 |
 |
 |
|
|
|
|
|
|
|
무선 공유기 또는 무선 서비스를 이용한 무선 인터넷은 유선에 비해 보안적인 면에서 아주 취약합니다.
이는 별 다른 근거를 제시하지 않아도 누구나 쉽게 예측이 가능할 것입니다. 유선의 경우 물리적인 "선[cable]" 안에 내가 주고 받는 데이터 또는 패킷이 왕래하지만, 무선의 경우에는 공기 중에 떠 다니는 격이므로 가로 챌 능력이나 지식만 있으면 누구나 열람, 저장할 수 있으니까요.
이 때문에, 무선 인터넷일수록 유선에 비해 보안 설정의 중요성이 더 큽니다. 하지만 많은 유저들의 보안에 대한 인식 결여 또는 무지 때문에 이러한 설정에 대해 관심을 두지 않고 있습니다.
지금 당장 인터넷에서 쉽게 구할 수 있는 해킹/스니핑 툴을 설치한 노트북을 들고 강남역이나 주택 밀집 가를 가 보면 손쉽게 무선 인터넷 사용자들의 PC를 해킹할 수 있습니다. 심지어 일부 기업/정부/공공기관, 또는 대학들도 다르지 않을 지경입니다.
참고 기사 : 백화점 무선 인터넷 암호화 보안 취약
차츰 늘어나는 무선 공유기와 인터넷 서비스를 맞이하여, 오늘은 무선 보안과 관련한 셋팅 및 설정에 대하여 알아보겠습니다.
네트워크에 대한 지식이 없는 일반적인 사용자들의 가정용 사용을 전제하였으므로 불필요한 설정이나 전문적인 셋팅에 대해서는 굳이 언급하지 않고, 최대한 쉽게 설명해 보겠습니다.
무선 인터넷과 관련한 기본 개념
아래 그림은 현재 활성화 되어 있는 무선 네트워크 신호 및 장치를 탐지한 모습입니다.
물론, 도달 거리라는 한계는 있지만, 원론적인 보안 수준에서만 파악하면 가운데 부분의 "777 Bay Street" 라는 아이디를 제외한 빨간 사각형 안의 모든 네트워크는 쉽게 해킹할 수 있는 것들입니다. "Encryption" 컬럼을 보면 대부분 WEP 보안 설정이 되어 있고, 일부는 아예 보안 설정이 없기 때문입니다.
무선 보안 중 가장 흔한 WEP는 간단한 해킹 툴만 있으면 한 시간 안에 해독할 수 있으므로(아래에서 자세히 언급하겠습니다.) 암호화 하지 않는 것들과 이제는 별 차이가 없습니다.
글을 전개하기에 앞서 위의 그림을 토대로 앞으로 필요한 용어와 의미에 대하여 간단하게 정리하고 들어가겠습니다.
이해를 돕기 위하여 간단한 비유와 예를 하였으니, 원론적인 의미와 차이가 날 수도 있습니다. 그러나 일반 유저들이 알아야 하는 범위 내에서는 충분히 무리가 없는 수준일 것입니다.
(1) SSID(Service Set ID)
하나의 무선 랜을 특정시켜 주는 텍스트 식별자(아이디)이며, 그것에 접속하여 네트워킹을 하려는 모든 AP와 장치(랜카드)들이 알고 있어야 합니다.
이상은 원론적이고 전문적인 정의였으며, 간단하고 이해가 쉽게 이야기 하면, 여러분이 갖고 있는 무선 공유기(Service Set)의 아이디(ID)라고 지칭할 수 있습니다.
무선 랜카드로 인테넷을 하려면 무선 공유기와 연결되어야 하겠지요? 하지만 내 옆집에도 무선 공유기가 있고, 앞집에도 있을 수 있습니다. 따라서 내 무선 랜이 내 무선 공유기를 알아차릴 수 있도록 해 주는 방안이 필요한데, 이것이 바로 SSID인 것입니다.
