Home - Network - 공유기 암호화 설정 WPA2, WPA3/aes, psk/sae 차이

공유기 암호화 설정 WPA2, WPA3/aes, psk/sae 차이

목차

공유기 암호화 설정 뭘 해야 좋을까요?

공유기 초보분들을 위한 공유기 암호 WPA2 WPA3 차이 그리고 뭘 골라야 할지 고민 해결! 저는 방에 자작 공유기를 사용하지만 거실에서는 IPTIME 공유기를 사용하고 있습니다.(어쩌다보니 ASUS 공유기는 전부 팔았네요.) 기존에 거실에서 쓰던 아이피타임 공유기를 5년정도 사용했는데 너무나도 잘 사용했습니다. 고장이 나진 않았지만 속도가 조금 떨어길래 늙었구나.. 싶어서 처분하고, 지름창고에 짱박혀있던 아이피타임 신형 공유기를 설치했습니다.(쿠폰 먹여서 6~7만원정도 줬던 것 같아요.)

공유기를 바꾸고나니 거실에서 맥북으로 접속하니 와이파이6 접속이 가능해져서 훨씬 쾌적한 인터넷이 가능했습니다. 간만에 새 공유기 세팅을 하다가 암호 설정을 하는데 몇년전에는 접속 안되는 기기가 한두개씩 꼭 있어서 WPA2를 했었는데 이번에 WPA3로 하면서 속도 차이가 날까? 싶어서 테스트 해봤어요.

그러다가 하는 김에 이왕이면.. 하면서 내용을 추가하다가 공유기 와이파이 암호 종류별로 어떤 차이가 있는지도 간단하게 알아려드리려고 점점 길어지게 됐네요.ㅎㅎ 항상 말씀드리지만 저는 전문가가 아니기 때문에 좀 더 깊게 알고 싶으신 분들은 전문적 지식을 가진분들의 글을 더 참고하시길 바랍니다.


공유기 보안 프로토콜, 암호화 종류와 설명

  • WPA2PSK + AES (권장) : 기본적으로 권장으로 이유는 호환성 때문입니다.
    • Wi-Fi Alliance는 오랫동안 WPA2-Personal + AES를 권장해왔으며, 현재도 WPA3를 지원하지 않는 기기와의 호환성 때문에 가장 널리 사용되는 모드입니다. 접속되는 기기들이 모두 WPA3를 지원한다면 그 땐 WPA3를 사용하는 것이 더 안전합니다.
  • WPA3SAE/WPA2PSK + AES : 이걸 많이 사용하는 이유는 WPA3가 안되는 기기는 WPA2로 접속할 수 있도록 혼용.
  • WPA3SAE + AES : 저는 이걸 선택했습니다. Best Pick! (*단 사용하는 모든 기기가 WPA3 지원하는 경우)
  • WPAPSK/WPA2PSK + AES
  • WPAPSK + AES
  • WPA2PSK + TKIP/AES
  • WPAPSK/WPA2PSK + TKIP/AES
  • WPAPSK + TKIP/AES
  • WPAPSK + TKIP
  • 여기엔 나와있지 않지만 Enterprise(RADIUS)도 있습니다.
  • WEP(Wired Equivalent Privacy)은 더이상 쓰지않는 방식이니 제외.

종류가 많아서 헷갈리시죠? 아래 처럼 3덩어리로 나눠서 구분하면 꽤 쉽습니다.


암호화 알고리즘 – AES / TKIP

우선 우리가 공부할 부분을 최대한 단순하고 보기 쉽게 정리하기 위해서 뒤에 붙은 두놈부터 해치워 봅시다. + 뒤에 있는 아이들은 암호화 방식을 이야기 합니다.

  • TKIP – Temporal Key Integrity Protocol, 임시 키 무결성 프로토콜
    • 2002년 WPA를 보완하고자 고안되었고, 2004년에 발표되었습니다. wi-fi.org에서 2015년에 발표한 자료에 의하면 아래와 같이 이야기 하고 있습니다.
    • Wi-Fi Alliance®의 권장 솔루션과 TKIP/WPA 사용을 방지하기 위한 Wi-Fi CERTIFIED™ 프로그램의 변경 사항으로 TKIP/WPA 사용을 권장하지 않습니다.(the recommended solution by Wi-Fi Alliance®, and changes to the Wi-Fi CERTIFIED™ program to discourage the use of TKIP/WPA.)
    • WPA1에 사용되던 암호화고 RC4 취약점 등으로 인해서 더이상 권장하지 않습니다.
  • AES – Advanced Encryption Standard. 사실상 표준입니다. 와이파이 얼라이언스에서도 오래전부터 WPA2 + AES를 권해왔습니다.

