호환마마, 신종 인플루엔자보다 더 무서운 ARP스푸핑 (2/4 - 두번째 이야기)

초보자도 할 수 있는 ARP스푸핑 공격

ARP스푸핑 공격은 자신의 MAC Address를 타 시스템, 주로 게이트웨어의 MAC Address로 위조하여 타 시스템(게이트웨이, 서버, PC 등)으로 향하는 트래픽을 감염된 시스템으로 유도하는 방식이다. (Man In the Middle Attack)

 

L2 장비인 스위치는 이더넷 프레임으로부터 MAC Address를 추출하여 Switch MAC Table을 작성하고 모든 트래픽을 MAC 주소를 기반으로 전송하게 된다. LAN 상의 모든 호스트 IP-MAC 주소 매핑은 ARP Request 브로드캐스팅을 통해 쉽게 알아 낼 수 있다. 또한 ARP Reply 패킷을 각 호스트에 보내서 쉽게 ARP Cache를 업데이트하여 통신을 할 수 있다. 공격자는 이 과정에서 어떠한 인증도 요구하지 않는다는 취약점을 이용하여 모든 호스트 IP-MAC Address를 확인한 다음 각 호스트에 위조한 MAC Address 즉 스니퍼의 MAC Address를 보내고 스니퍼의 Cache가 사라지지 않도록 변조된 ARP Reply를 지속적으로 보낸다. 일단 정상적인 통신이 이뤄지면 스니퍼는 피해 시스템에서 전송하는 모든 패킷을 캡쳐할 수 있게 된다.

 

 

        [그림1 ARP스푸핑 공격] A, B가 각각 서로를 인식하는 MAC Address가 스니퍼의 MAC-A로 바뀌게 된다

 

 

          [그림2 ARP스푸핑 공격 후 스니핑] 스니퍼는 A, B의 통신을 모니터링 및 기밀정보를 탈취한다.

 

이 공격은 특별한 기술로 시스템에 침입하는 해킹과는 달리 ARP프로토콜이 인증을 요구하지 않는다는 취약점을 이용한 공격이어서, 이 취약점을 근본적으로 해결하지 않는 한 피해의 발생과 확산을 막기가 쉽지 않다.

 

게다가, 웬만한 검색엔진에서 검색만 하면 손쉽게 ARP스푸핑 툴을 구할 수 있어 몇몇 전문가들은 ‘초등학생도 할 수 있는 공격’이라고 이야기하기도 한다. 저자가 전문가의 시연을 통해 직접 확인한 바로는, 해당 툴을 개인 PC에 설치, 기업 내 IP폰의 도청도 손쉽게 할 수 있었다. KISA에서 소개한 3가지 공격 툴을 소개하면 다음과 같다.(공격 툴 악용 방지를 위해 “공격 툴 A, B, C”로 지칭)

 

①     공격 툴 A

n  네트워크 트래픽 도청과 패스워드 수집 및 암호화된 정보를 크랙해 주는 윈도우 GUI 도구이며, 공격 절차는 다음과 같다.

Ø  서브넷의 모든 호스트 MAC Address 스캔

Ø  ARP스푸핑 대상 선택 및 공격, 관련 애플리케이션 패스워드 모니터링

②     공격 툴 B

n  실제 웹페이지에 악성코드를 삽입하는 역할을 하며, WinPcap라이브러리를 사용해서 프로그래밍 되어 있으며 패킷을 변조하는 부분은 아래와 같다.

     
     

      [그림3 공격툴 B의 동작과정]

 

 

③     공격 툴 C

n  ‘공격 툴 B’보다 다양한 기능을 가지고 있으며 기능은 아래와 같다.

Ø  ID/PW 도청: 트래픽을 스니핑 하면서 캡쳐하여 파일로 기록

Ø  iframe 악성 스크립트 삽입: 공격자가 지정한 IP 대역에서 외부로 접속하거나 지정된 대역으로 접속해 오는 사용자 웹 패킷 양쪽 모두에 iframe을 삽입할 수 있다.

Ø  DNS스푸핑: DNS Reply를 조작, 특정 웹사이트로 접속하고자 하는 패킷은 모두 조작된 사이트로 접속시킬 수 있다.

Ø  다운로드 파일 교체: 스니핑 대상 호스트들이 내/외부로 웹을 통해 파일을 다운로드할 경우 공격자가 지정한 사이트의 악성 프로그램을 다운로드받을 수 있게 할 수 있다.

(...... 세번째 이야기로 이어집니다. )