반응형
EAP는 네트워크 접속 시 사용자·장비를 인증하기 위한 프레임워크(틀)입니다. 여러 인증 방법(EAP 메서드)을 플러그인처럼 지원하도록 설계되어 있어, 비밀번호·인증서·SIM 카드·토큰 등 다양한 인증 방식을 유연하게 사용할 수 있습니다.
1. EAP의 개념과 역할
- 프레임워크: 자체로 인증 방식을 규정하지 않고, 여러 인증 메서드를 운반하고 관리하는 규약입니다.
- 용도: 유선 LAN(IEEE 802.1X), 무선 LAN(802.11/WPA-Enterprise), PPP, 점대점 링크 등에서 인증을 수행합니다.
- 구성요소:
- Supplicant(클라이언트): 인증을 요청하는 장치(예: 노트북, 휴대폰).
- Authenticator(접근장치): 네트워크 접속 지점(예: 무선 AP, 스위치). EAP 메시지를 중계하고 포트 접근을 제어합니다.
- Authentication Server(인증서버): 실제 인증을 처리하는 서버(흔히 RADIUS 서버).
2. 동작 흐름(기본 EAP 절차)
- 클라이언트가 네트워크 접속 시 접근장치(예: AP)에 연결 요청.
- 접근장치가 EAP 인증 절차 시작(EAP-Request/Identity 전송).
- 클라이언트가 신원(Identity)을 응답(EAP-Response/Identity).
- 접근장치는 해당 정보를 RADIUS 등 인증서버로 전달.
- 인증서버와 클라이언트 사이에 선택된 EAP 메서드로 인증 대화(EAP-Request/EAP-Response 반복).
- 인증 성공 시 인증서버는 접근장치에 수락(Access-Accept)과 함께 MSK(Master Session Key) 등 세션 키를 전달.
- 접근장치는 포트를 열어 네트워크 접근 허용. 세션 키는 무선 암호화(MIC/GTK 등)에 사용될 수 있음.
핵심: EAP는 메시지 유형(EAP-Request, EAP-Response, EAP-Success, EAP-Failure 등)을 정의하고, 실제 인증 로직은 다양한 EAP 메서드가 담당합니다.
3. 주요 EAP 메시지 타입
- EAP-Request: 인증자(또는 서버)가 클라이언트에 요구를 보냄.
- EAP-Response: 클라이언트의 응답.
- EAP-Success / EAP-Failure: 인증 결과 통지.
- EAP-Identity: 신원(사용자 이름 등) 교환에 사용.
802.1X 환경에선 EAP 메시지가 EAPOL (EAP over LAN) 프레임으로 캡슐화되어 전송됩니다.
4. 자주 사용하는 EAP 메서드들 (특징 중심)
아래는 대표적 메서드의 요약 — 선택은 보안 요구사항·인증 인프라(예: PKI)·클라이언트 지원 여부에 따라 달라집니다.
- EAP-TLS
- 방식: 클라이언트와 서버가 서로 X.509 인증서로 인증(상호 인증).
- 장점: 매우 강력한 보안(서버·클라이언트 인증서 필요).
- 단점: 클라이언트 인증서 배포·관리(기업 PKI 필요)가 복잡.
- PEAP (Protected EAP)
- 방식: 먼저 TLS 터널(서버 인증)을 만들고, 그 터널 안에서 내부적으로 MSCHAPv2, GTC 등 약한 인증을 수행.
- 장점: 클라이언트에 인증서가 없어도 내부 자격증명(아이디/패스워드) 사용 가능. 일반적으로 서버 인증서만 필요.
- 단점: 내부 인증 방식(예: MSCHAPv2)이 취약할 수 있어 서버 인증서 관리와 구성 중요.
- EAP-TTLS
- 방식: TLS 터널을 구성(서버 인증서 필요)한 뒤 터널 안에서 다양한 인증(비암호화 정보 포함)을 수행.
- 장점: PEAP와 유사, 유연성 높음(내부에서 PAP, CHAP, MSCHAP 등 사용).
- 단점: 설정 실수 시 취약점 발생 가능.
- EAP-MSCHAPv2
- 방식: 도메인 계정(Windows 등) 기반 인증에 자주 사용(보통 PEAP 내부 또는 TTLS 내부에서 사용).
- 장점: 널리 지원됨.
- 단점: 단독 사용은 권장 안 됨(암호화 미흡). PEAP/Tunneled 환경에서 사용 시 안전성 보완.
- EAP-FAST
- 방식: Cisco가 만든 방식으로, 보호된 터널(Protected Access Credential, PAC)을 사용.
