2017.11.10

와이파이 취약점 "크랙"에 대해 알아야할 것과 이에 대응하는 방법

Brad Chacos, Michael Simon | PCWorld
와이파이 WPA 보안 프로토콜에 심각한 보안 취약점이 있는 것으로 드러났다. 해커들이 와이파이에 연결된 사용자의 데이터를 엿볼 수도 있는 취약점이다. 이 문제점에 크랙(KRACK)이라는 이름이 붙여졌다.

크랙을 처음 발견한 연구원인 매티 밴호프에 따르면, 크랙은 특정 제품이나 구현 기술이 아닌 와이파이 프로토콜 자체에 영향을 미친다. 그리고 이 최신 프로토콜을 사용하는 모든 최신 와이파이 네트워크에 위험을 초래하는데, 와이파이를 사용하고 있는 기기라면, 크랙에 영향을 받을 확률이 높다. 다행히 주요 IT 업체들이 이 취약점을 패칭하기 위해 발 빠르게 움직이고 있다.

지금부터 크랙의 작동 원리부터 스스로를 보호할 최고의 방법까지 크랙 와이파이 취약점에 대한 필수 정보를 제공한다. 애플 사용자는 가장 먼저 iOS 11.1로 맥OS(macOS) 10.13.1업데이트 해야 한다. 그리고 픽셀과 넥서스 기기 사용자는 안드로이드 11월 보안 패치를 설치해야 한다.

크랙이 와이파이 보안을 무너뜨리는 방법
크랙(Key Reinstallation AttaCK, KRAC)은 와이파이 클라이언트 장치가 보호된 와이파이 네트워크에 연결을 시도할 때 작동하는 인증 '신호변경(handshake)' 4단계 중 3번째 단계를 표적으로 삼는다. 3단계 동안 여러 차례 암호화 키를 송신할 수 있다. 공격자가 특별한 방법으로 이런 재송신을 수집해 재전송할 때 와이파이 보안 암호화가 붕괴된다.

이는 클리프노츠(CliffsNotes)의 설명이다. 기술적인 자세한 내용은 매티 밴호프의 크랙 공격 웹사이트를 참조하라. 

크랙에 영향을 받는 기기는
와이파이를 사용하는 기기는 모두 어느 정도 크랙 와이파이 보안 취약점에 취약할 확률이 높다. 유독 더 취약한 기기도 존재할 것이다. 이와 관련, 특정 기기들이 크랙에 어떻게 영향을 받는 지는 후술하도록 한다.

와이파이 보안이 붕괴되면 무슨 일이 일어날까
일단 공격자는 사용자가 네트워크를 통해 전송하는 트래픽을 엿볼 수 있다. 밴호프는 "이를 통해 신용카드 번호, 비밀번호, 채팅 메시지, 이메일, 사진 등 요주의 정보를 훔칠 수 있다"고 경고했다. 이에 대한 자세한 내용은 다음의 기사를 참조하길 바란다. 몇 년 전 기사이지만 여전히 유용한 정보가 들어있다.

아르스 테크니카(Ars Technica)에 따르면, US-CERT(United States Computer Emergency Readiness Team) 또한 크랙 보안 권고 보고서에서 크랙의 위험에 대해 경고했다. "이런 취약점을 악용, 비밀번호를 해독하고, 패킷을 재전송하고, TCP 연결을 하이재킹하고, HTTP 콘텐츠를 주입하는 등의 위험을 초래할 수 있다."

HTTP 콘텐츠 주입(HTTP content injection)이란 공격자가 웹사이트에 사용자 PC를 랜섬웨어나 악성코드로 감염시킬 수 있는 코드를 몰래 주입하는 것을 의미한다. 아주 큰 위험에 노출될 수 있다는 이야기다. 만약을 대비해 보안을 튼튼히 하는 것이 좋다. 

실제 와이파이 보안이 붕괴되고 있을까
밴호프는 "실제 이런 취약점이 활발히 악용되고 있는지, 또는 그렇게 될지 단언할 수 있는 상태가 아니다"고 말했다. US-CERT의 권고 보고서에도 크랙의 실제 악용에 대한 정보는 나와있지 않다.

