2021.08.26

와이파이 6E에 대해 CISO가 알아야 할 보안 위협과 5단계 완화 방안

Michael Hill | CSO
와이파이 6E는 와이파이 6 표준의 기술적 확장으로, 향상된 와이파이 기능과 더 낮은 간섭, 높은 처리량을 제공한다. 와이파이 얼라이언스(Wi-Fi Alliance)가 2021년 1월에 공개한 와이파이 6E는 더 늘어난 6GHz 주파수 대역으로 와이파이 6에 비해 최대 1,200MHz의 부가적인 스펙트럼을 제공한다.

미 FCC는 2020년 4월, 6GHz 대역의 비면허 사용 개방을 표결했다. 이는 스마트폰, 태블릿, 노트북, 공유기와 같은 기기가 향상된 와이파이 성능을 누릴 수 있음을 의미한다. FCC 위원장 아지트 파이는 지난해 “6GHz 비면허 기기가 소비자들 일상의 한 부분이 될 것으로 기대한다. 또한 지금 도입하는 규칙이 제조 산업용 센서뿐만 아니라 어플라이언스, 기계, 계측기, 웨어러블, 스마트 텔레비전 및 기타 소비자용 가전제품을 연결하는 사물인터넷의 성장에 중대한 역할을 할 것으로 예상한다”라고 말했다.

ISF(Information Security Forum)의 수석 연구 분석가인 폴 홀랜드는 “이 조치로 와이파이의 작동 방식이 바뀌면서 6E를 통해 더 많은 기기가 더 높은 속도로 연결할 수 있게 되므로 사용자들이 와이파이 네트워크를 사용하는 방식도 함께 변경될 가능성이 높다”면서, “지금까지는 가상 현실과 같이 무거운 네트워크 관련 기기에 제약이 있었지만 가용한 연결이 확대되면서 제조업체들이 새로운 수익 기회를 활용하기 위해 새로운 기기를 만들어 대거 출시할 것”이라고 전망했다.

와이파이 사용이 증가하면 CISO는 이에 따르는 혜택과 과제를 인식해야 한다. CISO에게 가장 중요한 사항은 다음과 같다.


와이파이 6E, 과거 버전보다 더 안전

익스트림 네트웍스(Extreme Networks)의 무선 네트워킹 부문 책임자인 데이비드 콜먼은 “와이파이 얼라이언스가 모든 와이파이 6E 기기에 대해 WPA2 보안에 대한 하위 호환성이 없는 WPA3 보안 인증을 의무화하는 만큼 와이파이 6E가 여러 측면에서 이전 세대 와이파이보다 더 안전하다”면서, “이 말은 사실상 6GHz 대역에 대해 MFP(Management Frame Protection)가 필수이며, SAE(Simultaneous Authentication of Equals)가 PSK(Pre-Shared Key) 보안을 대체한다는 것을 의미한다. SAE는 PSK 인증을 무력화할 수 있는 오프라인 사전 공격(dictionary attacks)에 대한 저항력이 있으므로 이는 중요한 개선점”이라고 말했다.

와이파이 얼라이언스는 인핸스드 오픈(Enhanced Open) 인증 지원도 요구하며, 향후 6GHz에 대한 기회적 무선 암호화(Opportunistic Wireless Encryption, OWE)도 의무화할 예정이다. 이는 더 이상 ‘개방된’ 네트워크는 없고, 항상 암호화로 사용자 데이터가 보호된다는 것을 의미한다.


와이파이 6E의 위험, 성급한 출시로 인한 취약점 발생 가능

새로운 모든 기술이 그렇듯이 와이파이 6E 역시 새로운 사이버보안 위험을 유발할 가능성이 있다. 홀랜드는 “제조업체들이 6E 지원 기기를 서둘러 개발하면서 빠른 출시를 위해 보안을 간과할 수 있다. 보안 메커니즘이 포함되지 않거나 새 6E 지원 기기를 업데이트할 경로가 없는 경우 취약점이 발생한다”면서, “기업은 와이파이 6E, 그리고 네트워킹 인프라 업그레이드에 따르는 기기의 구현이 시사하는 잠재적인 위험을 인식해야 한다. 기업들이 지금까지 와이파이, 4G, 5G에서 계속 문제를 겪어왔다는 것은 교훈을 얻지 못했고 보안 인식 수준이 아직 필요한 수준에 이르지 못했음을 의미한다”라고 경고했다.

