- 무선 랜 보안정책 -

’09.3.24(화)

정보화전략실정보보호정책과

韓 根熙

2韓根熙

1. 무선 랜 현황

2. 준용사업자

3. 무선 랜 보안정책

4. 무선 랜 보안구현 사례

5. 맺음말

목 차

3韓根熙

무선 랜, 기업시장서 퇴출 위기

기업시장에서 무선 랜이 퇴출될 위기

’08년 5월 하나은행과 외환은행의 무선망 해킹사고가 발생함에 따라 보안 우려가 확산되면서 제1금융권은 물론이고 제2금융권에서까지 무선 랜 망이 사라지는 추세

19일 관계기관과 관련업계에 따르면 금융권은 당초 무선 랜의 효율성을 인정, 무선랜보안솔루션을 도입해 해킹 위협에 대비해 왔으나 신뢰성 부족과 비용 문제로 인해 점차 유선랜 중심으로 회귀

하나은행은 무선 랜과 유선 랜을 혼용해왔으나 해킹사건 이후 ’08.9월 무선랜 제거

SC제일은행도 무선 랜이 보안에 취약하다는 이유로 무선 랜은 물론이고 와이브로 등유선 랜 망을 제외한 어떠한 형태의 내부시스템 접속도 불허하는 형태로 시스템 정비

국민은행도 유선망으로 사내망 접속을 일원화

최근 제2금융권으로 확산

− 솔로몬상호저축은행은 2010년 상반기까지 사내에서 무선 랜을 없앨 계획

− 동양종합금융증권 등 증권사의 상황도 마찬가지

진짜 이유는 비용 문제 (무선 랜 보안업체 관계자의 말)− “당시 사고가 터진 이후 금융권에서 무선 랜 보안 솔루션을 도입하려 했다”

− “9월 이후 발발한 금융대란으로 은행권은 비용 때문에 시스템 구축을 유보하거나 포기 상태”

금융권의 한 관계자

“무선랜 보안체계를 구축하게 되면 무선 랜 보안솔루션 외에 액세스포인트(AP)마다 보안상황을 모니터링할 수 있는 솔루션을 함께 설치해야 한다”

“인프라 비용이 추가돼 적지 않은 예산이 소요되는데, 금융위기 이후에 상당한 부담”

4韓根熙

무선 랜 보안 사고

’07.9.7 : KBS, 전자신문, '무선 인터넷 개인정보 유출 보도'

백화점에서 무선랜을 통해 판매 데이터(고객정보) 해킹시연

’08.5.30 파이낸셜뉴스․한국경제 등, ’하나은행 등무선망 해킹사고 ‘

‘08.8.7 美 사상최대 ‘개인정보’ 해킹, 대형 유통점의 무선LAN 보안취약점을 악용하여 카드번호/비밀번호, 계좌번호 등 4100만명 신용정보 유출

’09.2.16, 전자신문, 디지털타임즈, ’무선 랜 해킹위험 여전‘

5韓根熙

무선 랜 취약점

6韓根熙

무선 랜 보안사고 조치

국내 유통점에 대한 무선LAN 암호화 조치 및 개선계획 조사

(구 정보통신부, ’07.10.9~23)

조사결과 : 현황조사(29개社), 무선LAN 사용(22개社)

무선단말기(33,000대)를 보안성이 높은 WPA방식으로 암호화

국내 유통점의 무선LAN 암호화 조치 현장점검(’08.2.12~13)

홈플러스 등 5개社에 대해 정통부, KISA 합동점검

국내 유통점의 무선 LAN 개선 조치상황 유선 파악(’08.10)

규모가 있는 준용사업자 중심으로 무선랜 보안시설 구축

29개社 중 27개社 조치완료, 2개社 ’09년 초까지 조치예정

『무선랜 보안가이드(132쪽) 』작성 보급(’09.2)

7韓根熙

정보통신망법 개정 적용 (’09.7.1)

신규대상 업종 ▲주택건설사업 ▲주택관리업 ▲건설기계대여·매매·정비·폐기업 ▲부

동산중개업 ▲자동차매매업 ▲결혼중개업 ▲의료기관 ▲직업소개소▲정유사 ▲체육시설업 ▲비디오대여점 ▲서점 ▲영화관 이상 14개업

신규대상 협회 ▲한국주택건설협회 ▲한국공동주택관리협회 ▲대한건설기계협회 ▲

한국공인중개사협회 ▲한국자동차공업협회 ▲자동차대여사업조합연합회 ▲한국국제결혼정보업협회 ▲대한병원협회 ▲한국HR서비스산업협회 ▲대한석유협회 ▲골프장경영협회·골프연습장협회·대한레저스포츠협회 ▲전국도서영상대여점협회 ▲대한출판문화협회·한국서점조합연합회 ▲한국영상산업협회 이상 17개 협회

8韓根熙

무선 랜 보안정책

무선 랜을 사용하고자 할 경우에는 반드시 무선에 대한 특성을 이해하고무선 랜 보안 정책 및 대책을 수립한 후 사용할 것 무선 랜 보안 가이드(KISA)

무선 랜 정보보호 체크리스트(TTA)

