호환마마, 신종 인플루엔자보다 더 무서운 ARP스푸핑 (1/4 - 첫번째 이야기)

이 기고문은 월간 마이크로소프트웨어(2009년 9월호)에 기고한 내용한 내용입니다.

(1/3 - 첫번째 이야기)

호환마마, 신종 인플루엔자보다 더 무서운 ARP스푸핑,
난 네가 지난번에 입력한 비밀번호를 알고 있다
      -       보안의식과 내부 네트워크 보안강화가 무엇보다 중요……

치사율 약 1% 즉 걸리면 100명 중 1명은 사망한다는 치명적인 신종 인플루엔자. 최근 매일 몇 백 명씩 환자가 늘고 있어 마트에선 위생용품이 불티나게 팔리고 있단다. 몇 주 전만 해도 일본인들이 공공장소에서 마스크를 쓰는 걸 보고 유난 떤다고 하던 것이 옛말이 된 듯하다. 우리의 안전불감증은 타고난 것일까, 아니면 살기가 어려워 신경 쓸 겨를이 없는 것일까……

 
ARP스푸핑 공격도 2007년부터 대비책의 필요성이 대두되었지만 7.7인터넷 대란이 있고서야 뒤늦게 주목 받고 있다. 공격을 받으면 금전적 피해 복구가 어려워 치사율로 치면 99%라고 할 수 있다. 여기서는 ARP스푸핑을 쉽고 재미있게 짚어 보자는 취지로 다뤘으니 가족이나 동료들과 함께 편안하게 읽어 보시길. 

도시의 괴담

게임 하는 재미에 푹 빠진 모대리. 와이프도 뒷전이고 이제 아빠를 알아 보고 방긋방긋 웃는 6개월 된 아이도 퇴근하고 잠시만 귀여울 뿐, 게임 할 생각에 마음이 바쁘다. 몇 달째 아이템 장만하느라 고생한 보람이 있었던 지 이제 레벨도 높아, 주위의 부러움을 사고 있다. 인터넷 서핑과 한게임에 빠져 있는 와이프와 PC 쟁탈전을 벌여야 하는 수고로움도 이젠 익숙하다.

 

회사에서도 꽤 유명해져서 점심시간이면 모대리의 자리에 사람들이 모인다. 아이템 구경하러. 오늘도 모대리는 아이템 자랑을 할 요량으로 자랑스럽게 로그인 한다. 갖가지 아이템을 장착한 여전사가 짜~잔 하고 나타나야 하는데, 나타난 것은 벌거숭이 여전사! 우하하하… 갑자기 주위가  한바탕 웃음의 도가니가 된다. 망연자실한 모대리. 도대체 무슨 일이 일어난 것일까?

 

나한테는 도저히 일어날 것 같지 않은 이 이야기가, 도시의 괴담이 아닌 현실이 되어버린 이유는 무엇일까?

 

ARP스푸핑 피해자, 개인/기업/공공기관 가릴 거 없어……

모대리는 항상 좋은 직장 동료가 있다는 것이 자랑이었다. 회사도 그럭저럭 괜찮은 데다가 직장동료들도 성격이 좋아서 곧잘 저녁에 어울리곤 했다. 그러나, 모대리가 키워 온 여전사는 그 직장동료 중의 한 명에게 당한 것이었다. 정확히 말하면, 공격자의 공격을 받은 직장동료의 PC가 원흉이었다.  

 

ARP스푸핑 공격은 동일한 네트워크 대역 내 PC 1대만 감염되어도 전체 PC가 위협을 받는다는 데 그 심각성이 있다. 즉, 동일한 네트워크를 사용하는 기업이나 공공기관, 대학, 아파트 단지 등에서 1대의 PC가 악성코드에 감염된 경우 동일한 네트워크에 있는 다른 PC들이 정상적인 사이트를 방문하더라도 감염PC를 경유하게 되어 ID/PW 등 개인정보/금융정보/회사기밀 등이 아무도 모르게 유출되게 된다.

 

최근의 ARP스푸핑 공격은 단순 실력 과시가 아닌 금전적 이익을 위해 주도 면밀하게 계획되어서, 일단 인터넷뱅킹이나 게임 ID/PW가 유출되어 금전적 피해가 발생하면 공격자를 찾아내어 피해금을 반환 받는 것이 사실상 불가능하다. 따라서, 피해 예방이 무엇보다 중요하다.

 

특히 최근 공공기관과 기업을 중심으로 IPT (IP Telephony) 및 UC (Unified Communication), IPTV 서비스 등이 검토되고 있거나 혹은 도입되고 있어, 개인 대상의 인터넷뱅킹 혹은 게임아이템 갈취를 넘어 기업과 국가를 대상으로 기밀정보를 탈취하고자 하는 ARP스푸핑 공격이 더 늘어날 것으로 예상된다.

 

치명적인 ARP스푸핑 감염 경로를 살펴 보면 다음과 같다.

①     최초 감염

n  해킹된 외부의 홈페이지(변조된 페이지가 삽입된 홈페이지)에 접속을 통한 악성코드 다운로드

n  광고나 스파이웨어 배포 수단으로 악용하는 ‘스플로그(Spam + Blog)’를 통한 악성코드 다운로드

n  플래시 플레이어 등 취약점을 내포한 애플리케이션을 통한 악성코드 다운로드

n  운영체제 보안 패치 및 백신 업데이트가 안 되어 있는 PC에 대한 스캔 공격에 의한 감염

②     2차 감염

n  USB 및 외부 저장매체에 의한 감염 확산

n  기업/공공기관/대학/아파트 단지 내 감염 PC에 의한 동일 네트워크 사용자 PC로의 확산

n  동일 IDC환경에서 별도의 서브네트워크로 구성되지 않은 경우, 입주해 있는 다른 회사의 감염된 서버에 의해 감염 확산

(.... 두번째 이야기로 이어집니다. )