PEAP (Protected Extensible Authentication Protocol)
PEAP (Protected Extensible Authentication Protocol)
PEAP (Protected Extensible Authentication Protocol)
PEAP(Protected Extensible Authentication Protocol)는 WiFi 네트워크를 안전하게 보호할 목적으로 사용되는 보안 프로토콜입니다.
컴퓨터를 기업 네트워크에 연결하여 사용하는 직원 몇 명입니까?
직원들 중 일부는, 혹은 어쩌면 모두가 사무실 밖에서 일을 할 때가 있을 것입니다. 실제로 스탠포드 대학은 팬데믹 시대를 맞아 원격으로 로그인하는 사람들이 42%를 넘어서면서 재택근무가 뉴노멀로 자리 잡았음을 시사했습니다. 심지어 사무실로 복귀해서도 노트북과 휴대전화를 업무에 사용하기도 합니다.
이러한 가운데 직원들이 사무실에 있을 때나 외부에 있을 때 WiFi로 이들을 연결한다면 심각한 보안 위험에 노출될 수 있습니다.
PEAP(Protected Extensible Authentication Protocol)는 이러한 문제를 해결할 목적으로 개발되었습니다.
PEAP란 무엇인가요?
프로그래머들은 수년 동안 무선 연결을 관리하는 데 EAP(Extensible Authentication Protocol)라고 하는 프로토콜을 사용해왔습니다. PEAP는 EAP 기술의 한 버전으로, 보안을 한층 강화하여 개발되었습니다.
기존 EAP에서는 시스템이 공개키 시스템을 사용하여 사용자를 연결합니다. 사용자가 사용자 이름/비밀번호를 입력하는 등 자격 증명을 입증하려고 하면 서버가 공개 키를 전달하여 트랜잭션을 완료합니다. 그러면 사용자는 암호화 키를 가지고 공개 키를 복호화합니다.
하지만 EAP에서도 비밀번호를 입력하고 키를 주고받다 보면 무방비 상태에 놓일 수 있습니다. 결과적으로 시스템 입구를 해커에게 활짝 열어주는 셈입니다.
PEAP는 EAP의 속도와 전송 계층 보안(TLS) 터널을 결합한 기술입니다. 따라서 클라이언트와 서버 사이에서 이루어지는 전체 통신이 이 TLS 터널 내에서 보호를 받습니다. PEAP는 특정 방법을 의미하지는 않습니다. 다만 다수의 EAP 메커니즘을 함께 결합하여 사용합니다.
PEAP는 어떻게 운영되나요?
PEAP에 적용된 코딩과 기술은 복잡합니다. Microsoft에서도 소규모 회사에 일하는 일반적인 사용자가 이렇게 복잡한 보안 기능을 속속들이 알 필요는 없다고 말합니다.
하지만 기술을 자세히 분석해보면 PEAP가 클라이언트와 서버 사이를 오가는 데이터를 어떻게 보호하는지 이해할 수 있을 것입니다.
서버에 연결하여 액세스 권한을 얻는 것을 인증이라고 하며, 여기에는 일반적으로 몇 가지 단계가 포함됩니다. PEAP 프로토콜은 아래와 같이 두 단계로 구성됩니다.
- 1단계:사용자의 디바이스에 연결된 인증자가 EAP-Request/Identity 메시지를 전송합니다. 클라이언트는 실제 아이덴티티 또는 익명 버전으로 응답할 수 있기 때문에 탈취하기 더욱 어렵습니다.
두 디바이스 사이에서 핸드쉐이크가 시작됩니다. 두 시스템은 이 단계에서 기본적인 문제를 해결하지만 이 외에도 많은 작업이 남아 있습니다.
- 2단계:EAP 서버가 또 다른 메시지를 전송하여 사용자의 실제 아이덴티티를 요구합니다. 클라이언트와 서버가 연결을 강화하고, 채널이 열립니다.
여기에서 긴밀한 연결이 형성되고 각 시스템이 키를 주고받습니다. 두 번째 단계는 프로세스 후반에 TLS 터널의 보호를 받으며 진행되기 때문에 해독하거나 조작하기가 매우 어렵습니다.
