227. EAP (Extensible Authentication Protocol) - 유연한 인증 규격

⚠️ 이 문서는 회사 유선 랜이나 무선 Wi-Fi(802.1X NAC 환경)에 접속할 때, 직원의 ID/비밀번호나 생체 인증 정보를 해커가 중간에서 가로채지 못하도록 튼튼한 장갑차(캡슐)에 태워 **사용자 단말(PC)부터 중앙 인증 서버(RADIUS)까지 안전하게 실어 나르는 일종의 배달 포장 규격이자 대화 프레임워크인 'EAP(확장성 인증 프로토콜)'**를 다룹니다.

핵심 인사이트 (3줄 요약)

  1. 본질: EAP 자체는 암호화 알고리즘이 아니다. 편지(인증 정보)를 주고받을 때 "지금부터 신분증 보내!", "확인했어, 통과!"라는 대화의 절차(껍데기)를 정의한 프레임워크다.
  2. 가치: 이름에 들어간 확장성(Extensible)이 핵심이다. 옛날처럼 비밀번호 하나만 띡 보내는 게 아니라, 시대가 변해 스마트카드(Token), 지문 인식, 인증서(PKI) 등 어떤 신기술 인증 방식이 나와도 EAP라는 표준 껍데기 안에 쏙 담아서 보낼 수 있는 극강의 호환성을 제공한다.
  3. 기술 체계: 생얼로 비밀번호를 보내는 바보 같은 기본 EAP 대신, 현대 기업들은 편지 봉투에 자물쇠(TLS 암호화 터널)를 한 겹 씌우는 EAP-TLS(가장 강력, 인증서 필요)나 PEAP(서버만 인증서 사용, ID/PW 로그인) 등 변형된 암호화 EAP를 100% 사용한다.

Ⅰ. 인증의 배달부: EAP의 동작 흐름

가짜 스위치를 조심하라. 내 비밀번호를 안전하게 중앙 서버까지 배달해야 한다.

  1. 802.1X 아키텍처의 한계:
    • 직원이 회의실 랜선(스위치 포트)에 노트북(Supplicant)을 꽂았다.
    • 노트북은 비밀번호를 스위치(Authenticator)에 던져주고 문을 열어달라고 한다. 그런데 만약 이 스위치가 해커가 몰래 달아놓은 깡통 스위치라면? 내 비밀번호는 평문으로 해커의 손에 들어간다.
  2. EAP 캡슐화 (End-to-End Delivery):
    • 노트북은 스위치와 절대 비밀번호를 논의하지 않는다.
    • 노트북은 EAP라는 캡슐(봉투) 안에 내 비밀번호를 넣고 봉인한다.
    • 스위치(문지기)는 이 EAP 봉투를 열어볼 지능도, 권한도 없다. 스위치는 그저 이 봉투를 쓱 받아서 RADIUS 프로토콜에 실어 본사 저 깊숙한 곳에 있는 '진짜 인증 서버(RADIUS Server)'에게 토스(Relay)할 뿐이다.
  3. 대화의 완성:
    • 오직 인증 서버만이 EAP 봉투를 뜯고 비밀번호를 확인한다. 맞으면 인증 서버가 EAP-Success(성공) 봉투를 스위치로 내려보내고, 스위치는 그 명령을 듣고 비로소 찰칵하고 차단기(포트)를 열어 인터넷을 허락해 준다.

📢 섹션 요약 비유: 직원이 클럽(사내망)에 입장할 때, 입구를 지키는 기도(스위치)에게 직접 내 주민번호를 불러주면 기도가 내 정보를 도용할 위험이 있습니다. 그래서 직원은 금고(EAP 캡슐) 안에 신분증을 넣고 자물쇠를 채워 기도에게 건넵니다. 기도는 금고를 열어보지 못하고 클럽 안쪽 방에 있는 사장님(인증 서버)에게 금고를 그대로 배달해 주고, 사장님이 열어보고 "통과시켜!"라고 소리쳐야 기도가 문을 열어주는 구조입니다.

Ⅱ. 확장성(Extensible)의 마법: 입맛대로 고르는 EAP 종류

빈 껍데기(EAP) 속에 어떤 최첨단 무기를 담을 것인가.

