2019.02.18

MitM 공격이란 무엇인가 "MitM 공격의 메커니즘과 예방법"

Dan Swinhoe | CSO
MitM(Man in the Middle, 중간자) 공격은 공격자가 비밀리에 도청하거나 이동하는 트래픽을 수정하기 위해 두 당사자 사이에서 통신을 가로채는 것이다. 공격자는 MitM 공격을 이용해 로그인 자격 증명이나 개인 정보를 훔치거나 피해자를 염탐하거나 통신을 방해하거나 데이터를 파괴할 수 있다.
 
ⓒ Getty Images Bank 

크라우드스트라이크(CrowdStrike)의 기술 전략가 제키 트레디는 "MitM 공격은 결국 전략적인 수단"이라며, "그 목적은 개인이나 집단을 염탐해 노력, 재정, 자원, 관심 등을 돌리는 것일 수 있다"고 설명했다. 

MitM은 암호화로 방지할 수 있지만 공격자는 정상적인 것처럼 보이도록 고안된 피싱(Phishing) 사이트로 트래픽을 전환하거나 트래픽을 획득하거나 기록한 후 의도한 목적지로 전달할 것이기 때문에 이 공격을 탐지하기란 매우 어렵다.


MitM 공격의 메커니즘

MitM 공격은 오래된 사이버 공격의 한 형태다. 컴퓨터 공학자들은 1980년대 초부터 통신에 간섭하거나 도청하는 위협 활동자들을 방지하는 방법을 연구해 왔다. 

MitM 공격은 두 당사자 사이에서 트래픽을 관찰하거나 조작하는 것으로 구성된다. 이는 정상적인 네트워크에 간섭을 일으키거나 공격자가 통제하는 가짜 네트워크를 생성해 가능하다. 그리고 나서 해킹된 트래픽은 암호화를 제거해 트래픽을 훔치거나 변경하거나 공격자가 원하는 목적지(피싱 로그인 사이트 등)로 전달한다. 공격자는 가로챈 트래픽을 기록하거나 수정한 후에는 조용히 관찰하거나 재암호화할 수 있기 때문에 공격을 찾아내기 어려울 수 있다.

SANS TI(Technology Institute)의 연구 학장 요하네스 울리히는 "MitM 공격은 공격자가 실제로 피해자, 그리고 피해자가 접속하려고 시도하는 정상적인 호스트 사이에 존재하는 공격이다. 그들은 연결 상태에서 수동적으로 도청하거나 실제로 연결을 가로채고 종료하며 목적지로 새로운 연결을 설정한다"고 말했다.

MitM에는 대상과 목적에 따라 아주 다양한 기법과 잠재적인 결과가 수반된다. 예를 들어, SSL 스트리핑에서 공격자는 자신과 서버 사이에 HTTPS 연결을 수립하지만 사용자와는 안전하지 못한 HTTP로 연결하기 때문에 정보가 암호화없이 평문으로 전송된다. 에빌 트윈(Evil Twin) 공격은 정상적인 와이파이 AP(Access Point) 인척 하지만 해커가 전적으로 통제해 사용자가 전송하는 모든 정보를 모니터링, 수집, 조작할 수 있다.

트레디는 "이런 유형의 공격은 간첩 행위나 경제적 이익 또는 단순한 혼란을 위해 사용될 수 있다. 발생한 피해는 공격자의 목표와 피해를 끼칠 수 있는 능력에 따라 크게 달라질 수 있다"고 말했다. 

온라인뱅킹의 경우 공격자는 사용자가 송금하는 것을 보고 목적지 계좌번호나 송금액을 변경할 수 있다. 위협 활동자는 MitM 공격을 이용해 개인 정보나 로그인 자격 증명을 수집할 수 있다. 공격자가 애플리케이션이 다운로드되거나 업데이트되고 있음을 탐지하는 경우 정상적인 것 대신에 악성코드를 설치하는 해킹된 업데이트를 전송할 수 있다. 

EG(EvilGrade) 익스플로잇 공격 키트는 안전하지 못한 업데이트를 대상으로 개발됐다. 트래픽을 암호화하지 못하는 경우가 많기 때문에 모바일 기기가 특히 취약하다.

