무선랜 보안기술 정리 (인증 / 암호화 / 인증+암호화)
키워드: 802.1X(EAP), WPA2/3, CCMP(AES) · GCMP, SAE, PMF(802.11w), OWE, WEP/TKIP 사용 금지
1) 인증(Authenticaion)만 다루는 기술
| 구분 | 기술/모드 | 핵심 기능 | 장점 | 한계/주의 | 출제 포인트 |
|---|---|---|---|---|---|
| 개방 인증 | Open System | 인증 절차 없음 | 연결 용이 | 보안 없음 | “오픈 SSID=암호화 無” 구분 |
| 포털 기반 | Captive Portal | 웹 인증(쿠폰/계정) | 손님망용 | 무선 구간 평문일 수 있음(암호화 별도) | 포털≠무선 암호화 |
| MAC 인증 | MAC Filtering | MAC 화이트리스트 | 간단 | MAC 위조 쉬움 | 단독 보안 불가 |
| 802.1X/EAP | EAP-TLS, PEAP, EAP-TTLS 등 | RADIUS+증명서/자격로 사용자/디바이스 인증 | 엔터프라이즈 표준 | CA/인증서 운영 필요 | “WPA-Enterprise=802.1X/EAP” 연결 |
※ 위 기술만으론 무선 구간 암호화가 보장되지 않습니다(암호화 별도 필요).
2) 암호화(Encryption)만 다루는 기술
| 구분 | 기술/알고리즘 | 핵심 기능 | 장점 | 한계/주의 | 출제 포인트 |
|---|---|---|---|---|---|
| WEP(사용 금지) | RC4+IV | 초창기 암호화 | 거의 없음 | 취약(IV 재사용/키복구) | “레거시·금지” 정답 |
| TKIP(지양) | TKIP | WEP 보완용 | 구형 호환 | 취약/성능↓, 11n 이상 제약 | “WPA(초기)=TKIP” 구분 |
| CCMP(AES) | AES-CCM | WPA2 표준 암호화 | 안전성/보편 | HW 의존(구형 장비 성능) | “WPA2=CCMP(AES)” |
| GCMP(AES) | AES-GCM | WPA3/11ac/ax 고속 | 속도↑/보안↑ | 구형 호환성 | “WPA3-E 192bit=GCMP-256” |
| OWE | Opportunistic Wireless Encryption | 패스워드 없이 암호화 | 오픈망 프라이버시 | 인증 없음(임의 AP) | “오픈망 암호화(O.W.E.)” |
PMF(Protected Management Frames, 802.11w): 관리프레임 보호(디스어소시에이션/디어소스 등 스푸핑 방지). WPA3 필수, WPA2는 선택.
3) 인증+암호화(End-to-End 보안모드)
| 표기 | 인증 방식 | 암호화/키 관리 | 특징/장점 | 한계/주의 | 출제 포인트 |
|---|---|---|---|---|---|
| WPA2-Personal (PSK) | 공유키(PSK) | CCMP(AES) | 간단 배포, 가정/소규모 | PSK 유출·공유 위험 | “PSK=공유 비밀키” |
| WPA2-Enterprise | 802.1X/EAP | CCMP(AES), 동적 세션키 | 사용자·디바이스 단위 통제 | RADIUS/CA 운영 필요 | “Enterprise=802.1X/EAP” |
| WPA3-Personal (SAE) | SAE(암호 인증) | CCMP/GCMP, PMF 필수 | 사전공격·키재사용 공격에 강함 | 구형 단말 호환 | “SAE=패스워드 기반 PAKE” |
| WPA3-Enterprise (128-bit) | 802.1X/EAP | CCMP-128/GCMP-128, PMF 필수 | 엔터프라이즈 표준 | EAP/인증서 설계 중요 | “WPA3-E=PMF 필수” |
| WPA3-Enterprise 192-bit(Suite-B) | EAP-TLS 권장 | GCMP-256, 48-bit PN | 고강도 암호군 | 장비·라이선스 요구 | “192-bit 모드 요건” |
| OWE(참고) | 없음(무인증) | 세션 암호화 | 오픈망 프라이버시 개선 | 사용자 인증 불가 | “암호화 有, 인증 無” |
구성/설계 체크리스트 (실무 & 시험 팁)
-
권장 조합
-
개인/작은 조직: WPA3-Personal(SAE) → WPA2-PSK(혼용) fallback
-
기업: WPA3-Enterprise(가능 시 192-bit) / 최소 WPA2-Enterprise(EAP-TLS 권장)
-
-
필수 옵션: PMF(11w) ON, WPS 비활성화, 관리 SSID 은닉보다 강한 인증/암호화가 더 중요
-
로밍/사용성: 802.11r(FT), 11k/11v 활성화로 원활한 핸드오버(보안 모드와 병행 가능)
-
게스트 망: OWE 또는 Captive+OWE(인증은 포털, 암호화는 OWE) → 오픈 평문 지양
-
취약/지양: WEP/TKIP 금지, 약한 PSK(사전 대입), 오래된 EAP-MSCHAPv2 단독 사용 주의(가능하면 EAP-TLS)
빠른 암기 카드
-
WPA2=CCMP(AES), WPA3=SAE/PMF 필수, Enterprise=802.1X(EAP)
-
OWE=무인증 암호화, WEP/TKIP=레거시·금지
-
PMF(11w): 관리프레임 보호(디어소스/디스어소시에이션 스푸핑 방지)
미니 퀴즈
Q1. 오픈 SSID지만 무선 구간은 암호화하려면 어떤 기술?
Q2. PSK 공유로 인한 보안 우려를 줄이는 WPA3 개인용 인증은?
Q3. 엔터프라이즈급 사용자 단위 통제를 위해 필요한 표준은?
-
A1. OWE (Opportunistic Wireless Encryption)
-
A2. SAE (WPA3-Personal)
-
A3. 802.1X/EAP (WPA/WPA2/WPA3-Enterprise)
