무선랜 보안 – 한단계 더 깊이

오정욱

(mat@panicsecurity.org,jeongwook.oh@samsung.com,mat@monkey.org)

현재 시큐아이닷컴에서 모의 침투를 맡고 있다.

0. Intro

        웬만한 기계 매니아라면 PDA나 소형 노트북 한대 쯤은 있을 것이다. 그리고, 그러한 물건들이 가지는 휴대성에 대해서도 지대한 관심을 가지고 있을 것이다. 이러한 상황에서 유선을 통한 네트워킹은 미지 거추장한 일이 되어 버렸다. 이미 최근에 출시되는 휴대용 기기들이 하나둘 무선랜을 기본 내장하고 있고, 몇만원이면 무선랜 기능을 추가할 수 있게 되었다.
    휴대용 기기까지 생각하기 이전에, 이미 생활속에서도 무선의 필요성은 나날이 높아지고 있다. 필자는 몇달전 XBOX를 한대 사서 거실에 두고 영화나 게임을 즐기고 있는데, 네트워크를 통해서 PC에 저장된 영화를 스트리밍해서 보기도 한다. 그런데 막상 컴퓨터와 XBOX를 연결하기 위해서 수십미터의 랜선으로 집의 외벽을 타고 반바퀴나 돌아 랜선을 연결해야 하는 일이 있었다. 이 때에 무선랜이 가능하다면 얼마나 편리할지 새삼 느낄 수 있었다. 물론 XBOX 무선랜 어댑터가 존재하긴 하지만 가격은 거의 XBOX 중고 한대 가격에 달한다.

    동전의 양면이라고 해야 할까. 이렇게 생활에 편리함을 가져다 주는 무선랜이 가끔은 범죄의 도구가 될 수도 있다. 휴대하기 간편한 얇은 노트북 한 대와 쇼핑몰에서 10만원 주고 구입한 무선랜 카드 한장이면 완전 범죄를 꿈꾸어도 좋다. 보통 방법으로 이러한 기계를 가진 공격자들을 추적해서 잡을 가능성은 매우 낮다. 조만간 나쁜 침입자들은 무선랜을 통해서 여러 사이트들을 쑥대밭으로 만들고, 웜을 퍼뜨리고, 쇼핑몰이나 은행에 침투하게 될것이다, 아니면, 이미 시작 되었을지도 모른다.

    지난번 컬럼에서 무선랜 해킹에 대한 기본을 보여 주었다면, 이제 좀더 기술적인 내용을 다루도록 하겠다. EAP-TTLS,TLS 등의 인증 방식의 헛점이나 무선랜 장비에 대한 공격, 그리고 무선랜 IDS에 대한 내용들이다.

1. 무선랜의 구성 요소

        무선랜의 구성요소는 다음과 같다.
        클라이언트
            사용자들의 노트북이나 PDA 등이 이에 해당한다.
            최근에는 아예 무선랜이 내장된 노트북이나 PDA 들도 많이 출시 되고 있다.
        억세스포인트(Access Point)
            억세스 포인트의 종류도 수없이 많다.
            최근에는 대부분 인증 포로토콜인 EAP-* 를 지원하도록 설계 되고 있다.
        인증서버(Authentication Server)
            억세스 포인트로부터 클라이언트의 인증 요청을 받아서 실제 인증을 수행하는 서버로서 억세스 포인트 안쪽 네트워크에 존재한다. 억세스 포인트와 인증 서버는 방화벽으로 트래픽을 통제할 필요가 있다.
            핫스팟 서비스를 제공할 경우 이러한 인증 서버를 중앙 집중식으로 설치할 수도 있고, 요소 요소에 따로 설치할 수도 있다. 예를 들어 전국적인 지점망을 가진 회사라면 무선랜 서비스를 제공하면서 인증 서버는 중앙 전산실에 위치하도록 구성할 수도 있고, 각 지점에 따로 인증 서버를 두고 각 지점의 인증 정보를 따로 관리하도록 할수도 있다.