울리히는 "이런 공격은 손쉽게 자동화할 수 있다. 이를 자동화해 비밀번호를 찾고 발견되는 즉시 파일로 작성하거나 다운로드 등의 특정 요청을 기다렸다가 악성 트래픽을 재전송하는 툴이 있다"고 설명했다. 

이런 와이파이 또는 물리 네트워크 공격은 피해자 또는 대상 네트워크에 근접해 있어야 하지만 라우팅 프로토콜을 원격으로 해킹하는 것도 가능하다. 울리히는 "이는 더 어렵고 정교한 공격 방식이다. 공격자는 인터넷에서 스스로를 이런 IP를 관리하는 사람으로 소개한 후 이런 IP 주소를 공격자에게 전달한 후 MitM 공격을 다시 실시할 수 있다"고 말했다. 

"또한 특정 도메인의 DNS 설정을 변경할 수 있다(DNS 위조). 따라서 특정 웹사이트를 방문하는 경우, 실제로는 공격자가 제공한 잘못된 IP 주소로 연결하는 것이며 공격자는 다시 MitM 공격을 실시할 수 있다"고 덧붙였다.

대부분의 공격은 유선 네트워크나 와이파이를 통해 이뤄지지만 가짜 기지국으로 MitM 공격을 수행할 수 있다. 미국, 캐나다, 영국의 법률 집행기관들은 스팅레이(Stingray)라는 가짜 기지국을 이용해 정보를 대량으로 수집하는 것으로 밝혀졌다. 또한 스팅레이 장치는 다크웹에서 구매할 수 있다.

TUB(Technical University of Berlin), ETH 취리히(ETH Zurich), SINTEF DiN(Digital in Norway)의 연구원들은 최근 3G 및 4G에서 사용되고 있으며 5G 무선 기술 롤아웃에서 사용될 AKA(Authentication and Key Agreement) 프로토콜에서 공격자가 MitM 공격을 수행할 수 있는 결함을 발견했다. 


보편적으로 확산된 MitM 공격

랜섬웨어나 피싱 공격만큼 흔하지는 않지만 MitM 공격은 늘 존재했었다. IBM X포스의 2018년 TII(Threat Intelligence Index)에 따르면, 악용 활동의 35%에서 공격자가 MitM 공격을 수행하려고 시도한 것으로 나타났지만 구체적인 수치는 계산하기 어렵다.

PAN(Palo Alto Networks)의 유닛 42 소속 위협 정보 분석가 알렉스 힝클리프는 "이 보고서들을 볼 때 MitM 공격이 놀랄 정도로 흔한 것은 아니라고 할 수 있다"며, ""데이터/통신 감시, 트래픽 전환 등은 피해자의 시스템에 설치된 악성코드를 이용해서도 달성할 수 있다. 공격을 수행할 수 있는 더욱 간소한 방법이 있다면 적들은 쉬운 경로를 택할 것이다"고 말했다. 

최근의 눈에 띄는 예는 러시아의 GRU 요원 그룹이 와이파이 스푸핑 장치를 이용해 네덜란드 헤이그에 위치한 OPCW(Organization for the Prohibition of Chemical Weapons)의 사무실에 침입하려 시도한 일이다.

HTTPS가 확산되고 브라우저 내 경고가 활성화되면서 일부 MitM 공격의 잠재적인 위협이 감소했다. 2017년, EFF(Electronic Frontier Foundation)는 모든 인터넷 트래픽의 절반 이상이 암호화되고 있으며 현재 구글은 일부 국가에서 트래픽의 90% 이상이 암호화되고 있다고 밝혔다. 크롬과 파이어폭스 등의 주요 브라우저도 사용자들에게 MitM 공격의 위험에 노출되어 있는지 여부에 대해 경고한다. 

