[네트워크] 해킹과 보안, 스푸핑 공격과 보안 대책

<학습 목표>

• 스푸핑 공격을 이해하고 탐지할 수 있다
• ARP, IP, DNS 스푸핑 공격을 실행할 수 있다
• 스푸핑 공격에 대처하고 예방하는 방법을 알아본다
  
  

---

1. 스푸핑 공격과 보안 대책

스푸핑 공격의 종류에 의미와 보안 대책 서술

• 스푸핑
  • 사전적으로 속이는 것을 의미한다.
• 트러스트
  • 보안 및 인증 관련된 신뢰 관계로, 클라이언트가 서버에 접근하면 아이디와 패스워드 입력없이 로그인을 허락하는 인증법이다.
    

 

0) ARP 스푸핑 공격

• ARP 프로토콜의 허점을 이용하여 자신의 MAC 주소를 다른 컴퓨터의 MAC인 것처럼 속이는 공격
• ARP 스푸핑에 대한 대응책
  • 정적인 ARP table 관리
  • 중요 패킷 암호화
  • 서버의 보안 수준 강화

 

1) IP 스푸핑 공격

• IP 주소를 속이는 것으로, 다른 사용자의 IP 강탈하여, 특정 권한을 획득한다. 이때, 트러스트를 맺고 있는 서버와 클라이언트를 확인한 후, 클라이언트에 서비스 거부 공격을 하여 연결을 끊는다.
• 즉, 클라이언트의 IP 주소를 확보하여 실제 클라이언트처럼 패스워드 없이 서버에 접근한다.
• root, +
  • ① 200.200.200.200 root
    • ① 은 200.200.200.200 에서 root 계정이 로그인을 시도하면 패스워드 없이 로그인을 허락하라는 의미이다.
  • ② 201.201.201.201 + 
    • ② 는 201.201.201.201에서는 어떤 계정이든 로그인을 허락하라는 것으로 + 는 모든 계정을 의미한다.
• IP 스푸핑의 서버 접근
  • 공격자가 해당 IP를 사용하여 접속하면 스니핑으로 패스워드를 알아낼 필요가 없음
  • 공격자는 제로 트러스트로 접속한 클라이언트에 서비스 거부 공격을 수행
    • 제로 트러스트란: 아무것도 신뢰할 수 없다라는 가정으로, 조직을 보호하는 데 사용되는 보안 모델
• IP 스푸핑 공격에 대한 대응책
  • 트러스트를 이용하지 않는 것
    
    

 

2) DNS 스푸핑 공격

• DNS 스푸핑
  • 실제 DNS 서버보다 빨리 공격 대상에게 DNS response 패킷을 보내어 공격 대상이 잘못된 IP 주소로 웹 접속을 하도록 유도하는 공격
  • 예로는 인터넷 사이트 주소를 입력하고, 들어갔을 때 쇼핑몰/ 포로노 사이트가 뜨는 경우
  • 즉, 웹 서버를 하나 만들고, 공격 대상이 자주 가는 사이트를 타겟으로 공격 시도
• DNS 스푸핑 공격
  • 위조된 웹 서버로 접속하는 클라이언트
• DNS 스푸핑 공격 순서
  1. 공격자는 클라이언트가 DNS 서버로 DNS Query 패킷을 보내는 것을 확인
  2. 공격자는 로컬에 존재
  3. 클라이언트는 공격자가 보낸 DNS response 패킷을 올바른 패킷으로 인식하고 웹에 접속
• DNS 스푸핑 공격에 대한 대응책
  • 중요 서버에 대해 DNS Query를 보내지 않으면 됨
  • 중요 접속 서버의 URL에 대한 IP를 hosts 파일에 등록
    • URL
      • 127.0.0.1 localhost
      • 200.200.200.123 www.wishfree.com
      • 201.202.203.204 www.sysweaver.com

 