무선 랜 서비스를 제공하고자 할 경우, 반드시 인증서버(일례: RADIUS)를 사용하여 인증 절차(가급적 양방향 인증)를 수행할 것

9韓根熙

준용 사업자

대상 업종대상 사업자 사업자 수 소관 부처

호텔․여행업 여행사, 호텔, 휴양콘도미니엄 8,434 문체부

학원․교습소 학원, 교습소 120,554 교과부

백화점․쇼핑몰체인스토어, 백화점, 편의점업체

556 지경부

건설․운수업

항공사, 정유사, 주택건설사, 건설기계사,공인중개사, 자동차공업사, 중고 자동차매매사, 자동차대여점

105,452국토부, 지경부

의료기관 등결혼정보업체, 병원, 직업 소개소

60,300보건복지가족부,노동부

영화관,서점 등골프클럽, 레저스포츠사, 비디오 대여점, 서점, 영화관

53,960 문체부

합 계 349,256

10韓根熙

법규

「정보통신망 이용촉진 및 정보보호 등에 관한 법률 」 제28조(개인정보의 보호조치) ①정보통신서비스제공자등은 이용자의

개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는훼손되지 아니하도록 대통령령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다. <개정 2008.2.29>

제67조 (정보통신서비스제공자외의 자에 대한 준용) ① 제22조 내지제32조의 규정은 정보통신서비스제공자외의 자로서 재화 또는 용역을 제공하는 자중 대통령령이 정하는 자가 자신이 제공하는 재화 또는 용역을 제공받는 자의 개인정보를 수집·이용 또는 제공하는 경우에 이를 준용한다.

− 개인정보를 수집․이용하는 준용사업자 → 행정안전부 소관

− ｢오프라인을 통해 개인정보를 수집하고 내부 PC․DB에 저장하는 경우와사업자 내부망을 통해 유통·관리되는 경우｣

제76조(과태료) ①다음 각 호의 어느 하나에 해당하는 자와 이를 하게 한 자는 3천만원 이하의 과태료에 처한다. ②다음 각 호의 어느 하나에 해당하는 자는 1천만원 이하의 과태료에 처한다.

11韓根熙

정보통신망법 개정 적용 (’09.7.1)

개인정보처리 주요 의무사항

1. 개인정보 수집(법 제22조~제23조) 수집·이용목적, 수집항목, 보유 및 이용기간 등 3가지 사항을 이용자가 명확히 인지하고 동의를 획득한 후 개인정

보 수집 만 14세 미만의 아동은 법정대리인(부모)에게 직접 동의 획득(벌칙:5년 이하 징역 또는 5천만원 이하 벌금 및 과징

금) 웹사이트 회원 등록 시 주민등록번호 대신 가입할 수 있는 방법 제공(과태료:3천만원 이하)

2. 개인정보 이용 및 제공(법 제24조) 수집시 동의 받은 목적과 다른 목적으로 개인정보 이용 금지 제3자에게 제공 시 제공받는 자, 제공목적, 제공항목, 보유 및 이용기간 등에 대해 개별 동의(벌칙:5년 이하 징역

또는 5천만원 이하 벌금 및 과징금)

3 . 개인정보 위탁(법 제25조) 개인정보 취급업무를 제3자에게 위탁 시 위탁받는 자, 위탁 업무내용에 대해 이용자에게 알리고 동의 획득(벌칙:5

년 이하 징역 또는 5천만원 이하 벌금 및 과징금) 서비스제공 관련 계약 이행을 위한 위탁일 경우에는 이용자에게 고지(과태료:2천만원 이하)

4. 영업의 양수 등에 따른 개인정보 이전(법 제26조) 영업의 전부 또는 일부의 양도·합병으로 이용자의 개인정보를 다른 사람에게 이전할 경우 이전사실, 이전받는 자,

동의철회 방법을 통지(과태료:2천만원 이하)

5. 개인정보 관리적·기술적 조치(법 제27조~제28조) 개인정보관리책임자 지정 및 개인정보취급방침을 이용자에게 공개(과태료:2천만원 이하) 개인정보의 분실·도난·노출·변조·훼손 방지를 위해 기술적·관리적 조치 수행(과태료:3천만원 이하) 직무상 알게 된 개인정보를 훼손·침해·누설하거나 제공받아서는 안됨(벌칙:5년 이하 징역 또는 5천만원 이하 벌금)

6. 개인정보 파기(법 제29조) 이용목적 달성, 보유 및 이용기간 종료, 사업 폐지 등에 해당되는 경우 개인정보를 지체 없이 파기(과태료:3천만원

이하)

7. 이용자 권리(법 제30조) 이용자의 동의철회, 열람, 정정요구에 대해 즉시 조치하여야 하고, 개인정보 수집방법보다 쉽게 제공하여야 함(과

태료:3천만원 이하) 오류 정정 조치를 완료할 때까지는 해당 정보를 이용·제공 금지(벌칙:5년 이하 징역 또는 5천만원 이하 벌금)

12韓根熙

무선 랜 보안 개요

무선 랜 보안 개요 사용자 인증(Authentication)