둘중 고민하실 것 없이 무조건 AES 입니다. TKIP/AES 이 두개가 붙어있는 것은 오래된 과거 장비와의 호환성 목적입니다. 가능하면 AES 하나만 붙은 것이 더 안전하다는게 제 생각입니다.


인증 방식 – SAE vs PSK

이제 가운데 붙어있는 두 녀석을 알아봅시다. 간단하니 이것부터 해치워봅시다.

  • SAE – Simultaneous Authentication of Equals. WPA3에서는 취약점이 있는 PSK를 SAE로 대체하였습니다.
  • PSK – Pre-Shared Key.

PSK(사전 공유키) 방식이 WPA2와 함께 KRACK으로 위태로워지면서 WPA3와 함께 SAE(장치 간 동시 인증) 방식이 조합을 이룹니다. 마치 손흥민과 케인 같은.. SAE는 KRACK 공격을 예방할 수 있고, 암호 복잡성 요구 사항을 따르지 않는 패스워드를 사용하는 유저도 더 나은 보안성을 획득할 수 있습니다. SAE가 더 좋은거다~만 아시면 되겠습니다.


보안 프로토콜

WPA

Wi-Fi Protected Access의 약자로 와이파이 패킷 암호화 방식의 이름 입니다. 처음에 이름이 저렇게 지어졌고, 그 뒤에 개선된것들이 2,3으로 이름 붙으면서 WPA2 / WPA3으로 된 것 입니다.

WPA2

2004년부터 2018년 WPA3가 발표되기 전까지 14년이라는 긴 시간동안(물론 지금도 쓰이고 있습니다.) 사용되었습니다. 가장 기본적인 해킹 기술 중 하나인 Brute Force(무차별 대입 공격)에 치명적인 취약점이 있습니다.

WPA2가 버려지게 된 것은 KRACK 어택 이후 입니다. 우리가 4way hand shake 등 기술적인 부분을 자세히 알아야할 필요는 없습니다. WPA2는 이미 오래전 크게 금이 생긴 성벽과 같긴 하지만, KRACK은 WPA2의 프로토콜 자체의 취약점이었고, 이 취약점이 패치되었는지 여부가 중요하며, 패치된 WPA2는 안전성이 향상됩니다.

WPA2 역시 엔터프라이즈 모드를 사용하면 보안을 강화시킬 수 있지만 RADIUS 서버를 따로 둬야 하기 때문에 일반 사용자과는 거리가 먼 이야기 입니다.

세션 하이재킹, 트래픽 도청 등의 약점을 가진 WPA2를 사용하는 공공장소의 와이파이는 더더욱 안전하지 못합니다. WPA3라도 확실히 마음 놓을 수 없습니다. 카페, 사무실 등 공공장소에서 누구나 사용할 수 있는 와이파이의 경우에는 VPN을 이용해서 보안을 강화하는 방법이 가장 확실합니다. VPN으로 자신을 보호하는 방법을 마지막에 다시 설명.

WPA3

2018년 와이파이 얼라이언스(Wi-Fi Alliance®)는 WPA2가 나온지 14년만에 대대적으로 개선된 보안 프로토콜인 WPA3를 알리기 시작했습니다. 장기간 전세계적으로 가장 널리 사용되고있던 WPA2가 박살나버리니 급하지 않을 수 없습니다.

앞서 설명드린 SAE와 함께 MFP(Management Frame Protection)가 주요 기능이며 퍼스널 모드 스누핑 차단, 192bit 타원곡선 암호화 그리고 OWE(Opportunistic Wireless Encryption) 기반 개방형 네트워크 암호화 등으로 보안 강화가 개선점입니다. *OWE는 “개방형(Open) 와이파이” (예: 암호 없는 카페 와이파이)에서도 사용자 트래픽을 암호화해주는 기술

키 관리 방법 또한 기존 4방향 핸드쉐이크에서 ECDH(Elliptic Curve Diffe-Hellman) / ECDSA(Exchange and Elliptic Curve Digital Signature Algorithm)로 바뀌었습니다.

이제 WPA3가 국제 표준이고 더 안전하니 사용하지 않을 이유가 없습니다. 와이파이 연결을 해야하는 기기가 구형이라 WPA3를 지원하지 않는 경우만 WPA2 + AES 혹은 WPA3SAE/WPA2PSK + AES 같은 혼용모드로 사용하시면 됩니다.

