CNET Korea뉴스엔터프라이즈

와이파이 내장 스마트폰·태블릿·PC가 위험하다

벨기에 전문가 “WPA2 보안도 깰 수 있다”

와이파이를 내장한 모든 스마트 기기가 위험에 처했다.

(씨넷코리아=권봉석 기자) 현재 쓰이는 와이파이 보안 규격 중 가장 강력하다고 여겨졌던 WPA2에 심각한 문제가 있다는 사실이 드러났다. 이를 바탕으로 만들어진 수 많은 와이파이 기기도 위험에 놓였다.

벨기에 루벤 카톨릭 대학에서 네트워크와 무선 보안을 연구하는 마티 반호프가 한국시간으로 16일 저녁 이와 같은 연구 결과를 논문웹사이트로 공개했다.

WPA는 ‘와이파이 프로텍티드 액세스’의 약자다. 와이파이가 도입된 초창기에 쓰였던 암호화 기법인 WEP에 심각한 문제가 있다는 사실이 발견된 후 도입되었다. 현재 쓰이는 가장 최신 버전은 WPA2이며 2004년부터 쓰이기 시작했다.

WPA2는 일반 이용자가 유무선 공유기나 액세스 포인트에 접속하면 총 네 번에 걸쳐 암호화 키를 주고 받으며 서로 확인하는 과정을 거치도록 규정해 놓았다. 이 방법은 14년 이상 쓰여왔고 문제가 없는 것처럼 보였지만 여기에 큰 문제가 있다는 사실이 밝혀진 것이다.

마티 반호프는 “이 방법은 수학적으로도 문제가 없는 것으로 여겨졌지만 데이터를 주고 받는 과정에서 간단한 확인을 게을리하는 바람에 암호화가 깨진다는 것이 밝혀졌다”고 설명했다.

마티 반호프가 공개한 5분짜리 영상(유튜브). 안드로이드 스마트폰이 모두 도청당한다.

마티 반호프는 웹사이트를 통해 이 문제점을 실제로 악용하는 5분짜리 영상도 공개했다. 이 영상에서는 안드로이드 스마트폰과 유무선 공유기 사이에 PC가 끼어들어 두 기기가 주고 받는 모든 내용을 통째로 빼돌리는 내용이 담겨 있다.

마티 반호프가 공개한 논문과 일반인을 위해 공개한 질의응답(Q&A)에 따르면, 이번 문제는 특정 소프트웨어나 하드웨어, 펌웨어가 아닌 WPA2 자체의 문제다. 따라서 규격에 맞게 올바로 운영체제나 펌웨어, 혹은 와이파이 드라이버를 만들어도 피해갈 수 없다.

단 WPA2를 대신할 새로운 암호화 기법이 필요한 것은 아니며 액세스 포인트나 유무선 공유기가 아닌 스마트폰이나 태블릿, 노트북에서 패치나 업데이트가 이루어지면 이번 문제를 피할 수 있다고 설명했다. 이 공격 방법은 액세스 포인트나 유무선 공유기를 노리지 않기 때문이다.

따라서 일반 소비자들은 PC 제조사나 스마트폰 제조사, 혹은 유무선공유기나 액세스포인트 제조사가 패치를 내놓으면 재빨리 설치해야 이 위험에서 벗어날 수 있다.

마티 반호프는 오는 12월 초 영국 런던에서 개최되는 보안 컨퍼런스, 블랙햇 유럽 2017에서 ‘키 재설치 공격:WPA2 프로토콜 파괴하기‘라는 주제로 발표할 예정이다.

권봉석 기자bskwon@cnet.co.kr

소비자들이 꼭 알아야만 손해를 안 볼 정보가 무엇인지 항상 고민합니다. 숫자만 잔뜩 등장하는 알맹이 없는 이야기는 빼고, 고민하는 시간을 줄일 수 있는 정보를 보다 쉽게 전달하기 위해 노력하겠습니다.