다행히 어느 정도 위안이 되는 소식이 있다. 아이언 그룹(Iron Group) CTO 알렉스 허드슨은 "공격자가 사용자 와이파이 네트워크의 도달 범위에 위치해야 크랙 공격을 할 수 있다"며, "갑자기 인터넷의 모든 사람들이 공격을 받게 되는 것은 아니다"고 설명했다.

크랙 와이파이 취약점으로부터 스스로를 보호하는 방법
기기를 최신 상태로 유지해야 한다. 반호프는 "이전 버전 호환성을 감안한 방식으로 패칭을 할 수 있다"고 말했다. 기기에 크랙을 방지하는 업데이트를 다운로드, 보안 취약점으로부터 보호받으면서 패칭이 되지 않은 하드웨어와 통신할 수 있다는 의미다. 크랙의 파급력 때문에 수많은 유수 하드웨어와 운영체제 공급업체들이 신속히 패치를 배포하고 있다.

예를 들어, 최신 업데이트와 패치가 적용된 윈도우 PC는 이미 크랙으로부터 안전한 상태다. 하지만 다른 기기가 업데이트 되기까지, 크랙에 대한 추가 보안 대책을 세워 실천할 수 있다. 가장 쉬운 방법은 유선 이더넷 연결을 사용하거나, 스마트폰 연결을 사용하는 것이다. 그러나 이렇게 할 수 없는 때가 있다.

비밀번호로 보호된 핫스팟을 포함한 공용 와이파이 핫스팟을 사용해야만 하는 경우, HTTPS 암호화를 사용하는 웹사이트만 이용하는 것이 좋다. 이런 안전한 웹사이트들은 와이파이 보안이 침해 당해도 안전하기 때문이다. 암호화된 웹사이트의 URL은 HTTPS로 시작된다. 반면 안전하지 않은 웹사이트는 HTTP이다. EFT(Electronic Frontier Foundation)의 HTTPS 에브리웨어(HTTP Everywhere) 브라우저 플러그인은 HTTPS를 지원하는 모든 사이트가 이런 보호책을 사용하도록 강제한다.

가상 사설망(VPN)을 사용해 네트워크 트래픽을 완전히 감추는 방법도 있다. 그러나 무료 VPN은 데이터가 위험에 노출될 수 있으니 전적으로 신뢰해서는 안된다. 신뢰할 수 있는 VPN 공급업체는 PC월드의 ‘최고의 VPN 서비스(Best VPN services)’ 기사를 참조한다. 또한 코드 주입 멜웨어를 저지하기 위해 바이러스 백신 소프트웨어를 최신 상태로 유지한다.

더 나아가, 와이파이 얼라이언스(Wi-Fi Alliance)는 전세계의 인증 시험소에서 크랙 WPA2 취약점을 테스트, 새로운 기기들이 처음부터 안전한 상태로 출시되도록 만들 계획이다.

기기와 라우터 와이파이 보안에 대한 FAQ
Q. 자신의 스마트폰도 위험한가
크랙은 기존 취약점 공격과 다르다. 기기가 아닌, 기기를 사용해 전송하는 정보를 표적으로 삼기 때문이다. 즉 스마트폰에 저장된 상태의 데이터는 안전하다. 그러나 신용카드 번호, 비밀번호, 이메일, 메시지 등을 와이파이로 전송할 때 탈취당할 수 있다.

Q. 자신의 라우터 또한 취약한가
취약하다고 판단해야 하지만, 아주 정확한 표현은 아니다. 위험에 노출되는 것은 기기가 아니라 정보이기 때문이다. 즉 HTTPS가 아닌 사이트를 방문하는 것이 가장 취약하다.

Q. 와이파이 비밀번호를 변경하면 안전한가
비밀번호를 변경해도 위험에 노출될 확률이 낮아지지 않는다. 이 취약점 공격은 라우터가 암호화한 정보를 표적으로 삼는다. 그러니 공격자는 비밀번호를 크랙할 필요가 없다. 비밀번호는 이 공격에 어떤 영향도 미치지 않는다.