크라우드스트라이크의 트레디는 "SSL 도입 증가와 구글 크롬 등 현대적인 브라우저의 도입으로 퍼블릭 와이파이 핫스팟에서 MitM 공격의 시도가 감소했다"고 밝혔다. 트레디는 "현재 매우 정교한 공격에서 MitM 원리를 활용하는 경우가 많다. 최근 오픈소스 보고서에서 관찰된 예로 대형 금융조직의 SWIFT 네트워크를 대상으로 자금을 몰래 사이버 범죄자의 계좌로 빼돌리기 위해 MitM 기법을 이용해 가짜 계좌 잔액을 제공하는 악성코드가 있었다"고 설명했다.

하지만 위협은 여전히 존재한다. 예를 들어, 레테페(Retefe) 뱅킹 트로이목마는 뱅킹 도메인의 트래픽을 공격자가 제어하는 서버를 통해 재전달해 요청을 복호화하고 조작한 후 데이터를 다시 암호화해 은행으로 전송한다. 최근 최신 1.3 버전을 포함해 TLS 프로토콜에서 발견된 결함을 통해 공격자는 RSA 키 교환을 차단하고 데이터를 가로챌 수 있다.


MitM 공격 방지 방법

때로는 결함이 발견되지만 TLS 등의 암호화 프로토콜이 MitM 공격을 방지하는 최선의 방법이다. TLS의 최신 버전은 2018년 8월에 공식 표준이 되었다. 또한 SSH나 구글의 QUIC 같은 더 새로운 프로토콜도 있다.

최종 사용자 교육의 경우 직원들이 가능한 경우 공공 장소에서 개방된 퍼블릭 와이파이를 사용하면 기지국 연결보다 스푸핑이 더 쉽기 때문에 사용하지 말고 사이트나 연결이 정상적이지 않을 수 있다는 브라우저의 경고에 따르도록 해야 한다. VPN을 사용해 안전한 연결을 지원하자. 

팔로알토의 힝클리프는 "가장 좋은 방법은 다중 인증을 포함시켜 네트워크 제어와 가시성을 극대화하고 네트워크를 분리하는 것이다"고 말했다.

공격 발생 후 해결하려 시도하는 것보다 방지하는 것이 나으며, 이렇게 찾아내기 어려운 공격의 경우에는 더욱 그렇다. 크라우드스트라이크의 트레디는 "이런 공격은 기본적으로 교활하며 대부분의 전통적인 보안 기기가 초기에 탐지하기 어렵다"고 말했다.

양자 암호화(quantum cryptography) 기법이 상업적으로 판매된다면, 양자 데이터는 복사가 불가능하다는 이론을 기반으로 MitM 공격을 원천적으로 봉쇄할 수 있을 것이다. 


MitM 공격의 다음 영역, 사물인터넷

분석가들은 인터넷 연결 장치의 수가 향후 5년 동안 수백 억 개로 확대될 것으로 전망했다. 안타깝게도 많은 장치에 보안 기능이 없기 때문에 IoT의 성장으로 MitM 공격이 증가할 수 있다. 본지는 이미 MitM 스타일의 공격을 IoT 장치에서 실시하고 조직에 가짜 정보를 반송하거나 자체로 잘못된 명령을 전송할 수 있음을 보고한 바 있다.

울리히는 "IoT 장치는 MitM 공격에 대한 많은 표준 완화 조치를 이행하지 않기 때문에 공격에 더욱 취약한 경향이 있다. 많은 IoT 장치가 아직 TLS를 이행하지 않거나 최신 버전만큼 탄탄하지 않은 오래된 버전을 이행했다"고 말했다.

포네몬 연구소와 오픈스카이의 새로운 조사에서 미국 내 보안 실무자 가운데 61%가 기업 내에서 IoT 및 IIoT 장치의 확산을 통제할 수 없다고 밝혔으며 60%는 IoT 및 IIoT와 관련된 보안 악용 및 데이터 유출을 방지할 수 없다고 밝혔다.

