"WPA2 (Wi-Fi Protected Access 2) '도 무너졌다. Wi-Fi 보안의 불안이라는 것은 항상 화제가되고 있었지만, 그 때마다 WPA2는 유일한 안전한 방법으로 추천되기도했다. 이전 "WEP (Wired Equivalent Privacy) '에 비해 WPA2는 이름에서'Protected '이었기 때문에 왠지 잘 보호되고있는 것 같은 생각이 들었다. 보안 전문가들도 WPA2 만 안전하다고 말 때문에 사용하는 사람들은 안심했다.

 

1997 년에 도입 된 WEP 방식은 2001 년에 치명적인 보안 취약점이 발견되어이 대신 보안을 강화한 'WPA (Wi-Fi Protected Access)'표준이 제정되었다. 그러나 TKIP (Temporal Key Integrity Protocol) 방식의 보안 프로토콜을 사용하여 WPA도 단 60 초 이내에 해킹 수 있다는 사실이 밝혀졌다. 다행히 그 취약점은 TKIP 암호화 알고리즘이 아니라 AES (Advanced Encryption Standard) 방식을 사용함으로써 피할 수 있었다. 또한 WPA로 이어 AES 기반 CCMP (Counter Cipher Mode with block chaining message authentication code Protocol)를 기본으로 사용하는 WPA2가 등장 해, 지금까지 Wi-Fi 네트워크 프로토콜 보안 표준으로 자리 매김하고있다.

 

그래서 보안 전문가들도 "WPA2를 사용하십시오!", "WPA2는 안전합니다!"라고 강하게 주장했던 것이다. 그런데 그 WPA2까지 무너진 것이다. 그 경위를 살펴 보자.

 

"KRACK '에 균열

WPA2를 겨냥한 'KRACK (Key Reinstallation AttaCK) "는 이름의 뜻 그대로 Key를 다시 설정하는 공격이다. WPA2 프로토콜의 키 관리 취약점을 공격한다. 미국 국토 안보부 (DHS) 부하의 정보 보안 대책 조직인 US-CERT (United States Computer Emergency Readiness Team, 미국 컴퓨터 비상 대응팀)에서는 KRACK의 위험성에 대해 "해독 패킷의 재생 TCP 연결 하이죠킨 · HTTP 콘텐츠 인젝션 등이 영향을받는 프로토콜 자체의 문제이기 때문에 WPA2 표준의 대부분 또는 모든 부분에 해당한다. "고 말했다.

 

KRACK 공격자는 Wi-Fi 네트워크 과정에 개입하고 키를 다시 설정하는 것으로, 지금까지 안전하게 암호화되어 있다고 믿어 의심치 않았다 정보, 예를 들어 신용 카드 번호, 비밀번호, 이메일, 메시지 등의 민감한 정보를 훔치는 수있다. 여기에 Wi-Fi를 사용하던 사람들은 큰 혼란에 빠졌다.

 

"WPA2는 믿어도 좋다는 말 안 했어?" "암호화는 안전하다고 늘 말했던 것이다!" "AES도 불안이라고하는 것인가!"

 

이것은 당연한 반응이다. 그만큼 WPA2에 대한 신뢰가 견고했던 것이다. 그리고 공격에 의한 피해 규모는 상상도 할 수 없을 정도로 심각하다. 생각해 보자. 우리는 Wi-Fi를 통해 얼마나 많은, 그리고 위험한 정보를주고 있었는지. 혼란은 당연한 것이다.

 

그러나 혼란은 문제에 대한 오해를 일으킬 수도있다. "암호화해서 모든당하는 것이 아닌가!"라고 분노를 잘 보았다. 결론부터 말하면 그렇지 않다. KRACK은 WPA2 보안 프로토콜 four-way handshake 과정에 비정상적으로 개입하여 무선 액세스 포인트 (Wireless Access Point, WAP) 대신 사용자 클라이언트에 영향을주는 공격이며, 프로세스의 보안 증명 데 사용되는 수학, 즉 암호화를 무용지물로하는 공격이 아니다.

 

"그럼 이제 WPA2를 사용하지 않는가?"

 

이것은 또한 그렇지 않다. 클라이언트 보안 업데이트 등에 대한 확인 및 액세스 포인트 장비의 클라이언트 기능 해제 등의 조치를 취해야한다 곧 WPA2를 사용을 중단해서는 안된다. 과장해서 이야기하면, 대안이 없다.

 

문득 생각 나는 옛날 이야기

 

첫째, 배신.

 

배신은 믿은만큼 아프다. 신뢰가 깊었 으면 그만큼 아프다. 이를 위해 상호간에 겹친 도덕적 신뢰를 깨는 행위이다 배신은 더 나쁜 행위로 취급된다. 고대부터 배신자는 짐승으로 간주했다. 단테의 신곡을 보면 지옥은 거꾸로 세운 원뿔되어 있지만, 배신자는 원뿔 하단에있다. 지옥의 밑바닥에는 자신의 동생 아벨을 죽인 가인 자신을 믿었다 카이사르를 암살 한 브루투스, 예수 그리스도를 배반 한 가룟 유다가 지옥에서 가장 악랄한 악마들에게 물어 뜯어있다. 그런 글을 쓸수록 배신 행위는 구역질이되는 것이다.

 

두번째 희생양.

 

총체적인 문제가있다. 사회, 즉 시스템의 문제 다. 문제점을 정정하거나, 아니면 문제가되지 않도록 서로 합의하여 해결하는 것이지만, 시스템적인 문제의 대부분이 그렇듯이 해결이 어려운 문제이다. 그럴 때 희생물을 이용한다. 고대 이스라엘에서는 속죄 일이되면 양을 세워 인간의 죄를이 양 대신에 힘 입어 지난 선언 한 후 황무지에 몰아하는 풍습이 있었다. 그 시스템의 죄는 양과 함께 시스템 밖으로 갔다 죄가 모두 사라 졌다는 해결법없는 해결책이다.

 

믿어 의심치 않았다 WPA2가 배신. 믿은만큼 아프다. 
그러나 WPA2 프로토콜 문제를 암호화 입히는는 오해에서 발생하는 문제 다.

과거 WEP 그리고 WPA가 그랬던 것처럼, WPA2 나 방식을 고치지 않으면 안되지만, 
암호화는 여전히 믿을 수있는 사실상 유일한 보안 방법이라는 사실은 변함이 없다.