[Network] 무선 AP 아키텍처 및 무선 보안

들어가며

무선 네트워크가 확장되고 복잡해지면서, 단순히 AP를 설치하는 것만으로는 효율적인 관리가 어려워졌습니다. 특히 대규모 기업이나 캠퍼스 환경에서 수십, 수백 개의 AP를 관리해야 하는 상황에서는 중앙 집중식 관리 방식이 필요합니다. 동시에 무선 네트워크는 물리적인 케이블 없이 전파를 통해 데이터를 전송하기 때문에 보안이 매우 중요합니다.

누구나 무선 신호를 수신할 수 있다는 특성상, 적절한 보안 조치 없이는 데이터 도청, 무단 접속, 중간자 공격 등 다양한 위협에 노출됩니다. 이번 글에서는 무선 AP의 아키텍처 유형과 엔터프라이즈급 무선 보안 기술을 함께 살펴보겠습니다.

---

1. 무선 AP 아키텍처 유형

1.1 Autonomous AP

Autonomous AP(자율형 AP)는 독립적으로 동작하는 AP로, 모든 무선 네트워크 기능을 자체적으로 처리합니다. 각 AP가 완전한 기능을 가지고 있어, 별도의 중앙 컨트롤러 없이도 무선 클라이언트에게 서비스를 제공할 수 있습니다.

 

Autonomous AP는 인증 및 보안 처리, QoS 관리, VLAN 할당 등을 자체적으로 수행합니다. 컨트롤러가 불필요하므로 초기 도입 비용이 낮고, AP 간 의존성이 없어 한 AP의 장애가 다른 AP에 영향을 주지 않습니다.

 

하지만 대규모 환경에서는 각 AP를 개별적으로 관리해야 하므로 운영 부담이 크고, 설정 변경 시 모든 AP에 일일이 접속하여 수정해야 하는 단점이 있습니다. 주로 소규모 사무실이나 AP 개수가 10개 미만인 환경에서 사용됩니다.

1.2 Lightweight AP (LAPs)

Lightweight AP(경량형 AP)는 최소한의 기능만 수행하고, 대부분의 복잡한 처리는 중앙의 컨트롤러에서 담당하는 방식입니다. AP는 주로 무선 신호 송수신에만 집중하며, 인증, 보안, 정책 적용 등은 WLC(Wireless LAN Controller)가 처리합니다.

 

Lightweight AP는 중앙 집중식 관리를 통해 모든 AP를 효율적으로 제어할 수 있으며, WLC로부터 설정을 자동으로 받아옵니다. AP를 연결하면 자동으로 WLC를 찾아 등록되는 Zero-touch 배포가 가능하여, 대규모 네트워크에서 일관된 보안 정책을 적용하고 효율적인 로밍을 지원할 수 있습니다.

 

다만 WLC가 필수이므로 초기 투자 비용이 높고, WLC 장애 시 전체 무선 네트워크에 영향을 받을 수 있어 이중화 구성이 필요합니다.

---

2. WLC (Wireless LAN Controller)

WLC의 역할

WLC(Wireless LAN Controller)는 Lightweight AP 환경에서 중앙 관리 역할을 수행하는 핵심 장비입니다. WLC는 AP 관리(등록, 구성, 펌웨어 업데이트), 클라이언트 인증(802.1X, WPA2/WPA3), 트래픽 제어, RF 관리(채널 및 전력 자동 최적화), 로밍 관리 등을 수행합니다.

WLC 배포 모드

WLC는 네트워크 구조에 따라 다양한 형태로 배포할 수 있습니다. 중앙 집중형은 데이터 센터에 WLC를 배치하고 모든 AP를 관리하는 방식이고, 분산형은 지역별로 WLC를 배치하여 로컬 트래픽을 처리합니다. 최근에는 클라우드 기반 WLC(Cisco Meraki 등)도 널리 사용되고 있습니다.

WLC 고가용성

대규모 환경에서는 WLC의 장애에 대비하여 이중화 구성이 필수적입니다. Active-Standby 방식은 주 WLC 장애 시 대기 WLC가 인계받는 방식이고, N+1 Redundancy는 여러 WLC 중 하나를 예비로 운영하는 방식입니다. SSO(Stateful Switchover)를 사용하면 세션 정보를 유지하면서 전환할 수 있습니다.

---

3. CAPWAP (Control and Provisioning of Wireless Access Points)

CAPWAP 프로토콜

CAPWAP는 Lightweight AP와 WLC 간의 통신을 위한 표준 프로토콜입니다. CAPWAP는 두 가지 터널을 사용하여 통신합니다.

 

Control Tunnel(UDP 5246)은 AP와 WLC 간 관리 및 제어 메시지를 전송하고, Data Tunnel(UDP 5247)은 클라이언트 트래픽을 전송합니다.

