Brain584. 802.1X (PNAC) - RADIUS와 EAP 기반의 엔터프라이즈 제로 트러스트 인증 체계
핵심 인사이트 (3줄 요약)
- 본질: 802.1X는 본래 스위치(허브) 구멍에 랜선을 꽂는 순간 사원증 검사를 하려고 만든 포트 기반 접근 제어(PNAC) 기술이었으나, 이 깐깐한 수문장을 WPA2/WPA3 무선 허공(Enterprise 모드)으로 끌어올려 와이파이 보안의 끝판왕을 완성한 인증 프레임워크다.
- 가치: 동네 카페처럼 모두가 비밀번호 하나(
wifi1234)를 돌려쓰는 구조적 리스크를 산산조각 냈다. 직원이 로그인하면 깡통 문지기(AP)를 거쳐 본사 깊숙이 숨겨진 RADIUS 서버가 사번과 인증서를 대조한 뒤, 직원마다 유일한 개별 암호키(PMK)를 쏴주어 한 명의 배신이 전체 망의 붕괴로 이어지는 퇴사자 리스크를 제로화했다.- 융합: 이 아키텍처는 인증 수단(EAP)의 유연성을 극대화하여 융합되었다. 아이디/비번을 쓰는 가벼운 PEAP부터, 사내 발급 인증서가 없으면 아예 문을 안 열어주는 군사급 방어 체계인 EAP-TLS까지, 기업의 뼈대가 되는 제로 트러스트 무선 인프라 아키텍처의 절대적 표준으로 군림하고 있다.
Ⅰ. 개요 및 필요성 (Context & Necessity)
- 개념: IEEE 802.1X는 네트워크 포트(물리적 랜선 포트 또는 무선 AP의 논리적 연결)에 대한 인증 메커니즘을 정의한 표준으로, **PNAC (Port-Based Network Access Control)**이라 부른다. 세 가지 주요 역할(Supplicant(폰), Authenticator(공유기), Authentication Server(RADIUS 서버))로 나뉘어 대화하는 아키텍처다.
- 필요성: WPA2-Personal (PSK) 모드는 가정집에선 좋지만, 직원 1,000명의 대기업에서는 재앙이다. 공용 와이파이 비밀번호를 한 명이 외부에 유출하거나 퇴사하면, 도둑이 회사 밖 주차장 봉고차에서 사내망에 마음껏 접속해 버린다. 이를 막으려면 비번을 바꿔야 하는데 1,000대의 노트북 설정을 다시 쳐주는 것은 물리적으로 불가능하다. 즉, **"비밀번호 하나를 공유하지 말고, 직원 1,000명 각각의 아이디와 사원증을 중앙(DB)에서 통제하는 깐깐한 스피드 게이트"**가 무선망에 절실했다.
- 등장 배경: ① 무선랜의 기업 도입 확대로 PSK 기반의 막장 보안성(유출 리스크) 대두 → ② 유선 스위치에서 훌륭히 작동하던 802.1X 표준을 WPA-Enterprise 규격으로 무선에 이식(EAP over LAN, EAPoL) → ③ RADIUS 서버와 다양한 EAP 인증 프로토콜(PEAP, TLS 등)의 결합을 통한 엔터프라이즈 인프라 혁신.
