공공와이파이 확산 '보안' 선행돼야

확산되는 공공 와이파이에 '무선 보안' 기술적용이 시급하다.

19일 보안업계는 정부가 추진 중인 공공 와이파이 확대 개방에 맞춰 공공기관 무선랜 사용과 보안책을 마련해야 한다고 입을 모았다.

이동통신 3사가 와이파이를 개방하고 가입사 구분 없이 시민에게 제공한다. 여기에 각 지자체가 앞 다퉈 공공와이파이 존을 확대한다. 지자체가 구축하는 와이파이존은 이동통신사 망에 비해 보안이 취약하다는 게 보안업계 중론이다. 이동통신사는 회사별 인증서버에서 가입자 정보를 공유해 인증하는 방식을 쓴다. 사용자 인증이 완료되면 무선으로 오가는 데이터는 암호화한다.

공공와이파이 확산 '보안' 선행돼야

몇몇 지자체는 공공와이파이 서비스를 위해 최근 무선인증서버 등을 구매했다. 하지만 과거에 서비스를 시작한 곳은 인증 서버가 없는 곳이 많다. 무선 네트워크만 검색해 별도 인증과정 없이 바로 와이파이에 접속할 수 있다. 인증이 없으면 편리하게 인터넷을 쓰지만 오가는 데이터가 암호화되지 않아 각종 정보 유출이 가능하다. 지자체에 공공와이파이 보안을 관리할 인력도 턱없이 부족하다. 해커는 공공 와이파이 이름을 도용한 가짜 액세스포인트(AP)를 만들어 스마트폰과 PC 등에 악성코드를 감염시킬 수 있다.

또 다른 문제는 보안규정 때문에 와이파이를 쓸 수 없는 공공기관이다. 지자체 건물에 공공 와이파이 존이 설치되는데 직원은 사용하면 안 되는 구조다.

공공기관 보안지침에 따르면 내부에서 와이파이를 사용하려면 자체 보안대책을 수립해 부처 장관을 경유한 후 국가정보원장에게 보안성 검토를 의뢰해야 한다. 이 같은 복잡성 때문에 사실상 공공기관 대부분이 공식적으로 와이파이를 쓰지 못한다.

한 공공기관에서 잡히는 무선네트워크. 공공기관이 보안 규정을 지키려면 무선 네트워크 검색을 차단하도록 조치해야 한다.
<한 공공기관에서 잡히는 무선네트워크. 공공기관이 보안 규정을 지키려면 무선 네트워크 검색을 차단하도록 조치해야 한다.>

공공기관은 와이파이 사용이 제한되지만 건물 내부에서 불법 AP는 자주 감지된다. 공공 와이파이존 확대로 공공기관 내에서 접속할 수 있는 AP가 더 늘어나는 셈이다. 공공기관은 사무실 내부에 불법 AP나 AP MAC 변조 등을 막는 무선침입차단시스템(WIPS)을 설치해야 한다.

한 보안전문가는 “공공기관에 들어가 무선네트워크를 검색하면 많은 AP가 잡힌다”면서 “공공기관이 무선 보안 규정을 지키려면 이런 AP가 전혀 검색되지 않도록 해야 한다”고 설명했다. 그는 “지자체 건물에 설치되는 공공 와이파이 존은 늘어나는데 공무원은 보안 규정 때문에 사용할 수 없는 상황”이라며 “공공기관은 적정한 보안솔루션을 도입한 후 무선을 이용해야 한다”고 덧붙였다.

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

위방향 화살표