와이파이 802.1x EAP(PEAP) CA 인증서

학교에서나 회사에서 와이파이를 사용할 때, 802.1x 의 EAP - PEAP를 적용한 와이파이 망을 사용할 때가 있다. 내가 사용하는 와이파이망도 동일한 방식의 암호화를 사용한다.

최근 스마트폰을 LG X Power 에서 삼성 갤럭시로 바꿔서 와이파이 설정을 다시 해야 했다. 와이파이 인증할 때, 늘 하던 방식대로 로그인하려니, 예전에는 나타나지 않았던 '특정 인증서가 없어 보안 연결이 제공되지 않습니다.' 라는 경고 문구가 하나 보였다.

WI-FI 네트워크 추가

네트워크 이름

Secure_zone

보안

802.1x EAP

EAP 방식

PEAP

2단계 인증

설정 안 함

CA 인증서

인증 안 함

특정 인증서가 없어 보안 연결이 제공되지 않습니다.

(No certificate specified. Your connection won't be private.)

ID

익명ID

비밀번호

와이파이 연결 시 나오는 화면

분명 802.1x EAP로 보안이 적용되는데, 보안 연결이 제공되지 않는다는 무슨 의미일까, 그리고 생각해보니 저 익명 ID는 또 뭐하는 것일까.

CA 인증서란 무엇인가

CA 인증서는 검증된 인증기관(Certificate Authority, CA) 에서 만들어진 디지털 인증서로, 해당 와이파이 망이 진짜 서비스 제공자가 운영하는 와이파이 망인지 검증하는데 사용된다.

예를 들어 사용자는 스마트폰으로 802.1x 로 와이파이를 사용하기 위해 평소에 접속하려던 와이파이 이름(SSID)에 접속하려고 한다. 하지만 사실 사용자 입장에서는 접속할 때, 해당 와이파이가 정말 자신이 원하는 와이파이인지 알기가 힘들다. 누가 악의적으로 접속시 필요한 ID와 비밀번호를 낚아채려고 이름이 같은 와이파이를 하나 만들어 놓고, 누가 로그인 하기 만을 기다린다면?^{[각주:1][각주:2]}

HTTPS를 사용할 때 보이는 자물쇠

이러한 문제를 해결하기 위한 방법으로 우리가 평소에 많이 쓰는 HTTPS 처럼 인증서를 사용하면 된다. HTTP가 아닌 HTTPS로 접속하는 사이트를 보면, 주소창 근처의 자물쇠 버튼이 있다. 그 자물쇠를 눌려보면 Verisign, Geotrust, Comodo등 인증 기관을 통해 해당 사이트가 검증되었다는 것을 볼 수 있는데, 와이파이에도 이러한 인증 기관이 발행한 인증서를 통한 검증 방식을 적용할 수 있다.

Website identification

VeriSign

has identified this site as

tattler.tistory.com

KR

Your connection to the server is encrypted.

본 블로그를 Edge 에서 인증 정보를 본 경우

CA 인증서는 와이파이 인증시 사용된다.^{[각주:3][각주:4]}

우선 EAP-PEAP 보안 방식은 처음 접속 시, 서버로 부터 디지털 인증서를 받고 인증서에 적힌 공개키로 암호화를 해서 로그인을 방식으로 인증이 이뤄진다. 이 때 받은 디지털 인증서를 확인해서 이 인증서를 믿을 수 있다면 올바른 네트워크에 접속한 거고, 만약에 타당하지 않다면 올바르지 않은 네트워크에 접속을 한 것이다.

그렇다면 이 인증서는 어떻게 타당한지 정해질 수 있는가? 여기서 사용되는 방법이 바로 CA 인증서를 사용한 검증이다.^[각주:5] 검증 방식은 CA 인증서에 기록된 복호화 키로, 서버측 인증서를 복호화하는 방식을 통해 검증된다. 만약 복호화에 성공한다면 인증서는 믿을 수 있는 인증서이고, 복호화에 실패한다면, 이 인증서는 믿을 수 없으므로 악의적으로 만들어진 와이파이에 접속되는 확률이 높음을 의미한다.^{[각주:6][각주:7]}

즉 CA 인증서는 와이파이 인증서 유효성 검증 목적으로 Verisign, Geotrust, Comodo등 신뢰성 있는 기관에서 만들어지는 파일이라고 볼 수 있다.