따라서 CISO는 와이파이 6E로 인해 발생하는 기업의 사이버보안 위험을 인지하고 알리고 완화해야 한다. 보안 리더가 가장 신경써야 할 부분은 무엇일까? 다음은 주안점을 둬야 할 3가지 보안 위협이다.

- 새로운 6GHz 비인가 기기 
와이파이 보안에서 예전부터 변함없는 화두는 비인가(rogue) AP(Access Point)다. 콜먼은 비인가 AP는 의도하지 않게 기업의 유선 인프라에 대한 접근성을 제공하는, 보호되지 않는 개방된 게이트웨이”라면서, “무선 비인가 기기는 데이터 절도, 데이터 파괴, 서비스 손실 및 기타 공격에 사용될 수 있다. 일반적으로 비인가 AP는 해커가 설치하는 것이 아니라 자신의 행위가 가져올 결과를 인지하지 못한 직원에 의해 설치된다”라고 말했다.

시장에 쏟아져 나올 개인 사용자용 와이파이 6E AP와 공유기는 비인가 기기가 될 가능성이 높다. 현재의 무선 침입 차단 시스템(Wireless Intrusion Prevention System, WIPS)은 주로 802.11 기반 무선 공격, 그리고 6GHz 대역이 아닌 2.4GHz 및 5GHz 주파수 대역의 모니터링과 보호에 초점을 두기 때문이다. 콜먼은 “3중 주파수 센서 기능을 내장한 AP를 제공하는 공급업체가 6GHz 비인가 탐지에서 앞서 나갈 것”이라고 덧붙였다.

- 와이파이 6E, WPA2와 하위 호환되지 않는다
기존 와이파이 클라이언트는 6GHz에 연결할 수 없으므로 기업은 다양한 주파수 대역에 대해 다양한 수준의 보안을 구현해야 하며 이것이 관리 측면에서 큰 고충이 될 수 있다. 콜먼은 “6GHz에는 WPA3이 사용되지만 2.4GHz와 5GHz 대역에는 앞으로도 매우 오랜 시간 동안 WPA2가 주로 사용될 것”이라고 말했다.

홀랜드 역시 하위 호환성 관련 문제가 CISO에게 보안 골칫거리가 될 가능성이 높다면서 “새로운 기술이 나오면 제조업체들은 취약점 발견 시 업데이트 프로세스에서 기존의 와이파이 기기를 더 이상 포함하지 않을 것이다. 즉, 더 이상 패치를 받지 못하게 된다. 결과적으로 일부 사물인터넷 장비가 제조업체는 물론 기업 자체적으로도 그대로 방치되어 모니터링이나 패치되지 않는 장비가 회사 네트워크에 남게 되는 위험을 일으킬 수 있다”라고 말했다. 

- OWE 와이파이 6E 취약점
콜먼은 “인핸스드 오픈 인증은 포괄적인 와이파이 보안의 요구사항 가운데 절반만 충족함에도 불구하고 많은 기업이 6GHz에서 OWE를 사용할 것”이라면서, “OWE는 암호화와 데이터 프라이버시를 제공하지만 어떤 형태로든 인증이 없으므로 하이재킹 및 가장 공격(Impersonation Attacks)의 가능성을 유발한다. WPA3-퍼스널 또는 WPA3-엔터프라이즈는 인증이 필수이므로 더 나은 방법”이라고 말했다.


와이파이 6E 사이버보안 위협에 대처하기

기업은 와이파이 6E의 등장 및 수용과 관련해 보안 팀과 소통해야 한다. 콜먼과 홀랜드는 기업이 위험을 완화하기 위해서는 다음과 같은 5가지 중요한 단계를 취해야 한다고 언급했다.

