이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:


작성자: t5mk2t(tomket@boanin.com)
편집자: 엔시스(sis@sis.pe.kr)


안녕하세요. t5mk2t입니다.

  '내부의 적이 가장 무섭다'라는 말을 쓰곤 합니다. 이 말을 네트워크에 적용해 보면 네트워크 안의 악의적인 사용자가 가장 무섭다는 말이 되겠네요. 그 만큼 로컬 네트워크는 상대적으로 쉬운 네트워크 접근성으로 인해 그 만큼 위험에 노출되어 있다고 볼 수 있습니다.

첫 포스팅으로 로컬 네트워크에서 일어날 수 있는 상황을 철수와 영수라는 가상의 인물을 설정하여 풀어나가보려 합니다. ^^
.
.
.
철수는 오피스텔에 살고 있습니다.  취미는 컴퓨터 온라인 게임 하기와 온라인 쇼핑입니다.
오늘도 철수는 '빨리 집에가서 레벨 50찍어야지'라는 마음으로 하루를 힘겹게 버티고는 집으로 향했습니다. 빨리 렙업을 하고싶은 마음에 집에 들어서자마자 능숙한 발놀림으로 책상 아래에 있는 본체의 전원 버튼을 엄지 발가락으로 꾸욱 누르고 책상 앞 의자에 앉았습니다.

먼저 철수는 어제 밤에 우연히 '득템'하게 된 희귀한 아이템을 확인해 보려 인벤토리 창을 엽니다...

그.런.데....

분명히 인벤토리안에 고이 모셔두었던 아이템이 온데간데 없이 사라진 것입니다. 더구나 자신이 로그아웃했었던 장소가 아닌 다른 곳에 서 있는 캐릭터를 발견합니다. 과연 우리의 게임폐인 철수에게 무슨 일이 일어난 것일까요?
.
.
.
영수는 오피스텔에 살고 있습니다. 평소 해킹에 관심이 많은 컴퓨터 공학과 학생입니다. 자신의 노트북에 기본 설치되어 있던 Windows를 밀어버리고 Ubuntu를 설치하여 Ubuntu의 화려한 데스크탑 효과를 친구들에게 과시용으로 보여주고 우월함을 느끼는 그런 평범(?)한 학생입니다. 어느날 영수는 학교 선배에게 '스니핑'이라는 기술에 대해 듣게 됩니다.


'스니핑을 하면 상대방의 모든 패킷을 훔쳐볼 수 있다!'


평소 해커가 꿈인 영수에겐 정말 솔깃한 말이 아닐 수 없었습니다. 드디어 자신도 해커의 길로 접어드는 것만 같은 기분이 들었습니다. 하지만 영수는 아직 스니핑이란 이름만 들었을뿐, 아는 것은 전혀 없었습니다. '느려 터진 IE는 꺼져버려!'라고 다른사람들이 말하는걸 종종 들었기에 Firefox(리눅스라 어쩔 수 없지만...이하 FF)를 쓰는 우리 영수는 FF를 키고 구글링을 시작합니다. 스니핑에 관한 기본적인 지식과 더불어 하나의 스위치로 물려 있는 로컬 네트워크에서는 자신의 랜카드가 promiscuous mode로 세팅이 되어있다 할지라도 패킷 스니핑을 할 수 없다는 사실까지 알게 됩니다. 고민끝에 영수는 ARP Spoofing과 MAC Flooding이라는 영역에 접근 하게 됩니다. 스위치의 ARP Table을 Flooding(패킷을 Broadcasting시키도록) 시키고 각 클라이언트들의 ARP Table을 자신의 MAC address로 도배하여 스위치로 접근하는 모든 패킷들이 자신의 랜카드를 통과하게 만들 생각을 하니 영수의 가슴은 갑자기 뛰기 시작합니다.

관련 툴들을 다운 받고 영수는 자신의 로컬 네트워크를 스캐닝합니다. 스위치의 IP를 알아낸 영수는 여러차례의 삽질 끝에 flooding과 spoofing을 성공시킵니다. 자신이 속한 네트워크안에 활성화된 IP들을 확인하고 영수는 군침을 흘립니다. 그리고는 Sniffing을 시작합니다. 


영수의 Ubuntu에서 동작하고 있는 스니핑 툴에서 자신의 패킷이 아닌 다른 사람들의 패킷을 보고 영수는 뿌듯해 합니다. 처음엔 외계어처럼만 보이던 패킷들도 평소 한쪽귀로 듣고 한쪽귀로 흘렸었던 '네트워크 기초'수업 내용들이 하나하나 떠오르며 조금씩 해석이 되어갑니다. 그러던중 스니핑툴에서 무언가를 알려줍니다...





오!!! 영수의 짧은 외마디 비명....