2. 테스트 환경

다음은 테스트를 위한 가상 환경이다. 이 원고에 제시된 결과들은 대부분 이 테스트 환경에서 실제로 테스트 과정을 거친 것이다. 인

[]

    1. 진짜 AP
        리눅스 시스템에 Hostap를 설치하여 사용하였다.
    2. 가짜 AP
        리눅스 시스템에 Hostap를 설치하여 사용하였다.
    3. 클라이언트
        odyssey client 설치하여 사용하였다.
    4. 인증 서버
        인증서버로는 대부분 Radius 서버를 사용한다. 무선랜 구간에서는 EAP 프로토콜을 사용하게 되고 AP와 인증 서버 사이에는 Radius 프로토콜을 사용하게 된다.
        Steel-Belted Radius 서버나 오디세이 서버, 또는 freeradius 서버를 사용하였다.

3. EAP-* 인증의 문제점

    EAP는 빈약한 무선랜 보안 환경을 보완하기 위해서 자주 도입하는 인증 프로토콜이다. EAP 자체로는 실제로 사용되는 인증 프로토콜을 지정하지 않고, 단지 그러한 프로토콜을 사용하기 위한 인프라를 제공할 뿐이다. EAP 방식으로 실제로 구현된 인증 방식에는 EAP-TLS,EAP-TTLS,EAP-MD5 등이 있다. 이러한 암호화 방식은 각각의 강점과 약점을 가지고 있다.
    예를 들어 EAP-MD5는 국내에서 가장 활발한 무선랜 핫스팟 서비스인 네스팟(Nespot)에서 사용되는 프로토콜로서 세션하이재킹이나 MITM에 대해 취약하다. EAP-TLS나 EAP-TTLS도 이론적으로는 굉장히 안전한 프로토콜이나, 실제 구현상에 있어서 인증 서버나 클라이언트의 문제가 발생할 수 있는 소지를 많이 가지고 있다.
    이러한 실제적인 위험은 단지 이론적인 것이 아니라, 실제로 일어 날 가능성이 있는 종류의 공격 들이다. 예를 들어 핫스팟에 들어가서 PDA나 노트북을 통해 인터넷에 접속할 때에 자신의 인증정보가 자신도 모르는 사이에 이러한 공격자들의 손에 넘어 갈 수도 있다. 반대로 노트북 한대에 무선랜 카드 한장 정도만 가지고 조용한 카페나 사무실에서 이러한 공격을 시도할 수도 있다. 툴만 개발할 수 있다. 주머니에 PDA를 넣고 거리를 거닐면서 이러한 공격을 시도할 수도 있을 것이다.
    EAP-MD5는 가장 많이 사용되지만 보안성이 지극히 낮음이 이미 널리 알려져 있다. 상대적으로 EAP-TTLS나 EAP-TLS는 안전할 것으로 생각한다. 하지만 이러한 프로토콜 들에도 나름대로의 헛점이 있고, 또한 이러한 헛점을 이용하다 보면 시스템이 뚫리는 치명적인 결과까지 이끌어 낼 수 있다.

1. 인증 프로토콜 EAP-TTLS

        EAP-TTLS(Tunneled TLS)에서 TLS=Transport Layer Security=SSL=암호화,인증을 의미한다. 즉, TLS는 흔히 얘기하는 SSL의 또 다른 이름이다. 즉, 안전한 채널을 만들기 위해서 SSL 암호화를 사용하고 내부적으로는 또 다시 여러 가지의 프로토콜을 사용할 수 있다.
        EAP-TTLS는 EAP-TLS의 변형된 형태로 Funk사에 의해서 표준이 완성되어 가고 있는 단계이다. 현재 draft 3번째 개정판이 나온 상태이다.
            EAP-TTLS의 인증 플로우는 다음과 같다. 무선랜 구간에서는 EAPOL로 통신을 하는데 이 구간은 암호화 되어 도감청으로 부터 안전하다.

[EAP 인증 플로우]

2. 공격 개념

                EAP-TTLS의 핵심은 인증 트래픽의 암호화와 상호 인증에 있다.

        기본적으로 TLS를 사용하여 모니터링이 불가능하다. 따라서 전송중인 내용을 누군가 해독해 낼 가능성이 거의 없다.