1. 아직 와이파이 6E를 구축하지 않았더라도 완전한 6GHz 모니터링 기능으로 WIPS 솔루션을 업그레이드한다. 6GHz 무선이 있고 하나의 무선으로 3중 주파수 대역 스캔을 제공하는 WIPS 솔루션 센서를 찾아야 한다.

2. 6GHz 대역에서 OWE를 피하고 WPA3-퍼스널(SAE) 또는 WPA3-엔터프라이즈(802.1X)를 사용한다.

3. 보안 리더와 IT 팀을 대상으로 이 문제를 교육해 진지하게 받아들이도록 해야 한다. 콜먼은 "무방비 상태로 맞이해서는 안 된다"고 말했다.

4. 네트워크 세그먼트를 사용해 6E가 활성화된 공유기와 기기가 기업 전반에 안전하게 구현되도록 한다. 홀랜드는 “패치 및 문제에 대한 지원 계약이 분명한 기기만 구입하고, 새로운 기기를 대상으로 구매 라이프사이클에 포함되는 모든 정밀 심사를 실시해야 한다. 이렇게 하면 모든 제조업체 또는 공급업체가 기업의 공급망 관리에 연결된다”라고 말했다.

5. 제로 트러스트(Zero Trust) 전략을 고려한다. 제로 트러스트 전략은 강력한 권한 부여/인증 프로토콜을 지원하고 6E 디바이스 침해 이후의 횡적 이동을 제한함으로써 각 기기를 보호하는 데 도움이 될 수 있다.

콜먼은 와이파이 6E는 와이파이에서 20년 만에 일어나는 대대적인 사건이라면서 “이 기술을 실제로 구현하는 데 따르는 현실적인 문제와 과제를 간과하는 경우가 발생할 수 있지만, 2021년은 와이파이 6E가 기업에서 돌파구를 마련하는 해가 되고 향후 몇 개월 동안 IT 팀의 새로운 관심 영역이 될 가능성이 높다”라고 말했다. editor@itworld.co.kr


2021.08.26

와이파이 6E에 대해 CISO가 알아야 할 보안 위협과 5단계 완화 방안

Michael Hill | CSO
와이파이 6E는 와이파이 6 표준의 기술적 확장으로, 향상된 와이파이 기능과 더 낮은 간섭, 높은 처리량을 제공한다. 와이파이 얼라이언스(Wi-Fi Alliance)가 2021년 1월에 공개한 와이파이 6E는 더 늘어난 6GHz 주파수 대역으로 와이파이 6에 비해 최대 1,200MHz의 부가적인 스펙트럼을 제공한다.

미 FCC는 2020년 4월, 6GHz 대역의 비면허 사용 개방을 표결했다. 이는 스마트폰, 태블릿, 노트북, 공유기와 같은 기기가 향상된 와이파이 성능을 누릴 수 있음을 의미한다. FCC 위원장 아지트 파이는 지난해 “6GHz 비면허 기기가 소비자들 일상의 한 부분이 될 것으로 기대한다. 또한 지금 도입하는 규칙이 제조 산업용 센서뿐만 아니라 어플라이언스, 기계, 계측기, 웨어러블, 스마트 텔레비전 및 기타 소비자용 가전제품을 연결하는 사물인터넷의 성장에 중대한 역할을 할 것으로 예상한다”라고 말했다.

ISF(Information Security Forum)의 수석 연구 분석가인 폴 홀랜드는 “이 조치로 와이파이의 작동 방식이 바뀌면서 6E를 통해 더 많은 기기가 더 높은 속도로 연결할 수 있게 되므로 사용자들이 와이파이 네트워크를 사용하는 방식도 함께 변경될 가능성이 높다”면서, “지금까지는 가상 현실과 같이 무거운 네트워크 관련 기기에 제약이 있었지만 가용한 연결이 확대되면서 제조업체들이 새로운 수익 기회를 활용하기 위해 새로운 기기를 만들어 대거 출시할 것”이라고 전망했다.

