중간자 공격이란 무엇인가요?

중간자 공격(종종 MitM 또는 MiM으로 약칭)은 세션 하이재킹 네트워크 공격의 한 유형입니다.

해커는 흔히 도청자 역할을 하거나 다른 사람을 사칭하여 디지털 방식으로 공유되는 정보를 가로챕니다. 이러한 유형의 공격은 정보 도용이나 허위 통신 등 여러 가지 위험으로 이어질 수 있기 때문에 매우 위험합니다. 이러한 위험은 합법적인 사용자에게는 상황이 완전히 정상적으로 보일 수 있으므로 감지하기 어려운 경우가 많습니다.

중간자 공격이란 무엇입니까?

중간자 공격은 합법적인 참가자가 가로채는 사실을 인지하지 못한 채 제3자가 디지털 대화를 가로채는 경우에 발생합니다. 이 대화는 두 명의 인간 사용자, 인간 사용자와 컴퓨터 시스템 또는 두 컴퓨터 시스템 간에 발생할 수 있습니다.

이러한 경우 공격자는 단순히 정보(로그인 자격 증명, 개인 계정 정보 등)를 얻기 위해 대화를 도청하거나 대화를 조작하기 위해 다른 사용자로 가장할 수 있습니다. 후자의 경우, 공격자는 허위 정보를 보내거나 시스템을 충돌시키거나 다른 사이버 공격의 문을 열 수 있는 악성 링크를 공유할 수 있습니다. 종종 합법적인 사용자는 피해가 발생한 후 오랜 시간이 지날 때까지 자신이 실제로 불법적인 제3자와 통신하고 있다는 사실을 인식하지 못합니다.

중간자 공격은 세션 하이재킹의 예입니다. 다른 유형의 세션 하이재킹 공격에는 사이트 간 스크립팅, 세션 측 하이재킹, 세션 고정 및 무차별 대입 공격이 포함됩니다.

중간자 공격은 어떻게 작동하나요?

중간자 공격을 수행하려면 해커가 사용자의 연결에 액세스할 수 있어야 합니다. 가장 일반적인 방법 중 하나는 비밀번호가 필요 없이 근처에 있는 누구나 가입할 수 있는 공용 Wi-Fi 핫스팟을 만드는 것입니다. 사용자가 네트워크에 접속하면 해커는 모든 디지털 통신에 액세스할 수 있으며 중간자 역할을 하는 키 입력도 기록할 수 있습니다.

공용 WiFi는 중간자 공격을 시작하는 가장 일반적이고 쉬운 방법이지만 유일한 방법은 아닙니다. 다른 일반적인 방법은 다음과 같습니다.

사용자를 가짜 웹사이트로 보내기: 해커는 IP 스푸핑이나 DNS 스푸핑을 통해 사용자를 의도한 목적지 대신 가짜 웹사이트로 보낼 수 있습니다. IP 스푸핑은 해커가 IP 주소의 패킷 헤더를 변경할 때 발생하고, DNS 스푸핑은 해커가 DNS 서버에 접근하여 웹사이트의 DNS 레코드를 변경할 때 발생합니다. 두 경우 모두 사용자는 완전히 실제처럼 보이지만 해커가 소유한 가짜 웹사이트(모든 정보를 캡처할 수 있는 곳)에 접속하게 됩니다.

데이터 전송 경로 재지정: 해커는 ARP 스푸핑에 참여하여 통신 대상 경로를 재지정할 수 있습니다. 이는 해커가 자신의 MAC 주소를 통신에 관련된 합법적인 사용자 중 한 명에게 속한 IP 주소에 연결할 때 발생합니다. 일단 연결이 설정되면 해커는 합법적인 사용자의 IP 주소로 의도된 모든 데이터를 수신할 수 있습니다.

어떤 경우에는 통신 내용이 공개적으로 노출될 수 있지만 데이터가 암호화된 경우 중간자 공격에는 해커가 정보를 읽을 수 있도록 하는 또 다른 단계가 포함됩니다. 해커는 다음 방법을 통해 암호화된 정보의 암호 해독을 시도할 수 있습니다.

SSL 하이재킹: 해커는 인증 키를 위조하여 합법적이고 안전한 세션을 설정합니다. 그러나 해커는 이러한 키를 가지고 있기 때문에 실제로 전체 대화를 제어할 수 있습니다.

SSL BEAST: 해커는 SSL의 취약점을 표적으로 삼아 디지털 통신을 비공개로 안전하게 유지하도록 설계된 암호화된 쿠키를 가로챌 수 있는 악성 코드를 사용자 장치에 설치했습니다.