        1. TLS를 매체로 하여 서버 인증서로 서버를 인증한다.
        2. 사용자의 id/password를 통해 클라이언트를 인증한다.

        EAP TLS의 경우 사용자의 인증서로 클라이언트를 인증하는 것에 비해 편리성이 증대 되었다. EAL-TLS의 경우에는 클라이언트도 각자의 인증서를 가지고 서버에 인증을 해야 한다.

        이렇게 개념상 하자가 없어 보이는 디자인이지만, 여기에도 헛점이 있다. 첫번째 과정인 클라이언트가 서버 인증서를 인증하는 부분에서 진짜 서버 인증서인지 여부를 클라이언트가 판단해야 한다는 데에 문제가 있다. 이러한 판단 여부에 대한 세팅은 각 무선랜 접속 프로그램마다 조금씩 다르겠지만, 대부분이 서버 인증서 체크를 옵션으로 주고 있다. 또한 서버 인증서를 체크하기 위해서는 미리 서버의 인증서가 설치 되어 있어야 한다는 단점이 있다.
        다음은 이러한 헛점을 이용한 공격 개념도이다. 공격자는 가짜 AP를 세팅하게 된다. 이러한 AP를 일반적으로 Rogue AP라고 부른다. 이 Rogue AP는 진짜 AP와 똑같은 SSID와 채널을 세팅해서 사용하게 된다.

[RogueAP 개념도]

        클라이언트의 입장에서는 진짜 AP와 Rogue AP를 구별할 방법이 전혀 없다. 이때에 중요한 것은 클라이언트가 서버의 인증서를 받는 것인데, 이 인증서가 진짜 서버의 것인지 아니면 가짜인지를 반드시 체크해야 한다는 것이다. 하지만, 대부분의 경우에는 체크하지 않는 경우가 많고, 또한 사용자에게 컨펌을 요구하는 다이얼로그 박스를 띄워도 대부분의 사용자는 경고 메시지를 무시하기 마련이다.
        Rogue AP를 사용한 공격을 당할 경우 무선랜 사용자들은 자신이 공격 당하는 것을 눈치 채지 못하면서 엉뚱한 AP를 통해서 접근하게 되고, id 유출과 동시에 password의 md5 hash 값이 누출 되어 크랙될 가능성이 생기게 된다. 또한 Rogue AP에서 해당 클라이언트에 대한 네트워크 접근이 가능하게 되고 네트워크 트래픽에 대한 모니터링과 함께 커넥션 하이재킹도 가능하게 된다. 또한 트래픽을 진짜 AP에 릴레이 시킬 경우 MITM도 가능하게 된다.
        다음은 트래픽 릴레이를 통한 MITM의 개념도이다.

[MITM 공격 개념도]

3. 공격 장비

1. Rogue AP 구성

            운영체제: 리눅스
            랜카드: Linksys WPC11
            억세스 포인트 소프트웨어: Hostap CVS version(2003.9)
            인증 서버 소프트웨어: Freeradius CVS version(2003.1006)
                무조건 인증에 대해서 Success를 보내기 위해서 소스코드의 일부를 수정

            Hostap가 구동 되기 위해서는 프리즘 계열의 무선랜 카드를 사용해야 한다. 주위에서 가장 쉽게 구할 수 있는 프리즘 계열 랜카드로 링크시스 WPC11이 있다. 싸게 구매할 경우 7만원 정도에 구매가 가능하다. Hostap가 랜카드의 롬버전에 대해서 불평하는 경우가 있는데, 이 경우에는 가상으로 롬이미지를 실시간 업로드 해서 쓰는 방법이 있으므로 걱정하지 않아도 된다.

2. 모니터링 시스템

            운영체제: 윈도우즈 2000
            랜카드: 시스코 에어로넷 350
            모니터링 툴: Airopeek

            모니터링 시스템에서는 Airopeek을 사용하였다. 하지만 리눅스 시스템 등에서 Ethereal 등을 사용하여도 또 같은 효과를 볼 수 있다. 시스코 랜카드는 멀티채널 모니터링 기능을 제공하는 것으로 알려져 있다. 그러나 리눅스 시스템에서는 이 멀티 채널 모니터링 모드에 한계가 있으므로 주의해야 한다. 따라서 윈도우즈 환경에서 Airopeek사에서 제공하는 전용 드라이버를 깔고 사용하는 것이 가장 효과적인 모니터링 방법이다.