┌─────────────────────────────────────────────────────────────┐
│ PSK(동네 카페 방식) vs 802.1X(대기업 방식) 권한 구조 시각화 │
├─────────────────────────────────────────────────────────────┤
│ │
│ [과거: WPA2-Personal (PSK) - "공용 마스터 키의 비극"] │
│ 인사팀 직원 ─▶ (비번: Company123!) ──▶ [공유기(AP)가 혼자 판단] │
│ 퇴사한 해커 ─▶ (비번: Company123!) ──▶ [공유기: "오 비번 맞네 패스!"]│
│ => 결과: 문지기(AP)가 권한이 너무 쎄서 멍청함. 비번 한 번 새면 회사가 털림!│
│ │
│ [혁신: WPA2-Enterprise (802.1X) - "중앙 집중형 제로 트러스트"] │
│ │
│ 인사팀 직원 ─▶ (ID/PW 던짐) ──▶ [AP: "난 몰라, 본사에 물어볼게!"] │
│ │ (Radius 통신) │
│ 퇴사한 해커 ─▶ (퇴사ID 던짐) ─▶ [본사 RADIUS 서버 (인사 DB 연결)] │
│ │ │
│ RADIUS 판단: "인사팀 직원은 통과! 퇴사자는 ID 정지 상태니까 컷(차단)!!" │
│ RADIUS 지시: "AP야! 인사팀 직원만 문 열어주고 개인 전용 암호키 던져줘!" │
│ │
│ => 결과: 공유기(AP)는 그저 무전기 역할(Authenticator)만 할 뿐, 똑똑한 │
│ 판단과 암호키 생성은 본사 깊숙한 RADIUS가 도맡아 통제력 극대화! │
└─────────────────────────────────────────────────────────────┘
[다이어그램 해설] 802.1X 아키텍처의 미학은 철저한 **'역할 분리(Decoupling)'**에 있다. PSK 시절엔 공유기(AP) 한 대가 무선 전파도 쏘고, 비밀번호도 저장하고, 판단도 내리는 독재자였다. 802.1X는 공유기를 단순한 깡통 문지기(Authenticator)로 강등시켰다. 폰(Supplicant)이 ID를 던지면, 깡통 공유기는 열어보지도 않고 봉투 그대로 본사 서버실의 진짜 왕(Authentication Server, RADIUS)에게 패스한다. RADIUS는 사내 인사시스템(AD/LDAP)과 대조해 정상 직원이면 승인 도장과 함께 "이 직원만을 위한 랜덤 마스터 키(PMK)"를 발급해 폰과 공유기에 뿌려준다. 이것이 퇴사자가 발생했을 때 인사팀 클릭 한 번으로 모든 사내 접근 권한을 0초 만에 소멸시키는 마법의 구조다.
- 📢 섹션 요약 비유: 개인용 와이파이(PSK)는 아파트 1층 공동 현관문의 비밀번호를 주민 500명이 다 같이 쓰는 겁니다. 비번이 소문나면 끝장이죠. 802.1X(엔터프라이즈)는 호텔 스피드 게이트입니다. 문고리에는 비번을 치는 구멍이 아예 없고, 무조건 각자의 사원증(ID)을 대야만 문이 열립니다. 누가 나쁜 짓을 하면 그 사람의 사원증만 정지시키면 호텔 전체가 다시 안전해집니다.
Ⅱ. 아키텍처 및 핵심 원리 (Deep Dive)
802.1X의 3대 핵심 컴포넌트 아키텍처
802.1X가 작동하려면 이 세 가지 플레이어가 완벽한 삼각편대를 이뤄 통신해야 한다.
| 컴포넌트 이름 | 실체 (누구인가?) | 수행 역할 및 행동 (Role) |
|---|---|---|
| 1. Supplicant (요청자) | 직원의 폰, 노트북 안의 네트워크 소프트웨어 (Windows 내장 등) | 사원증을 내미는 손님. 깡통 AP에게 **EAPoL (EAP over LAN)**이라는 무선 프로토콜로 자신의 아이디와 패스워드, 인증서를 포장해서 던짐. |
| 2. Authenticator (인증자) | 회사 천장에 달린 무선 공유기(AP) 또는 무선 컨트롤러(WLC) | 똑똑한 척하지만 판단 능력이 0인 바보 문지기. 폰이 던진 암호 봉투를 까보지 않고 그대로 뒷구멍의 유선망(RADIUS 프로토콜)으로 본사 서버에 토스(Relay)함. |
| 3. Authentication Server (인증 서버) | 사내 서버실의 RADIUS 서버 (Cisco ISE, Microsoft NPS 등) | 무소불위의 최종 권력자. 사내 인사 DB(Active Directory)와 연동하여 폰이 보낸 ID/인증서를 깐깐히 검사하고 합격(Accept)/불합격(Reject) 도장을 찍음. |
EAP (Extensible Authentication Protocol)의 융합과 3대 대장 프로토콜
802.1X는 껍데기(프레임워크)일 뿐이다. 그 안에서 "아이디/비번을 쓸 거냐? 인증서를 쓸 거냐? 심 카드를 쓸 거냐?"를 결정하는 실제 내용물 규격이 바로 EAP다. 기업 아키텍트들은 회사 보안 수준에 맞춰 이 EAP 종류를 세팅해야 한다.