SSL 스트리핑: 해커는 더 안전한 HTTPS 연결을 덜 안전한 HTTP 연결로 전환하여 웹 세션에서 암호화를 제거하고 해당 세션 동안의 모든 통신을 노출시킬 수 있습니다.

중간자 공격에는 어떤 유형이 있나요?

중간자 공격에는 다양한 유형이 있으며, 각 유형은 피해자에게 다른 결과를 초래할 수 있습니다. 중간자 공격의 일반적인 유형은 다음과 같습니다.

정보를 얻기 위해 도청

해커는 나중에 사용할 정보를 캡처하기 위해 일정 기간 동안 대화를 염탐할 수 있습니다. 어떤 방식으로든 통신 내용을 변경할 필요는 없지만, 공유 세부 정보에 액세스할 수 있으면 언제든지 기밀 정보에 대해 알아보거나 사용할 로그인 자격 증명을 얻을 수 있습니다.

통신 방법 변경

해커는 SSL 하이재킹과 같은 기술을 사용하여 다른 사용자로 위장하여 통신을 변경할 수 있습니다.

예를 들어, Alice와 Bob이 서로 통신하고 있다고 생각한다고 가정해 보겠습니다. 이 경우 해커는 대화 중간에 앉아 서로에게 보내는 메시지를 변경할 수 있습니다. 이 방법은 허위 정보를 보내거나 악의적인 링크를 공유하거나 사용자가 입금을 위해 은행 계좌 및 라우팅 번호를 보내는 등 중요한 세부 정보를 가로채는 데 사용될 수 있습니다.

사용자를 가짜 웹사이트로 안내

해커는 사용자를 의도한 목적지와 정확히 동일한 가짜 웹사이트로 보낼 수 있습니다(일반적인 예는 피싱 시도입니다). 이 설정을 사용하면 로그인 자격 증명이나 계정 세부 정보와 같이 사용자가 합법적인 웹 사이트에 제출하는 모든 정보를 캡처할 수 있습니다. 결과적으로 해커는 이 정보를 사용하여 실제 웹사이트의 사용자를 사칭하여 금융 정보에 접근하고 세부 정보를 변경하거나 심지어 가짜 메시지를 보낼 수도 있습니다.

중간자 공격의 잠재적 위험은 무엇입니까?

중간자 공격은 다양한 부정적인 결과를 초래할 수 있습니다. 실제로 중간자 공격은 해커가 더 크고 영향력 있는 공격을 시작하기 위한 디딤돌이 되는 경우가 많습니다. 이를 염두에 두고 중간자 공격의 가장 큰 잠재적 위험은 다음과 같습니다.

사기 거래

중간자 공격으로 인해 다음이 발생할 수 있습니다. 로그인 및 계정 정보를 수집하기 위해 도청하거나 이체 경로를 재설정하는 등의 사기 거래. 대부분의 경우 이는 은행에서 직접 또는 신용 카드 결제를 통해 이루어지는 금융 거래에 적용됩니다.

도난된 기밀 정보

사용자의 로그인 자격 증명을 캡처하여 가짜 웹사이트로 보내거나 심지어 이메일을 도청하는 것만으로도 기밀 정보가 도용될 수 있습니다. 지적 재산을 보호하거나 고객 건강 기록이나 주민등록번호와 같은 민감한 데이터를 수집하는 대규모 조직에서는 그 결과가 특히 걱정스럽습니다. 모든 종류의 기업이 고객에 대해 처리하는 정보를 보호하도록 요구하는 개인정보 보호법이 점점 더 많이 등장함에 따라 이는 문제이기도 합니다.

다른 시스템에 대한 액세스

중간자 공격을 통해 사용자의 로그인 자격 증명을 훔치면 해커가 수많은 다른 시스템에 액세스할 수도 있습니다. 이는 하나의 시스템만 취약하더라도 보다 안전한 다른 시스템을 더욱 취약하게 만들 수 있음을 의미합니다. 전반적으로 이러한 상황에서는 조직의 보안 팀이 특정 연결 지점이 아무리 사소해 보일지라도 약한 링크가 없는지 확인해야 합니다.

맬웨어를 통한 광범위한 공격

해커는 중간자 공격을 사용하여 사용자와 악성 코드를 공유할 수 있습니다. 결과적으로 이 악성 코드는 전체 시스템을 손상시키거나 정보 또는 시스템에 대한 지속적인 액세스를 제공하여 장기적인 공격을 수행하는 등 광범위한 공격으로 이어질 수 있습니다.