무선 랜 접속 장치(Access Point)를 통한

불법적인 네트워크 접속 가능

강력한 사용자 기반의 양방향 인증 필요

무결성(Integrity)

무선 상의 데이터 위·변조 가능

사용자 데이터에 대한 위·변조 방지를 위

한 무결성 보장 필요

허가(Authorization)

무선 랜 접속 장치(Access Point)는 유선

S/W와 같은 포트별 접근 제어가 어려움

무선 사용자 별 네트워크 리소스 사용 권

한 등에 대한 허가 필요

기밀성(Confidentiality)

무선 랜은 전파를 전달 매체로 통신

전파 도달 가능 거리에서 도·감청 가능

사용자 데이터에 대한 암호화로 보호

인증(Authentication)

기밀성(Confidentiality)

무결성(Integrity)

허가(Authorization)

13韓根熙

무선 랜 보안 표준

IEEE 802.11 표준화

1999 2000 2001 2002 2003 2004

최초의 보안 표준

WEP보안

기본적인 보안요소

WEP 암호화 보안

EAP 인증방식

포트기반 접근제어

무선 랜 보안 표준기술이 아님

IPSec 혹은 SSL VPN을 이용한 보안 기술

중앙 집중 관리가 가능

신뢰할 수 있는 End to End 보안을 구현

802.11b

WEP

MAC

Closed System

SSID

802.1xEAP/D-WEP

EAP-PEAP

EAP-TTLS

EAP-TLS

EAP-MD5

무선 VPN

802.11i 기반

802.11i 의 서브셋

CCMP-AES 추가

WPA

D-WEP/TKIP

WPA2

CCMP-AES

802.11i

RSN

802.1x 기반

접근제어

동적 WEP

키 관리

새로운 무선

알고리즘

14韓根熙

무선 랜 보안 수준

무선 랜 보안성 수준

Not Secure More Secure

Authentication

Encryption

Default SSID Disabled

Static WEP

SharedKey

etc

Dynamic WEP

인증서버 사용

EAP-MD5

PEAP

EAP-TTLS

EAP-TLS

MAC Authentication

TKIP

MAC Filtering

15韓根熙

IEEE 802.11i 사용자 인증 개념도

RSN / WPA / WPA2

16韓根熙

무선 랜 구축시

네트워크 분리 무선 랜과 유선랜간 네트워크를 분리․운영하여 침해사고 발생 시 피

해가 내부시스템에까지 확산되는 것을 차단

암호화 조치 전송데이터를 보안성이 높은 WPA1, 2 등 방식으로 암호화

접근통제 무선 랜에 허가된 사용자만 접속 가능하도록 접근제한을 설정

전파거리 제한 무선장비에서 출력되는 신호를 적정 수준으로 제한

보안교육 무선 랜 사용자의 보안의식을 높이기 위한 주기적 교육

17韓根熙

무선 랜 운영시

보안점검 암호정책을 마련하여 각 장비의 암호를 달리하여 주기적으로 변경,

접근기록(log)을 통해 비인가 접속장비를 주기적으로 점검

불법 접속장비 검색 무선 랜 서비스 지역 내에 불법적으로 설치된 접속장치를 주기적으로

검색하여 제거

보안교육 무선 랜 사용자의 보안의식을 높이기 위한 주기적 교육

18韓根熙

무선 랜 AP (Access Point)

19韓根熙

Windows Vista

20韓根熙

Windows Vista

21韓根熙

Windows XP

22韓根熙

Windows XP

23韓根熙

Windows Mobile 5.1 (Smart Phone)

24韓根熙

Windows Mobile 5.1 (PDA)

25韓根熙

맺음말

무선 랜은 장비 배치의 편리성, 이동성의 제공, 소형기기의 사용 들 여러가지 측면에서 편리 무선네트워크의 특성상 전송하려는 정보가 전파의 도달반경에 있는 모든 무

선 장비에 노출

무선 랜 보안의 문제점을 해결하기 위하여 여러 가지 기법이 제시 현재 WPA-2기법이 가장 안전하게 무선 랜을 운영할 수 있는 방법

보안성 강화 대책 마련 필요 WEP 암호화 기술만을 제공하는 구형 장비들

네트워크 환경의 특성으로 무선네트워크 보안(WPA-PSK)을 설정할 수 없거나

응용프로그램이 중요한 정보를 취급하는 경우

어플리케이션 수준에서 소프트웨어를 사용하여 데이터를 암호화하여 전송하는 방법을 사용할 것

무선 랜을 사용하는 경우에는 무선 랜 단말기들을 통합적으로 인증하고정보를 암호화하여 전송할 수 있는 체계를 마련할 것

26韓根熙

Reference

무선 랜 보안 가이드 행정안전부 홈페이지(http://www.mopas.go.kr)

KISA 홈페이지(http://www.kisa.or.kr)

안전한 무선 랜 사용을 위한 가이드 한국정보통신기술협회 홈페이지(http://www.tta.or.kr)

무선 랜 정보보호 체크리스트

Question & Answer

정보화전략실정보기반정책관 정보보호정책과

韓 根熙

02-2100-3628

keunhee@mopas.go.kr