인증 과정에서 일어나는 모든 단계를 자세히 묘사한 그림을 살펴보십시오. 사용자는 백그라운드에서 실행되는 작업을 전혀 볼 수 없습니다.
지연 시간도 최소화됩니다. 올바르게 프로그래밍되어 있다면 두 시스템이 메시지를 주고받고, 연결하고, 액세스를 허용할 때까지 몇 초 밖에 걸리지 않습니다.
2단계 프로그래밍
PEAP를 사용하면 두 가지 단계를 거쳐 인증을 처리하게 됩니다. 이때 1단계에서 2단계로 이동하려면 보조 툴이 필요합니다.
옵션은 다음과 같습니다.
- EAP-MSCHAPv2. PEAPv0과 함께 번들로 제공되며, 현재 가장 많이 사용되는 PEAP 형태 중 하나입니다. 이 옵션은 Microsoft 제품에서 기본적으로 제공되며, 인증 2단계에서 두 번째 핸드쉐이크의 세부 정보를 처리합니다.
- EAP-GTC. 이 옵션은 PEAPv1과 함께 번들로 제공되며, Microsoft 외부 환경의 제품에서 유효합니다. 다른 옵션들과 달리 구현하려면 코딩 노하우가 필요하기 때문에 많이 사용되지는 않습니다.
이름이 문자와 숫자로 뒤섞여서 혼란스럽게 느낄 수도 있습니다. 하지만 이점은 확실합니다.
두 옵션 중 하나와 함께 PEAP 기술을 사용한다면 서버에 액세스할 자격이 있음을 입증하는 셈입니다. 자격 증명이 시스템에 저장되어 있기 때문에 액세스 권한을 한 번만 입증하면 됩니다. 회사에 들어가서 퇴사할 때까지 반복해서 비밀번호를 업데이트하거나 기억할 필요가 전혀 없습니다. 이에 따라 엄청난 시간을 절약할 수 있습니다.
PEAP와 EAP-TTLS의 비교
앞서 얘기했듯이 PEAP는 전송되는 메시지를 보호하는 데 TLS를 사용합니다. 하지만 TLS는 다른 시스템에서도 사용합니다. 결국 네트워크 관리자에게 선택권이 있습니다.
예를 들어 PEAP 대신에 EAP-TTLS라고 하는 시스템을 사용하는 기업들이 있습니다. 이 제품은 TLS 터널을 통해 인증서 기반 인증을 제공하므로 PEAP와 매우 흡사합니다. 하지만 전용 프로토콜이기 때문에 PEAP처럼 Microsoft 제품에 함께 제공되지는 않습니다.
리서치 업체들도 지적했듯이 Microsoft는 오늘날 컴퓨터의 대명사. 가 되었습니다. Microsoft 제품을 비즈니스에 사용하지 않는 기업이 거의 없을 정도입니다. PEAP 대신에 EAP-TTLS를 선택하면 네트워크에 연결해야 하는 컴퓨터마다 일일이 설치하느라 엄청난 시간을 허비하게 될 수 있습니다.
Okta가 데이터를 보호해드리겠습니다
WiFi 덕분에 연결이 더욱 쉬워졌습니다. 일정 범위 내에 있는 사람들은 자격 증명만 정확히 알고 있다면 언제든지 연결할 수 있습니다.
하지만 WiFi에는 보안 위험이 뒤따르며이러한 위험을 식별하는 게 항상 쉬운 것은 아닙니다. Okta가 도와드리겠습니다.
Okta는 기업이 보안을 위태롭게 만드는 인증 환경과 패치 허점을 검사할 수 있도록 지원하고 있습니다.
참고 자료
Stanford Research Provides a Snapshot of a New Working-From-Home Economy. (2020년 6월).Stanford University.
802.1X Overview and EAP Types. (2020년 10월). Intel.
1.3 Overview. (2020년 10월). Microsoft.
Microsoft's Windows Still Synonymous With Computer. (2020년 3월). Statista.