당장 영수는 스니핑 툴에서 알려준 정보를 토대로 해당 사이트에 로그인해봅니다.. 로그인된 화면을 본 영수의 입가엔 미소가 번집니다. 사실 스니핑이 시작되고나서 영수는 여간 실망이 아니었습니다. 대형 포탈사이트나 커뮤니티 사이트들에 접속하는 패킷들은 많지만 패킷들이 대부분 '암호화'되어 있었기 때문입니다. 하지만 가끔씩 '보안로그인'을 기본적으로 적용하고 있지 않은 사이트들에 유저들이 접속할때마다 ID와 PASS를 알려주는 스니핑툴이 여간 신통하지 않을수가 없었습니다. 이렇게 얻은 ID와 PASS는 예상했던것과 같이 대형 포탈사이트의 ID, PASS와 동일했습니다.


이렇게 알아낸 정보를 어떻게 해야 할까 하고 고민하던 영수의 눈이 갑자기 번쩍입니다. 신통한 스니핑툴이 알아낸 정보엔 자신이 주로 하던 게임 사이트의 URL과 사용자 ID, PASS가 나타난것입니다. 재빠르게 ID와 PASS를 메모하고 영수는 친구와의 약속때문에 일단 나중에 접속해보기로 합니다.


여자친구와 헤어진 친구의 뻔한 레파토리를 들어주느라 영수는 약간 피곤해졌습니다. 지하철을 타고 집으로 향하다가 아까 메모해둔 게임의 ID와 PASS를 생각하니 또다시 아드레날린이 샘솟았습니다. 집에 가자마자 컴퓨터를 키고 게임을 실행하고는 ID와 PASS를 입력.... 대망의 접속 버튼을 누르는 순간 영수는 환호성을 지릅니다.


다시 마음을 가라앉히고 해당 ID의 캐릭터와 아이템들을 살펴봅니다... 자신보다 고렙의 캐릭터... 그 중 영수는 평소 자신이 꼭 갖고 싶었던 아이템을 발견하고는 자신의 캐릭터로 아이템을 옮겼습니다. 바로 로그아웃하고 자신의 캐릭터로 게임을 즐깁니다... '역시 겜은 아이템빨이야'라고 중얼 거리면서...
.

.
.
위의 이야기 말고도 수많은 예가 존재할 것입니다. 음... 좋은 아이템을 날린 철수만 불쌍하게 됐네요...


실제로 로컬 네트워크를 살펴보다보면 이러한 문제점들을 쉽게 볼 수 있습니다. 암호화 되지 않은 평문의 패킷들이 가지고 있는 위험성은 실로 어마어마 합니다.(비밀번호와 아이디를 대부분 통일해서 사용하고 있는 우리나라의 유저들의 경우엔 더욱)


그렇다면 이러한 Layer 2에서의 MAC address를 이용한 스니핑을 방지하기 위해선 어떻게 해야 할까요?


로컬 네트워크에선 클라이언트가 적을 경우엔 스위치에서 MAC address를 정적으로 관리하거나 시스코 장비에서 지원하는 port-security기능을 설정해두면 좋습니다. 이때 각 사용자들도 자신의 ARP Table을 정적으로 관리하면 더할나위없이 좋겠지만 일반 유저들에게 이정도 까지 바라는건 좀 무리겠지요 ^^;

또한 스위치에서 지원하는 VLAN을 통해 네트워크 자체를 분리시켜 버리는 방법도 있지만 나누어 졌다 해도 같은 네트워크 안에서는 문제가 해결되지 않습니다. 


유저 입장에서 가장 효과적으로 대처할 수 있는 방안으로는 '보안 로그인'이 아닐까 생각합니다. '보안 로그인'이란 아시다시피 로그인시 오고 가는 패킷들의 내용을 암호화해서 보내주는 기능입니다. 물론 웹사이트에서 지원해줘야 한다는 문제점이 있지만 요즘 같은 경우 대부분의 사이트에서 '보안 로그인'을 지원하고 있고, 쇼핑몰 같이 개인정보가 오고 가는 사이트의 경우 '보안로그인'이 의무화 되어 있습니다.
 

일반 유저들이 '보안 로그인'을 체크만 해도 스니핑 당한 후의 위험에 대해 상당수 보호받을 수 있습니다. 따라서 '보안 로그인'이 무엇인지, 또 왜 필요한지 의식을 전혀 못하고 있는 개인 유저들에게 '보안 로그인'의 필요성을 인식하게 하고 '보안 로그인'이 생활화 될 수 있는 방안을 모색하는것이 중요하리라 여겨집니다.


마지막으로 한가지만 더...

스니핑은 범죄가 아닙니다. 본능입니다.

- t5mk2t -





****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,