중간자 공격(Man-in-the-middle attack)은 왜 알아차리기 어려운가, 방법과 대책

간자 공격(Man-in-the-middle attack)은 장치(PC/전화)와 웹 서버 사이에서 데이터 전송이 이루어지는 동안 기술과 도구를 사용하여 공격자는 두 사이에 자신을 배치하고 데이터를 가로채는 것이라고 할 수 있습니다. 

기본적으로 이것은 트릭! 즉 속임수랍니다.  

양측이 서로 이야기하고 있다고 믿고 있겠지만 실제로는 가해자와 소통을 하고 있는 것이지요.  

이 공격은 장치 와 서버 간 통신 중에 발생하는 것만이 아니라 두 시스템이 가상으로 데이터를 교환하는 곳 어디서든 발생할 수 있습니다. 

중간자 공격의 작동원리

이 공격의 경우, 하나가 아닙니다. 

총 4개가 있는데요! 일반적으로 스니핑(Sniffing), 패킹 주입(Packet Injection), 세션 하이재킹 공격(Session Hijacking), SSL 스트리핑(SSL Stripping) 가 있습니다.  

1. 스니핑(sniffing) 

스니핑 또는 패킷 스니핑은 시스템/네트워크에서 들어오고 나가는 데이터 패킷을 캡쳐하는데 사용되는 기술입니다. 

네트워크에서의 패킷스니핑은 도청이랑 비슷하지요. 하지만 패킷 스니핑은 올바르게 적용되면 합법적이며

보안 목적을 위해 이를 수행하고 있다는 점을 기억하셔야 합니다. 

2. 패킷 인젝션(Packet Injection)

공격자가 일반 데이터와 함께 악의적인 데이터를 주입하는 것입니다.  

사용자는 합법적 통신 스트림 일부로 제공되기 때문에 파일/멀웨어 프로그램을 알지 못하게 되는 것이죠.  

이러한 파일은 중간자 공격과 서비스 거부 공격에서 흔히 볼 수 있는 요소랍니다. 

3. 세션하이재킹 공격 (Session Hijacking)

일명 세션 가로채기라고 불리는 이 공격은 두 시스템 간 연결이 활성화된 상태를 가로채는 것인데요. 

“Session Expired” 오류가 발생하게 만든답니다. 

은행 계좌에 로그인하고 로그 아웃하는데 걸리는 시간을 세션이라고 하는데요!   

이러한 세션이 해커들의 표적이 되고, 대부분의 경우에 해커는 자신의 존재를 이 세션에서 확인하고 제어하며 다양한 방법으로 공격을 실행합니다. 

4. SSL 스트리핑(SSL stripping)

SSL에 대해 어느 정도 인지하고 계신다면 아시겠지만! 

SSL/TLS 인증서는 암호화를 통해 온라인 통신을 안전하게 유지하지요!

하지만 SSL 스트립핑 공격을 받을 경우, 공격자는 SSL/TLS 연결을 차단하여 프로토콜이 보안성이 있는 HTTPS에서 안전하지 않은 HTTP로 전환된답니다. 

다시 말씀 드리면, 중간자 공격(Man-in-the-middle attack)은 2자간의 통신에 누군가가 개입하여, 도청이나 변경을 행하는 수법입니다. 

로그 인 계정이나 개인정보의 도난, 스파이 행위, 통신 방해, 데이터 변경 등에 사용됩니다。

중간자 공격을 막는 데에는 암호화와 일회용 인증키가 하나의 대책이 됩니다. 

중간자 공격이 수행되게 되면, 진품 그대로의 피싱 사이트에 접속되거나, 정상 접속처에 도착하기 전에 통신 내용이 누설됩니다. 

따라서, 중간자 공격을 알아차리는 것은 상당히 어렵습니다。

일회용 인증키를 사용하여 2차 인증 시 한번 사용한 일회용 인증키를 인증키 생성주기에 재사용 못하게 하면 됩니다.