Q. 모든 기기가 위험하다는 이야기인가
그렇다. 와이파이를 통해 데이터를 송수신하는 모든 기기가 위험에 노출되어 있다. 그러나 전문가들은 안드로이드 기기가 훨씬 더 큰 위험에 노출되어 있다고 지적한다.

Q. 안드로이드 스마트폰을 가지고 있지만, 누가(Nougat)가 설치되어 있다면 안전한가
불행히도 아니다. 안드로이드 6.0 이후 버전이 설치된 신형 스마트폰이 더 위험하다. 문제를 더 복잡하게 만들고, 트래픽 가로채기와 조작에 취약한 기존 취약점이 코드에 포함되어 있기 때문이다.
그러나 일부 기기는 픽스가 배포되었다. 구글은 11월 보안 패치에서 크랙 취약점을 해결했으며, 11월 6일부터 픽셀과 넥서스 기기를 대상으로 배포를 시작했다. 그러나 다른 안드로이드 하드웨어 제조업체와 이동 통신업체가 이 패치를 검사, 스마트폰과 태블릿에 패치를 배포하기까지 몇 주, 또는 몇 개월이 소요될 수 있다. 구형 기기를 중심으로 업데이트를 받지 못하는 장치도 많을 것이다.

Q. 그렇다면 아이폰과 맥은 안전한가
안드로이드보다 안전하지만, 100% 안전한 것은 아니다. 그러나 최신 iOS, 맥OS, 워치OS, tvOS 버전에 크랙 픽스가 포함되어 있다. 그러니 아직 업데이트를 하지 않았으면 서두르는 것이 좋다.

Q. 윈도우 PC는 안전한가
최신 상태라면 안전하다. 마이크로소프트는 크랙 취약점이 공개되기 전인 10월 10일 크랙 공격을 저지할 수 있는 윈도우 패치를 배포했다.

Q. 리눅스는 크랙 공격에 취약하지 않는가
그렇다고 대답하기 힘들다. 전문가에 따르면, 가장 취약한 데스크톱 기기가 리눅스다. 안드로이드 코드와 유사한 버그가 발견되었기 때문이다. 그러나 좋은 소식이 있다. 현재 업스트림 리눅스 패치를 사용할 수 있다. 우분투(Ubuntu), 젠투(Gentoo), 아치(Arch), 데비안(Debian) 배포판에 크랙을 저지하는 업데이트가 배포되어 있다. 오픈BSD(OpenBSD)에도 패치가 있다.

Q. 자동 업데이트를 켜 놨다. 모바일 기기가 업데이트됐는지 확인하는 방법은
설정(Setting) 앱에서 시스템 소프트웨어 업데이트 항목으로 이동해 최신 버전으로 업데이트된 상태인지 확인할 수 있다. 오웬 윌리엄스는 리차지드(Recharged) 블로그에 패치를 배포한 회사 리스트를 계속 업데이트하고 있다. 아주 유용한 자료이다. 

Q. 라우터는 어떠한가
라우터에 펌웨어 업데이트가 있는지 확인해야 한다. 스마트폰이나 PC와 다르게, 라우터 업데이트를 신경쓰지 않는 사람들이 많다. 관리자 페이지에 로그인, 배포된 업데이트를 설치해야 한다. 배포된 업데이트가 없어도 매일 확인을 하는 것이 좋다. 이미 패치를 배포한 제조업체도 있지만, 향후 몇 주에 걸쳐 패치를 배포할 계획인 제조업체도 있기 때문이다.
넷기어(Netgear), 인텔(Intel), 이에로(Eero), 기타 기업 관련 네트워킹 제품 공급업체들은 이미 크랙 라우터 패치를 배포했다. 이에로는 패치를 OTA(Over-the-air) 업데이트로 자동 배포하고 있다. 인기 있는 DD-WRT 오픈(개방형) 라우터 펌웨어도 패치를 완성했지만, 아직 다운로드는 불가능한 상태이다. 그러나 곧 다운로드가 가능해질 전망이다.