결국, 이 아이디를 통하여 내 무선랜과 공유기가 연결되고, 서로 데이터를 주고 받으며 인터넷에 접속할 수 있게 됩니다.
SSID는 말 그대로 아이디이므로 사용자가 임의로 정할 수 있습니다. 최대 영문 32자까지 가능하며, 대/소문자를 구분함을 유의합니다.
(2) 브로드캐스트(Broadcast) SSID
브로드캐스트의 사전적 의미는 "방송하다" "퍼뜨리다" 입니다. 따라서 그대로 번역하면 "SSID를 퍼뜨린다." 입니다. 즉, 공유기 아이디를 외부로 공개한다라는 의미가 됩니다.
공유기 아이디를 공개하는 이유는 보다 쉬운 네트워크 설정, 또는 카페나 대학과 같은 곳에서 여러 사람들이 쉽게 네트워크에 연결되도록 만들어 주고자 하는 데에 있습니다.
즉, SSID가 브로드캐스트 되면, 여러 사람들 노트북에 달린 각각의 무선 랜카드가 공유기를 쉽게 찾아서 인터넷에 연결될 수 있습니다.
(3) 맥어드레스 (MAC Address)
어드레스는 주소라는 의미임을 다 알 것입니다.
네트워크에서 주소라 할 때 가장 먼저 떠 오르는 것은 바로 도메인, 그리고 IP입니다.
IP가 숫자로 구성된 일종의 비물리적인 주소라면, 맥어드레스는 물리적인 주소라고 할 수 있습니다.
그렇다면 물리적으로 대상이 무엇일까요? 바로 랜카드입니다. 맥(MAC)어드레스에서 MAC은 Media Access Control의 약자인데, 이는 랜카드를 의미합니다.
이해를 돕기 위해 간단하게 말하면 여러분의 랜카드가 갖고 있는 고유 번호라고 할 수 있습니다. 따라서 원칙적으로 내 PC안에 설치된 유/무선 랜카드는 세상에서 단 하나뿐인 맥어드레스를 갖고 있습니다.
이것을 확인하는 방법은 간단합니다. 윈도우 키+R을 동시에 눌러서 "실행" 창을 띄운 후 CMD를 실행시킵니다.
명령 프롬프트에서 ipconfig /all 이라고 기입하고 엔터키를 누르면 아래 그림처럼 노란 사각형 안의 "물리적 주소(Physical Address)" 항목에서 12자리의 숫자와 문자로 구성된 맥어드레스를 알 수 있습니다.
국내 인터넷 통신업체들 중 일부는 맥어드레스 인증을 통하여 서비스를 하는 경우가 있습니다. 이 때 만약 랜카드를 바꿔 달면 사용자 암호와 패스워드를 요구하는 인증 화면이 나타나기도 합니다.
앞서 언급한 바대로 맥어드레스는 세상에서 유일한 식별자이므로 범죄 수사에 사용되기도 합니다. 일부 어설픈 악플러들은 유동 아이피라는 개념만 안 채 마음껏 악플을 달고 유언비어를 유포하는데, 인터넷을 하는 순간 자신의 맥어드레스 정보가 통신업체로 넘어가기 때문에 수사기관에서 마음만 먹으면 그 PC와 악플러를 잡아낼 수 있습니다.
게임방에서 범죄를 저질렀다면 HDD는 물론, 가급적이면 랜카드도 떼어 오기 바랍니다. :-)
(4) 암호화(Encryption)
무선으로 송수신 되는 무선 인터넷의 특성 때문에 그 신호를 암호화하여 다른 무선 인터넷 사용자 또는 해커들이 신호를 분석하지 못하게 하는 것입니다.
IEEE 802.11 방식 무선 네트워크에서 가장 널리 쓰이는 방식으로 WEP(Wired Equivalent Privacy), WPA(Wi-Fi Protected Access), WPA-PSK(Wi-Fi Protected Access-Pre-Shared Key), WPA-TKIP (Wi-Fi Protected Access-Temporal Key Integrity Protocol), WPA2 등이 있습니다.
