Brain229. PEAP (Protected EAP) — TLS 터널 보호 인증
⚠️ 이 문서는 기업의 무선 랜(Wi-Fi)이나 802.1X 환경에서 로그인할 때, EAP-MD5처럼 평문 비밀번호가 털리는 것을 막고 싶지만, 그렇다고 직원 수만 명의 노트북에 일일이 공인인증서를 깔아줘야 하는 EAP-TLS의 극악의 돈/시간 낭비 딜레마를 해결하기 위해, **'인증 서버 딱 한 곳에만 인증서를 깔아서 안전한 장갑차(TLS 터널)를 뚫고, 직원들은 그 터널 안으로 편하게 평소 아이디/비밀번호만 던져 넣는' 가장 대중적이고 가성비 높은 하이브리드 무선 보안 규격인 'PEAP'**를 다룹니다.
핵심 인사이트 (3줄 요약)
- 본질: 두 번의 문을 거치는 '이중 캡슐화' 기술이다. 1단계에서 서버만 신분증(인증서)을 까서 안전한 방탄유리 터널(TLS)을 만들고, 2단계에서 클라이언트가 그 터널 안으로 숨어 들어가 아이디/비번을 부르며 신원을 증명한다.
- 가치: 클라이언트(직원) 쪽에는 10원짜리 인증서 한 장 깔 필요가 없어 IT 인프라팀의 관리 고통(Ops)을 0으로 만들어주면서도, 해커의 가짜 Wi-Fi(Rogue AP) 유도 공격과 패킷 도청을 99.9% 완벽히 막아내는 엔터프라이즈 무선 보안의 사실상 표준(De facto)이다.
- 기술 체계: 마이크로소프트와 시스코(Cisco)가 주도해서 만든 프로토콜로, 윈도우 OS에 기본 내장된 MS-CHAPv2 (비밀번호 대조 프로토콜)와 결합하여 **
PEAP-MSCHAPv2**라는 이름으로 전 세계 회사원의 윈도우 Wi-Fi 로그인 창을 10년 넘게 지배하고 있다.
Ⅰ. EAP-TLS의 비싼 청구서와 딜레마
완벽한 보안은 때로는 회사를 파산하게 만든다.
- 상호 인증의 이상(EAP-TLS):
- 보안의 끝판왕은 양쪽이 모두 인증서(신분증)를 까는 것이다(Mutual Authentication). 서버도 공인인증서를 보여주고, 직원 노트북도 각자의 USB 공인인증서를 꽂아서 서로 "아군 맞네!" 하고 100% 확신한 뒤 통신하는
EAP-TLS방식이다.
- 보안의 끝판왕은 양쪽이 모두 인증서(신분증)를 까는 것이다(Mutual Authentication). 서버도 공인인증서를 보여주고, 직원 노트북도 각자의 USB 공인인증서를 꽂아서 서로 "아군 맞네!" 하고 100% 확신한 뒤 통신하는
- 관리자(Admin)의 악몽:
- 직원이 1만 명이면, 보안팀은 1만 개의 개인별 인증서를 발급해야 한다.
- 직원이 퇴사하면 그 인증서를 폐기(CRL)해야 하고, 1년 지나 인증서 유효기간이 만료되면 1만 명에게 다시 갱신하라고 공지를 돌려야 한다. 직원이 핸드폰을 바꾸면? 무선 랜에 접속이 안 된다고 헬프데스크 전화통에 불이 난다. 이 짓을 유지하는 비용이 해킹당하는 비용보다 비싸졌다.
- PEAP (Protected EAP)의 타협안 등장:
- 시스코와 마이크로소프트가 머리를 맞댔다. "직원 1만 명한테 인증서 까는 짓(PKI)은 포기하자. 대신 튼튼한 금고(인증서)는 본사 인증 서버 딱 1대에만 설치해 둬! 그리고 직원들은 금고가 열리면 그 안에 아이디랑 비번만 편하게 던져 넣게 하자!"
📢 섹션 요약 비유: 완벽한 보안(EAP-TLS)은 백화점 출입 시 경비원도 경찰 신분증(인증서)을 까고, 1만 명의 손님도 각자 경찰청에서 발급한 특수 신분증(인증서)을 지참해야만 입장시켜 주는 제도입니다. 돈과 짜증이 폭발합니다. PEAP는 아주 현실적입니다. 손님은 신분증 필요 없이 늘 쓰던 '회원 번호(ID/PW)'만 부르면 됩니다. 대신, 입구를 지키는 경비원만 "나는 이 백화점 소속 정식 경비가 맞다"라는 경찰 신분증(서버 인증서)을 손님에게 먼저 보여줘서, 손님이 가짜 삐끼(해커)에게 속아 회원 번호를 털리는 일만 완벽하게 방지해 줍니다.
Ⅱ. PEAP의 2단계 이중 캡슐화 (터널 속의 대화)
방탄유리를 먼저 치고, 그 안에서 비밀 이야기를 나눈다.