Q. 그렇다면 와이파이를 꺼야 하는가
대부분의 사람에게는 '선택지’가 아니다. 그러나 이를 중시한다면, 라우터가 패치될 때까지 와이파이 사용을 피하는 것이 100% 안전할 수 있는 유일한 방법이다. editor@itworld.co.kr  

2017.11.10

와이파이 취약점 "크랙"에 대해 알아야할 것과 이에 대응하는 방법

Brad Chacos, Michael Simon | PCWorld
와이파이 WPA 보안 프로토콜에 심각한 보안 취약점이 있는 것으로 드러났다. 해커들이 와이파이에 연결된 사용자의 데이터를 엿볼 수도 있는 취약점이다. 이 문제점에 크랙(KRACK)이라는 이름이 붙여졌다.

크랙을 처음 발견한 연구원인 매티 밴호프에 따르면, 크랙은 특정 제품이나 구현 기술이 아닌 와이파이 프로토콜 자체에 영향을 미친다. 그리고 이 최신 프로토콜을 사용하는 모든 최신 와이파이 네트워크에 위험을 초래하는데, 와이파이를 사용하고 있는 기기라면, 크랙에 영향을 받을 확률이 높다. 다행히 주요 IT 업체들이 이 취약점을 패칭하기 위해 발 빠르게 움직이고 있다.

지금부터 크랙의 작동 원리부터 스스로를 보호할 최고의 방법까지 크랙 와이파이 취약점에 대한 필수 정보를 제공한다. 애플 사용자는 가장 먼저 iOS 11.1로 맥OS(macOS) 10.13.1업데이트 해야 한다. 그리고 픽셀과 넥서스 기기 사용자는 안드로이드 11월 보안 패치를 설치해야 한다.

크랙이 와이파이 보안을 무너뜨리는 방법
크랙(Key Reinstallation AttaCK, KRAC)은 와이파이 클라이언트 장치가 보호된 와이파이 네트워크에 연결을 시도할 때 작동하는 인증 '신호변경(handshake)' 4단계 중 3번째 단계를 표적으로 삼는다. 3단계 동안 여러 차례 암호화 키를 송신할 수 있다. 공격자가 특별한 방법으로 이런 재송신을 수집해 재전송할 때 와이파이 보안 암호화가 붕괴된다.

이는 클리프노츠(CliffsNotes)의 설명이다. 기술적인 자세한 내용은 매티 밴호프의 크랙 공격 웹사이트를 참조하라. 

크랙에 영향을 받는 기기는
와이파이를 사용하는 기기는 모두 어느 정도 크랙 와이파이 보안 취약점에 취약할 확률이 높다. 유독 더 취약한 기기도 존재할 것이다. 이와 관련, 특정 기기들이 크랙에 어떻게 영향을 받는 지는 후술하도록 한다.

와이파이 보안이 붕괴되면 무슨 일이 일어날까
일단 공격자는 사용자가 네트워크를 통해 전송하는 트래픽을 엿볼 수 있다. 밴호프는 "이를 통해 신용카드 번호, 비밀번호, 채팅 메시지, 이메일, 사진 등 요주의 정보를 훔칠 수 있다"고 경고했다. 이에 대한 자세한 내용은 다음의 기사를 참조하길 바란다. 몇 년 전 기사이지만 여전히 유용한 정보가 들어있다.

아르스 테크니카(Ars Technica)에 따르면, US-CERT(United States Computer Emergency Readiness Team) 또한 크랙 보안 권고 보고서에서 크랙의 위험에 대해 경고했다. "이런 취약점을 악용, 비밀번호를 해독하고, 패킷을 재전송하고, TCP 연결을 하이재킹하고, HTTP 콘텐츠를 주입하는 등의 위험을 초래할 수 있다."

HTTP 콘텐츠 주입(HTTP content injection)이란 공격자가 웹사이트에 사용자 PC를 랜섬웨어나 악성코드로 감염시킬 수 있는 코드를 몰래 주입하는 것을 의미한다. 아주 큰 위험에 노출될 수 있다는 이야기다. 만약을 대비해 보안을 튼튼히 하는 것이 좋다. 

실제 와이파이 보안이 붕괴되고 있을까
밴호프는 "실제 이런 취약점이 활발히 악용되고 있는지, 또는 그렇게 될지 단언할 수 있는 상태가 아니다"고 말했다. US-CERT의 권고 보고서에도 크랙의 실제 악용에 대한 정보는 나와있지 않다.

