본문 바로가기
카테고리 없음

[네트워크 보안] 중앙 집중식 인증의 핵심! RADIUS 프로토콜 완벽 해부

by eshiro 2026. 6. 12.
반응형

안녕하세요! 오늘은 무선 네트워크(Wi-Fi), VPN, 그리고 수많은 네트워크 장비의 인증을 한 곳에서 안전하게 처리해 주는 '보안의 척추', RADIUS (Remote Authentication Dial-In User Service) 프로토콜에 대해 아주 깊이 있게 다뤄보겠습니다.

개념부터 동작 원리, 그리고 현업에서 사용하는 다양한 인증 방식과 보안 모드까지 꼼꼼하게 뜯어볼까요?

1. RADIUS란 무엇인가요? (개념과 등장 배경)

네트워크에 접속하려는 사용자가 "진짜 우리 직원이 맞는지(신원 확인)", "어디까지 접근할 수 있는지(권한 부여)"를 결정하는 원격 인증 및 사용자 접속 관리 시스템입니다.

과거에는 수십 대의 스위치나 라우터 장비마다 관리자 아이디와 비밀번호를 일일이 저장해야 했습니다. 직원이 퇴사하면 모든 장비에 들어가서 계정을 지워야 했죠. 하지만 RADIUS를 도입하면 수많은 네트워크 장비(클라이언트)가 하나의 인증 서버(RADIUS 서버)만 바라보고 신분 검사를 맡기게 됩니다.

🌟 RADIUS를 사용하는 핵심 이유

  • 중앙 집중식 인증 및 관리: 모든 인증 요청을 한 곳에서 처리하므로, 장비 100대가 있어도 계정 관리는 RADIUS 서버 한 곳에서만 하면 끝입니다.
  • 향상된 네트워크 보안 (WPA2/WPA3-Enterprise): 카페 Wi-Fi처럼 공통 비밀번호 하나를 쓰지 않고, 직원마다 각자의 ID/PW(또는 인증서)로 Wi-Fi에 접속하게 만들어 완벽한 개별 보안을 제공합니다.
  • 시간과 비용 절약: 퇴사자나 접근 권한 변경 시 중앙 DB만 수정하면 모든 네트워크 장비에 즉시 적용됩니다.

2. RADIUS의 뼈대: AAA 구조 (매우 중요!)

RADIUS는 정보보안의 핵심인 'AAA' 프레임워크를 기반으로 동작합니다.

  • 🔑 Authentication (인증): "당신은 누구입니까?"
    • 사용자의 신원(ID/PW, 인증서, MAC 주소 등)을 검증하여 네트워크 접근을 허락할지 결정합니다.
  • 🚪 Authorization (권한 부여): "어디까지 들어갈 수 있습니까?"
    • 인증된 사용자라도 직급이나 부서에 따라 접근할 수 있는 서버나 VLAN 대역폭 등을 다르게 설정합니다.
  • 📊 Accounting (계정 관리/과금): "무엇을, 얼마나 썼습니까?"
    • 사용자가 접속한 시간, 전송한 데이터 양 등을 기록합니다. 통신사에서 요금을 청구하거나 보안 부서에서 감사(Audit) 로그를 남길 때 필수적입니다.

3. 클라이언트/서버 구조와 동작 메커니즘

RADIUS는 철저한 분산된 클라이언트/서버 구조를 가집니다. 여기서 클라이언트는 사용자 PC가 아니라, 네트워크 장비(공유기, VPN 장비, 스위치)라는 점에 주의해야 합니다!

🔄 인증 동작 시나리오

  1. 사용자 접속 시도: 사용자가 VPN 장비(RADIUS 클라이언트)에 ID/PW를 입력합니다.
  2. 정보 릴레이: 클라이언트는 사용자의 ID/PW를 패킷으로 포장(Access-Request)하여 RADIUS 서버로 보냅니다. (이때 클라이언트와 서버 간 통신은 미리 약속된 공유 키(Shared Secret)로 암호화됩니다.)
  3. DB 대조: RADIUS 서버는 자신의 DB(또는 연동된 Active Directory, LDAP 등)와 정보를 대조합니다.
  4. 서버 응답 (3가지 중 하나):
    • Access-Accept: "인증 통과! 접속 허가."
    • Access-Challenge: "비밀번호는 맞는데, OTP(토큰) 번호도 같이 입력해!" (다중 인증 시)
    • Access-Reject: "누구세요? 접속 불가."

4. 다양하고 깊이 있는 인증 방법들 (PAP, CHAP, EAP)

RADIUS는 네트워크 장비가 사용하는 프로토콜(주로 PPP)에 맞춰 다양한 인증 방식을 지원합니다.

  • PAP (Password Authentication Protocol): * 아이디와 비밀번호를 암호화 없이 평문(Clear Text)으로 전송합니다. 해커가 중간에서 가로채면 비밀번호가 그대로 노출되는 최악의 보안 수준이므로 현재는 거의 쓰지 않습니다.
  • CHAP (Challenge Handshake Authentication Protocol):
    • PAP의 약점을 극복했습니다. 비밀번호를 날것으로 보내지 않고, 서버가 던져주는 난수(Challenge)와 사용자의 비밀번호를 섞어 해시(Hash)값을 만든 뒤 전송합니다. 안전합니다!
  • ⭐ EAP (Extensible Authentication Protocol):
    • 무선 랜(Wi-Fi)이나 802.1x 인증에서 가장 널리 쓰이는 강력한 확장형 프로토콜입니다. EAP-TLS(인증서 기반), PEAP(서버만 인증서 사용) 등 현업 기업망에서 필수로 사용합니다.

5. RADIUS 통신 스펙 및 기술적 특징

  • 데이터 포맷: RADIUS 패킷 내부의 정보는 TLV (Type-Length-Value) 형태로 차곡차곡 인코딩되어 전달됩니다. (예: Type: 사용자이름 / Length: 5바이트 / Value: admin)
  • 전송 프로토콜 (UDP): TCP가 아닌 UDP를 사용합니다. 빠르고 가볍지만 신뢰성이 보장되지 않아 재전송 로직을 클라이언트나 애플리케이션 계층에서 처리해야 합니다.
    • 인증/권한 (Authentication/Authorization): UDP 1812 포트
    • 과금/관리 (Accounting): UDP 1813 포트
  • 프록시(Proxy) 기능: RADIUS 서버는 다른 상위 RADIUS 서버에게 요청을 토스하는 프록시 역할도 수행할 수 있어, 거대한 글로벌 네트워크 인증 구조를 짤 수 있습니다.
  • 국제 표준: 인증 관련 RFC 2865 (구 2138), 과금 관련 RFC 2866 (구 2139) 규격을 따릅니다.

6. 원격 접근 시 적용되는 2가지 보안 모드

RADIUS는 사용자가 원격에서 네트워크를 이용할 때 다음과 같은 보안 계층을 제공합니다.

  • Packet Mode (패킷 모드): VPN처럼 데이터가 인터넷을 타고 흘러다닐 때 패킷 자체를 암호화하거나 보호하는 방식에 관여합니다.
  • Character Mode (캐릭터 모드/터미널 모드): 네트워크 관리자가 텔넷(Telnet)이나 SSH 등 텍스트 기반 터미널로 장비에 원격 접속할 때, 그 명령어 한 줄 한 줄의 권한을 통제하는 모드입니다. (AAA의 Authorization 기능과 연계)
반응형