울리히는 "모바일 애플리케이션과 IoT 장치들이 많지만 아무런 보안이 없다는 것이 문제다. 이런 애플리케이션 중 일부는 이런 오류를 무시하고 여전히 연결할 것이며 이로 인해 TLS의 목적이 무색해진다"고 경고했다. editor@itworld.co.kr 


2019.02.18

MitM 공격이란 무엇인가 "MitM 공격의 메커니즘과 예방법"

Dan Swinhoe | CSO
MitM(Man in the Middle, 중간자) 공격은 공격자가 비밀리에 도청하거나 이동하는 트래픽을 수정하기 위해 두 당사자 사이에서 통신을 가로채는 것이다. 공격자는 MitM 공격을 이용해 로그인 자격 증명이나 개인 정보를 훔치거나 피해자를 염탐하거나 통신을 방해하거나 데이터를 파괴할 수 있다.
 
ⓒ Getty Images Bank 

크라우드스트라이크(CrowdStrike)의 기술 전략가 제키 트레디는 "MitM 공격은 결국 전략적인 수단"이라며, "그 목적은 개인이나 집단을 염탐해 노력, 재정, 자원, 관심 등을 돌리는 것일 수 있다"고 설명했다. 

MitM은 암호화로 방지할 수 있지만 공격자는 정상적인 것처럼 보이도록 고안된 피싱(Phishing) 사이트로 트래픽을 전환하거나 트래픽을 획득하거나 기록한 후 의도한 목적지로 전달할 것이기 때문에 이 공격을 탐지하기란 매우 어렵다.


MitM 공격의 메커니즘

MitM 공격은 오래된 사이버 공격의 한 형태다. 컴퓨터 공학자들은 1980년대 초부터 통신에 간섭하거나 도청하는 위협 활동자들을 방지하는 방법을 연구해 왔다. 

MitM 공격은 두 당사자 사이에서 트래픽을 관찰하거나 조작하는 것으로 구성된다. 이는 정상적인 네트워크에 간섭을 일으키거나 공격자가 통제하는 가짜 네트워크를 생성해 가능하다. 그리고 나서 해킹된 트래픽은 암호화를 제거해 트래픽을 훔치거나 변경하거나 공격자가 원하는 목적지(피싱 로그인 사이트 등)로 전달한다. 공격자는 가로챈 트래픽을 기록하거나 수정한 후에는 조용히 관찰하거나 재암호화할 수 있기 때문에 공격을 찾아내기 어려울 수 있다.

SANS TI(Technology Institute)의 연구 학장 요하네스 울리히는 "MitM 공격은 공격자가 실제로 피해자, 그리고 피해자가 접속하려고 시도하는 정상적인 호스트 사이에 존재하는 공격이다. 그들은 연결 상태에서 수동적으로 도청하거나 실제로 연결을 가로채고 종료하며 목적지로 새로운 연결을 설정한다"고 말했다.

MitM에는 대상과 목적에 따라 아주 다양한 기법과 잠재적인 결과가 수반된다. 예를 들어, SSL 스트리핑에서 공격자는 자신과 서버 사이에 HTTPS 연결을 수립하지만 사용자와는 안전하지 못한 HTTP로 연결하기 때문에 정보가 암호화없이 평문으로 전송된다. 에빌 트윈(Evil Twin) 공격은 정상적인 와이파이 AP(Access Point) 인척 하지만 해커가 전적으로 통제해 사용자가 전송하는 모든 정보를 모니터링, 수집, 조작할 수 있다.

트레디는 "이런 유형의 공격은 간첩 행위나 경제적 이익 또는 단순한 혼란을 위해 사용될 수 있다. 발생한 피해는 공격자의 목표와 피해를 끼칠 수 있는 능력에 따라 크게 달라질 수 있다"고 말했다. 

온라인뱅킹의 경우 공격자는 사용자가 송금하는 것을 보고 목적지 계좌번호나 송금액을 변경할 수 있다. 위협 활동자는 MitM 공격을 이용해 개인 정보나 로그인 자격 증명을 수집할 수 있다. 공격자가 애플리케이션이 다운로드되거나 업데이트되고 있음을 탐지하는 경우 정상적인 것 대신에 악성코드를 설치하는 해킹된 업데이트를 전송할 수 있다. 

EG(EvilGrade) 익스플로잇 공격 키트는 안전하지 못한 업데이트를 대상으로 개발됐다. 트래픽을 암호화하지 못하는 경우가 많기 때문에 모바일 기기가 특히 취약하다.