4. 클라이언트 세팅

사용자 정보를 세팅한다.

[사용자 정보]

인증 프로토콜로 EAP/TTLS를 사용한다.

[EAP/TTLS를 인증 프로토콜로 사용]

TTLS에 내부 인증 프로토콜로 EAP/MD5를 사용한다.

[EAP/MD5-Challenge 선택]

[TTLS에 EAP/MD5 사용]

어댑터와 네트워크 세팅을 서로 연관 시킨다.

[어댑터와 네트워크 연결]

5. 정보 수집

                공격을 성공 시키기 위해서는 SSID와 채널을 알아내는 것이 가장 중요하다. SSID는 매지니머트 패킷을 모니터링하거나 Probe Request를 보내어서 그 응답을 모니터링하여 쉽게 알아 낼 수 있다. 이러한 정보들은 모니터링 시스템을 통해서 이루어진다.

6. Rogue AP 세팅

        SSID와 채널을 맞추어서 Rogue AP를 가동한다.
        소스가 수정된 인증 서버 소프트웨어를 구동시키고 Rogue AP와 연동 시킨다.
        어떠한 id,password를 사용해서 접근해도 모두 인증 성공 응답을 보내게 된다.
        다음과 같이 소스 코드를 수정하였다. EAP-TTLS를 사용하는 경우 내부에 터널링하는 인증 프로토콜을 선택하여 사용하여야 한다. 다음 코드는 EAP-MD5를 내부 프로토콜로 사용할 경우에 해당한다. md5 해쉬값 비교 루틴에서 무조건 1을 리턴하도록 되어 있다.

freeradius-snapshot-20031006/src/modules/rlm_eap/types/rlm_eap_md5/eap_md5.c
/*
* verify = MD5(id+password+challenge_sent)
*/
int eapmd5_verify(MD5_PACKET *packet, VALUE_PAIR* password,
         uint8_t *challenge)
{
    char    *ptr;
    char    string[1 + MAX_STRING_LEN*2];
    unsigned char output[MAX_STRING_LEN];
    unsigned short len;
    return 1; // 수정된 부분, 무조건 1을 리턴한다.
    /*
     *    Sanity check it.
     */
    if (packet->value_size != 16) {
        radlog(L_ERR, "rlm_eap_md5: Expected 16 bytes of response to challenge, got %d", packet->value_size);
        return 0;
    }
    len = 0;
    ptr = string;
    /*
     *    This is really rad_chap_pwencode()...
     */
    *ptr++ = packet->id;
    len++;
    memcpy(ptr, password->strvalue, password->length);
    ptr += password->length;
    len += password->length;
    /*
     *    The challenge size is hard-coded.
     */
    memcpy(ptr, challenge, MD5_CHALLENGE_LEN);
    len += MD5_CHALLENGE_LEN;
    librad_md5_calc((u_char *)output, (u_char *)string, len);
    /*
     *    The length of the response is always 16 for MD5.
     */
    if (memcmp(output, packet->value, 16) != 0) {
        return 0;
    }
    return 1;
}

7. 결론

EAP-TTLS에 대한 공격은 결국 EAP-TTLS 클라이언트에 대한 공격이다. 클라이언트가 얼마나 서버 인증서를 잘 확인하느냐의 여부가 관건이다. 따라서 기업 환경에 EAP-TTLS를 도입하려면 클라이언트의 기능을 철저히 따져볼 필요가 있다.

