WPA
Wi-Fi Protected Access
무선 LAN(Wi-Fi) 환경에서 사용되는 보안 표준이다. 초기 무선 LAN의 보안 표준이었던 WEP(Wired Equivalent Privacy)의 취약점을 보완하기 위해 Wi-Fi Alliance가 WPA1(2003)을 제정했으며, 이후 WPA2(2004) → WPA3(2018) 순으로 발전해 왔다. 현재는 가장 강력한 보안을 제공하는 WPA3 가 권장 표준이며, WPA2까지의 한계를 SAE, PMF, GCMP 등의 새로운 메커니즘으로 보완한다.
WPA 세대별 비교
| 구분 | WPA | WPA2 | WPA3 |
|---|---|---|---|
| 발표 | 2003 | 2004 | 2018 |
| 암호화 알고리즘 | TKIP | AES(CCMP) | AES(GCMP-256) |
| 인증/키 관리 방식(AKM) | PSK | PSK | SAE |
| 무결성 보호 | MIC | CCMP | GCMP |
| 관리 프레임 보호 | 없음 | 선택적(PMF) | 필수(PMF) |
| 세션 키 보호 (PFS) | 미지원 | 미지원 | 지원 |
| 주요 한계 | TKIP 취약 | KRACK, 오프라인 사전공격 | - |
WPA/WPA2-Personal은 PSK(사전 공유 키) 기반 인증을 사용하기 때문에, 공격자가 핸드셰이크 패킷을 캡처하면 offline dictionary/brute-force attack에 노출될 수 있었다. WPA3-Personal은 이 문제를 개선하기 위해 PSK 인증을 SAE로 대체한다.
WPA3에서 향상된 기능
WPA3는 WPA2 대비 크게 네 가지 영역을 강화했다.
| 영역 | WPA2 | WPA3 |
|---|---|---|
| 인증/키 관리 방식(AKM) | PSK 기반 인증 | SAE 기반 인증 |
| 데이터 암호화 | CCMP (AES-128) | GCMP / GCMP-256 |
| 관리 프레임 보호 | PMF 선택 | PMF 필수 |
| 세션 키 보호 (PFS) | 미지원 | 지원 |
SAE
SAE(Simultaneous Authentication of Equals) 는 Dragonfly Key Exchange 기반의 인증 및 키 합상 프로토콜로, WPA2의 단순 PSK 인증을 대체한다. WPA3의 가장 핵심적인 변화이자, 오프라인 brute force 공격을 구조적으로 차단하기 위해 도입된 메커니즘이다.
기존 PSK 방식의 한계
- 공격자가 4-way handshake 패킷을 한 번 캡처하면, 오프라인 환경에서 사전(dictionary) 공격이나 브루트포스 공격으로 비밀번호를 추출할 수 있다.
- 비밀번호가 약하면 시간이 걸리더라도 결국 노출된다.
SAE가 바꾼 것
- 양 단말(AP와 클라이언트)이 대등한 위치에서 인증을 수행한다 ("Equals").
- 각 인증 시도마다 새로운 세션 키를 생성하므로, 캡처된 트래픽으로는 비밀번호를 역산할 수 없다.
- 공격자는 추측한 비밀번호를 캡처한 패킷만으로 검증할 수 없고, 매번 실제 AP와 SAE 인증을 다시 시도해야 하므로 오프라인 브루트포스 공격이 사실상 불가능하다.
SAE encryption
SAE는 단순한 인증 방식이 아니라 암호화 키 생성 메커니즘까지 포함한다.
- AP와 클라이언트가 비밀번호를 직접 교환하지 않고, 비밀번호로부터 파생된 값을 기반으로 Diffie-Hellman 형태의 키 교환을 수행한다.
- 양쪽이 동일한 PMK(Pairwise Master Key) 를 안전하게 도출한다.
- 도출된 PMK는 이후의 트래픽 암호화 키(PTK)를 만드는 데 사용된다.
이 과정에서 비밀번호 자체는 네트워크를 통해 전송되지 않으며, 매번 다른 임시 값이 사용되므로 한 세션의 키가 노출되어도 이전/이후 세션은 영향을 받지 않는다.
GCMP
WPA3는 데이터 암호화에 GCMP(Galois/Counter Mode Protocol) 를 사용한다. 일반적인 WPA3-Personal 구성에서는 AES-CCMP(CCMP-128) 가 널리 쓰이며, WPA3-Enterprise 192-bit 모드에서는 GCMP-256이 쓰인다.
| 구분 | CCMP (WPA2) | GCMP (WPA3) |
|---|---|---|
| 기반 모드 | CCM (Counter with CBC-MAC) | GCM (Galois/Counter Mode) |
| 키 길이 | 128 bit | 128 / 256 bit (GCMP-256) |
| 성능 | 보통 | 병렬 처리 가능, 고속 |
| 무결성 | CBC-MAC | GMAC (Galois MAC) |
| 사용처 | WPA2, WPA3-Personal 일반 구성 | WPA3-Enterprise 192-bit 등 고보안 구성 |
GCMP는 GCM(Galois/Counter Mode)을 사용하는 암호화/무결성 보호 방식으로, 병렬 처리에 유리해 802.11ac/ax 같은 고속 무선 환경에 적합하다.