중간자 공격은 어떻게 진화했나요?

두 가지 추세로 인해 중간자 공격이 진화하여 조직에 대한 위험이 증가했습니다.

첫 번째는 모바일 및 분산 작업 환경의 증가로, 이는 궁극적으로 더 많은 사람들이 공용 Wi-Fi 네트워크(개인 및 비즈니스 용도 모두)를 통해 연결된다는 의미입니다. 이러한 일이 자주 발생할수록 해커가 보안되지 않은 연결을 통해 액세스할 수 있는 기회가 더 많아집니다.

둘째, 미래 조직의 가장 큰 관심사는 사물인터넷(IoT) 기기와 기계의 ID 증가입니다. IoT 장치에는 다양한 유형의 보안이 필요할 뿐만 아니라 인증이 필요한 연결 지점과 ID도 더 많이 생성됩니다. 적절한 보호가 없으면 이러한 기계는 해커를 위한 다양한 액세스 포인트를 생성하며, 그 중 다수는 무고해 보입니다(예: HVAC 장치). 아무리 평범해 보일지라도 이러한 모든 시스템에는 중간자 공격에 취약한 상태가 되지 않도록 최신 보안 프로토콜을 준수하도록 암호화 및 정기적인 업데이트와 같은 강력한 보안이 필요합니다.

중간자 공격의 실제 예는 무엇입니까?

안타깝게도 중간자 공격은 매우 흔합니다. 이러한 유형의 공격 중 가장 주목받는 최근 사례는 다음과 같습니다.

유럽의 회사 은행 계좌 절도

2015년 유럽 당국은 맨인(man-in)을 사용한 혐의로 49명의 용의자를 체포했습니다. -중간 기술 일련의 은행 계좌 절도가 유럽 전역에서 발생했습니다. 이 그룹은 회사 이메일 계정에 접근하고 통신을 모니터링하여 지불 요청을 모니터링한 다음 이러한 거래를 자신의 계정으로 라우팅하여 유럽 회사로부터 약 600만 유로를 훔쳤습니다. 이 공격에는 피싱 시도와 진짜처럼 보이도록 설계된 가짜 웹사이트 생성이 포함됩니다.

모바일 뱅킹 앱의 인증서 사용 결함

2017년에 연구원들은 모바일 애플리케이션에 사용된 인증서 고정 기술에 결함이 있음을 발견했습니다. 이 결함은 합법적인 사용자와 동일한 네트워크에 있는 해커가 애플리케이션의 호스트 이름을 제대로 확인하지 않음으로써 탐지되지 않고 사용자 이름, 비밀번호, PIN과 같은 로그인 자격 증명에 액세스할 수 있음을 의미합니다.

이러한 유형의 액세스를 통해 해커는 중간자 공격을 수행하여 정보를 보고 수집하고, 합법적인 사용자를 대신하여 조치를 취하거나, 앱 내 피싱 공격을 실행할 수도 있습니다. 흥미롭게도 이 경우 액세스 제공의 약점은 실제로 보안을 향상시키기 위한 인증서 처리 절차가 제대로 관리되지 않았기 때문에 발생합니다.

Equifax 도메인 보안 실패

2017년 미국 최대 신용 보고 기관 중 하나인 Equifax는 중간자 공격을 받아 다음과 같은 결과를 초래했습니다. 보안되지 않은 도메인 연결을 통해 1억 건 이상의 소비자 요금이 도난당했습니다. 공격은 Equifax가 사용하는 개발 프레임워크의 취약점을 패치하지 못했을 때 시작되었습니다. 이로 인해 해커는 HTTP 요청에 악성 코드를 삽입할 수 있었습니다. 그곳에서 해커들은 내부 시스템에 접속해 사용자 활동을 도청해 수개월에 걸쳐 다양한 정보를 수집할 수 있었습니다.

중간자 공격을 방지하는 방법은 무엇입니까?

중간자 공격은 여전히 ​​매우 흔하므로 사용자와 조직의 보안에 심각한 위협이 됩니다. 이러한 공격의 위협은 심각하지만 조직의 보안 팀과 사용자 모두가 이러한 위험으로부터 보호하기 위해 취할 수 있는 몇 가지 단계가 있습니다. 최선의 보호 조치는 다음과 같습니다.

(1) 연결 지점에 주의

해커가 중간자 공격을 수행하기 위해 액세스 권한을 얻는 가장 일반적인 방법 중 하나는 다음과 같습니다. 공용 ** *WiFi와 같은 보안되지 않은 연결 지점을 통해. 따라서 사용자는 연결점에 각별히 주의하는 것이 중요합니다. 이는 공용 Wi-Fi 사용을 피하고(시스템이 공용 네트워크에 연결된 경우에는 어떤 시스템에도 로그인하지 않음) VPN을 사용하여 네트워크 연결을 암호화하는 것을 의미합니다.

