와이파이 표준안을 만드는 업계 단체, 와이파이 얼라이언스가 지난 해 공개한 새 보안 표준, WPA3에 보안 취약점이 있다는 사실이 1년만에 뒤늦게 발견됐다.
이 문제는 크게 두 가지로 나눌 수 있다. 와이파이 비밀번호를 찾아낼 수 있는 문제, 또 무선공유기나 액세스포인트, 혹은 여기에 접속된 기기에 디도스(DDoS) 공격해 먹통으로 만들 수 있는 문제 등이 꼽힌다.
그러나 WPA3를 지원하는 기기 보급이 아직 초기 단계라 실제 파장은 적을 것으로 보인다. 와이파이 얼라이언스도 해당 문제가 소프트웨어적인 문제이며 각 제조사가 공개하는 업데이트로 해결 가능한 수준이라고 밝혔다.
■ 원천적인 보안 문제 안고 있던 WPA2
WPA는 유무선공유기나 액세스포인트에 접속한 노트북 컴퓨터나 스마트폰, 태블릿 등 기기가 주고 받는 데이터를 암호화하기 위한 규격이다. 56비트로 구성된 암호화 규격인 WEP에 치명적인 문제가 있다는 사실이 공개된 이후 이를 강화하기 위해 등장했다.
현재 가장 널리 쓰이는 규격인 WPA2는 2004년 처음 규정된 이후 2006년 3월부터 와이파이 얼라이언스 인증 기기에 의무 탑재됐다. 그러나 2017년 아부다비뉴욕대학 보안 전문가인 메이시 반호프가 이 규격에 보안상 근본적인 문제가 있다는 사실을 밝혀냈다.
WPA2는 일반 이용자가 유무선 공유기나 액세스 포인트에 접속할 때마다 총 네 번에 걸쳐 암호화 키를 주고 받으며 서로 확인하는 과정을 거치도록 규정해 놓았다. 그러나 메이시 반호프는 이 과정에 다른 기기가 끼어들어 모든 통신 내용을 고스란히 빼돌릴 수 있다는 사실을 증명해 냈다.
■ WPA3의 호환 모드 허점 파고든 '드래곤블러드'
마티 반호프는 해당 문제가 WPA2 규격의 근본적인 결함 때문에 발생하며 하드웨어나 소프트웨어 업데이트만으로 해결하기 어렵다고 지적했다. 이에 따라 와이파이 얼라이언스는 지난 해 새로운 규격인 WPA3를 공개했다.
그러나 이 WPA3에도 문제가 있다는 사실이 최근 드러났다. 메이시 반호프와 텔아비브대학 에얄 로넨 등 연구팀이 WPA3를 분석한 결과 두 가지 문제점이 추가로 발견된 것이다.
이들이 발견한 문제점은 크게 두 가지다. 첫 번째는 와이파이 비밀번호를 찾아낼 수 있는 것이며 두 번째는 유무선공유기나 액세스포인트, 혹은 여기에 접속된 기기에 디도스(DDoS) 공격해 먹통으로 만들 수 있는 문제점이다.
WPA3 규격은 기존 규격인 WPA2와 호환성을 확보하기 위한 모드가 탑재되어 있는데 이를 이용해서 WPA3 지원 기기를 강제로 WPA2로 접속하게 한 다음 비밀번호를 알아내는 방식이다.
특히 와이파이 비밀번호를 8자리로 설정할 경우 고성능 컴퓨터가 아닌 개인용 컴퓨터로도 이를 쉽게 파악할 수 있다. 이들은 이 문제점 두 가지에 '드래곤블러드'(Dragonblood)라는 이름을 붙였다.
■ WPA3 보급 초기 단계로 파장 적을 듯
그러나 이번에 발견된 WPA3의 문제점은 의외로 파장이 적을 것으로 보인다. WPA3가 아직 널리 보급되지 않았기 때문이다. 먼저 주요 칩셋 제조사의 최신 와이파이 칩셋 출시가 늦었던 것을 원인으로 꼽을 수 있다.
퀄컴과 브로드컴이 지난 해 말에야 WPA3를 탑재한 와이파이 칩셋을 출시했고 인텔도 이번 달 초에야 802.11ax(와이파이6)와 WPA3를 지원하는 와이파이 카드인 AX200을 출시한 상태다.
이를 탑재하고 실제 시장에 출시된 기기도 많지 않다. 국내 유통되는 유무선공유기 중 시놀로지 MR2200ac, 스마트폰 중 삼성전자 갤럭시S10 등이 WPA3를 지원한다.
관련기사
- [리뷰] 끊김없는 시놀로지 MR2200ac 메시 와이파이 라우터2019.04.17
- 넷기어, 와이파이6 지원 유무선공유기 출시2019.04.17
- 속도·도달거리 개선한 메시 와이파이 시장 커진다2019.04.17
- "전세계 공유기 41만대, 암호화폐 채굴중"2019.04.17
WPA2의 문제점이 하드웨어 교체를 통해 근본적으로 해결 가능한 것과 달리 이번 문제는 소프트웨어를 통해 대처 가능하다는 점도 파장을 줄이는 요인 중 하나다.
와이파이 얼라이언스 역시 "각 기기 제조사를 통해 제공되는 펌웨어와 소프트웨어를 설치하면 취약점을 해결할 수 있다"고 밝힌 상태다.