학습 목표
- 스푸핑 공격을 이해하고 탐지
- ARP, IP, DNS, 세션 하이재킹 스푸핑 공격을 실행할 수 있다
- 스푸핑 공격에 대처하고 예방하는 방법을 알아본다
1. 스푸핑 공격과 보안 대책
스푸핑 공격의 종류에 의미와 보안 대책 서술
- 스푸핑
- 사전적으로 속이는 것을 의미한다.
- 트러스트
- 보안 및 인증 관련된 신뢰 관계로, 클라이언트가 서버에 접근하면 아이디와 패스워드 입력없이 로그인을 허락하는 인증법이다.
1) ARP 스푸핑 공격
- ARP 프로토콜의 허점을 이용하여 자신의 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격
- ARP 스푸핑에 대한 대응책
- 정적인 ARP table 관리
- 중요 패킷 암호화
- 서버의 보안 수준 강화
2) IP 스푸핑 공격
- IP 주소를 속이는 것으로, 다른 사용자의 IP 강탈하여, 특정 권한을 획득한다. 이때, 트러스트를 맺고 있는 서버와 클라이언트를 확인한 후, 클라이언트에 서비스 거부 공격(DoS)을 하여 연결을 끊는다.
- 즉, 클라이언트의 IP 주소를 확보하여 실제 클라이언트처럼 패스워드 없이 서버에 접근한다.
- root, +② 201.201.201.201 + : ② 는 201.201.201.201에서는 어떤 계정이든 로그인을 허락하라는 것으로 + 는 모든 계정을 의미한다.
- ① 200.200.200.200 root : ① 은 200.200.200.200 에서 root 계정이 로그인을 시도하면 패스워드 없이 로그인을 허락하라는 의미이다.
- IP 스푸핑의 서버 접근
- 공격자가 해당 IP를 사용하여 접속하면 스니핑으로 패스워드를 알아낼 필요가 없음
- 공격자는 제로 트러스트로 접속한 클라이언트에 서비스 거부 공격을 수행
- 제로 트러스트란: 아무것도 신뢰할 수 없다라는 가정으로, 조직을 보호하는 데 사용되는 보안 모델
- IP 스푸핑 공격에 대한 대응책
- 트러스트를 이용하지 않는 것
3) DNS 스푸핑 공격
- DNS 스푸핑
- 실제 DNS 서버보다 빨리 공격 대상에게 DNS response 패킷을 보내어 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격
- 예로는 인터넷 사이트 주소를 입력하고, 들어갔을 때 쇼핑몰/ 포로노 사이트가 뜨는 경우
- 즉, 웹 서버를 하나 만들고, 공격 대상이 자주 가는 사이트를 타겟으로 공격 시도
- DNS 스푸핑 공격
- 위조된 웹 서버로 접속하는 클라이언트
- DNS 스푸핑 공격 순서
- 공격자는 클라이언트가 DNS 서버로 DNS Query 패킷을 보내는 것을 확인
- 공격자는 로컬에 존재
- 클라이언트는 공격자가 보낸 DNS response 패킷을 올바른 패킷으로 인식하고 웹에 접속
- DNS 스푸핑 공격에 대한 대응책
- 중요 서버에 대해 DNS Query를 보내지 않으면 됨
- 중요 접속 서버의 URL에 대한 IP를 hosts 파일에 등록
- URL
- 127.0.0.1 localhost 200.200.200.123 www.wishfree.com 201.202.203.204 www.sysweaver.com
4) 세션 하이재킹 공격
- 세션 하이재킹이란 두 시스템 간의 연결이 활성화된 상태의 로그인된 상태를 가로채는 것
- TCP
- 인터넷에서 신뢰성 있는 전송 서비스를 제공하기 위한 프로토콜
- ARQ: 자동반복요청
- TCP 세션 하이재킹
- TCP가 가지는 취약점을 통해 정상적인 접속을 빼앗는 방법
- 서버와 클라이언트에 각각 잘못된 시퀀스 넘버를 위조해서 자신이 끼어들어가는 방식
- 클라이언트와 서버 단의 통신을 할 때 패킷의 연속성을 보장한다.