┌───────────────────────────────────────────────────────────────┐
│ 엔터프라이즈 802.1X의 3대 EAP 프로토콜 진검승부 │
├───────────────────────────────────────────────────────────────┤
│ [위험한 해킹: 허공에서 평문 ID/비번 훔쳐보기 스니핑!] │
│ │
│ 🛡️ 1. EAP-TLS (군사/금융권 끝판왕 방어) │
│ - 조건: 사내 직원 노트북 '안에' 회사가 발급한 찐 인증서가 깔려있어야 함. │
│ - 작동: 공유기가 묻지도 따지지도 않고 노트북 안의 칩셋(인증서)과 통신해 │
│ 알아서 열림. 아이디/비번을 칠 필요가 없음. 완벽한 철벽 방어! │
│ - 딜레마: 직원 1천 명 노트북에 인증서 파일 다 깔아주려면 IT 부서 죽어남. │
│ │
│ 🛡️ 2. PEAP (가장 대중적인 일반 대기업 방식) │
│ - 조건: 회사(RADIUS) 쪽에만 인증서가 딱 1장 있으면 됨! │
│ - 작동: 폰과 서버가 통신할 때 뒷구멍으로 몰래 암호화 터널(TLS 터널)을 │
│ 먼저 뻥 뚫어놓고, 그 깜깜한 터널 안으로 폰이 ID/비번을 안전하게 │
│ 던짐. 해커가 밖에서 백날 쳐다봐도 훔쳐볼 수 없음! (갓성비 최고) │
│ │
│ 🛡️ 3. EAP-TTLS (PEAP의 사촌 동생) │
│ - 작동: PEAP이랑 거의 똑같이 터널 뚫고 던지는데, 옛날 통신 장비들(구형)도│
│ 알아들을 수 있게 융통성 있게 규격을 맞춘 버전임. │
└───────────────────────────────────────────────────────────────┘
[다이어그램 해설] EAP의 진화는 "해커(Evil Twin)의 낚시 공격을 어떻게 막을 것인가"에 초점이 맞춰져 있다. 해커가 가짜 공유기를 켜놓고 "나 회사 공유기야! ID/비번 줘!"라고 폰을 속일 때, 무식한 EAP-MD5 같은 규격은 속아서 비번을 허공에 날려버린다(탈탈 털림). 이를 막기 위해 **PEAP (Protected EAP)**가 탄생했다. PEAP은 직원이 비번을 치기 전에, 폰이 먼저 회사 서버의 '디지털 서명(인증서)'을 검사해 "진짜 우리 본사 서버 맞네!"를 확인한 후 안전한 비밀 터널(TLS)을 뚫어 그 안으로 비번을 쏜다. 가장 극단적인 제로 트러스트는 EAP-TLS다. 아예 비번 창 자체를 없애고, 기기 안에 심어진 하드웨어 인증서끼리 수학적으로 부딪쳐 문을 여는 방식으로, 사내망 무단 접속을 물리적으로 박살 내는 현존 최강의 융합 방패다.
- 📢 섹션 요약 비유: EAP-TLS는 대사관 깊숙이 들어갈 때 신분증 칩(인증서)과 눈동자 홍채를 들이밀어야만 문이 열리는 극한의 보안입니다. PEAP는 일반 회사의 로그인 창입니다. 직원이 아이디와 비밀번호를 치지만, 해커가 훔쳐보지 못하게 까만색 커튼(TLS 터널)을 친 상태에서 금고에 비밀번호를 밀어 넣는 아주 똑똑하고 가성비 좋은 방식입니다.
