[알아봅시다] ARP스푸핑 공격과 대응

입력: 2007-12-06 16:13 이홍석 기자

폰트

랜카드 주소 위장 개인정보 가로채

홈페이지 해킹 뒤 아이프레임 삽입
감염 사이트 방문자들 동시에 위협
네트워크 관리ㆍ보안패치 설치 필수

홈페이지를 해킹한 뒤 삽입한 아이프레임(iframe)을 통해 악성코드를 감염, 유통시키는 방식의 해킹은 2005년 처음 등장한 이후 계속 증가하고 있습니다. 최근 들어서는 악성코드가 삽입된 홈페이지를 방문하는 사용자들을 감염시키는 외에 한 서버를 해킹해 여러 서버를 해킹한 효과를 주고 악성코드에 감염된 사용자를 통해 동일 네트워크 장비를 공유하는 사용자들에게 동시에 위협을 주는 형태로 나타나고 있습니다.

`ARP스푸핑'은 랜 카드의 고유한 주소(MAC 주소)를 동일 네트워크에 존재하는 다른 PC에 꽂혀있는 랜 카드의 주소로 위장, 다른 PC에 전달돼야 하는 정보를 가로채는 공격을 말합니다. ARP스푸핑은 이미 오래 전부터 알려져 있는 새로운 공격 기법이 아니지만 최근 많이 활용되면서 부각되고 있으며 이를 통해 유포되는 악성코드는 개인 계정정보 유출과 분산서비스거부(DDos) 공격에 악용되고 있습니다.

오늘은 최근 급증하고 있는 ARP스푸핑을 통한 악성코드 유포에 대한 분석과 이같은 유형의 사고를 예방하기 위한 방안은 어떠한 것들이 있는 지 알아보도록 하겠습니다.

◇ARP스푸핑 의한 악성코드 유포=올 들어 발생한 홈페이지 악성코드 은닉 사고 중에는 해당 홈페이지(웹 서버)를 세세하게 분석해도 악성코드가 삽입된 흔적을 발견할 수 없었던 사례가 있었습니다. 대개 해당 홈페이지를 접속하면 악성코드를 다운로드 해 감염시키려는 시도가 탐지되는 것과는 확연히 다른 것이었습니다. 그런데 해당 웹서버가 위치한 네트워크에 접속된 모든 서버들을 점검한 결과, 초기에 해킹을 의심한 서버는 해킹 당하지 않았지만 주변에 있던 다른 서버가 해킹돼 있었습니다. 즉 해킹 당한 호스트(Attacker)에는 ARP스푸핑을 할 수 있는 프로그램이 설치돼 자신을 게이트웨이로 위장하고 웹 서버 접속자가 접속해 웹서버가 응답하면 게이트웨이로 위장된 공격자가 응답해 발생한 웹 문서를 변조해 악성코드를 감염시킨 것입니다.

이는 웹서버가 해킹 당하지 않더라도 해커가 원하는 악성코드 은닉 공격을 할 수 있음을 보여주는 것으로 동일 네트워크에 다른 웹 서버가 연결돼 있다면 그 피해가 커질 수 있음을 의미합니다.

기존 사례처럼 특정 웹 서버를 해킹해 사용자 개인정보를 유출시키는 악성코드를 은닉하고 방문자들에게 악성코드를 감염시키는 방식은 동일하지만 악성코드에 ARP스푸핑 기능을 탑재, 감염된 PC는 동일 네트워크 상의 모든 PC에게 자신이 외부 네트워크와 연동되는 게이트웨이라고 속여 모든 인터넷 트래픽을 가로채고, 패킷을 변조하는 방식도 나타나고 있습니다. 특히 아파트처럼 많은 사용자가 동일한 네트워크 장비(스위치)를 공유하는 광랜 형태로 네트워크가 구성돼 있을 경우, 같은 장비를 공유하는 모든 사용자들의 웹 서핑 정보에 악성코드를 감염시킬 수 있는 코드를 삽입시킬 수 있어 피해가 커질 수 있습니다.

◇서버 및 네트워크 관리와 실시간 보안 패치 필수=ARP 스푸핑에 의한 공격은 해당 네트워크에 연결된 웹서버들이 직접적인 해킹을 당하지 않았어도 이 웹 서버들을 방문하는 모든 취약한 사용자들이 악성코드에 감염되는 피해를 입게 된다는 점에서 이전의 방법과 확연히 다른 양상입니다. 또 향후 공격 방식이 계속 다양한 방식으로 진화할 것으로 보여 이에 대한 철저한 대응이 필요합니다.

ARP스푸핑 공격으로 인한 피해를 방지하기 위해서는 서버 및 네트워크 관리자는 공격에 취약한 사용자의 PC들은 웹 서버들이 연동되는 네트워크에 연동되지 않도록 관리하는 한편 웹 서버들의 응용 프로그램들을 통한 해킹 가능성 등을 상시 체크해 안전한 상태로 유지해야 합니다.

일반 사용자들은 ARP스푸핑을 통한 악성코드 유포의 주 공격 타깃이 보안 패치가 설치되지 않은 PC라는 점을 감안, 보안 패치를 실시간으로 업데이트하는 것이 필수적입니다. 또 바이러스 백신을 사용, 이러한 공격에 의해 악성코드에 감염되어 있는지를 확인하는 등 전체적인 점검을 해야합니다.

<자료:KISA>

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[알아봅시다] ARP스푸핑 공격과 대응

이 시간 핫클릭

핫 이슈!