- TCP가 가지는 취약점을 통해 정상적인 접속을 빼앗는 방법
- TCP 세션 하이재킹 기본 단계
- 클라이언트와 서버 사이의 패킷을 통제
- 서버에 클라이언트 주소로 연결을 재설정 하기 위한 RST 패킷을 보냄
- 공격자는 클라이언트 대신 연결되어 있던 TCP 연결을 그대로 물려받음
- 세션 하이재킹 공격에 대한 대응책
- SSH와 같이 세션에 대한 인증 수준이 높은 프로토콜을 이용하여 서버에 접속
- ** 서버와 클라이언트 사이에 MAC 주소를 고정(ARP 스푸핑을 막음)
- SSH
- 공개키 방식의 암호화를 사용하여 암호화된 메세지를 전송할 수 있는 시스템
- 스니퍼에 의한 도청을 막을 수 있음
2. 보호와 보안
보호와 보안의 차이
- 보호
- 개인정보보호법과 같이 개인정보 처리 전반에 걸쳐 통제하는 것
- 정보보호: 정보관리의 목표로 정보가 남용 되지 않도록 한다.
- 보안
- 신용정보법과 같이 열람, 기록 등으로 방어하는 것
- 정보보안: 기술적, 관리적 보호로 개인정보를 안전하게 유지 및 관리를 목적으로 한다.
3. 해킹
- 파싱
- 불특정 다수에게 메일 등으로 위장된 홈페이지에 정보를 입력하도록 유도하여 개인정보, 금융 정보 등을 빼내는 기법
- 예로는 보이스 피싱, 메신저 피싱, 스미싱 등이 있음
- 보이스 피싱: 전화를 통해
- 메신저 피싱: 인터넷 메신저를 통해
- 스미싱 : 문자 메시지를 통해
- 최근 유형으로는 랜섬웨어, 스피어 피싱, 파밍 등이 있음
- 랜섬웨어: 몸값과 제품의 합성어로, 사용자의 문서를 인질로 잡고 돈을 요구
- 사용자의 파일이 암호화되며, 주로 email, sns 등에 전송된 파일을 실행하면 감염된다.
- 암호화된 파일은 복구할 수 없음
- 스피어 피싱
- 특정인을 대상으로 email 등에 전송된 파일을 실행하면 정보 유출된다.
- 파밍
- 파싱의 하나로, 불특정 다수를 대상으로 파일공유 사이트 등을 이용하여 악성코드를 유포해, 정상 사이트 접속 시 가짜 사이트로 접속하여 금융정보 갈취한다.
- 랜섬웨어: 몸값과 제품의 합성어로, 사용자의 문서를 인질로 잡고 돈을 요구
- APT
- 특정 기업이나 조식을 대상으로 내부 직원의 PC를 통해 내부 서버, DB에 접근한 뒤, 기밀정보 등을 빼내 오거나 파괴하는 것이다.
- 익스플로잇: 취약점을 이용해 악성코드를 공격 대상자에게 몰래 설치하고 실행
- 사이버 공격 예: 북한소행
- 해커가 사내 서버와 PC를 장악한 후, 백신 업데이트 서버에 백신 업데이트 파일로 위장한 악성코드 설치한 사례가 있음
- 개인정보 유출 사고
- 주요 카드사의 고객 개인정보를 유출시켜, 대출 모집인에게 정보를 제공함
- 스푸핑 공격 대상
- 네트워크에서 스푸핑 공격 대상
- MAC 주소, IP 주소, 포트 등 네트워크 통신과 관련된 모든 것이 될 수 있음
- 대안책
- 관리하는 시스템의 MAC 주소를 확인하여 테이블로 만들어 둠
- 브로드캐스트 ping을 네트워크에 뿌려 MAC 주소 값을 기록
- 네트워크에서 스푸핑 공격 대상
728x90
'공부 > 데이터통신' 카테고리의 다른 글
| [네트워크] 정보보안에 대한 이해 (2) | 2023.12.31 |
|---|---|
| [네트워크] 스니핑에 대한 이해 (1) | 2023.12.31 |
| [네트워크] 네트워크에 대한 이해 (0) | 2023.12.31 |
| [네트워크] 해킹과 보안, 스푸핑 공격과 보안 대책 (0) | 2023.12.21 |