(2) 사용자에게 피싱 시도에 대해 교육합니다.

피싱 시도는 중간자 공격의 또 다른 일반적인 진입점이며 최선의 시도는 매우 설득력이 있을 수 있습니다. 사용자에게 이러한 공격과 그 진화 방식에 대해 교육하면 공격 시도를 파악하고 피해자가 되는 것을 방지하는 데 큰 도움이 될 수 있습니다.

(3) 링크를 클릭하는 대신 URL을 입력하여 웹사이트로 이동합니다.

링크를 클릭하는 대신 URL을 입력하여 웹사이트로 이동하는 것이 도움이 될 수 있는 모범 사례입니다. 사용자를 가짜 웹사이트로 보내거나 악성 코드를 삽입하여 중간자 공격을 실행하는 성공적인 피싱 및 기타 일반적인 전술을 방지합니다. 이렇게 하면 해커가 약간 수정된 링크를 보내 공격의 문을 여는 것을 방지할 수 있습니다.

(4) 항상 HTTPS를 사용하여 웹사이트의 적법성과 보안을 확인하세요.

사용자가 웹사이트의 URL 주소를 입력할 때 HTTPS도 포함하고 모든 웹사이트가 모든 웹사이트에서 작동하는지 확인해야 합니다. 이 수준의 보안을 가지고 있습니다. HTTPS 프로토콜을 확인하는 것은 간단해 보일 수 있지만 민감한 정보를 공유하기 전에 웹사이트의 적법성과 보안을 확인하는 데 큰 도움이 될 수 있습니다.

(5) 사용자에게 일반적인 로그인 프로세스를 교육합니다.

최근 발생한 여러 가지 중간자 공격으로 인해 사용자는 웹사이트에 로그인하는 단계를 완료해야 합니다. 이 단계는 완벽하게 합법적인 것처럼 보이더라도 실제로는 일반적인 로그인 프로세스가 아닙니다. 일반 로그인 프로세스가 수행하는 작업과 수행하지 않는 작업에 대해 사용자를 교육하면 비정상적인 상황을 더 쉽게 인식하는 데 도움이 될 수 있습니다.

(6) 사용자의 일반적인 로그인 습관 이해

보안팀 측에서는 사용자의 일반적인 로그인 습관을 이해하면 비정상적인 패턴을 보다 쉽게 ​​표시하는 데 도움이 될 수 있습니다. 예를 들어, 대부분의 사용자가 주중에 로그인하는 경향이 있지만 주말에 활동이 갑자기 급증하는 경우 이는 우려할 수 있으며 추가 조사가 필요할 수 있습니다.

(7) 가능하면 다단계 인증을 사용하세요.

사용자에게 다단계 인증을 사용하여 로그인하도록 요구하면 중간자 공격에 대한 또 다른 보호 계층을 제공할 수 있습니다. 따라서 해커가 사용자 이름/비밀번호 조합을 알아내더라도 다른 형태의 확인(예: 문자 메시지를 통해 전송된 코드) 없이는 계정에 액세스할 수 없습니다.

이 2계층 접근 방식은 무적은 아니지만 최근 일부 중간자 공격이 두 계층을 모두 통과했기 때문에 더 많은 보호 기능을 제공합니다.

(8) 완료 후 보안 세션 종료

보안 세션을 완료한 후 사용자가 로그아웃하도록 강제하는 것은 중요한 관행입니다. 세션을 닫으면 합법 및 불법 모두에서 해당 사용자에 대한 액세스가 종료되기 때문입니다. 모든 액세스. 즉, 세션이 열려 있는 시간이 길어질수록 해커가 다양한 방법으로 해당 세션에 액세스할 수 있는 위험이 커집니다.

(9) 특히 증가하는 시스템 ID에 대해 PKI 우선 순위를 지정합니다.

마지막으로 사용자(사람과 시스템) 간의 연결을 인증하고 통신을 암호화하려면 강력한 PKI 프로그램이 필수적입니다. 중요합니다. PKI에 대한 모범 사례 접근 방식에는 빠르게 증가하는 ID 수를 따라잡고, 보안 표준을 포괄적이고 일관되게 적용하고, 암호화 키를 정기적으로 업데이트하여 키 크립과 같은 위험을 방지할 수 있는 매우 민첩한 시스템이 필요합니다.