Ⅲ. 융합 비교 및 다각도 분석
RADIUS (Remote Authentication Dial-In User Service)의 아키텍처
802.1X의 심장인 Authentication Server 역할을 수행하는 RADIUS 프로토콜의 설계 철학을 해부한다. 이름에 Dial-In(전화 접속)이 들어간 이유는 1990년대 PC통신 전화선 시절에 만들어진 규격이기 때문이다.
| 비교 기준 | 깡통 공유기 (AP / Authenticator) | 위대한 RADIUS 서버 |
|---|---|---|
| 네트워크 위치 | 천장에 대충 매달려 있거나 복도 끝에 있음. 도둑이 뜯어가기 쉬움. | 본관 지하 3층 항온항습실 서버 랙 깊숙이 철창 안에 처박혀 있음. |
| 정보의 저장 상태 | 직원들의 패스워드나 인증 정보가 단 1바이트도 저장되어 있지 않음. (State-less 깡통). | 10만 명 직원의 암호 화시값과 인사 DB(Active Directory)가 통째로 물려있음. |
| 통신 프로토콜 융합 | 무선 허공에서는 폰과 EAPoL (EAP over LAN) 규격으로 대화함. | 유선 랜선을 타고 뒷구멍으로 AP와 **RADIUS 프로토콜(UDP 1812)**로 암호화 대화함. |
RADIUS의 핵심 가치는 **"최전방(AP)이 털려도 본진(비밀번호)은 절대 안 털리는 중앙 집중 아키텍처"**다. 도둑이 천장의 AP를 뜯어서 집에 가져가 기판을 분해해 봐도 그 안에는 아무 데이터가 없다. AP는 그저 폰이 보낸 EAP 봉투를 스위치 유선망을 타고 RADIUS 서버로 택배 배달해 주는 멍청한 중계기일 뿐이다.
┌───────────────────────────────────────────────────────────────┐
│ 802.1X 기반 동적 VLAN 할당의 인프라 마법 시각화 │
├───────────────────────────────────────────────────────────────┤
│ [상황: 임원과 인턴이 똑같이 로비의 1번 공유기(AP)에 접속함] │
│ │
│ [본사 RADIUS 서버의 무소불위 통제] │
│ │
│ 1. 임원 로그인 성공 ─▶ RADIUS ─▶ AP에 지시: │
│ "AP야! 방금 인증 성공한 폰은 사장님(VLAN 10) 폰이다. │
│ 얘는 접속하자마자 방화벽 다 열려있는 사장님 전용 무선망에 꽂아!" │
│ │
│ 2. 알바생 로그인 성공 ─▶ RADIUS ─▶ AP에 지시: │
│ "AP야! 방금 인증 성공한 폰은 일용직 알바(VLAN 99) 폰이다. │
│ 얘는 사내 서버 접속 완전 차단하고 오직 인터넷만 되게 망을 분리해!" │
│ │
│ => 결과: 와이파이 이름(SSID)을 부서별로 수십 개씩 파놓을 필요가 없음! │
│ 하나의 와이파이 이름으로 1,000명이 붙어도, RADIUS가 신분에 따라 │
│ 유선 방화벽망(VLAN)을 알아서 쫙쫙 찢어 꽂아버리는 궁극의 자동화! │
└───────────────────────────────────────────────────────────────┘
[다이어그램 해설] 엔터프라이즈 환경에서 802.1X의 끝판왕 응용 기술인 **동적 VLAN 할당(Dynamic VLAN Assignment)**이다. 옛날에는 임원용 와이파이(Boss_WiFi)와 일반용 와이파이(Staff_WiFi) 이름을 따로 파고 비밀번호를 따로 관리해야 했다. 802.1X/RADIUS 환경에서는 그럴 필요가 없다. 온 회사의 와이파이 이름은 오직 1개(Company_Corp)다. 직원이 로그인하는 순간, RADIUS 서버가 인사 DB를 조회해 "부서/직급 태그(VLAN ID)"를 발급하여 공유기에 던진다. 공유기는 그 직원의 패킷을 해당 태그가 달린 유선망 파이프로 직행시킨다. 사장님이 화장실에서 접속하든 회의실에서 접속하든, 로그인하는 순간 즉시 사장님 전용(VLAN 10) 망으로 마법처럼 라우팅 되는 진정한 무선 모빌리티 융합(Mobility Fusion)이 완성된다.
