우리집 공유기 보안을 향상시키는 방법

완벽한 무선랜 보안은 실제로 존재하지 않습니다. 하지만 공격자들이 쉽게 접근하지 못하도록 충분한 보안 조치를 취할 수 있습니다. 이를 위해 무선랜 공유기(라우터) 설정 페이지에서 다음과 같은 단계를 수행하면 훨씬 보안성은 높아집니다.

1. 기본 로그인 정보 변경하기

• 기본 사용자 이름과 비밀번호를 변경하여 공격자의 접근을 막습니다.
• 가장 많이 사용되는 아이피타임 공유기의 경우, 기본 관리자 계정 및 비빌번호가 admin / admin 입니다. 기본 로그인 정보만 변경해도 보안성은 향상됩니다. (아래 관리자 계정 설정 화면 참조)
• 복잡한 비밀번호 사용(영문, 숫자, 특수문자 조합)
• 원격 관리 기능 비활성화 또는 접근 제어 - 아래와 같이 공유기 접속/보안관리 메뉴에서 원격관리포트 사용을 해제시켜야 합니다. (예, 아이피타임 공유기)

<관리자 계정 설정>

<외부 접속 보안 설정>

2. 무선 보안 설정 활성화하기

• WPA2 또는 WPA3 암호화 방식을 선택하여 무선 네트워크 보안을 강화합니다.
• WEP (Wired Equivalent Privacy) 암호화 방식은 가장 오래된 무선 보안 프로토콜로, 암호화 강도가 매우 약해 쉽게 해킹될 수 있습니다. 따라서 WEP는 사용하지 않는 것이 좋습니다.
• 최근 출시된 무선 공유기의 경우, WPA3 암호화 방식을 지원하기 때문에 가능하면 WPA3를 사용하시기 바랍니다.
• 강력한 암호키 사용: 8자 이상의 영문, 숫자, 특수문자 조합 사용
• SSID 브로드캐스트 비활성화: 네트워크 이름을 숨겨 무단 접속을 차단합니다. 
  이와 같이 SSID 브로드캐스트를 비활성화시키면, SSID(네트워크 이름)가 노출되지 않기 때문에 SSID와 암호키를 아는 사람에 한해 접속이 가능해집니다.
  아래와 같이 무선설정/보안 메뉴에서 네트워크 이름 알림을 해제시키면 네트워크 이름이 외부에 공개되지 않습니다.(예, 아이피타임 공유기)

 

3. 무선 네트워크 이름(SSID) 숨기기

• SSID 브로드캐스트 비활성화: 네트워크 이름을 숨겨 무단 접속을 차단합니다.
• 이와 같이 SSID 브로드캐스트를 비활성화시키면, SSID(네트워크 이름)가 노출되지 않기 때문에 SSID와 암호키를 아는 사람에 한해 접속이 가능해집니다.
• SSID를 숨길 경우, 일반적인 SSID 목록에 없어 비밀번호 크래킹 공격을 방지할 수 있습니다. 
• 단점 : 일부 장치에서 SSID를 찾는 데 어려움이 있어 연결 문제가 발생할 수 있으며, 숨겨진 SSID라도 스니핑 공격으로 탐지될 수 있습니다. 
• 아래와 같이 무선설정/보안 메뉴에서 네트워크 이름 알림을 해제시키면 네트워크 이름이 외부에 공개되지 않습니다.(예, 아이피타임 공유기)

4. MAC 주소 필터링 사용하기

• 허용된 MAC 주소만 네트워크에 접속할 수 있도록 설정합니다. 
• 모든 무선랜 기기들은 고유한 MAC주소를 갖고 있습니다. 노트북의 경우, 바닥을 뒤집어 보면 MAC주소가 적혀 있는 것을 확인할 수 있습니다. 또한, 스마트폰의 경우에도 정보를 확인해보면 고유한 MAC주소를 확인할 수 있습니다. 다만, MAC 주소 필터링 기능의 경우 허용된 MAC주소에 한해서만 접속을 허용하기 때문에 SSID나 암호키가 외부에 유출된다 하더라도 차단이 가능하지만 설정 자체의 귀찮음 때문에 대부분 사용하지 않는 기능입니다. 
• MAC 주소 스푸핑 가능: MAC 주소는 비교적 쉽게 변조할 수 있어, 악의적인 사용자가 허용된 MAC 주소를 사용하여 네트워크에 접근할 수 있습니다. 
• 관리의 어려움: 네트워크에 연결되는 모든 장치의 MAC 주소를 관리하는 것은 현실적으로 어려운 작업입니다. 
• 보안성 낮음: MAC 주소 필터링은 기본적인 보안 수준만 제공하며, 다른 보안 조치와 병행해야 합니다. 
• 위장 공격에 취약: 공격자가 허용된 MAC 주소를 탈취하여 네트워크에 접근할 수 있습니다.
• 따라서 MAC 주소 필터링은 실질적인 보안 효과가 크지 않습니다. 대신 WPA2 이상의 강력한 암호화, 방화벽, 침입 탐지 시스템 등 다양한 보안 조치를 병행하는 것이 더 효과적일 것입니다. 
• 아래와 같이 무선랜 관리>MAC주소 관리에 들어가시면 수동으로 MAC주소를 등록하여 사용할 수 있습니다.(예, 아이피타임 공유기)

<MAC주소 관리>

반응형

5. 펌웨어 업데이트하기

무선랜 공유기의 펌웨어를 최신 버전으로 업데이트하여 알려진 취약점을 해결합니다. 

공유기 제조사에서 제공하는 최신 펌웨어 설치

보안 취약점 패치 및 새로운 보안 기능 적용

자동 펌웨어 업데이트 기능 활성화

무선랜 접속이 많은 시간에는 가능하면 펌웨어 업그레이드를 실행하지 않는게 좋습니다. 펌웨어 업그레이드를 실행하면 몇 분정도 리부팅 시간이 필요하기 때문에 인터넷 연결이 끊어지는 현상이 발생합니다. 따라서, 사용량이 적은 시간에 펌웨어 업그레이드를 진행하시기 바랍니다.

<공유기 펌웨어 업그레이드 실행>

6. 연결된 기기 모니터링하기

연결된 기기 목록을 확인하고 의심스러운 기기를 차단할 수 있습니다. 

사용중인 IP주소 정보를 확인하여 이상한 IP가 보이거나 허가받지 않은 기기 정보가 보인다면 차단하시기 바랍니다.

tkant<사용중인 IP주소 정보 확인>

7. 방화벽 기능 설정

포트 포워딩 기능 최소한으로 설정합니다. 포트 포워딩은 기업용 방화벽의 Static NAT 기능과 동일하다고 보시면 됩니다. 외부 인터넷용 IP의 특정 TCP/UDP 포트에 내부 기기의 특정 TCP/UDP 포트를 할당하는 것으로써, 집에서 서버를 구동시키는 분들이나 외부에 NAS를 공유시키기 위해 많이 사용하는 기능 중 하나입니다. 단, 외부 포트 스캐닝에 의해 노출될 수 있기 때문에 최소한으로 사용하고, 사용하지 않는 포트 포워딩 규칙은 반드시 삭제해야 합니다. 

DMZ(Demilitarized Zone) 기능 비활성화

침입 탐지 및 차단 기능 활성화

<포트 포워딩 기능 설정>