(5) 호스트 컴퓨터 / 클라이언트 컴퓨터
모뎀 또는 네트워크 어댑터를 통해 인터넷에 직접 연결되는 컴퓨터를 호스트 컴퓨터라고 하고, 공유기를 통하여 호스트 컴퓨터에 연결되어 인터넷에 접속하는 것을 클라이언트 컴퓨터라고 합니다.
(6) Ad Hoc (원격 관리)
일종의 P2P(Peer-to-Peer) 모드입니다.
액세스 포인트(AP) 없이도 작동하며 이 모드를 사용하여 무선 컴퓨터에서 다른 무선 컴퓨터로 직접 정보를 전송할 수 있습니다.
기업 등에서 여러 PC를 관리할 때 유용합니다. 즉, Ad Hoc 모드로 모든 컴퓨터를 연결하여 무선으로 프로그램을 설치/삭제하거나 데이터를 저장/공유/전송할 수 있습니다.
무선 보안을 위한 설정
이제 본격적으로 무선 보안을 위한 설정에 대해 언급하겠습니다. 아래의 설정은 필자가 사용 중인 벨킨사의 무선 공유기를 예로 했지만, 다른 메이커의 설정 옵션도 크게 다르지 않으므로, 위에 설명한 용어와 개념을 정독한 독자라면 큰 어려움 없이 참고할 수 있습니다.
또한, 일부 옵션을 제외하면 이 설정들 대부분은 아주 기본적인 최소한의 것들입니다. 따라서 가급적이면 필자의 가이드 그대로 사용할 것을 당부합니다.
(1) 관리자 비밀번호 바꾸기
브라우저에서 사설 IP를 기입하면 공유기 설정란에 들어갈 수 있습니다. 이 때 필요한 기본 암호는 대부분 공란이거나 숫자 0으로만 구성되는 경우가 일반적입니다.
이것은 반드시 바꿔줘야 하는 아주 기본적인 사항입니다.
공유기 설정란에 할 수 있는 작업이 워낙 중요하고 강력한 까닭에, 해커는 손쉽게 여러분의 PC를 인터넷 상의 놀이터로 만들 수 있습니다.
(2) SSID를 자주 바꾸기
공유기를 특정해 주는 SSID는 무선으로 접속을 용이하게 하지만, 그만큼 해커들에게 악용될 소지가 있습니다.
기본 SSID는 대부분 "제작사명 + 임의의 문자" 등으로 구성됩니다. 여러분이 인터넷에서 자신의 성(Kim 또는 Lee)으로 아이디를 만드는 격입니다. 따라서 가급적이면 자신만이 알 수 있는 특별한 문자와 단어를 이용하는 것이 좋습니다.
최대 32자까지 가능하므로, 가급적이면 길고 다양하게 아이디를 정하고, 대/소문자를 구분하는 특성을 이용해도 좋습니다.
(3) 브로드캐스트(Broadcast) SSID 끄기
이미 설명한 바대로 SSID를 퍼뜨리는(Broadcast) 이유는 무선 랜카드가 무선 공유기를 쉽게 찾아서 네트워크 설정을 용이하도록 해 주기 위함입니다. 따라서 일반 이용자가 브로드캐스트 할 이유는 전혀 없습니다. (물론, 사회봉사 차원에서 옆집 누나에게 내 공유기를 통하여 공짜로 인터넷을 서비스해 주고자 한다면 예외겠지만)
대부분의 경우 아래 그림처럼 체크를 해제해 주면 간단히 작업이 완료됩니다.
▲ 브로드캐스트(Broadcast) SSID 끄기
이후 클라이언트 컴퓨터에서 네트워크를 탐지해 보면 그림처럼 SSID가 숨겨져 있는 것을 볼 수 있습니다.
▲ SSID 숨긴 후 : SSID가 숨겨져서 공란으로 표기
간혹, SSID 브로드캐스트를 켰다가 끄면 네트워크에 연결되지 않았다는 메시지와 함께 인터넷이 불통이 되는 경우가 있습니다. 이 때에는 "제어판 → 네트워크 연결 → 무선 네트워크 연결"로 이동한 후, 복구 버튼을 한 번 눌러주면 됩니다.