- 📢 섹션 요약 비유: 옛날엔 사장님 전용 엘리베이터와 일반 엘리베이터를 아예 따로 만들었습니다(와이파이 분리). 802.1X 동적 VLAN은 아주 똑똑한 AI 엘리베이터입니다. 사장님이 타서 사원증을 대면 자동으로 VIP 라운지 층이 눌러지고, 알바생이 사원증을 대면 일반 사무실 층만 눌러져서 절대 남의 층으로 갈 수 없게 막아버리는 완벽한 출입 통제기입니다.
Ⅳ. 실무 적용 및 기술사적 판단
실무 시나리오: WPA2-Enterprise에서 해커의 Evil Twin (가짜 공유기) 피싱 방어
- 상황: 회사 앞 카페에 앉아있던 직원의 스마트폰에 평소 회사에서 쓰던
Company_Secure라는 와이파이가 떴다. 직원이 클릭하고 ID/PW(PEAP)를 입력했는데 연결이 안 되었다. 며칠 뒤 그 직원의 아이디로 사내 기밀 서버가 해킹당했다. - 원인 (Rogue AP 및 인증서 무시 안티패턴): 해커가 카페에서 라즈베리 파이(해킹툴)로 회사 와이파이와 100% 똑같은 이름(SSID)의 가짜 공유기와 가짜 RADIUS 서버를 구동시킨 것이다 (Evil Twin Attack). 직원이 무심코 아이디/비번을 치고 들어갔을 때, 폰 화면에 "서버 인증서를 신뢰할 수 없습니다"라는 경고창이 떴다. 하지만 귀찮은 직원이 [계속/신뢰함] 버튼을 꾹 눌러버리는 치명적 실수를 저질렀고, 해커가 쳐놓은 가짜 암호화 터널 안으로 회사 비밀번호를 그대로 헌납해 버렸다.
- 의사결정 및 아키텍처 조치 (MDM 기반 Root CA 핀 고정):
- 통신 및 보안 아키텍트는 "사용자의 판단에 보안을 맡기는 것은 죄악"이라고 선언한다.
- 회사에서 지급하는 모든 스마트폰과 노트북에 MDM(모바일 기기 관리) 정책을 밀어 넣어, 사내 와이파이 연결 프로파일을 수정하지 못하게 잠가버린다.
- 이 프로파일 설정 안에 **"우리 회사 RADIUS 서버의 공인 루트 인증서(Root CA)가 아니면, 아예 경고창도 띄우지 말고 접속을 0.001초 만에 튕겨버려라!" (Server Certificate Validation Force)**라는 옵션을 하드코딩한다.
- 결과: 해커가 회사 밖에서 100억짜리 가짜 공유기를 켜도, 임직원 스마트폰은 서버 인증서 서명이 다름을 감지하고 아예 아이디/비번 전송 단계(Phase 2)로 진입하지 않고 연결을 끊어버려 완벽한 피싱 방어가 달성된다.
도입 체크리스트 및 안티패턴
-
엔터프라이즈 802.1X 도입의 매몰 비용 (인프라 병목): 동네 병원이나 직원 30명짜리 중소기업이 "보안 좀 올려볼까?" 하고 무턱대고 802.1X를 도입하면 파산한다. 802.1X를 돌리려면 Windows Server Active Directory를 구축해야 하고, RADIUS 서버(NPS/ISE) 라이선스를 사야 하며, 공인 인증서 체계(PKI)까지 관리해야 하는 엄청난 서버 관리(Admin) 인건비가 터져 나온다. 소규모 사업장에서는 802.1X 대신 공유기 자체에서 MAC 주소와 다중 PSK를 버무려 관리하는 WPA3-SAE (Personal) 기반의 MPSK(Multi-PSK) 같은 경량 솔루션으로 타협하는 것이 현명한 아키텍처 의사결정이다.