다행히 어느 정도 위안이 되는 소식이 있다. 아이언 그룹(Iron Group) CTO 알렉스 허드슨은 "공격자가 사용자 와이파이 네트워크의 도달 범위에 위치해야 크랙 공격을 할 수 있다"며, "갑자기 인터넷의 모든 사람들이 공격을 받게 되는 것은 아니다"고 설명했다.

크랙 와이파이 취약점으로부터 스스로를 보호하는 방법
기기를 최신 상태로 유지해야 한다. 반호프는 "이전 버전 호환성을 감안한 방식으로 패칭을 할 수 있다"고 말했다. 기기에 크랙을 방지하는 업데이트를 다운로드, 보안 취약점으로부터 보호받으면서 패칭이 되지 않은 하드웨어와 통신할 수 있다는 의미다. 크랙의 파급력 때문에 수많은 유수 하드웨어와 운영체제 공급업체들이 신속히 패치를 배포하고 있다.

예를 들어, 최신 업데이트와 패치가 적용된 윈도우 PC는 이미 크랙으로부터 안전한 상태다. 하지만 다른 기기가 업데이트 되기까지, 크랙에 대한 추가 보안 대책을 세워 실천할 수 있다. 가장 쉬운 방법은 유선 이더넷 연결을 사용하거나, 스마트폰 연결을 사용하는 것이다. 그러나 이렇게 할 수 없는 때가 있다.

비밀번호로 보호된 핫스팟을 포함한 공용 와이파이 핫스팟을 사용해야만 하는 경우, HTTPS 암호화를 사용하는 웹사이트만 이용하는 것이 좋다. 이런 안전한 웹사이트들은 와이파이 보안이 침해 당해도 안전하기 때문이다. 암호화된 웹사이트의 URL은 HTTPS로 시작된다. 반면 안전하지 않은 웹사이트는 HTTP이다. EFT(Electronic Frontier Foundation)의 HTTPS 에브리웨어(HTTP Everywhere) 브라우저 플러그인은 HTTPS를 지원하는 모든 사이트가 이런 보호책을 사용하도록 강제한다.

가상 사설망(VPN)을 사용해 네트워크 트래픽을 완전히 감추는 방법도 있다. 그러나 무료 VPN은 데이터가 위험에 노출될 수 있으니 전적으로 신뢰해서는 안된다. 신뢰할 수 있는 VPN 공급업체는 PC월드의 ‘최고의 VPN 서비스(Best VPN services)’ 기사를 참조한다. 또한 코드 주입 멜웨어를 저지하기 위해 바이러스 백신 소프트웨어를 최신 상태로 유지한다.

더 나아가, 와이파이 얼라이언스(Wi-Fi Alliance)는 전세계의 인증 시험소에서 크랙 WPA2 취약점을 테스트, 새로운 기기들이 처음부터 안전한 상태로 출시되도록 만들 계획이다.

기기와 라우터 와이파이 보안에 대한 FAQ
Q. 자신의 스마트폰도 위험한가
크랙은 기존 취약점 공격과 다르다. 기기가 아닌, 기기를 사용해 전송하는 정보를 표적으로 삼기 때문이다. 즉 스마트폰에 저장된 상태의 데이터는 안전하다. 그러나 신용카드 번호, 비밀번호, 이메일, 메시지 등을 와이파이로 전송할 때 탈취당할 수 있다.

Q. 자신의 라우터 또한 취약한가
취약하다고 판단해야 하지만, 아주 정확한 표현은 아니다. 위험에 노출되는 것은 기기가 아니라 정보이기 때문이다. 즉 HTTPS가 아닌 사이트를 방문하는 것이 가장 취약하다.

Q. 와이파이 비밀번호를 변경하면 안전한가
비밀번호를 변경해도 위험에 노출될 확률이 낮아지지 않는다. 이 취약점 공격은 라우터가 암호화한 정보를 표적으로 삼는다. 그러니 공격자는 비밀번호를 크랙할 필요가 없다. 비밀번호는 이 공격에 어떤 영향도 미치지 않는다.

