언어 선택
durumis AI가 요약한 글
- 30년된 RADIUS 프로토콜에서 심각한 보안 취약점인 'BlastRADIUS'가 발견되어 네트워크 인증 시스템의 안전성에 대한 우려가 커지고 있다.
- MD5 해시 충돌 공격을 이용한 이 취약점은 RADIUS 서버의 응답을 조작하여 인증 우회 및 권한 상승을 가능하게 하며, 기업 Wi-Fi, VPN, ISP 등 다양한 분야에 영향을 미칠 수 있다.
- 전문가들은 RADIUS/UDP 폐지와 RADIUS over TLS(RADSEC) 전환, 멀티홉 방식 도입 등을 통해 취약점을 해결하고 네트워크 보안을 강화해야 한다고 강조한다
30년 된 RADIUS 프로토콜의 치명적 결함 발견: BlastRADIUS 취약점
네트워크 인증의 핵심이었던 RADIUS 프로토콜에서 심각한 취약점이 발견되었다. 30년이나 숨어있던 이 취약점은 'BlastRADIUS'라 명명되었다. 그런데 이 취약점이 오랫동안 발견되지 않은 이유는 무엇일까?
RADIUS란 무엇인가?
RADIUS는 'Remote Authentication Dial-In User Service'의 약자다. 이는 네트워크에 접속하려는 사용자를 인증하고 권한을 부여하는 프로토콜이다. 쉽게 말해, 사용자가 네트워크에 접속할 때 "너 누구야? 들어와도 돼?"라고 확인하는 문지기 역할을 한다.
RADIUS는 다양한 곳에서 사용되는데, 우리 일상에서 가장 흔히 접할 수 있는 사례는 기업의 Wi-Fi 인증 시스템이다. 예를 들어보자.
일반적인 Wi-Fi는 비밀번호만으로 접속할 수 있다. 그런데 이 경우, 비밀번호를 알고 있는 누구나 접속할 수 있어 보안에 취약하다. 또한 누가 언제 접속했는지 정확히 알 수 없다.
반면, RADIUS를 사용하는 기업 Wi-Fi 시스템은 다르다. 직원들은 자신의 고유한 회사 아이디와 비밀번호로 Wi-Fi에 접속한다. RADIUS 서버는 이 정보를 확인하고, 인증된 사용자에게만 네트워크 접속을 허용한다. 이렇게 하면 누가 언제 네트워크에 접속했는지 정확히 알 수 있고, 보안도 강화된다.
특히 규모가 큰 회사일수록 이런 시스템을 많이 사용한다. 수백, 수천 명의 직원들이 각자의 고유 계정으로 안전하게 네트워크에 접속할 수 있기 때문이다.
물론 RADIUS는 기업 Wi-Fi 외에도 다양한 곳에서 사용된다:
1. 인터넷 서비스 제공업체(ISP): 고객이 인터넷에 접속할 때 인증
2. VPN: 원격 사용자가 회사 네트워크에 안전하게 접속할 때 사용
3. 공공 Wi-Fi 핫스팟: 사용자 인증 및 접속 관리
4. 모바일 네트워크: 스마트폰이 셀룰러 네트워크에 연결될 때 인증
RADIUS는 중앙집중식 인증 방식을 제공하여, 관리자가 수많은 사용자의 접근을 효율적으로 제어할 수 있게 한다. 그런데 이렇게 중요한 역할을 하는 RADIUS에 심각한 문제가 발견된 것이다.
취약점의 배경
RADIUS 프로토콜은 1991년에 설계되었다. 당시의 네트워크 환경과 보안 개념은 지금과는 크게 달랐다. 그래서 RADIUS는 UDP를 기반으로 설계되었다. UDP는 빠르지만 TLS같은 현대적 보안 프로토콜에 비해 보안성이 떨어진다.
취약점의 내용
BlastRADIUS(CVE-2024-3596)는 MD5 충돌 공격을 이용한다. MD5도 90년대 초반에 등장한 해시 기능이다. 그런데 시간이 지나면서 MD5의 취약점이 드러났다. 공격자는 이를 이용해 RADIUS 서버의 응답을 조작할 수 있다. 결과적으로 인증을 우회하고 권한을 상승시킬 수 있다.
여기서 주목해야 할 점은 MD5의 심각한 취약성이다. 현재 보안 업계에서는 MD5를 사용하는 시스템은 보안이 매우 취약한 것으로 간주한다. MD5는 너무나 쉽게 뚫리기 때문이다. 놀랍게도, 최근에는 1분도 안 되는 시간에 MD5 해시를 깨는 것이 가능해졌다. 이는 MD5를 사용하는 시스템이 실시간으로 해킹될 수 있다는 것을 의미한다.
이러한 이유로, 현대의 비밀번호 시스템은 MD5에서 SHA-1, SHA-2, SHA-3 등으로 진화해왔다. 이제는 보안이 중요한 시스템에서 MD5를 사용하는 경우를 찾아보기 힘들 정도다. 그런데 RADIUS가 여전히 MD5를 사용하고 있다는 점은 매우 우려할 만한 사항이다.
영향 범위
RADIUS는 현대 통신과 기업 네트워크의 핵심 요소다. 앞서 언급한 기업 Wi-Fi 시스템뿐만 아니라 ISP, 공공 Wi-Fi, 모바일 네트워크, IoT 장비 등 거의 모든 곳에서 사용된다. 그래서 이 취약점의 영향은 매우 광범위할 수 있다.
대응 방안
연구자들은 RADIUS/UDP의 완전한 폐지를 권고한다. 대신 RADIUS over TLS(RADSEC)로의 전환을 제안한다. 또한 멀티홉 방식 도입과 RADIUS 트래픽의 공공 인터넷 분리도 권장된다.
BlastRADIUS는 시간이 지나면서 보안 취약점이 된 '설계 오류'의 전형적인 예다. 특히 MD5와 같은 오래된 암호화 기술을 계속 사용하고 있다는 점은 큰 문제다. 이는 기술 발전 속도에 맞춰 보안 프로토콜도 지속적으로 업데이트되어야 함을 보여준다. 현재까지 이 취약점을 이용한 실제 공격 사례는 보고되지 않았다. 그렇지만 잠재적 위험성을 고려하면 신속한 대응이 필요하다. 특히 네트워크 장비 제조사와 관리자들의 빠른 조치가 요구된다.