무선의 특징상 커버리지 내에 있으면 어느 단말기도 접속할 수 있기 때문에 보안상 허점이 클 수밖에 없다. 따라서 도서관 같이 무선망을 완전히 개방해서 사용하는 경우가 아니라면 무선 보안을 설정하는 것이 좋다. 심지어 IEEE에서는 Wi-Fi 보안 문제를 이유로 802.11n에서 WPA2-PSK, AES(혹은 CCMP)로 보안 설정을 하지 않은 시스템에는 54Mbps만을 인가하도록 제한을 걸어 놨다. 속도에 300Mbps가 뜬다고 해도 이론상 최대치일 뿐이니 괜히 바보되지 말자.

보안 방법에는 WEP, WPA, WPA2가 있는데, 가능한 경우 WPA2를 사용하는 것이 보안상 유리하다. 패킷을 암호화하는데는 비밀번호 뿐만이 아니라 지속적으로 변경되는 별도의 키를 같이 사용해서 패킷을 암호화 하는데, WEP에서 사용했던 키는 길이가 너무 짧아 몇 번만 쓰다 보면 중복되는 키로 암호화된 패킷이 발생하곤 했다. 그래서 잠깐만 패킷을 수집해도 역으로 비밀번호를 알아내는 것까지 가능해진 것. WPA-PSK 또한 뚫을 수 있는 방법이 발견되었으니 장비가 너무 오래되어 지원하지 않는 경우가 아니면 반드시 WPA2로 맞추도록 하자. 그리고 반드시 AES를 사용하도록 하자(TKIP는 뚫렸다). 주기적으로 비밀번호를 바꾸는 것도 잊지 말자. SSID(무선인터넷 접속시 뜨는 신호의 이름) 브로드캐스팅을 꺼서 이름이 아예 안 뜨도록 하는 방법도 있으나 굳이 뚫으려고 마음먹는다면 크게 장애가 될 부분은 아니다. 지금은 상관 없겠지만 윈도 XP에는 이런 곳에 접속하도록 설정할 경우 전력을 많이 잡아먹게 되는 버그가 있었다고 한다. 운영체제 설계상 어쩔 수 없는 모양. 기업 용도로는 좀 더 보안성이 필요하기에 AAA라는 인증서버를 두는 Radius 방식 암호화를 사용한다. WPA(2)-Enterprise 방식으로 접속할 수 있다. 서버에서 주기적으로 비밀번호를 바꾸기 때문에 쉽게 뚫리지 않는다. 최근 법으로 보안 설정을 강제하겠다는 이야기가 나오고 있는데, 문제는 보안 설정 강제가 아니라 단말기 등록제 라는 점...

802.11ax가 표준화될 시기에 WPA3 암호화가 등장할 예정이다.

금융기관이나 학교, 기타 보안에 민감한 곳에선 802.1x 규격의 인증 방식을 사용한다. 802.1x 규격은 무선랜 뿐만 아니라 유선랜에서도 사용 된다.
  • EAP-MD5: 단방향 인증을 사용하여 보안상 취약한 부분이 있다. 서버나 클라이언트 부분에서 인증서를 사용하지 않는다.
  • EAP-TLS: 클라이언트와 서버 둘 다 인증서를 사용하여 와이파이 연결을 한다. 절차가 상당히 복잡해 대중적으로 쓰이지는 않는 방식이지만 현재로서는 EAP 인증 중 가장 안전하다.
  • EAP-TTLS: TLS의 복잡성을 개선한 규격. TLS와는 달리 서버측 인증서만 있으면 된다.
  • EAP-PEAP: MS, Cisco Systems, RSA Security 가 지원하는 보안 관련 규격. 서버 쪽 인증서만 있으면 된다. ID와 패스워드를 이용하여 인증하여 EAP 인증 중 가장 많이 쓰인다. 흔히 대학이나 U+zone에서 쓰이는 보안 규격. 몇몇 일반 iptime, ASUS 같은 공유기에서 이 규격의 인증방식을 지원하기도 한다. 다만 RADIUS 서버측 로그나 계정 캐싱같은 상세한 기능은 기대하지 말자.
  • EAP-LEAP: Cisco Systems에서 개발 및 독점한 인증 알고리즘.
  • EAP-AKA/EAP-SIM: USIM/SIM 카드를 와이파이 인증에서 사용하는 방식이다. KT WiFi & KT GiGA WiFi, T wifi zone_secure, U+zone에서 이 규격을 사용. 안드로이드 기준으로 유심칩이 사용불가능한 태블릿에선 와이파이에 로그인창에 AKA 선택항목이 없다.