-
안티패턴 (EAP-MD5 같은 구형 규격 맹신): 사내 무선망을 세팅하며 EAP 종류를 고를 때, 속도가 빠르다는 이유로 20년 전 기술인 EAP-MD5를 고르는 것은 회사 문을 활짝 열어두는 미친 짓이다. MDM은 안전한 TLS 터널을 뚫지 않고 해시만 돌려서 보내기 때문에 패킷을 가로채서 딕셔너리 공격을 돌리면 반나절 만에 비번이 털린다. 무조건 터널을 뚫는 PEAP-MSCHAPv2, EAP-TTLS, 또는 무적의 EAP-TLS 중 하나만 골라야 무선망이 생존한다.
-
📢 섹션 요약 비유: 해커가 가짜 경찰 복장(Evil Twin 공유기)을 입고 길에서 "신분증(비밀번호) 내놔!"라고 합니다. 착한 직원은 속아서 줍니다. 802.1X의 인증서 강제 확인 기능은, 직원에게 "경찰 배지 홀로그램(서버 인증서)이 없는 가짜 경찰에겐 묵비권을 행사해라!"라고 교육을 빡세게 시켜놔서, 가짜 경찰 앞에서는 아예 입을 꾹 닫아버리게 만드는 최고의 방어 훈련입니다.
Ⅴ. 기대효과 및 결론
정량/정성 기대효과
| 구분 | WPA2-Personal (일반 암호 모드) | WPA2/3-Enterprise (802.1X 융합 모드) | 개선 효과 |
|---|---|---|---|
| 정량 (비밀번호 유출 피해 반경) | 마스터 비번 털리면 사내 100% 털림 | 털려도 해당 사원 1명의 권한(1%)만 털림 | 퇴사자/빌런 발생 시 무선망 전면 교체(블랙아웃) 비용 100% 절감 (피해 반경 최소화) |
| 정량 (인프라 통합 관리) | AP 50대 비밀번호 바꾸려면 50번 로그인 | 중앙 RADIUS 서버 DB 하나만 수정하면 끝 | 대규모 캠퍼스 망의 계정 동기화 및 관리 공수(Admin Overhead) 수십 배 단축 |
| 정성 (망 분리 접근성) | 영업/개발망을 물리적 와이파이(SSID)로 찢어둠 | 동적 VLAN으로 SSID 하나로 몽땅 통합 | 임직원 신분에 따라 자동으로 꽂히는 진정한 Zero Trust Network Access (ZTNA) 달성 |
미래 전망 및 진화 방향
- 클라우드 RADIUS와 IDaaS의 부상: 과거엔 802.1X를 하려면 본사 전산실에 거대한 서버 컴퓨터를 둬야 했지만, 지금은 클라우드 시대다. Okta, Cisco Meraki, Google Workspace 같은 거대한 IDaaS (Identity-as-a-Service) 클라우드가 통째로 RADIUS 역할을 대신해 준다. 스타트업도 복잡한 서버 구축 없이 1만 원만 내면 클라우드 RADIUS를 쏴주어, 구글 아이디 로그인 한 번으로 사내 802.1X 최고급 와이파이에 접속하게 만드는 클라우드 융합 인프라가 대세가 되었다.
- MAC 랜덤화(Randomization) 정책과의 충돌: 최신 아이폰이나 안드로이드폰은 개인정보 보호를 위해 와이파이에 붙을 때마다 자신의 기기 고유번호(MAC 주소)를 임의로 휙휙 바꿔버린다(MAC Randomization). 이로 인해 기존 MAC 주소 기반으로 직원 기기를 걸러내던 허접한 기업망들은 대혼란에 빠졌다. 802.1X(EAP-TLS 인증서 기반)는 폰의 MAC 주소가 100번 바뀌든 말든 기기 안의 암호화 칩셋 서명을 검사하므로 이 거대한 프라이버시 충돌을 가장 우아하게 우회하며 통과해 낸 궁극의 생존자 규격이 되었다.
참고 표준
- IEEE 802.1X: 원래 유선 스위치용 포트 접근 제어(PNAC) 표준으로 만들어졌으나 무선(Wi-Fi)의 WPA-Enterprise로 융합되며 역사상 가장 위대한 확장성을 증명한 문서.
- RFC 3748 (Extensible Authentication Protocol, EAP): 802.1X라는 뼈대 안에서 ID/비번을 쓸지 카드 키를 쓸지 그 내용물 규격을 정의하는 거대한 인증 확장 포맷의 국제 인터넷 규격.