WPA3-Enterprise 192-bit 모드에서는 GCMP-256, HMAC-SHA384, ECDH/ECDSA P-384 같은 조합을 강제하여 정부·금융 등 고보안 환경의 요구사항(CNSA Suite)을 만족한다.**
PMF
PMF(Protected Management Frames, 802.11w) 는 무선 LAN의 관리 프레임 중 보안상 중요한 프레임을 보호하는 기능이다. 특히 인증 해제(deauthentication), 연결 해제(disassociation), 일부 action frame 같은 robust management frame에 무결성 보호와 재전송 방지를 적용한다.
WPA2에서는 선택 기능이었지만, WPA3-Personal에서는 필수(Required) 로 지정되어 관리 프레임 위·변조 공격에 대한 기본 방어를 의무화했다.
PMF가 없을 때의 위협
WPA2까지의 관리 프레임은 평문으로 오갔기 때문에, 공격자는 다음과 같은 공격을 시도할 수 있었다.
- Deauthentication 공격: 위조된 연결 해제 프레임을 보내 클라이언트를 강제로 떨어뜨림 → 이후 핸드셰이크를 캡처해 비밀번호 크래킹에 활용
- Disassociation 공격: 비슷한 방식으로 서비스 거부(DoS)
- Evil Twin 공격 보조: 정상 AP와의 연결을 끊고 가짜 AP로 유도
PMF의 역할
PMF는 관리 프레임에 무결성 보호와 재전송 방지를 적용해 위조와 변조를 막는다. 즉, WPA3 전용 SSID를 구성하면 별도 설정 없이도 deauth/disassociation 위조 공격류에 대한 기본 방어가 적용된다.
PFS
Perfect Forward Secrecy(PFS, 완전 순방향 비밀성) 는 어느 한 세션의 키나 장기 비밀 값이 노출되더라도 과거에 수집된 통신 내용을 복호화하기 어렵게 만드는 보안 속성이다. WPA 계열에서는 WPA3-Personal의 SAE가 세션별 독립 키 구조를 제공하면서 이 속성을 지원한다.
WPA2-Personal에서는 PSK 비밀번호가 노출되면, 공격자가 과거에 캡처해 둔 4-way handshake와 암호화 트래픽을 이용해 해당 세션의 키를 다시 계산할 수 있었다. 비밀번호 하나로 과거 세션 트래픽을 복호화 할 수 있는 것이다.
WPA3는 SAE 기반의 키 교환 덕분에 세션마다 독립적인 키를 생성하므로 PFS를 만족한다.
- 비밀번호가 유출되어도 이미 캡처된 과거 트래픽은 복호화할 수 없다.
- 각 세션의 PMK는 비밀번호와 매번 새 임시 값을 함께 사용해 도출되므로, 비밀번호만으로 과거 세션의 PMK/PTK를 재계산할 수 없다.
이는 WPA3가 "WPA2 + 강화된 인증"이 아니라 암호 설계 수준에서 진일보한 표준임을 보여주는 대표적인 특징이다.
WPA3 모드
WPA3는 사용 환경에 따라 두 가지 모드를 제공한다.
WPA3-Personal
- 가정·소규모 사무실용. SAE가 기존 PSK 인증을 대체한다.
- 필수 요건: SAE, PMF(Required), CCMP-128 이상.
- Wi-Fi Easy Connect(DPP) 와 함께 QR 코드 기반 단말 등록을 사용할 수도 있다.
WPA3-Enterprise
- 기업·기관용. 802.1X 기반 인증.
- 일반 모드는 WPA2-Enterprise처럼 802.1X/EAP 기반 인증을 사용하며, WPA3 연결에서는 PMF가 필요하다.
- 192-bit 모드: CNSA Suite 호환. GCMP-256, HMAC-SHA384, ECDHE/ECDSA(P-384) 등을 강제.
WPA2 SSID 구성
기존 WPA2 환경에서 SSID를 구성할 때의 일반적인 설정은 다음과 같다.
WPA2 Policy + AES(CCMP128) 암호화 활성화
- 컨트롤러/AP의 SSID 보안 설정에서 WPA2 정책을 켠다.
- 암호화 알고리즘은 AES(CCMP128)을 선택한다. TKIP는 취약하므로 비활성화한다.
Authentication Key Management에서 PSK 옵션 선택
- 인증 방식으로 PSK(Pre-Shared Key, 사전 공유 키)를 선택한다.
- 사용자에게 배포할 사전 공유 키(비밀번호)를 설정한다.
- 802.1X(엔터프라이즈) 환경이라면 PSK 대신 802.1X를 선택한다.
이 설정은 WPA3로 마이그레이션할 때도 기준점이 된다. WPA3-Personal 전환 시에는 PSK 인증을 SAE로 바꾸고, PMF를 Required로 설정하며, 암호화는 CCMP-128 이상을 사용한다. Enterprise 192-bit 보안 수준이 필요하다면 GCMP-256과 SHA384 계열 암호 스위트를 별도로 선택한다.
WPA2/WPA3 Transition Mode
기존 단말의 호환성 때문에 한 SSID에서 WPA2와 WPA3를 동시에 지원해야 하는 경우가 많다. 이때는 Transition Mode(혼용 모드)를 사용한다.
- 새 단말은 SAE(WPA3)로 접속
- 구형 단말은 PSK(WPA2)로 접속
- PMF는 Capable(선택)로 설정해 양쪽 단말을 모두 수용
다만 Transition Mode는 다운그레이드 공격의 여지가 있어, 가능한 한 빠르게 WPA3 전용으로 전환하는 것이 권장된다.