울리히는 "이런 공격은 손쉽게 자동화할 수 있다. 이를 자동화해 비밀번호를 찾고 발견되는 즉시 파일로 작성하거나 다운로드 등의 특정 요청을 기다렸다가 악성 트래픽을 재전송하는 툴이 있다"고 설명했다. 

이런 와이파이 또는 물리 네트워크 공격은 피해자 또는 대상 네트워크에 근접해 있어야 하지만 라우팅 프로토콜을 원격으로 해킹하는 것도 가능하다. 울리히는 "이는 더 어렵고 정교한 공격 방식이다. 공격자는 인터넷에서 스스로를 이런 IP를 관리하는 사람으로 소개한 후 이런 IP 주소를 공격자에게 전달한 후 MitM 공격을 다시 실시할 수 있다"고 말했다. 

"또한 특정 도메인의 DNS 설정을 변경할 수 있다(DNS 위조). 따라서 특정 웹사이트를 방문하는 경우, 실제로는 공격자가 제공한 잘못된 IP 주소로 연결하는 것이며 공격자는 다시 MitM 공격을 실시할 수 있다"고 덧붙였다.

대부분의 공격은 유선 네트워크나 와이파이를 통해 이뤄지지만 가짜 기지국으로 MitM 공격을 수행할 수 있다. 미국, 캐나다, 영국의 법률 집행기관들은 스팅레이(Stingray)라는 가짜 기지국을 이용해 정보를 대량으로 수집하는 것으로 밝혀졌다. 또한 스팅레이 장치는 다크웹에서 구매할 수 있다.

TUB(Technical University of Berlin), ETH 취리히(ETH Zurich), SINTEF DiN(Digital in Norway)의 연구원들은 최근 3G 및 4G에서 사용되고 있으며 5G 무선 기술 롤아웃에서 사용될 AKA(Authentication and Key Agreement) 프로토콜에서 공격자가 MitM 공격을 수행할 수 있는 결함을 발견했다. 


보편적으로 확산된 MitM 공격

랜섬웨어나 피싱 공격만큼 흔하지는 않지만 MitM 공격은 늘 존재했었다. IBM X포스의 2018년 TII(Threat Intelligence Index)에 따르면, 악용 활동의 35%에서 공격자가 MitM 공격을 수행하려고 시도한 것으로 나타났지만 구체적인 수치는 계산하기 어렵다.

PAN(Palo Alto Networks)의 유닛 42 소속 위협 정보 분석가 알렉스 힝클리프는 "이 보고서들을 볼 때 MitM 공격이 놀랄 정도로 흔한 것은 아니라고 할 수 있다"며, ""데이터/통신 감시, 트래픽 전환 등은 피해자의 시스템에 설치된 악성코드를 이용해서도 달성할 수 있다. 공격을 수행할 수 있는 더욱 간소한 방법이 있다면 적들은 쉬운 경로를 택할 것이다"고 말했다. 

최근의 눈에 띄는 예는 러시아의 GRU 요원 그룹이 와이파이 스푸핑 장치를 이용해 네덜란드 헤이그에 위치한 OPCW(Organization for the Prohibition of Chemical Weapons)의 사무실에 침입하려 시도한 일이다.

HTTPS가 확산되고 브라우저 내 경고가 활성화되면서 일부 MitM 공격의 잠재적인 위협이 감소했다. 2017년, EFF(Electronic Frontier Foundation)는 모든 인터넷 트래픽의 절반 이상이 암호화되고 있으며 현재 구글은 일부 국가에서 트래픽의 90% 이상이 암호화되고 있다고 밝혔다. 크롬과 파이어폭스 등의 주요 브라우저도 사용자들에게 MitM 공격의 위험에 노출되어 있는지 여부에 대해 경고한다. 