  1. 순정 EAP의 약점:
    • EAP 껍데기 자체는 암호화 기능이 없다. 해커가 선을 따서 EAP 봉투를 뜯으면 ID/PW가 평문으로 털린다(스니핑). 그래서 껍데기 안에 자물쇠(터널)를 한 번 더 치는 각종 파생 EAP들이 등장했다.
  2. EAP-TLS (가장 강력한 보안, 하지만 비쌈):
    • 은행이나 최고 보안 시설이 쓰는 킹왕짱 기술이다.
    • 클라이언트(노트북)와 인증 서버가 양쪽 모두 서로의 '공인 인증서'를 까서 검증하고 철통같은 암호화 터널(TLS)을 뚫은 다음 대화한다. 비밀번호를 탈취당할 틈이 1%도 없다.
    • 치명적 단점: 회사 내 10,000명의 직원 노트북 하나하나에 전부 USB나 파일로 공인 인증서를 깔아줘야 하므로 인프라 관리팀이 피눈물을 흘린다.
  3. PEAP (Protected EAP / 가장 대중적인 타협점):
    • 마이크로소프트와 시스코가 만든 최고의 타협안이다.
    • 10,000명의 직원에게 인증서를 까는 대신, '인증 서버' 딱 한 군데에만 인증서를 깔아둔다.
    • 직원이 노트북을 켜면, 노트북은 인증 서버의 신분증(인증서)만 먼저 확인하고(가짜 서버가 아님을 확신), 둘 사이에 안전한 암호화 터널(TLS)을 먼저 뚫는다.
    • 터널이 뚫리고 나면, 직원은 그 튼튼한 터널 안으로 편하게 평소 쓰던 **'아이디와 비밀번호'**를 슝 날려보내어 인증을 마친다. 관리도 편하고 해킹도 막아낸다 (대부분의 기업 Wi-Fi 환경이 PEAP 방식이다).

📢 섹션 요약 비유: 순정 EAP는 투명 비닐봉지에 신분증을 담아 보내는(해킹 위험) 짓입니다. EAP-TLS는 회사와 직원이 서로 특수 티타늄 금고와 열쇠(인증서)를 나눠 갖고 완벽하게 배달하는 철통 보안이지만 돈과 시간이 너무 많이 듭니다. PEAP는 회사(인증 서버)만 튼튼한 장갑차(TLS 터널)를 직원 집 앞으로 보내주고, 직원은 편하게 잠옷 차림으로 아이디/비밀번호만 장갑차 안에 휙 던져 넣고 타면 완벽히 안전하게 회사로 에스코트받는 가장 가성비 좋은 현대의 방식입니다.

Ⅲ. 무선 랜(Wi-Fi) 보안 체계와의 결합 (WPA2/WPA3 Enterprise)

선이 없는 공중(Air)에서는 EAP가 더욱 생명줄이 된다.

  1. 가정용 Wi-Fi (WPA2-Personal)의 한계:
    • 카페나 집에서 쓰는 Wi-Fi는 하나의 비밀번호(Pre-Shared Key)를 모든 사람이 공유한다.
    • 퇴사한 직원이 악심을 품고 그 비밀번호를 해커에게 알려주면, 회사 밖 주차장에서 해커가 그 비밀번호로 사내 무선망에 몰래 접속해 회사를 털어버릴 수 있다.
  2. 기업용 무선 랜 (WPA2-Enterprise)과 EAP:
    • 그래서 기업용 Wi-Fi에 접속할 때는, 공용 비밀번호를 치는 창 대신 **'아이디와 비밀번호를 치는 창(802.1X)'**이 두 칸 뜬다.
    • 내가 입력한 아이디와 비밀번호가 공중의 전파를 타고 무선 공유기(AP)를 거쳐 RADIUS 서버로 날아갈 때, 이 전파를 해커가 안테나로 낚아채서 엿듣지 못하도록 완벽하게 봉인해 주는 보호막이 바로 EAP-TLS나 PEAP다.
    • 무선 환경에서 802.1X 인증을 통과하면, 서버는 그 직원 PC 전용으로 '1회용 암호 키(세션 키)'를 동적으로 던져주어 직원마다 다 다른 암호 무전망을 쓰게 만들어 보안을 극대화한다.

📢 섹션 요약 비유: 카페 Wi-Fi(Personal)는 문에 자물쇠 하나를 달아놓고 100명의 직원에게 똑같은 복사 열쇠를 나눠주는 방식이라, 열쇠 하나만 복제당해도(퇴사자 유출) 끝장납니다. 기업용 Wi-Fi(Enterprise + EAP)는 문에 자물쇠를 없애고 지문 인식기(아이디/비번)를 단 다음, 직원이 지문을 찍을 때마다 그 직원 전용으로 단 1시간만 열리는 마법의 1회용 문(동적 암호 키)을 실시간으로 만들어 열어주는 극강의 무선 방어 체계입니다.