집의 무선 인터넷만 보안을 건다고 되는 게 아니라 아무 무선 인터넷이나 함부로 접속하는 것도 피해야 한다. 우리집 인터넷을 뺏어 쓰는것만 문제가 아니라 내 패킷을 가로채서 소중한 정보가 새어나가게 되는것도 문제니까. 비밀번호 걸려 있는 와이파이라고 안전한 게 아니다. 통신사 와이파이라면 SIM 카드를 이용해 인증을 하기 때문에 괜찮고 대학이나 회사처럼 개인 아이디/비밀번호를 이용한 인증도 괜찮지만, 카페와 같이 모두가 같은 비밀번호를 쓰고 있다면 그것도 위험하다! 핫스팟쉴드와 같이 전송되는 정보를 암호화시켜주는 일종의 VPN 서비스도 있는데, 이걸 암호화시켜주는 업체는 어떻게 믿을지도 문제(...). 사실 여기까지 걱정할거면 구글도 걱정하고 마이크로소프트도 걱정하고 애플도 걱정하고 통신 3사도 걱정해야 한다. 애플은 조금 걱정되기는 했는지 자기네 기기에서 pptp vpn 연결을 아예 막아 놨다. 이들보다 소규모 회사니까 믿음이 덜 가긴 하지만. 유료 VPN은 그나마 돈 받고 신용장사하는 데라서 그나마 낫다. 어디서 하는지도 모르는 무료 오픈 VPN을 쓰는 경우에는 주의하자. VPN 서버는 내 모든 패킷을 받아서 넘겨주는 일을 한다.

공유기 관리자 설정 페이지에 비밀번호가 걸려 있지 않은 채로 공유기를 사용하면 Wi-Fi 비밀번호 유무와 상관 없이 사용자가 CSRF에 감염된 사이트에 접속하여 쥐도 새도 모르게 공유기가 감염당할 수 있다. CSRF 공격 때문에 공유기 설정을 마음대로 바꿔 놓을 수 있어서, DHCP 서버에서 할당하는 DNS 아이피가 해커가 만들어놓은 DNS 서버로 연결되고, 심지어 관리자 아이디 비밀번호도 마음대로 설정된다. 한 번 감염이 되면 서버 IP 주소가 정상적인 사이트로 연결이 되는게 아니라 해커가 만들어 놓은 (웹)서버로 연결된다. DNS 서버와 해커가 만들어놓은 웹서버는 열이면 아홉은 중국 IP이다. 이때 네이버나 구글. 유투브, 금융 결제사이트 등에 접속하면 개인정보를 입력하라고 하거나 소프트웨어가 있다면서 앱(.apk)이나 프로그램 설치를 유도한다. 당연히 입력하지도 말고 절대로 설치하지도 말자. 이런 화면이 뜨는 경우 공유기를 리셋하여 새로 셋팅하자.



위 증상과 비슷한 메시지(특히 금융감독원)가 뜬다면 해커에 의한 악성코드 감염 또는 공유기 DNS 변조가 된 것이다. 이를 파밍 공격수법라고도 부른다.# 최근 알려진 공유기 파밍 공격으로 PC에선 금융감독원 사칭, 모바일에선 가짜 Chrome 최신버전 업데이트 알림 등이 뜨는 경우가 있는데 절대 속아 넘어가면 안 된다. 특히 금융감독원 피싱 은행계좌에 정보를 입력했으면 즉시 해결방법을 참고하여 대처하도록 하자. 방치할 경우 제3자에게 계좌번호, 개인정보가 유출되어 불이익을 입을 수 있다.

근데 이런 공개 무선랜의 문제 중 하나는 공유기 관리자 암호를 따로 바꾸지 않고 쓰는 곳이 많다는 점이다. 무선랜 접속 암호화가 문제가 아니라 아예 관리자로 들어가서 공유기 자체에 뭔 짓을 해 놓는 것이 가능하니 문제. 따라서 암호가 걸린 공유기를 쓰더라도 바깥에서 쓰는 공공 Wi-Fi는 웬만하면 조심히 쓰는 것이 좋다. 외부 Wi-Fi 망을 쓸 때만 VPN을 같이 쓰는 것도 좋은 방법인데, 위에서 말했듯이 VPN이야말로 내 모든 패킷을 중간에서 받아서 전송하는 서비스(...). 이에 출시된지 너무 오래된 공유기가 아니라면 펌웨어 업그레이드로 KISA의 권고를 따라 공유기의 관리자 계정과 암호를 설정하도록 하는 회사들도 있다.

이렇게 보안이 취약하기 때문에 삼성 페이 등의 일부 간편 결제 서비스는 와이파이를 사용하지 못하게 하는 곳도 있다. LTE 등의 이동통신망 사용이 강제된다.