크라우드스트라이크의 트레디는 "SSL 도입 증가와 구글 크롬 등 현대적인 브라우저의 도입으로 퍼블릭 와이파이 핫스팟에서 MitM 공격의 시도가 감소했다"고 밝혔다. 트레디는 "현재 매우 정교한 공격에서 MitM 원리를 활용하는 경우가 많다. 최근 오픈소스 보고서에서 관찰된 예로 대형 금융조직의 SWIFT 네트워크를 대상으로 자금을 몰래 사이버 범죄자의 계좌로 빼돌리기 위해 MitM 기법을 이용해 가짜 계좌 잔액을 제공하는 악성코드가 있었다"고 설명했다.

하지만 위협은 여전히 존재한다. 예를 들어, 레테페(Retefe) 뱅킹 트로이목마는 뱅킹 도메인의 트래픽을 공격자가 제어하는 서버를 통해 재전달해 요청을 복호화하고 조작한 후 데이터를 다시 암호화해 은행으로 전송한다. 최근 최신 1.3 버전을 포함해 TLS 프로토콜에서 발견된 결함을 통해 공격자는 RSA 키 교환을 차단하고 데이터를 가로챌 수 있다.


MitM 공격 방지 방법

때로는 결함이 발견되지만 TLS 등의 암호화 프로토콜이 MitM 공격을 방지하는 최선의 방법이다. TLS의 최신 버전은 2018년 8월에 공식 표준이 되었다. 또한 SSH나 구글의 QUIC 같은 더 새로운 프로토콜도 있다.

최종 사용자 교육의 경우 직원들이 가능한 경우 공공 장소에서 개방된 퍼블릭 와이파이를 사용하면 기지국 연결보다 스푸핑이 더 쉽기 때문에 사용하지 말고 사이트나 연결이 정상적이지 않을 수 있다는 브라우저의 경고에 따르도록 해야 한다. VPN을 사용해 안전한 연결을 지원하자. 

팔로알토의 힝클리프는 "가장 좋은 방법은 다중 인증을 포함시켜 네트워크 제어와 가시성을 극대화하고 네트워크를 분리하는 것이다"고 말했다.

공격 발생 후 해결하려 시도하는 것보다 방지하는 것이 나으며, 이렇게 찾아내기 어려운 공격의 경우에는 더욱 그렇다. 크라우드스트라이크의 트레디는 "이런 공격은 기본적으로 교활하며 대부분의 전통적인 보안 기기가 초기에 탐지하기 어렵다"고 말했다.

양자 암호화(quantum cryptography) 기법이 상업적으로 판매된다면, 양자 데이터는 복사가 불가능하다는 이론을 기반으로 MitM 공격을 원천적으로 봉쇄할 수 있을 것이다. 


MitM 공격의 다음 영역, 사물인터넷

분석가들은 인터넷 연결 장치의 수가 향후 5년 동안 수백 억 개로 확대될 것으로 전망했다. 안타깝게도 많은 장치에 보안 기능이 없기 때문에 IoT의 성장으로 MitM 공격이 증가할 수 있다. 본지는 이미 MitM 스타일의 공격을 IoT 장치에서 실시하고 조직에 가짜 정보를 반송하거나 자체로 잘못된 명령을 전송할 수 있음을 보고한 바 있다.

울리히는 "IoT 장치는 MitM 공격에 대한 많은 표준 완화 조치를 이행하지 않기 때문에 공격에 더욱 취약한 경향이 있다. 많은 IoT 장치가 아직 TLS를 이행하지 않거나 최신 버전만큼 탄탄하지 않은 오래된 버전을 이행했다"고 말했다.

포네몬 연구소와 오픈스카이의 새로운 조사에서 미국 내 보안 실무자 가운데 61%가 기업 내에서 IoT 및 IIoT 장치의 확산을 통제할 수 없다고 밝혔으며 60%는 IoT 및 IIoT와 관련된 보안 악용 및 데이터 유출을 방지할 수 없다고 밝혔다.

울리히는 "모바일 애플리케이션과 IoT 장치들이 많지만 아무런 보안이 없다는 것이 문제다. 이런 애플리케이션 중 일부는 이런 오류를 무시하고 여전히 연결할 것이며 이로 인해 TLS의 목적이 무색해진다"고 경고했다. editor@itworld.co.kr 


X