WPA2/WPA3 ENT(Enterprise)

엔터프라이즈가 붙으면 보안이 훨씬 더 강력해지지만 일반 유저들이 사용하기에는 진입장벽이 조금 있습니다. RADIUS 서버가 따로 있어야 하기 때문인데요. 집에 나스(NAS) 및 RADIUS 지원 공유기가 있으신 분들은 시도해보셔도 좋을 듯 합니다

  • RADIUS 서버 : 시놀로지 / 큐냅 / 윈도우 서버 / 리눅스(Ubuntu) 등 같이 검색하시면 나와요.
  • 공유기 RADIUS 클라이언트 설정 : 각 공유기 별로 검색해보시면 됩니다.
    • ASUS 공유기 – 4.1.5 항목
    • IPTIME는 기본 설정 – 무선 설정/보안 – 인증 및 암호화 – 802.1x보안(기업용 설정) 체크 후 RADIUS 서버 주소, 포트, 암호 입력 하시면 됩니다.

WPA3-Enterprise 모드의 경우엔 GCMP-256 암호화, HMAC-SHA384 키 유도, 384bit ECDH, ECDSA 키 인증, BIP-GMAC-256 프레임 보호 등이 추가된다고 해요.

그리고 공유기 펌웨어는 항상 최신 버전으로 유지하시고, 공유기 관리자 비밀번호도 안전하게 설정하세요.


WPA2에서 WPA3로 바꾸면 속도는 어떻게 바뀔까?

암호화 방식이나 보안이 더 강화되었으니 혹시 속도가 조금이라도 줄어들지 않을까?라고 생각하실 수 있습니다. VPN을 사용할때 암호화 수준이 올라갈수록 속도에는 약간의 손실이 생기는 것 처럼요.

기본 설정 상태 입니다.

이날은 속도가 좀 안나오더군요. 안방에서 토렌트가 돌아가고있어서 그런가? 싶었습니다. 다음날에는 거의 풀스피드 다 나왔습니다.

WPA3SAE + AES로 설정한 이후

오히려 더 빠른 속도가 나왔네요. 별다른 영향을 주지 않을거라 생각했는데 오히려 상승해 기분은 좋군요. 이론적으로는 WPA2 > WPA3 변경시 속도 변화는 크게 차이가 없는 것으로 알려져있습니다.

VPN을 이용하면 보안은 더 강력해질까?

무조건 Yes 입니다. 우리가 이곳저곳을 다니면서 여긴 WPA2인가? WPA3인가? 모두 체크할 수 없고, 어떤 공유기가 어떤 보안 취약점이 있는지 하나하나 파악하는 것은 불가능 합니다. 그래서 전문가들은 특히나 공공장소에서는 VPN 접속을 추천하는 것 입니다.

이런 경우에는 굳이 돈을 쓰지 않으셔도 됩니다.

IPTIME, ASUS, Netgear, TPlink 할 것 없이 어렵지 않게 VPN 설정을 할 수 있고, 인터넷 검색을 해보시면 어렵지 않게 설정방법까지 찾으실 수 있으며 그대로 따라하시기만 하면 됩니다. 집에있는 공유기에 VPN 세팅을 한 뒤에 외부에서 접속을 하시면 됩니다.

이런게 귀찮고 더 쉽고 더 안전한 방법을 원한다면 VPN 서비스를 구매하는 것 이구요. 아니면 LTE라우터 하나 들고 다니시는 것도 좋습니다.

순위가 한번씩 바뀌지만 저는 딱 3개만 권장해 드립니다. 상단 메뉴에서 VPN 탭으로 오시면 최신 업데이트 순위가 있습니다.

7개의 댓글

  1. 넷님 감사합니다~ 말씀하신대로 3개로 구분해서 따로 알고나니까 기억하기가 엄청 쉬워요!~ 초보도 어렵지않게 잘 배웠습니다. 좋은하루되세요~

    1. 초보분도 이해하셨다니 마음 놓이네요!! 사실 저도 초보라 초보입장에서 썼습니다. ㅎㅎㅎ

  2. 보안관련 글을 볼때마다 미스터 로봇이라는 해킹 드라마가 생각나네요 보셨는지는 모르겠지만

    글 잘보고 갑니다

    1. 오 라미말렉 주연이군요? 저 이거 안봤는데 시간나면 한번 보겠습니다. 흑 근데 아마존에서 하나 보군요. 한글 자막이 나올까요? ㅜㅜ

댓글 남기기