- 장점: 인증서 없이도 안전한 터널 제공.
- 단점: PAC 관리 필요.
- EAP-SIM / EAP-AKA
- 방식: 모바일 네트워크의 SIM/USIM 기반 인증(가입자 인증).
- 용도: 셀룰러 네트워크 연동 인증, 일부 Wi-Fi 핸드오버 등.
- EAP-PEAPv0/EAP-PEAPv1 등: 구현·프로파일에 따라 약간 변형 존재.
5. 키 관리: MSK와 EMSK
- MSK (Master Session Key): EAP 성공 시 생성되어 접속 장비(AP/Authenticator)로 전달. 후속 데이터 암호화(예: 무선의 PTK/GTK 생성) 원천 키.
- EMSK (Extended MSK): 추가 키 물질로, 향후 인증 토큰 등 다른 용도로 사용 가능.
6. EAP를 사용하는 인프라 구성 (일반 사례)
- 클라이언트 ↔ AP(Authenticator) ↔ RADIUS 서버(인증서버)
AP는 클라이언트의 EAP 메시지를 RADIUS 패킷(EAP-Message 속성)로 래핑하여 인증서버에 전달. - 802.1X 포트 기반 접근 제어: 인증까지 포트를 차단(미승인 상태), 인증 성공 시만 포트 오픈.
- 무선에서는 WPA-Enterprise/WPA2-Enterprise/WPA3-Enterprise에서 EAP 기반 인증과 암호화 키가 결합되어 사용.
7. 보안 이슈와 권장 대책
- 약한 내부 인증 사용 주의: PEAP/EAP-TTLS 내부의 MSCHAPv2/PAP는 자체적으로 약점이 있으므로 서버 인증서와 TLS 설정을 강하게 유지해야 함.
- 서버 인증서 검증 강제: 클라이언트가 서버 인증서를 검증하도록 구성하지 않으면 중간자 공격(MITM)에 취약.
- 클라이언트 인증서(가능하면) 사용 권장: EAP-TLS 같은 상호인증 방식은 피싱·도용 방지에 강함.
- PKI/증명서 관리: 인증서 만료, 취소(CRL/OCSP) 처리를 적절히 운영해야 함.
- RADIUS 서버 보안: 서버 접근 제어, 강력한 암호화, 감사 로그 필수.
- 무선 암호화 설정: EAP 인증 후 생성된 MSK를 PTK/GTK로 안전하게 파생·관리(예: 4-way handshake 등).
- EAP 메서드 선택: 환경에 따라 강도 높은 EAP-TLS 권장, 사용자 편의성·호환성이 우선이면 PEAP+EAP-MSCHAPv2 적용 시 서버 인증서 관리 철저.
8. 상호운용성과 클라이언트 지원
- 모든 클라이언트가 모든 EAP 메서드를 지원하지 않음. 운영체제(Windows, macOS, Linux, iOS, Android)와 드라이버/네트워크 스택, 엔터프라이즈 정책에 따라 지원 목록이 다름.
- 실제 배포 전 테스트: 다양한 기기·OS에서의 인증 성공, 서버 인증서 경고, 자동 접속 여부 등을 검증해야 함.
9. 배포 시 고려사항(실무 팁)
- 목표 보안 수준 정의: 상호인증(클라이언트 인증서)까지 필요한가? 아니면 사용자 편의성 우선인가?
- 인증서 인프라 준비(PKI): EAP-TLS 또는 서버 인증서 사용 시 CA와 발급·갱신·폐기 정책 확립.
- RADIUS 아키텍처: 고가용성(다중 RADIUS), 로그·감사, 속도(대규모 동시 접속) 고려.
- 클라이언트 자동 구성: 인증서 배포·Wi-Fi 프로파일 자동화(MDM 또는 Group Policy).
- 보안 테스트: MITM 시나리오, 캡처 후 오프라인 공격 테스트, 클라이언트 구성 오류 점검.
- 문서화 및 사용자 교육: 서버 인증서 신뢰 경고 처리, 자격증명 관리 절차 안내.
10. 요약 — 언제 EAP를 쓰나?
- 기업·기관에서 중앙화된 인증과 세션별 암호화 키를 안전하게 관리하려 할 때 EAP 기반 802.1X/WPA-Enterprise가 표준적 선택입니다.
- 보안 수준이 가장 중요하면 EAP-TLS(클라이언트 인증서), 호환성과 사용자 편의성을 중시하면 PEAP이나 EAP-TTLS가 많이 쓰입니다. 다만 내부 인증 방식과 서버 인증서 검증을 반드시 안전하게 구성해야 합니다.
반응형
댓글