(4) 맥어드레스 필터링
맥어드레스는 유/무선 랜카드의 고유번호라고 이미 설명했습니다. 따라서 내가 갖고 있는 랜카드의 맥어드레스는 세상에서 오로지 하나뿐입니다.
이를 이용하여 간단하게 보안 설정을 할 수 있음은 물론이고, 옆집 아저씨가 내 공유기에 접속하여 공짜로 인터넷을 사용하는 것도 막을 수 있습니다.
아래 그림처럼 자신의 클라이언트 컴퓨터에 달린 랜카드 맥어드레스를 지정해 주면, 내 공유기는 이 맥어드레스로만 신호를 보내기 때문에 옆집 아저씨가 몰래 내 무선 공유기로 인터넷 하는 것을 막을 수 있고, 해커들이 접속을 시도하는 것도 원척적으로 차단이 가능합니다.
물론, 봉사하기로 마음 먹은 옆집 누나에게 공짜 인터넷 서비스를 제공하고자 한다면 그 누나의 랜카드 맥어드레스도 기입해 주면 됩니다.
맥어드레스를 알아내는 방법은 이미 앞에서 설명했으니 생략하겠습니다.
(5) 암호화
어느 무선 공유기이던 설정란에 보면 아래와 유사한 암호화 부분이 있습니다. 하지만, 암호화에 대한 인식이 없거나 또는 어떤 것을 선택해야 할 지 몰라서 많은 유저들이 기본값(암호화를 끈 상태) 그대로 사용하는 경우가 태반입니다.
IEEE 802.11 방식 무선 네트워크에서 가장 널리 쓰이는 방식으로 WEP(Wired Equivalent Privacy), WPA(Wi-Fi Protected Access), WPA-PSK(Wi-Fi Protected Access-Pre-Shared Key), WPA-TKIP (Wi-Fi Protected Access-Temporal Key Integrity Protocol), WPA2 등이 있다고 이미 언급한 바 있습니다.
논문이나 레포트를 작성할 것이 아닌 바에야 일반적인 유저들이 각각의 의미와 알고리즘에 대한 것은 알 필요가 없으니 생략하고, 이 중 과연 어떤 것을 사용해야 하는가에 대해서만 소개하겠습니다.
결과적으로, 흔히 사용되는 WEP는 차라리 사용하지 않는 만 못합니다. 인터넷만 잠깐 검색해 보면 간단하게 해독하는 방법을 알 수 있으며, 초보적인 해커라도 마음만 먹으면 한 시간 안에 다 뚫을 수 있습니다.
따라서 무조건 WPA 또는 WAP2 모드로 사용하기를 추천합니다.
함께 부가되는 인증방식은 공유기에 따라 다르지만 대부분 PSK, TKIP 등을 병행하여 사용할 수 있습니다.
최종적으로는 아래 그림을 참고하여 필자와 유사하게 설정하기 바랍니다.
이 때 중요한 것은 "사전 공유키" 즉 인증암호입니다. 최소 8자에서 최대 63자까지 사용할 수 있으니 가급적이면 복잡하게 설정할수록 좋습니다. 물론, 이것을 분실하면 곤란합니다.
무선 공유기에서 정한 인증암호는 무선 랜으로 연결된 노트북이나 데스크탑에서 인터넷 접속(무선 공유기에 연결)을 할 때 필요합니다.
최초 연결 시 인증 암호를 묻는 창이 뜨는데, 앞에서 정한 암호를 차근차근히 기입해 줍니다.
한 번 기입한 암호는 저장되어 다시 물어오지 않으므로, 차후 노트북을 끄고 다시 시작할 경우에는 바로 인터넷을 사용할 수 있습니다.
만약 암호를 바꿨거나 삭제하는 등의 작업이 필요하면 그림처럼 "제어판 → 네트워크 연결 → 무선 네트워크 연결"로 이동한 후 마우스 오른쪽 팝업 메뉴의 "속성"을 클릭하여 설정할 수 있습니다.