만약 CA 인증서 없이 와이파이에 접속하려고 한다면? 서버측 인증서를 검사하지 않고 바로 로그인 단계로 진행한다는 의미가 된다. 즉, 와이파이가 원래 접속하려는 와이파이가 아닐 수도 있다는 말이 된다. 하지만, 서버측 인증서가 유효한지 판단할 수는 없어도, 우선 와이파이에 접속이 성공하면 TLS 터널을 만들어서 안전하게 사용할 수 있다.^[각주:8] 이 상태에서는 주변에서 데이터를 가로채 해독하는 것이 힘들다.

'특정 인증서가 없어 보안 연결이 제공되지 않습니다.' 문구는 보안 연결이 생성되지 못하는 것이 아니라, 서버측 검증시에 보안을 장담하기 힘들다는 의미로 해석되어야 할 것 같다.

여담

만드는데 얼마나 많은 비용이 필요한지는 안 찾아봤지만, 인터넷을 찾아보면 인증서를 사용하지 않음 상태로 사용하는 곳을 심심찮게 찾을 수 있었다. 비용이 많이 드나? 흠... 그냥 개인 인증 키를 만들어서 뿌려도 될 것 같은데 귀찮아서 안하는거겠지...

처음에는 CA인증서가 클라이언트측 인증서인줄 알았는데, EAP - TLS 를 선택할 때, 클라이언트 인증서를 선택하는 창이 따로 뜨는 것과, Brother 제품 설명서에 써져 있는 내용으로 보아, 내 생각과 전혀 다름을 알 수 있었다.^[각주:9]

공공와이파이 보안 서비스도 위와 같이 인증서를 사용하지 않는 방식을 사용했다.

1. EAP방식은 PEAP를 선택하세요.
2. 2단계 인증은 MSCHAPV2를 선택하세요.
3. CA 인증서는 (설정 안 함)입니다.
4. ID에 wifi를 입력하세요.
5. 익명 ID는 입력하지 마세요.
6. 비밀번호에 wifi를 입력하세요.

공공와이파이인 보안 서비스를 이용하기 위한 과정^[각주:10]

익명ID를 뭔지 궁금해서 찾아봤는데, ID를 보내기 전에 먼저 보낼 수 있는 옵션 문구 같은 존재인 것 같다.^[각주:11]

인증서가 없어서 경고가 뜨는 것은 안드로이드 7.0 누가 버전부터 생긴 것 같다.

[본문 SVG 파일]

drawing.svg

1. 참조: security.stackexchange.com/a/193477 [본문으로]
2. 그냥 낚시 서버를 만드는 방법도 있었다. depthsecurity.com/blog/when-802-1x-peap-eap-ttls-is-worse-than-no-wireless-security [본문으로]
3. security.stackexchange.com/a/193477 [본문으로]
4. support.brother.com/g/s/id/htmldoc/ads/ads2600w/ko/html/nug/chapter6_5.html [본문으로]
5. security.stackexchange.com/a/47968 [본문으로]
6. 참조: opentutorials.org/course/228/4894 [본문으로]
7. 참조: sites.google.com/site/amitsciscozone/home/switching/peap---protected-eap-protocol [본문으로]
8. 출처: 무선랜 보안 안내서 EAP-TTLS 인증 절차 - 한국인터넷진흥원 [본문으로]
9. support.brother.com/g/s/id/htmldoc/ads/ads2600w/ko/html/nug/chapter6_5.html [본문으로]
10. 출처: wififree.kr/mservice_info03.do [본문으로]
11. 참고: sites.google.com/site/amitsciscozone/home/switching/peap---protected-eap-protocol [본문으로]