와이파이 사용이 증가하면 CISO는 이에 따르는 혜택과 과제를 인식해야 한다. CISO에게 가장 중요한 사항은 다음과 같다.


와이파이 6E, 과거 버전보다 더 안전

익스트림 네트웍스(Extreme Networks)의 무선 네트워킹 부문 책임자인 데이비드 콜먼은 “와이파이 얼라이언스가 모든 와이파이 6E 기기에 대해 WPA2 보안에 대한 하위 호환성이 없는 WPA3 보안 인증을 의무화하는 만큼 와이파이 6E가 여러 측면에서 이전 세대 와이파이보다 더 안전하다”면서, “이 말은 사실상 6GHz 대역에 대해 MFP(Management Frame Protection)가 필수이며, SAE(Simultaneous Authentication of Equals)가 PSK(Pre-Shared Key) 보안을 대체한다는 것을 의미한다. SAE는 PSK 인증을 무력화할 수 있는 오프라인 사전 공격(dictionary attacks)에 대한 저항력이 있으므로 이는 중요한 개선점”이라고 말했다.

와이파이 얼라이언스는 인핸스드 오픈(Enhanced Open) 인증 지원도 요구하며, 향후 6GHz에 대한 기회적 무선 암호화(Opportunistic Wireless Encryption, OWE)도 의무화할 예정이다. 이는 더 이상 ‘개방된’ 네트워크는 없고, 항상 암호화로 사용자 데이터가 보호된다는 것을 의미한다.


와이파이 6E의 위험, 성급한 출시로 인한 취약점 발생 가능

새로운 모든 기술이 그렇듯이 와이파이 6E 역시 새로운 사이버보안 위험을 유발할 가능성이 있다. 홀랜드는 “제조업체들이 6E 지원 기기를 서둘러 개발하면서 빠른 출시를 위해 보안을 간과할 수 있다. 보안 메커니즘이 포함되지 않거나 새 6E 지원 기기를 업데이트할 경로가 없는 경우 취약점이 발생한다”면서, “기업은 와이파이 6E, 그리고 네트워킹 인프라 업그레이드에 따르는 기기의 구현이 시사하는 잠재적인 위험을 인식해야 한다. 기업들이 지금까지 와이파이, 4G, 5G에서 계속 문제를 겪어왔다는 것은 교훈을 얻지 못했고 보안 인식 수준이 아직 필요한 수준에 이르지 못했음을 의미한다”라고 경고했다.

따라서 CISO는 와이파이 6E로 인해 발생하는 기업의 사이버보안 위험을 인지하고 알리고 완화해야 한다. 보안 리더가 가장 신경써야 할 부분은 무엇일까? 다음은 주안점을 둬야 할 3가지 보안 위협이다.

- 새로운 6GHz 비인가 기기 
와이파이 보안에서 예전부터 변함없는 화두는 비인가(rogue) AP(Access Point)다. 콜먼은 비인가 AP는 의도하지 않게 기업의 유선 인프라에 대한 접근성을 제공하는, 보호되지 않는 개방된 게이트웨이”라면서, “무선 비인가 기기는 데이터 절도, 데이터 파괴, 서비스 손실 및 기타 공격에 사용될 수 있다. 일반적으로 비인가 AP는 해커가 설치하는 것이 아니라 자신의 행위가 가져올 결과를 인지하지 못한 직원에 의해 설치된다”라고 말했다.

시장에 쏟아져 나올 개인 사용자용 와이파이 6E AP와 공유기는 비인가 기기가 될 가능성이 높다. 현재의 무선 침입 차단 시스템(Wireless Intrusion Prevention System, WIPS)은 주로 802.11 기반 무선 공격, 그리고 6GHz 대역이 아닌 2.4GHz 및 5GHz 주파수 대역의 모니터링과 보호에 초점을 두기 때문이다. 콜먼은 “3중 주파수 센서 기능을 내장한 AP를 제공하는 공급업체가 6GHz 비인가 탐지에서 앞서 나갈 것”이라고 덧붙였다.

