와이파이 보안 침투 실험 WPA2 PSK와 엔터프라이즈 공격 분석

초록

본 논문은 WPA2‑PSK와 WPA2‑Enterprise 무선 네트워크에 대한 침투 테스트 과정을 상세히 기술한다. WPA2‑PSK의 4‑Way Handshake와 PMKID를 이용한 사전 공유키 사전 공격, 그리고 EAP‑TLS/PEAP 기반 Enterprise 인증의 취약점을 활용한 악성 AP 설계와 크리덴셜 탈취 방법을 실험적으로 검증한다. 실험 결과, 적절한 사전 공격 도구와 사전 학습된 사전을 이용하면 PSK를 몇 분 내에 복구할 수 있으며, Enterprise 환경에서도 인증서 검증 미비와 사용자 인증 정보 전송 방식의 결함을 이용해 관리자 계정까지 탈취할 수 있음을 보여준다.

상세 분석

WPA2‑PSK는 사전 공유키(Pre‑Shared Key)를 기반으로 4‑Way Handshake를 수행하여 세션 키를 도출한다. 이 과정에서 AP가 전송하는 ANonce와 클라이언트가 생성하는 SNonce, 그리고 PTK를 계산하기 위한 PMK가 교환된다. 논문에서는 PMKID(핸드쉐이크 없이도 추출 가능한 PMK 식별자)를 활용한 최신 사전 공격 방식을 적용하였다. PMKID는 AP가 클라이언트에게 전송하는 첫 번째 메시지에 포함되며, 이를 캡처한 뒤 사전(Wordlist)과 비교하면 PSK를 역산할 수 있다. 실험에서는 Hashcat과 같은 GPU 가속 툴을 이용해 10 GB 규모의 사전을 3 분 내에 처리했으며, 실제 현장에서 흔히 사용되는 8~12자리 영문·숫자 조합의 비밀번호가 30 초 이내에 복구되는 것을 확인하였다. 이는 WPA2‑PSK가 여전히 사전 공격에 취약함을 재확인한다.

WPA2‑Enterprise는 EAP‑TLS, PEAP, TTLS 등 다양한 인증 방식을 지원한다. 논문에서는 가장 보편적인 PEAP‑MSCHAPv2와 TTLS‑PAP를 대상으로 실험하였다. 공격자는 Rogue AP(악성 액세스 포인트)를 구축하고, 정품 AP와 동일한 SSID와 BSSID를 방송한다. 클라이언트가 연결을 시도하면, 공격자는 인증 서버와의 TLS 핸드쉐이크를 중간에서 가로채어 서버 인증서 검증을 우회한다. 특히, 사용자가 인증서 지문을 확인하지 않거나, 조직 내에서 자체 서명된 인증서를 배포하는 경우, 클라이언트는 악성 AP를 신뢰하게 된다. 이후 클라이언트는 PEAP 내부에서 MSCHAPv2 챌린지를 전송하고, 공격자는 이를 캡처해 오프라인 크래킹을 수행한다. 실험 결과, 8자리 영문·숫자 조합의 비밀번호는 Hashcat을 이용해 2 분 내에 복구되었으며, 관리자 권한을 가진 계정까지 탈취할 수 있었다. 또한, EAP‑TLS 기반 인증에서도 클라이언트 인증서가 없거나, 서버 인증서 검증이 미비한 경우, 클라이언트는 악성 AP에 인증서를 제공하게 되어 사설키가 유출되는 위험이 확인되었다.

이러한 결과는 무선 네트워크 보안 설계 시, 강력한 비밀번호 정책, 인증서 검증 절차 강화, 그리고 WPA3와 같은 최신 프로토콜 도입이 필수적임을 시사한다. 또한, 무선 침입 탐지 시스템(WIDS)과 정기적인 AP 인증서 관리가 공격 탐지와 예방에 큰 역할을 할 수 있다.