4. 스니핑(Sniffing)

    스니핑은 이써넷(ethernet)에서 고질적인 보안 문제중의 하나이다. 스위치를 사용한다면 스니핑을 막을 수는 있지만, 매테이블을 오버플로우 시키거나 , arp 스푸핑등의 여러가지 방법을 통해서 스위치의 이러한 작동을 방해할 수도 있다. 물론 스위치의 동작이 스니핑을 막기 위해서 고안 된 것이 아니라, 트래픽을 효율적으로 분배하기 위해서 개발 된 것이다.
    무선랜에서도 당연히 스니핑이 가능하다. WEP을 사용했을 경우에는 암호화가 되지만, WEP 크랙이 가능하고, WEP 키를 알아 내면 트래픽에 대한 디코딩이 가능하다. 문제는 WEP조차 사용하지 않는 트래픽인데, 이러한 트래픽은 사실상 모든 내용을 다 덤프해 볼 수 있다.
    스니핑을 위해서 가장 좋은 조합은 시스코 랜카드와 윈도우즈 2000, 그리고 Airopeek이다. 시스코에서는 멀티 채널 모니터링이 가능한 제품을 내어 놓고 있다, 에어로넷 시리즈라면 멀티 채널 모니터링이 가능할 것이다. 그리고, 이러한 시스코의 기능을 최대한 발휘할 수 있게 해주는 드라이버가 바로 Airopeek에서 제공되는 스니핑 전용 드라이버이다. 리눅스에서는 아직 이 드라이버의 기능을 따라잡지 못하고 있다. 시스코 랜카드, 노트북에 윈도우즈 2000, 그리고 Airopeek 만 갖추게 되면 주위에 돌아 다니는 패킷들을 모니터링하기 위해서 썩 괜찮은 시스템을 가졌다고 생각해도 좋다.
    먼저 Airopeek을 구동하여 시스코 랜카드를 사용하도록 선택한다.

[시스코 랜카드 사용]

멀티 채널 모니터링을 지원하므로 1-11번 채널의 중간 위치인 6번 채널을 모니터링하는 것이 좋다. 아니면 채널 홉핑을 1단위로 하지 말고 3-4 채널 단위로 해도 좋다. 어쨌든 전파이므로 패킷을 잡아도 에러를 가진 패킷은 생각보다 많이 잡히게 된다.

[채널 6번 모니터링]

캡쳐를 시작한다.

[캡쳐 시작]

필요하다면 캡쳐를 위한 필터링 룰을 세팅할 수 있다. 세세한 패킷의 종류와 옵션에 대해서 필터 세팅이 가능하다. 필터 세팅을 통하여 어떠한 패킷을 캡쳐할지 결정할 수 있게 된다.

[필터 세팅]

다음은 패킷 덤프 샘플이다.

[패킷 덤프 샘플]

패킷에 대한 상세 정보 샘플이다. 무선랜 패킷의 포맷에 대해서는 다른 정보들을 검색해 보기를 바란다.

[패킷 정보 샘플]

Airopeek은 해독된 정보에 URL 정보가 있을 경우 자동으로 덤프해 준다.

[해독된 URL 정보 덤프]

다음은 802.1x 패킷의 샘플이다.

[802.1x 샘플]

5. 인증서버에 대한 공격

        무선랜을 구성하는 요소들에 속하는 것들중 가장 치명적인 것이 인증서버에 대한 공격이다. 무선 구간에서도 EAP 프로토콜을 통해서 인증서버에 대해 간접적인 접근이 가능하므로 이론적으로 인증 서버에 대한 공격이 불가능하지 않다.

    몇가지 테스트를 하던 중에 우연히 오픈소스 인증 서버인 Freeradius 서버에서 치명적인 보안 결함을 발견하였다. 이 보안 결함은 무선랜 패킷을 쏴서 해당 인증서버에서 명령 실행이 가능한 버그이다.

    이러한 종류의 버그는 사용 인증 서버에서도 충분히 발견할 수 있다. 앞으로 무선랜이 더 대중화 되면 그에 상응하여 더 많은 버그들이 리포팅 될 것으로 예상된다.