CAPWAP 동작 과정

AP가 WLC와 연결되는 과정은 다음과 같습니다. 먼저 Discovery 단계에서 AP가 네트워크에서 사용 가능한 WLC를 찾습니다. 이때 브로드캐스트, DNS, DHCP Option 43 등을 사용합니다. 그 다음 Join 단계에서 AP가 특정 WLC에 연결 요청을 보내고, Configuration 단계에서 WLC가 AP에게 설정 정보를 전송합니다. 마지막으로 Run State에서 AP가 정상적으로 동작하며 클라이언트 서비스를 제공합니다.

CAPWAP 보안

CAPWAP는 AP와 WLC 간의 통신을 보호하기 위해 DTLS(Datagram Transport Layer Security)로 Control Tunnel을 암호화하고, X.509 인증서를 통해 AP와 WLC 간 상호 인증을 수행하며, AES 암호화로 데이터를 보호합니다.

---

4. Split MAC

Split MAC 개념

Split MAC은 802.11 MAC 계층 기능을 AP와 WLC로 분할하는 개념입니다. 시간에 민감한 기능은 AP에서 처리하고, 복잡한 관리 기능은 WLC에서 처리합니다.

기능 분할

AP에서 처리하는 기능으로는 Beacon 프레임 전송, 프레임 송수신 및 ACK 처리, 암호화/복호화(경우에 따라), 실시간 RF 측정이 있습니다.

 

WLC에서 처리하는 기능으로는 802.11 인증 및 연결 관리, 802.1X 인증 처리, QoS 정책 적용, 로밍 관리, RF 관리 및 최적화가 있습니다.

 

Split MAC 구조는 중앙 집중식 관리를 통해 복잡한 기능을 WLC에서 통합 관리하고, 모든 AP에 동일한 보안 및 QoS 정책을 적용할 수 있습니다. WLC가 클라이언트 상태를 관리하여 빠른 로밍을 지원하고, 전체 네트워크를 모니터링하여 RF 환경을 자동으로 최적화합니다.

---

5. FlexConnect

FlexConnect란?

FlexConnect는 원격 지점의 AP가 WLC와의 연결이 끊어져도 로컬에서 트래픽을 처리할 수 있도록 하는 Cisco의 기술입니다. 이는 Lightweight AP의 유연성을 높이는 하이브리드 방식입니다.

FlexConnect 동작 모드

Connected Mode(연결 모드)는 WLC와 정상적으로 연결된 상태입니다. 이 모드에서는 WLC가 AP를 관리하고 설정을 업데이트하며, 트래픽 처리 방식을 선택할 수 있습니다(로컬 스위칭 또는 중앙 스위칭)

 

Standalone Mode(독립 모드)는 WLC와의 연결이 끊어진 상태입니다. 이 모드에서는 AP가 로컬에서 클라이언트 인증을 처리하고, 트래픽을 로컬 네트워크로 직접 포워딩하며, 기본 SSID 및 VLAN 설정을 유지합니다. WLC 복구 시 자동으로 Connected Mode로 전환됩니다.

FlexConnect 트래픽 처리 방식

Local Switching(로컬 스위칭)은 클라이언트 트래픽을 AP에서 로컬 네트워크로 직접 포워딩하여 WAN 대역폭을 절약하고 낮은 지연시간을 제공합니다. 원격 지점에 적합합니다.

 

Central Switching(중앙 스위칭)은 모든 트래픽을 CAPWAP 터널을 통해 WLC로 전송하여 중앙 집중식 보안 정책을 적용하고, 본사에서 모든 트래픽을 제어할 수 있습니다.

FlexConnect는 본사와 WAN으로 연결된 지사, AP가 1~10개 정도인 소규모 지점, 제한된 WAN 대역폭 환경, WLC 연결이 끊어져도 서비스 지속이 필요한 고가용성 요구 환경에서 유용합니다.

FlexConnect 설정 예시

# FlexConnect 그룹 생성
config flexconnect group add Branch-Office

# AP를 FlexConnect 모드로 설정
config ap mode flexconnect AP-NAME

# AP를 FlexConnect 그룹에 추가
config ap flexconnect group Branch-Office add AP-NAME

# 로컬 스위칭 활성화
config ap flexconnect local-switching AP-NAME enable

# VLAN 지원 설정
config ap flexconnect vlan add AP-NAME 1 Guest-SSID

---

6. 무선 보안 - 802.1X (Port-Based Network Access Control)

802.1X란?

802.1X는 네트워크 접근 제어를 위한 IEEE 표준 프로토콜로, 유선 및 무선 네트워크에서 사용자 인증을 수행합니다. 단순히 암호(PSK)를 입력하는 방식이 아니라, 사용자 계정 기반의 중앙 집중식 인증을 제공하여 기업 환경에서 강력한 보안을 구현할 수 있습니다.

