보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[보.알.남] ‘은밀하게 위대하게’ 깨알만한 정보로 모든 걸 훔친다, 스니핑

입력 : 2022-10-31 13:22
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
네트워크 패킷 전송 과정에서 위조된 주소 입력해 전송 목적지 변경
0.29KB의 정보만으로 특정 사용자의 계정정보 탈취 가능


[보안뉴스 김영명 기자] 스니핑(sniffing)이라는 단어를 영어사전에서 찾아보면 ‘코를 훌쩍이는, 킁킁거리며 냄새를 맡는’ 등과 같은 친근한 뜻이 있다. 하지만 이 단어를 보안 분야로 끌어 들여오면 무서운 단어로 탈바꿈한다.

[이미지=utoimage]


스니핑은 ‘네트워크 주변을 지나다니는 패킷을 엿보는 행위’로, 300B, 즉 0.29KB의 극소량의 바이트 정도만 가로챌 수 있어도 특정 사용자의 아이디와 패스워드 등의 계정정보를 훔칠 수 있다.

스니핑 공격은 공격 대상의 근거리 네트워크를 무차별 모드(Promiscuous Mode)를 통해 조작한 후, 필터링을 해제하고 패킷을 훔치는 방식으로 수행한다. 무차별 모드란, 컴퓨터 네트워킹에서 컨트롤러가 수신하는 모든 트래픽을 프레임만 전달하는 대신 중앙처리장치(CPU)로 전달하도록 하는 NIC(유선 네트워크 인터페이스 컨트롤러) 또는 WNIC(무선 네트워크 인터페이스 컨트롤러)용 모드다. 모든 트래픽 프레임은 컨트롤러가 수신하도록 특별히 프로그래밍됐다.

스니핑 공격, 네트워크 통해 은밀히 엿보기
스니핑 공격의 주된 종류로는 스위치 재밍(Switch Jamming), 포트 미러링(port mirroring), ARP 우회공격(ARP redirect), ICMP 우회 공격(ICMP redirect) 등이 있다.

스위치 재밍(Switch Jamming) 공격은 네트워크 스위치가 MAC 주소 테이블을 기반으로 포트에 패킷을 스위칭할 때 정상적인 스위칭 기능을 마비시키는 공격이다. 스위치는 자신이 가지고 있는 MAC 테이블의 저장공간이 가득 차면 네트워크 패킷을 브로드캐스트(Broadcast : IP 네트워크에 있는 모든 로컬 네트워크 호스트로 데이터를 전송하는 방식)하는 특성이 있는데 이를 이용한 공격 방법이라고 할 수 있다.

이 공격의 원리는 스위치가 관리하는 MAC 주소 테이블에 정보가 모두 입력되면, 허브(HUB)처럼 패킷을 브로드캐스트하게 되는데 공격자는 위조된 MAC 주소를 끊임없이 스위치로 전달하고, 스위치는 위조된 MAC 주소로 MAC 테이블을 채우게 된다. 이렇게 스위치의 MAC 테이블을 오버플로 시키게 되면 브로드캐스트로 인해 모든 패킷을 공격자가 받을 수 있게 된다. 이때 네트워크 통신 속도가 현저히 저하되며. 공격자에게도 영향이 있게 된다. 다만, 현재 출시되고 있는 고가의 스위치는 MAC 테이블의 캐시와 연산자가 쓰는 캐시가 독립적으로 구성돼 있어 스위치 재밍 공격이 통하지 않는 것으로 알려졌다.

스위치 재밍 공격의 목적은 MAC 테이블의 오버플로를 발생시키는 것이기 때문에 서로 다른 MAC 주소로 다량의 패킷을 전송해 IP 또는 MAC 당 패킷은 극히 적은 수로 발생한다. 이러한 특징을 이용해 근거리 통신망 상에서 전달되는 패킷을 분석하는 도구인 와이어샤크(Wireshark)에서는 IP별 또는 이더넷(Ethernet)별 패킷 수를 확인하는 방법으로 스위치 재밍 공격 여부를 확인할 수 있다.