3) 세션 하이재킹 공격

• 세션 하이재킹이란 두 시스템 간의 연결이 활성화된 상태의 로그인된 상태를 가로채는 것
• TCP
  • 인터넷에서 신뢰성 있는 전송 서비스를 제공하기 위한 프로토콜
  • ARQ: 자동반복요청
• TCP 세션 하이재킹
  • TCP가 가지는 취약점을 통해 정상적인 접속을 빼앗는 방법
    • 서버와 클라이언트에 각각 잘못된 시퀀스 넘버를 위조해서 자신이 끼어들어가는 방식
  • 클라이언트와 서버 단의 통신을 할 때 패킷의 연속성을 보장한다.
• TCP 세션 하이재킹 기본 단계
  1. 클라이언트와 서버 사이의 패킷을 통제
  2. 서버에 클라이언트 주소로 연결을 재설정 하기 위한 RST 패킷을 보냄
  3. 공격자는 클라이언트 대신 연결되어 있던 TCP 연결을 그대로 물려받음
• 세션 하이재킹 공격에 대한 대응책
  • SSH와 같이 세션에 대한 인증 수준이 높은 프로토콜을 이용하여 서버에 접속
  • ** 서버와 클라이언트 사이에 MAC 주소를 고정(ARP 스푸핑을 막음)
• SSH
  • 공개키 방식의 암호화를 사용하여 암호화된 메세지를 전송할 수 있는 시스템
  • 스니퍼에 의한 도청을 막을 수 있음

 

---

2. 보호와 보안

보호와 보안의 차이

• 보호
  • 개인정보보호법과 같이 개인정보 처리 전반에 걸쳐 통제하는 것
  • 정보보호: 정보관리의 목표로 정보가 남용 되지 않도록 한다.
• 보안
  • 신용정보법과 같이 열람, 기록 등으로 방어하는 것
  • 정보보안: 기술적, 관리적 보호로 개인정보를 안전하게 유지 및 관리를 목적으로 한다.

 

---

3. 해킹

• 파싱
  • 불특정 다수에게 메일 등으로 위장된 홈페이지에 정보를 입력하도록 유도하여 개인정보, 금융 정보 등을 빼내는 기법
  • 예로는 보이스 피싱, 메신저 피싱, 스미싱 등이 있음
    • 보이스 피싱: 전화를 통해
    • 메신저 피싱: 인터넷 메신저를 통해
    • 스미싱 : 문자 메시지를 통해

 

• 최근 유형으로는 랜섬웨어, 스피어 피싱, 파밍 등이 있음
  • 랜섬웨어: 몸값과 제품의 합성어로, 사용자의 문서를 인질로 잡고 돈을 요구
    • 사용자의 파일이 암호화되며, 주로 email, sns 등에 전송된 파일을 실행하면 감염된다.
    • 암호화된 파일은 복구할 수 없음
  • 스피어 피싱
    • 특정인을 대상으로 email 등에 전송된 파일을 실행하면 정보 유출된다.
  • 파밍
    • 파싱의 하나로, 불특정 다수를 대상으로 파일공유 사이트 등을 이용하여 악성코드를 유포해, 정상 사이트 접속 시 가짜 사이트로 접속하여 금융정보 갈취한다.

 

• APT
  • 특정 기업이나 조식을 대상으로 내부 직원의 PC를 통해 내부 서버, DB에 접근한 뒤, 기밀정보 등을 빼내 오거나 파괴하는 것이다.
  • 익스플로잇: 취약점을 이용해 악성코드를 공격 대상자에게 몰래 설치하고 실행
  • 사이버 공격 예: 북한소행
    • 해커가 사내 서버와 PC를 장악한 후, 백신 업데이트 서버에 백신 업데이트 파일로 위장한 악성코드 설치한 사례가 있음
  • 개인정보 유출 사고
    • 주요 카드사의 고객 개인정보를 유출시켜, 대출 모집인에게 정보를 제공함

 

• 스푸핑 공격 대상
  • 네트워크에서 스푸핑 공격 대상
    • MAC 주소, IP 주소, 포트 등 네트워크 통신과 관련된 모든 것이 될 수 있음
  • 대안책
    • 관리하는 시스템의 MAC 주소를 확인하여 테이블로 만들어 둠
    • 브로드캐스트 ping을 네트워크에 뿌려 MAC 주소 값을 기록