무선랜 (Wi-Fi) 인증 방식 비교

The Comparison of the Wireless LAN (Wi-Fi) Authentication Methods

December 09, 2011 | By 유창모 (cmyoo@netmanias.com)

코멘트 (2)

오늘은 Wi-Fi의 인증 방식에 대한 비교 설명을 드려 보고자 합니다.

아래 그림은 2009년 Swisscom 문서(Approaches for Simplified Hotspot Logins with Wi-Fi Devices)의 110 페이지에 있는 테이블을 그대도 옮긴 것입니다 (문서의 내용이 참 쉽고 좋네요. 관심있으신 분들은 우측 하단의 "ContentShare" 문서 Approaches for Simplified Hotspot Logins with Wi-Fi Devices 를 클릭해서 다운 받아 보세요).

각 방식별로 간단하게 특징을 살펴 보도록 하겠습니다.

Universal Access Method (UAM) - WISPr compliant

Wi-Fi Alliance(Wi-Fi 제조사들의 연합체)에서 WISPr(Wi-Fi Internet Service Provider Roaming)라는 문서를 배포하였고, 이 문서에서는 Wi-Fi 로밍(예. KT 가입자가 미국에 가서 AT&T Wi-Fi망을 사용) 방법에 대해 기술하고 있습니다.
이 방식은 802.1x에서 기술하는 EAP 기반의 인증이 아닌, Web을 통한 ID/PW 인증 방식을 채택하고 있습니다.
Web 기반 인증이다 보니, 사용자 입장에서는 인증을 위한 별도 software가 불필요하여 매우 편하다는 장점이 있는 반면, Wi-Fi 무선 구간의 암호화가 안되어 보안에 문제가 있습니다.
UAM CPP(Universal Access Method Captive Portal Page)란 우리가 익히 알고 있는 웹브라우져를 통해 Captive Portal(사업자의 웹인증 서버)에 접속하여 ID/PW를 입력하여 인증 받는 방식이고,
UAM XML Smart Client란 사업자가 별도의 Wi-Fi 로밍용 Connection Manger를 제공하고(KT 가입자는 KT에서 제공하는 Smart Client를 다운 받아서 미국의 AT&T에 접속), 사용자는 웹브라우져 띄울 필요 없이 이 Smart Client를 통해 ID/PW 입력하여 인증 받는 방식입니다.
"로밍"이란 단어만 빼 버리면 사실 KT의 NESPOT도 이와 매우 유사한 방식을 사용합니다. 즉, KT 가입자는 NESPOT에 접속하여 웹브라우져(Explorer, Chrome, Safari)를 통해 ID/PW를 입력하거나, 혹은 KT가 공급해 준 Connection Manager를 통해 ID/PW를 입력 할 수 있습니다.

Password Only

일반적으로 사용되지 않는 방식이므로 SKIP~~

Certificates Only

인증서 기반으로 상호 인증(단말도 망을 인증하고, 망도 단말을 인증)하는 방식입니다. WiMAX에서도 채택하고 있는 인증 방식이죠.
보안은 매우 훌륭한데, 이 방식(EAP-TLS)을 위해 "어떻게 통신사업자가 각 가입자 단말에 인증서를 설치하게 해 줄 것이냐?"라는 문제가 있죠. 그래서 일반적으로 사용되어지지는 않는 듯 합니다.

Server Certificates + Client Authentication (username/password credentials)

단말은 서버의 인증서를 통해 망을 인증하고, 망은 단말이 보낸 ID/PW로 인증하는 방식입니다. EAP-TTLS는 WiMAX에서도 채택하고 있는 인증 방식입니다.
보안도 훌륭하고, 단말에 인증서가 필요없기 때문에 EAP-TLS 대비 deploy도 용이합니다.
EAP-TTLS를 통해 ID/PW를 실어 날으는 방식으로 보통 MSCHAPv2를 사용하게 되는데요(MSCHAPv2 over EAP-TTLS). PEAP 역시 MSCHAPv2를 통해 ID/PW를 실어 날을 수 있구요(MSCHAPv2 over PEAP).
EAP-TTLS는 Windows 계열 OS에서 지원하지 않는 반면(즉, 별도 software 설치 필요), PEAP의 경우 많은 단말(Windows, Android, iPhone)에서 지원하기 때문에 Wi-Fi 인증을 위해서는 EAP-TTLS 보다는 PEAP가 더 좋을 듯 합니다.
LG U+(SSID=U+zone)가 바로 MSCHAPv2 over PEAP를 사용하고 있습니다.

SIM based

Smartphone에 내장되어 있는 SIM card 기반으로 인증을 하는 것으로, KT(OllehWifi), SKT(T world zone) 모두 이 방식으로 Smartphone 유저가 Wi-Fi망 인증을 받을 수 있도록 하고 있습니다. 참고로 EAP-AKA는 WiMAX에서도 채택하고 있는 인증 방식입니다.

Special