- Phase 1 (장갑차 터널 뚫기 / 서버 인증):
- 직원이 회사 Wi-Fi를 잡는다. 본사의 인증 서버(RADIUS)가 튀어나와 "나 본사 서버 맞아"라며 자기의 **서버 인증서(Server Certificate)**를 노트북 화면에 던져준다.
- 노트북은 그 인증서가 위조되지 않았는지 검사하고, 서버를 믿을 수 있다고 판단되면 서버와 노트북 사이에 절대 깨지지 않는 암호화된 방탄유리 터널(TLS Tunnel)을 쭈욱 연결한다. (해커의 Rogue AP 가짜 Wi-Fi 유도를 여기서 100% 컷트한다.)
- Phase 2 (안전한 터널 속 인증 / 클라이언트 인증):
- 방탄 터널이 뚫렸으니 밖(공중 전파)에서 해커가 아무리 도청해도 데이터는 쓰레기값으로 보인다.
- 이제 직원은 윈도우 창에 평소 사내망에서 쓰던 액티브 디렉토리(AD) 아이디와 비밀번호를 편안하게 친다.
- 이 비밀번호는 방탄 터널 내부의 안전한 튜브(주로 MS-CHAPv2 프로토콜)를 타고 서버까지 쭉 미끄러져 내려가 완벽한 로그인을 완성한다.
📢 섹션 요약 비유: 도청꾼(해커)이 바글거리는 길거리에서 비밀을 말해야 합니다. PEAP의 1단계는 하늘에서 강철로 된 두꺼운 파이프(TLS 터널) 하나를 내려서 길거리 한가운데 쾅! 하고 박는 작업입니다. 파이프가 외부와 완벽히 차단된 걸 확인하면, 2단계에서 직원은 그 파이프 안쪽 구멍에 대고 입을 댄 채 "내 비밀번호는 1234야!"라고 소리칩니다(Phase 2 인증). 밖의 도청꾼들은 파이프 두드리는 쇠 소리만 들릴 뿐, 안에서 무슨 비밀번호가 오갔는지 영원히 알 수 없는 2중 보호 구조입니다.
Ⅲ. 기업용 Wi-Fi의 사실상 표준 (De facto Standard)
싸고, 편하고, 윈도우에 깔려있다. 게임 끝.
- 뛰어난 호환성 (MS 윈도우 내장):
- 기업 사무실 PC의 90%는 윈도우(Windows)를 쓴다.
- PEAP는 마이크로소프트가 만들었기 때문에, 윈도우 운영체제의 무선 랜 설정 창을 열어보면 아무것도 깔 필요 없이
PEAP와 짝꿍인MS-CHAPv2옵션이 기본으로 내장(Built-in)되어 있다. 관리자 입장에선 마우스 클릭 몇 번이면 1만 대의 PC 보안 세팅이 끝난다.
- EAP-TTLS와의 형제 관계:
- PEAP와 거의 99% 똑같이 동작(서버만 인증서 사용, 2단계 터널)하는 쌍둥이 형제로
EAP-TTLS가 있다. PEAP가 MS와 시스코의 작품이라면, EAP-TTLS는 주니퍼(Juniper) 등 오픈 진영에서 만든 표준이다. (기능적 차이는 거의 없으며 둘 다 훌륭하다.)
- PEAP와 거의 99% 똑같이 동작(서버만 인증서 사용, 2단계 터널)하는 쌍둥이 형제로
- PEAP의 유일한 치명적 약점 (서버 인증서 무시):
- 직원들이 가끔 무선 랜을 연결할 때 "이 서버의 인증서를 신뢰할 수 없습니다. 계속 연결하시겠습니까?"라는 팝업창이 뜬다.
- 귀찮은 직원들이 경고문을 안 읽고 [예] 버튼을 눌러버리면(인증서 무시), 아까 말한 1단계 방탄 터널이 해커의 가짜 Wi-Fi 서버와 뚫려버린다. 그러면 터널 안으로 던진 비밀번호가 고스란히 해커 서버의 DB로 들어가는 참사가 난다. 보안팀은 PC 설정에서 "서버 인증서 검증 무시 불가" 옵션을 레지스트리로 꽉 잠가버려야 한다.
📢 섹션 요약 비유: PEAP는 기업의 구세주입니다. 1만 명의 직원 노트북에 특수 장비(인증서)를 달아주는 수억 원어치 공사를 안 해도, 공짜로 윈도우에 깔려있는 기능만으로 방탄 터널(TLS)을 쓸 수 있으니까요. 단 하나 조심할 점은, 멍청한 직원이 가짜 경호원(해커 서버)이 "나 본사 경호원 맞아"라고 들이민 조잡한 가짜 위조 신분증 경고창을 보고도 "어, 알았어 귀찮으니까 그냥 패스~" 해버리는 순간, 방탄 파이프가 해커의 차 트렁크와 연결되어 버리는 어이없는 실수를 막기 위해, PC의 클릭 버튼을 아예 보안팀에서 뽑아버려야(정책 강제화) 한다는 것입니다.