802.1X (PNAC)와 EAP/RADIUS 연동 아키텍처는 무선랜 역사상 가장 훌륭한 "권력 분산과 중앙 통제"의 교과서다. 전파를 쏘는 더러운 최전방 일선(AP)에는 권력을 1도 주지 않고 바보 문지기로 만들고, 인증과 판단의 뇌(Brain)는 안전한 지하 요새의 RADIUS 서버로 완벽히 분리해 내었다. 그 결과 기업들은 1,000개의 공유기를 깔고 수만 명의 직원이 돌아다니는 대형 공장이나 캠퍼스에서도, 단 한 명의 인증 도용 없이 완벽한 제로 트러스트(Zero Trust) 무선 모빌리티 융합을 이룩할 수 있게 되었다.
- 📢 섹션 요약 비유: 802.1X는 깡통 문지기 로봇(AP)입니다. 문지기는 아무것도 몰라서, 내가 "나 김 대리야!"라고 사원증(EAP)을 주면 본사 사장님(RADIUS)에게 무전으로 팩스를 보냅니다. 사장님이 CCTV로 내 얼굴과 사원증을 확인하고 "문 열어줘라(VLAN)!"라고 텔레파시 암호키를 쏴주면 그제야 찰칵하고 문을 열어주는, 절대로 뇌물을 먹일 수 없는 완벽한 원격 3단 콤보 검문 시스템입니다.
📌 관련 개념 맵 (Knowledge Graph)
| 개념 명칭 | 관계 및 시너지 설명 |
|---|---|
| PNAC (포트 기반 네트워크 접근 제어) | 802.1X의 본질. 스위치 구멍(유선)이든 전파(무선)든 간에, 사원증(인증)을 통과하기 전까지는 인터넷 구멍을 벽돌로 막아버리는 무자비한 네트워크 차단 프레임워크다. |
| RADIUS 서버 | 회사 지하 서버실에 숨어있는 최종 보스 인증 서버. 폰이 던진 암호 수수께끼를 받아들고 사내 인사 DB(AD)와 대조한 뒤, 깡통 공유기에게 통과/불통과 판정을 내려주는 뇌(Brain)다. |
| EAP-TLS | 802.1X 세계관의 최강 철벽 방어 규격. 직원이 비밀번호를 치는 귀찮음과 위험을 없애고, 기기 안에 심어진 '디지털 회사 신분증(인증서)'끼리 수학적으로 부딪쳐 문을 열어버리는 군용 시스템이다. |
| PEAP / EAP-TTLS | 인증서를 1,000대 노트북에 다 깔아주기 빡센 기업들이 쓰는 가성비 융합 규격. 서버에만 인증서를 두고 폰과 먼저 까만색 비밀 터널(TLS)을 뚫은 뒤, 그 안전한 터널로 ID/비번을 던져 해킹을 막는다. |
| 동적 VLAN 할당 | 802.1X의 마법. 사장님이 붙으면 고급 무선망(VLAN 10)으로, 알바생이 붙으면 허접한 인터넷망(VLAN 90)으로, RADIUS 서버가 로그인하는 사람의 신분에 맞춰 허공의 파이프를 휙휙 꺾어 꽂아준다. |
👶 어린이를 위한 3줄 비유 설명
- 집에서 쓰는 와이파이는 비밀번호
1234를 온 가족이 돌려써서 나쁜 도둑이 알아내면 집 전체가 다 털려요. - 하지만 802.1X라는 대기업 와이파이는 비밀번호 구멍이 없고, 무조건 내 이름과 회사 신분증 카드(ID)를 찍어야만 문지기 로봇(공유기)이 본사 사장님(RADIUS 서버)한테 물어보고 문을 열어줘요.
- 그래서 직원이 나쁜 맘을 먹고 도망가도 사장님이 "저 신분증 정지시켜!" 버튼만 누르면, 다른 사람들 와이파이는 멀쩡한데 그 나쁜 사람만 인터넷이 영원히 끊겨버리는 아주 똑똑한 시스템이랍니다!