- 와이파이 6E, WPA2와 하위 호환되지 않는다
기존 와이파이 클라이언트는 6GHz에 연결할 수 없으므로 기업은 다양한 주파수 대역에 대해 다양한 수준의 보안을 구현해야 하며 이것이 관리 측면에서 큰 고충이 될 수 있다. 콜먼은 “6GHz에는 WPA3이 사용되지만 2.4GHz와 5GHz 대역에는 앞으로도 매우 오랜 시간 동안 WPA2가 주로 사용될 것”이라고 말했다.

홀랜드 역시 하위 호환성 관련 문제가 CISO에게 보안 골칫거리가 될 가능성이 높다면서 “새로운 기술이 나오면 제조업체들은 취약점 발견 시 업데이트 프로세스에서 기존의 와이파이 기기를 더 이상 포함하지 않을 것이다. 즉, 더 이상 패치를 받지 못하게 된다. 결과적으로 일부 사물인터넷 장비가 제조업체는 물론 기업 자체적으로도 그대로 방치되어 모니터링이나 패치되지 않는 장비가 회사 네트워크에 남게 되는 위험을 일으킬 수 있다”라고 말했다. 

- OWE 와이파이 6E 취약점
콜먼은 “인핸스드 오픈 인증은 포괄적인 와이파이 보안의 요구사항 가운데 절반만 충족함에도 불구하고 많은 기업이 6GHz에서 OWE를 사용할 것”이라면서, “OWE는 암호화와 데이터 프라이버시를 제공하지만 어떤 형태로든 인증이 없으므로 하이재킹 및 가장 공격(Impersonation Attacks)의 가능성을 유발한다. WPA3-퍼스널 또는 WPA3-엔터프라이즈는 인증이 필수이므로 더 나은 방법”이라고 말했다.


와이파이 6E 사이버보안 위협에 대처하기

기업은 와이파이 6E의 등장 및 수용과 관련해 보안 팀과 소통해야 한다. 콜먼과 홀랜드는 기업이 위험을 완화하기 위해서는 다음과 같은 5가지 중요한 단계를 취해야 한다고 언급했다.

1. 아직 와이파이 6E를 구축하지 않았더라도 완전한 6GHz 모니터링 기능으로 WIPS 솔루션을 업그레이드한다. 6GHz 무선이 있고 하나의 무선으로 3중 주파수 대역 스캔을 제공하는 WIPS 솔루션 센서를 찾아야 한다.

2. 6GHz 대역에서 OWE를 피하고 WPA3-퍼스널(SAE) 또는 WPA3-엔터프라이즈(802.1X)를 사용한다.

3. 보안 리더와 IT 팀을 대상으로 이 문제를 교육해 진지하게 받아들이도록 해야 한다. 콜먼은 "무방비 상태로 맞이해서는 안 된다"고 말했다.

4. 네트워크 세그먼트를 사용해 6E가 활성화된 공유기와 기기가 기업 전반에 안전하게 구현되도록 한다. 홀랜드는 “패치 및 문제에 대한 지원 계약이 분명한 기기만 구입하고, 새로운 기기를 대상으로 구매 라이프사이클에 포함되는 모든 정밀 심사를 실시해야 한다. 이렇게 하면 모든 제조업체 또는 공급업체가 기업의 공급망 관리에 연결된다”라고 말했다.

5. 제로 트러스트(Zero Trust) 전략을 고려한다. 제로 트러스트 전략은 강력한 권한 부여/인증 프로토콜을 지원하고 6E 디바이스 침해 이후의 횡적 이동을 제한함으로써 각 기기를 보호하는 데 도움이 될 수 있다.

콜먼은 와이파이 6E는 와이파이에서 20년 만에 일어나는 대대적인 사건이라면서 “이 기술을 실제로 구현하는 데 따르는 현실적인 문제와 과제를 간과하는 경우가 발생할 수 있지만, 2021년은 와이파이 6E가 기업에서 돌파구를 마련하는 해가 되고 향후 몇 개월 동안 IT 팀의 새로운 관심 영역이 될 가능성이 높다”라고 말했다. editor@itworld.co.kr


X