▲ "무선 네트워크 속성" 에서 저장된 암호 관리
(6) Ad Hoc (원격 관리) 차단
무선으로 연결된 컴퓨터들을 쉽게 관리하기 위한 일종의 P2P 모드입니다. 여러 컴퓨터를 관리해야 하는 게임방, 기업 등의 조직이라면 모를까 일반 가정에서 사용할 필요는 전혀 없습니다.
연결된 PC들 간의 파일공유, 원격 데스크탑 연결 등도 방화벽 셋팅을 통하여 할 수 있으니 염려하지 않고 끄면 됩니다.
(7) WAN Ping 차단
Wide Area Network(원거리 네트워크) Ping을 차단한다는 의미로, 말 그대로 풀이하면 거리가 먼 곳에서 오는 네트워크 ping을 차단하라는 의미입니다.
멀리서 오는 네트워크가 무엇일까요? 바로 통신회사와 여러분 PC의 연결을 의미합니다.
이와 대응하는 LAN(Local Area Network)은 근거리 네트워크를 의미하므로, 인터넷에 연결된 PC와 집 안의 다른 PC 또는 노트북을 생각할 수 있습니다.
Ping은 "Packet INternet Groper"의 약자로 물체의 위치를 찾는 음파탐지기로부터 유래되었다고 합니다. 이를 컴퓨터 분야로 옮겨온 것인데, 특정 컴퓨터에 신호를 보내서 응답하는가 여부를 파악하여 네트워크가 가능한 상태인지 아닌지를 알 수 있습니다.
하지만 이는 해커들이 악용하기도 합니다. 무작위로 ping을 날려서 응답하는 컴퓨터가 발견되면 IP를 알아내어 공격을 시도하기 때문이죠.
따라서 원거리 Ping을 차단하면 해커는 내 PC가 네트워크에 연결되었는지 여부를 파악하기 힘듭니다. 방화벽을 사용해 온 유저라면 "스텔스 모드"를 연상하면 됩니다.
(8) IP별 클라이언트 포트/프로토콜 필터링 (옵션)
이것을 사용하기 위해서는 공유기로 연결된 컴퓨터/노트들에게 고정 (사설) IP 를 부여해야 합니다. 요즘 출시되는 공유기들은 거의 기본적으로 고정 IP부여하게 하거나 절차가 어렵지 않으므로 이에 대한 설명은 공유기 사용 설명서를 읽어보면 쉽게 알 수 있습니다.
아래 그림처럼 IP(네트워크로 연결된 컴퓨터)를 지정하여 포트, 프로토콜, 그리고 사용시간 등을 제한할 수 있습니다.
가령, 어린이 방에 있는 컴퓨터의 IP가 192.168.2.5 라고 하고, 당나귀에 접속하는 것을 막고자 하면, 당나귀가 사용하는 각 프로토콜의 TCP 4662, UDP 4672를 통합하여 아래와 같이 기입해 주면 됩니다.
|
이 블로그의 모든 글 및 리뷰에 대한 저작권은 여름하늘에게 있습니다.
출처를 밝힌 여부와 상관 없이 글, 또는 리뷰의 내용을 다른 사이트에 올리는 것을 금합니다. 좋은 글이라 여겨지면 링크나 트랙백을 이용해 주세요.
참고 : 저작권 위반에 대한 법적 대응
Copyrights 2008 무단 전재/스크랩 금지. AES,
hardware,
IEEE 802.11,
LAN,
MAC Address,
SSID,
TKIP,
WAN,
WEP,
WiFi,
Wireless,
WPA,
공유기,
랜카드,
맥어드레스,
무선,
무선 인터넷,
바이러스,
보안,
하드웨어,
해킹 |
|
|
|
|
|
| 이 글의 트랙백 주소 : http://skysummer.com/trackback/504 |
|
|
|
|
  |
|
|
CATEGORY : 
Categories
Recent Entries
Tag
Recent Comments
Recent Trackback