또한, 포트 미러링(Port Mirroring) 공격은 스위치의 포트 미러링 기능을 이용한 공격 방법이다. 포트 미러링이란 네트워크 스위치에서 스위치 포트(port)를 통과하는 패킷들을 감시 또는 관찰하기 위해 패킷들을 다른 스위치 포트로 복사하는 방법이다. 네트워크 진단 도구나 오류 수정, 특히 해킹 공격을 차단하는데 이 방법을 사용하고, 네트워크 관리자가 패킷 복사용 포트와 패킷 송신용 포트를 지정해 포트 미러링이 설정된다. 관리자는 프로토콜 분석 장치를 감시할 포트에 포트 미러링을 세팅하고 세그먼트마다 개별적으로 감시한다. 이 분석 장치를 활용하면 클라이언트에 어떤 영향도 미치지 않는 상태로 데이터를 포착하고 분석할 수 있다. 침입탐지 시스템(IDS: Intrusion Detection System) 또는 침입 방지 시스템(IPS: Intrusion Protection System)과 같은 네트워크 보안 장비에서 주로 사용된다.

TTA 정보통신용어사전에 따르면 ARP(Address Resolution Protocol) 우회 공격은 위조된 ARP의 응답 패킷을 네트워크에 주기적으로 브로드캐스트해 네트워크상의 다른 모든 호스트들이 공격자 호스트를 라우터로 믿게 하면서 네트워크 상의 모든 트래픽이 공격자의 호스트를 경유하도록 함으로써 훔쳐보는 공격 기법이다.

ICMP 우회 공격은 라우터가 IP 패킷을 보낸 사람에게 보내는 오류 메시지를 뜻한다. 미국 뉴욕주에 있는 시러큐스 대학의 SEED Labs에서 발표한 ‘ICMP Redirect Attack Lab’ 문서에 따르면, 우회 공격은 라우터가 패킷이 잘못 라우팅되고 있다고 판단하고 동일한 대상으로 전송되는 후속 패킷에 대해 다른 라우터를 사용해야 한다고 발신자에게 알리고자 할 때 사용된다. 또한, ICMP 우회공격은 공격자가 피해자의 라우팅을 변경하는 데 사용할 수 있다.

이 작업의 목적은 피해자에 대한 ICMP 우회 공격을 시작해 피해자가 무선 라우터의 공통 주소인 192.168.60.5로 패킷을 보낼 때 악성 라우터 컨테이너(10.9.0.111)를 라우터로 사용하도록 하는 것이다. 공격자는 악성 라우터를 제어할 수 있어 사용자의 패킷을 가로채서 변경한 다음 수정된 패킷을 보낼 수 있다. 이 공격은 암호통신을 도청하는 수법 중 하나인 MITM(Man-In-The-Middle) 공격의 형태이기도 하다.

[이미지=utoimage]


신박한 방법은 없다! 기본 보안수칙 준수가 최고의 방패
PC 내 개인정보보호 설정을 구축해 주는 웹사이트인 프라이버시 비(Privacy Bee)에 따르면, 스니핑 공격을 방지하기 위한 가장 쉽고 모범적인 방법은 △공용 와이파이를 피하는 것 △가상사설망(VPN)을 사용하는 것 △http 대신 https를 사용하는 것 △피싱 공격에 주의하는 것 등이 있다.

첫 번째로, 공용 와이파이(Wi-Fi)를 피해야 한다. 해커는 공용 와이파이 네트워크를 스니핑하고 이를 통해 전달되는 모든 데이터를 낚아채는 간편한 방법을 사용한다. 따라서 공용 와이파이 대신 암호화된 와이파이를 사용하는 것이 중요하다.

두 번째는 가상사설망(VPN)을 사용해야 한다는 점이다. VPN은 인터넷을 통해 컴퓨터에서 전송된 모든 데이터를 암호화하고 숨기는 강력한 도구가 되기 때문에 VPN을 사용하면 데이터 패킷에 손쉽게 침투할 수 없다.

세 번째는 인터넷을 사용할 때 현재 접속 중인 웹사이트가 안전한 사이트인지 확인하는 습관이 필요하다. 인터넷 주소창(URL)을 확인해 제일 앞부분에 ‘HTTP’가 아니라 ‘HTTPS’로 되어 있는지 꼼꼼하게 체크해야 한다. 여기서 ‘S’는 ‘secure’의 약어로 HTTP보다 강화된 보안성을 나타낸다. HTTPS로 되어 있는 웹사이트는 상대적으로 안전하다고 할 수 있다.

네 번째는 피싱 공격에 주의해야 한다. 사용하고자 하는 특정한 웹사이트에 접속할 때 로그인 또는 다양한 개인정보를 입력하도록 요구하는 수상한 웹사이트나 이메일은 피해야 한다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)