6. WEP크랙

    무선랜은 물리적인 보안을 실현하는 것이 거의 불가능하므로 암호화를 사용해야 한다. 무선랜에서의 표준은 WEP이라는 암호화 방식인데, 이 표준의 문제점이 몇가지 존재한다.
    먼저, WEP의 사용이 필수적이 아니라는 데에 문제가 있다. WEP은 일반적으로 CPU 자원을 조금 더 소모시키고, 패킷에 오버헤드를 발생시키므로, 보통 사용하지 않는다. 2002년 말에 이루어진 서울 시내에 대한 조사에 의하면 WEP의 사용률은 30% 미만이었다. 현재는 어떠한 상태인지 알기 힘들지만, 현재 상황이 많이 달라졌을 것이라고 생각하지는 않는다.
    두번째 문제는 낮은 비트수의 WEP을 사용하였을 경우 크랙 가능성이 매우 높다는 것이다. 이러한 WEP 크래킹은 단지 이론적으로 크래킹 가능하다는 차원이 아닌, 실제로 응용이 가능할 정도의 효과를 가지고 있다. 즉, WEP을 사용하는 네트워크를 몇시간 내지는 몇일 모니터링 하면 사용중인 WEP키를 알아 낼 수 있을 정도이다.

1. WEP 크래킹 개요

        Scott Fluhrer,Itsik Mantin,Adi Shamin에 의해서 공개된 "Weakness in the Key Scheduling Algorithm of RC4"라는 논문에서 WEP의 취약성이 알려지게 되었다.

        WEP은 4개의 키를 제공하고 각 key를 전환해 가면서 사용하도록 되어 잇다. 하지만 이러한 key 전환은 주기적으로 이뤄지지 않는다.
        24bit의 IV(Initialization Vector)를 제공하는데 IV는 각 패킷마다 바뀐다. 따라서 각 패킷은 다른 키를 가지고 암호화가 된다. 하지만 근원적으로 하나의 키에서 출발하므로  IV의 경우의 수는 매우 작게 된다. 따라서 많은 트래픽을 전송할 경우 같은 키를 재사용하는 경우가 생기게 된다. 공격자들이 만약 같은 키와 IV로 암호화된 두개의 메시지를 모니터링하게 되면 통계적인 방법으로 키와 원문을 해독할 수 있게 된다.
        대표적인 WEP Cracker로는 다음과 같은 두가지 툴이 있다.
                        Airsnort
                http://airsnort.shmoo.com
                        WEPCrack
                http://sourceforge.net/projects/wepcrack

2. 설정상의 주의

        설정
            리눅스 커널 2.4.xx를 사용한다.
                PF_PACKET을 사용하도록 체크하고 컴파일하고 인스톨한다.

3. 테스트

다음과 같이 패킷을 캡쳐하여 분석한다.

[크래킹중...]

다음은 크랙된 화면이다.

[크랙됨]

7. 무선랜 보안 제품

        무선랜에 가해지는 이러한 종류의 공격들을 방어하기 위해서 많은 솔루션들이 조금씩 나오고 있다. 방화벽과 IDS 그리고 AP를 일체형으로 제작한 제품도 있고, 무선랜 패킷을 모니터링하는 무선랜 IDS도 존재한다. 또한 무선랜 장비들의 보안 취약점을 점검해 주는 스캐너도 존재한다.

8. 마치며

무선랜 보안에 대해 간략하게 살펴 보았다. 주마 간산이라고 해야 할까. 여기에 소개한 내용은 필자가 무선랜 보안에 관심을 가지게 된 2002년 4월 이후에 조금씩 시간을 내어 자료를 수집하고, 공부하고, 테스트한 내용이다. 막상 보안 컨설팅 회사에 다니기는 하지만 회사에서도 무선랜 보안에 대해서는 그렇게 큰 관심을 두지 않는 형편이라서 관련 장비들은 모두 스스로 마련해야 했다. 막상 정리해 보니 단지 몇페이지의 글 밖에 되지 않는다. 하지만, 이러한 정보들이 앞으로 다른 보안 전문가나 예비 보안 전문가들이 무선랜 보안에 대해서 더 집중할 수 있는 디딤돌이 되었으면 한다. 무선랜이 앞으로 주류가 될지 아니면 한 때 쓰였던 퇴물이 될지는 알 수 없다. 하지만 무선 환경이라는 극단적으로 개방된 환경에서 어떻게 보안을 확립할 것인지에 대한 고민은 보안과 관련된 다른 일들에도 많은 도움이 될 것으로 생각한다.