보안에 관한 5가지 오해를 살펴보았으니 이제는 무선 네트워크의 보안을 강화할 수 있는 최선의 방법인 암호화에 대해 알아보자. 네트워크를 통해 전송되는 데이터 암호화는 해커들이 의미 있는 형태의 데이터에 접근하지 못하도록 하는 강력한 수단이다. 비록 전송되는 데이터를 중간에 가로챌 수는 있겠지만 암호화 키가 없다면 정보를 읽거나 로그인 암호를 알아내거나 계정을 훔치는 일이 불가능하다.

지난 수 년 동안 다양한 암호화 방식이 등장했다. WEP(Wired Equivalent Privacy)는 와이파이 초기에 최고의 보안 수단이었다. 하지만 지금의 WEP 암호화는 수 분 만에 해독할 수 있다. 라우터가 이 암호화 방식만을 제공하거나 연결된 기기 중 일부가 너무 오래되어서 WEP만 지원한다면, 당신은 이미 오래 전에 새로운 표준에 맞추어 기기를 업그레이드했어야 했다는 뜻이다.

WPA(Wi-Fi Protected Access)가 그 다음에 등장했지만 이 보안 프로토콜도 보안 문제가 있었으며 WPA2로 대체되었다. WPA2가 공개된 지 약 10년이 되었다. 사용하고 있는 기기가 WPA 보안만으로 제한되어 있다면 업그레이드를 심각하게 고민해 보아야 한다.


AES 암호화된 PSK WPA2는 가정 네트워크를 위한 효과적인 보안 프로토콜이다.

WPA와 WPA2는 퍼스널(Personal, 일명 PSK(Pre-Shared Key) 및 엔터프라이즈(Enterprise, 일명 RADIUS(Remote Authentication Dial In User Server) 등 2가지 모드를 제공한다. WPA 퍼스널은 일반 사용자를 위한 것으로 사용이 간편하다. 사용자는 그저 라우터에 암호를 설정하고 와이파이 네트워크에 연결하고자 하는 각 컴퓨터 및 기기에 암호를 입력하면 된다. 강력한 암호(문자와 기호를 혼합한 13자리 이상 권장)를 사용한다면 별 문제가 없을 것이다. 사전에서 찾을 수 있는 단어, 명사, 애완동물의 이름 등은 사용하지 않는 것이 좋다. 강력한 암호라 하면 h&5U2v$(q7F4* 정도가 될 것이다.

라우터에 WPS(Wi-Fi Protected Setup)라는 보안 기능 버튼이 있을 수 있다. WPS는 라우터와 (클라이언트도 WPS를 지원할 경우) 클라이언트에서 버튼을 눌러 WPA2 보안 무선 네트워크에 기기가 접속할 수 있도록 하는 방식이다. 하지만 WPS의 약점 때문에 공격에 취약할 수 있다. 특히, 보안에 신경을 쓴다면 라우터의 WPS 기능을 끄는 것이 좋다.

엔터프라이즈 모드 WPA2는 기업 및 기관이 운용하는 네트워크를 위해 개발되었다. WPA보다 더 높은 수준의 보안을 제공하기는 하지만 RADIUS 서버 또는 호스 처리되는 RADIUS 서비스를 필요로 한다.

이제 네트워크의 보안을 강화할 수 있는 최선의 방법을 알았으니 시간을 내어 라우터를 적절히 설정해 보자. editor@itworld.co.kr