802.1X의 필요성

일반적인 PSK(Pre-Shared Key) 방식은 모든 사용자가 동일한 암호를 공유하고, 직원 퇴사 시 암호를 변경하려면 모든 장치를 재설정해야 하며, 개별 사용자 추적이 불가능하고, 암호 유출 시 전체 네트워크 보안이 위협받는 문제가 있습니다.

 

802.1X를 사용하면 각 사용자가 고유한 인증 정보를 사용하는 개별 계정 기반 인증, RADIUS 서버에서 모든 사용자를 관리하는 중앙 관리, 사용자별·그룹별 정책 적용이 가능한 세밀한 접근 제어, 누가 언제 네트워크에 접속했는지 기록하는 감사 추적이 가능합니다.

---

7. 802.1X 구성 요소

Supplicant (클라이언트)

네트워크에 접속하려는 사용자의 장치입니다. Windows, macOS, iOS, Android 등 대부분의 운영체제는 802.1X Supplicant 기능을 내장하고 있습니다. Supplicant는 사용자 인증 정보를 입력받고, 인증 프로토콜을 실행하며, 인증 성공 시 네트워크에 접근합니다.

Authenticator (인증 장치)

무선 환경에서는 AP 또는 WLC가 Authenticator 역할을 수행합니다. Authenticator는 클라이언트의 네트워크 접근을 차단하고(인증 전), EAP 메시지를 RADIUS 서버로 중계하며, 인증 성공 시 포트를 활성화하고 인증 실패 시 접근을 거부합니다.

Authentication Server (인증 서버)

RADIUS 서버가 실제 인증을 수행합니다. 사용자 데이터베이스를 관리하고, 인증 요청에 대해 승인 또는 거부를 결정합니다.

주요 RADIUS 서버 솔루션으로는 Windows Server에 포함된 Microsoft NPS(Network Policy Server), 엔터프라이즈급 NAC 솔루션인 Cisco ISE(Identity Services Engine), 오픈소스인 FreeRADIUS, HP/Aruba 네트워크 솔루션인 ClearPass 등이 있습니다.

---

8. 802.1X 동작 과정

1단계: 연결 시도 - 클라이언트가 무선 네트워크(SSID)에 연결을 시도하면, AP는 클라이언트를 인증되지 않은 상태로 유지하고 DHCP나 일반 트래픽을 차단합니다. 오직 EAP 인증 트래픽만 허용됩니다.

 

2단계: EAP 교환 - AP는 클라이언트에게 EAP-Request Identity 메시지를 보내 신원을 요청합니다. 클라이언트는 사용자 이름을 포함한 EAP-Response Identity를 반환합니다.

 

3단계: RADIUS 통신 - AP(또는 WLC)는 클라이언트의 EAP 메시지를 RADIUS 서버로 전달합니다. 이후 클라이언트와 RADIUS 서버 간에 EAP 메서드를 통한 실제 인증이 진행됩니다.

 

4단계: 인증 완료 - RADIUS 서버가 인증을 승인하면 Access-Accept 메시지를 AP로 전송하고, AP는 클라이언트의 포트를 활성화하여 네트워크 접근을 허용합니다. 인증 실패 시 Access-Reject 메시지를 보내고 접근을 거부합니다.

 

5단계: 4-Way Handshake - 802.1X 인증이 성공한 후, 무선 암호화를 위한 키 교환 과정이 진행됩니다. 이 과정에서 PMK(Pairwise Master Key)와 PTK(Pairwise Transient Key)를 생성하여 데이터 암호화에 사용합니다.

---

마무리 및 정리

무선 네트워크 아키텍처는 네트워크 규모와 요구사항에 따라 선택됩니다. 소규모 환경에서는 Autonomous AP가 비용 효율적이지만, 대규모 환경에서는 WLC를 활용한 Lightweight AP 방식이 관리 효율성과 확장성 면에서 훨씬 유리합니다.

 

CAPWAP 프로토콜은 AP와 WLC 간의 표준화된 통신을 제공하며, Split MAC 구조를 통해 기능을 효율적으로 분산 처리합니다. 원격 지점에서는 FlexConnect를 활용하여 WLC 연결이 끊어져도 서비스를 지속할 수 있어, 안정적인 무선 네트워크 운영이 가능합니다.

 

무선 보안에서는 802.1X가 엔터프라이즈 환경의 표준으로 자리 잡았습니다. 802.1X는 개별 사용자 인증, 중앙 집중식 관리, 강력한 암호화를 통해 무선 네트워크를 안전하게 보호합니다.

 

다음 글에서는 스위치 보안 기술인 DAI(Dynamic ARP Inspection)에 대해 다뤄보겠습니다.