Q. 모든 기기가 위험하다는 이야기인가
그렇다. 와이파이를 통해 데이터를 송수신하는 모든 기기가 위험에 노출되어 있다. 그러나 전문가들은 안드로이드 기기가 훨씬 더 큰 위험에 노출되어 있다고 지적한다.

Q. 안드로이드 스마트폰을 가지고 있지만, 누가(Nougat)가 설치되어 있다면 안전한가
불행히도 아니다. 안드로이드 6.0 이후 버전이 설치된 신형 스마트폰이 더 위험하다. 문제를 더 복잡하게 만들고, 트래픽 가로채기와 조작에 취약한 기존 취약점이 코드에 포함되어 있기 때문이다.
그러나 일부 기기는 픽스가 배포되었다. 구글은 11월 보안 패치에서 크랙 취약점을 해결했으며, 11월 6일부터 픽셀과 넥서스 기기를 대상으로 배포를 시작했다. 그러나 다른 안드로이드 하드웨어 제조업체와 이동 통신업체가 이 패치를 검사, 스마트폰과 태블릿에 패치를 배포하기까지 몇 주, 또는 몇 개월이 소요될 수 있다. 구형 기기를 중심으로 업데이트를 받지 못하는 장치도 많을 것이다.

Q. 그렇다면 아이폰과 맥은 안전한가
안드로이드보다 안전하지만, 100% 안전한 것은 아니다. 그러나 최신 iOS, 맥OS, 워치OS, tvOS 버전에 크랙 픽스가 포함되어 있다. 그러니 아직 업데이트를 하지 않았으면 서두르는 것이 좋다.

Q. 윈도우 PC는 안전한가
최신 상태라면 안전하다. 마이크로소프트는 크랙 취약점이 공개되기 전인 10월 10일 크랙 공격을 저지할 수 있는 윈도우 패치를 배포했다.

Q. 리눅스는 크랙 공격에 취약하지 않는가
그렇다고 대답하기 힘들다. 전문가에 따르면, 가장 취약한 데스크톱 기기가 리눅스다. 안드로이드 코드와 유사한 버그가 발견되었기 때문이다. 그러나 좋은 소식이 있다. 현재 업스트림 리눅스 패치를 사용할 수 있다. 우분투(Ubuntu), 젠투(Gentoo), 아치(Arch), 데비안(Debian) 배포판에 크랙을 저지하는 업데이트가 배포되어 있다. 오픈BSD(OpenBSD)에도 패치가 있다.

Q. 자동 업데이트를 켜 놨다. 모바일 기기가 업데이트됐는지 확인하는 방법은
설정(Setting) 앱에서 시스템 소프트웨어 업데이트 항목으로 이동해 최신 버전으로 업데이트된 상태인지 확인할 수 있다. 오웬 윌리엄스는 리차지드(Recharged) 블로그에 패치를 배포한 회사 리스트를 계속 업데이트하고 있다. 아주 유용한 자료이다. 

Q. 라우터는 어떠한가
라우터에 펌웨어 업데이트가 있는지 확인해야 한다. 스마트폰이나 PC와 다르게, 라우터 업데이트를 신경쓰지 않는 사람들이 많다. 관리자 페이지에 로그인, 배포된 업데이트를 설치해야 한다. 배포된 업데이트가 없어도 매일 확인을 하는 것이 좋다. 이미 패치를 배포한 제조업체도 있지만, 향후 몇 주에 걸쳐 패치를 배포할 계획인 제조업체도 있기 때문이다.
넷기어(Netgear), 인텔(Intel), 이에로(Eero), 기타 기업 관련 네트워킹 제품 공급업체들은 이미 크랙 라우터 패치를 배포했다. 이에로는 패치를 OTA(Over-the-air) 업데이트로 자동 배포하고 있다. 인기 있는 DD-WRT 오픈(개방형) 라우터 펌웨어도 패치를 완성했지만, 아직 다운로드는 불가능한 상태이다. 그러나 곧 다운로드가 가능해질 전망이다.

Q. 그렇다면 와이파이를 꺼야 하는가
대부분의 사람에게는 '선택지’가 아니다. 그러나 이를 중시한다면, 라우터가 패치될 때까지 와이파이 사용을 피하는 것이 100% 안전할 수 있는 유일한 방법이다. editor@itworld.co.kr  

X