와이파이서 '개인정보 줄줄'…불안한 스마트폰 사용자들
2011-05-04 정옥주 기자
특히 최근 구글과 애플이 스마트폰과 PC의 위치정보를 모두 와이파이(WiFi) 망을 통해 수집한 것이 알려지고, 가짜 무선공유기(AP)를 통한 개인정보 유출 가능성이 제기되면서 와이파이 보안 이슈는 더욱 크게 부각되고 있다.
현재 국내 와이파이존은 KT 5만7000여곳, SK텔레콤 3만8000여곳, LG유플러스 2만여곳으로 총 11만5000여곳에 달한다. 여기에 인터넷전화용 무선랜 AP를 공개 와이파이로 전환한 LG유플러스의 110만여개까지 합치면 그 수는 120만개를 훌쩍 뛰어넘는다.
또 국내 이통사들이 연말까지 와이파이존을 현 수준의 배 이상으로 늘린다는 계획이어 와이파이 보안 문제에 대한 논의는 더욱 치열해질 것으로 보인다.
와이파이는 태생적으로 보안에 취약한 구조를 갖고 있다. 정부로부터 허가를 받지 않아도 되는 주파수 대역을 활용, 누구나 자유롭게 사용할 수 있도록 '개방형'으로 설계됐기 때문이다. 선 연결없이 자유롭게 접속할 수 있어 악의적 목적을 가진 사용자가 접속해 개인정보 유출 등 다양한 보안 위협을 발생시킬 수 있다.
예컨데 보안이 취약한 무선AP에 접속해 인터넷전화를 이용할 경우 통화내용이 도청될 수 있고, IP 추적이 불가능하다는 특성상 해킹시 분산서비스거부(DDoS) 공격이나 각종 범죄 모의, 불법 다운로드 등에 악용될 가능성도 높다.
특히 이용자의 개인정보를 수집하려는 목적으로 정상 무선랜으로 위장 설치된 AP에 접속하기라도 하면 개인정보가 줄줄 새나가는 것은 시간문제다.
이에 따라 통신사들도 자체 구축한 와이파이망의 보안력 강화에 주력하고 있다. KT는 개인정보 보호를 위해 단말 USIM인증, 단말과 AP 무선 구간에는 WPA(무선 구간 암호화)를 적용한데 이어 단말과 서비스 게이트웨이 구간 전체를 암호화하는 I-WLAN을 모든 와이파이망에 적용했다. 또 스마트폰 단말 자체에 VPN(가상망) 클라이언트를 탑재, KT 와이파이 뿐만 아니라 타사 및 사설 와이파이 이용시에도 안전하게 이용할 수 있도록 했다. 하지만 KT의 이 방식은 넥서스원 등 몇몇 모델과 넷북에서는 사용할 수 없다.
SK텔레콤은 지난 1일 발표한 '가입자망 선택제어(ANDSF)'기술이 와이파이 보안 위협을 줄여주는 역할을 해줄 것으로 기대하고 있다. ANDSF는 각기 상황에 따라 3G와 와이파이 중 더 좋은 망에 자동으로 접속하도록 해주는 기술이다. 그런데 와이파이 자동 접속 시 SSID(AP 고유 명칭)과 MAC주소, 서버단에서 맞는 AP인지를 확인하는 총 3가지 단계를 거쳐 검증된 AP만 잡아주기 때문에 보안 강화에 도움이 된다는 것이다.
SK텔레콤 관계자는 "SK텔레콤 자체 시스템에서 안전하다고 판명이 난 검증된 AP에만 자동으로 접속해준다"며 "따라서 가짜 AP에 접속할 가능성을 사전에 차단할 수 있다"고 설명했다.
LG유플러스도 보안인증을 위해 국내에서 처음으로 한국정보통신기술협회(TTA)의 시험을 통과한 3중 보안체계를 갖췄다고 강조하고 있다.
보안 장치가 마련된 통신사들의 와이파이만 쓴다면 그나마 안전한 편이다. 하지만 더 큰 문제는 사설 AP다. 현재 집 안에 설치된 AP 중 상당수가 비밀번호를 걸지 않았거나 동일하게 부여된 초기 비밀번호를 사용하고 있어 남의집 AP 접속이 공공연하게 이뤄지고 있다. 따라서 가짜 AP를 만든 다음 'KT' 또는 'SK텔레콤'의 이름만 붙여놓으면 접속을 쉽게 유도할 수 있는 실정이다.
이에 따라 업계 및 보안 전문가들은 사용자 스스로 보안의식을 높이는 것이 가장 중요하다고 입을 모은다.
SK텔레콤 관계자는 "와이파이는 개방형으로 구축된만큼 보안에 취약한 것은 어쩔 수 없다"며 "금융 또는 개인정보를 필요로 하는 업무를 와이파이에서 하지 말고 아무런 조건없이 접속이 가능한 '공짜 AP'는 의심해봐야 한다. 또 각 가정에 설치된 AP에도 보안 설정을 해놓는 것이 바람직하다"고 당부했다.
한편 한국인터넷진흥원(KISA)도 지난해 10월 무선랜 안전 이용 수칙을 담은 '알기쉬운 무선랜 보안 안내서'를 배포한 바 있다.
KISA에 따르면 이용자들은 ▲무선공유기 사용시 보안기능을 설정하고 ▲무선공유기 패스워드를 안전하게 관리하는 것이 좋다. 또 ▲사용하지 않는 무선공유기는 꺼놓는 것이 좋으며 ▲제공자가 불분명한 무선랜 이용하지 않는 것이 바람직하다. 이밖에 ▲보안설정 없는 무선랜으로 민감한 서비스를 이용해서는 안되며 ▲무선랜에 자동 접속 기능을 사용하지 않고 ▲무선공유기의 SSID를 변경하고 숨김기능을 설정하는 것이 좋다.