중간자(MitM) 공격은 공격자가 통신하는 두 당사자 사이에 침투한다는 사실에서 이름을 따온 주요 사이버 위협 입니다. 모든 통신이 대상으로 가는 도중에 공격자를 통과하면 공격자가 의도한 받는 사람에게 도달하기 전에 메시지를 삭제, 읽기 또는 수정할 수 있습니다.
MitM 공격을 수행하려면 공격자는 두 가지 목표를 달성해야 합니다. 첫째, 목적지로 가는 도중에 트래픽을 가로챌 수 있는 방식으로 통신에 자신을 삽입해야 합니다. 공격자가 이를 수행할 수 있는 몇 가지 방법은 다음과 같습니다.
통신 중간에 공격자는 메시지를 읽을 수 있어야 합니다. 그러나 인터넷 트래픽의 상당 부분은 SSL/TLS를 사용하여 암호화됩니다. 트래픽이 암호화된 경우 메시지를 읽고 수정하려면 SSL/TLS 연결을 스푸핑하거나 끊을 수 있어야 합니다.
이 작업은 몇 가지 다른 방법으로 수행할 수 있습니다. 공격자가 사용자를 속여 사이트에 대한 가짜 디지털 인증서를 수락하도록 할 수 있는 경우 공격자는 클라이언트의 트래픽을 해독하고 서버로 보내기 전에 읽거나 수정할 수 있습니다. 또는 공격자가 SSL 스트리핑 또는 다운그레이드 공격을 사용하여 SSL/TLS 세션의 보안을 깨뜨릴 수 있습니다.
MitM 공격은 공격받는 프로토콜과 공격자의 목표에 따라 다양한 방식으로 수행될 수 있습니다. 예를 들어, 통신 스트림이 암호화되지 않고 공격자가 대상 트래픽이 이동할 경로에 자연스럽게 위치할 때 MitM 공격을 수행하는 것이 더 쉽습니다.
일반 사용자는 URL 표시줄의 https 및 잠금 아이콘을 기반으로 웹 브라우징 세션이 암호화되었는지 확인하는 방법에 대해 교육을 받았습니다. 그러나 데이터 스트림이 암호화되었는지 확인하는 것은 모바일 애플리케이션과 사물인터넷(IoT)(IoT 디바이스. 보안이 취약하고 텔넷 또는 HTTP와 같은 암호화되지 않은 프로토콜을 사용하여 통신하는 것은 드문 일이 아닙니다.
이 경우 공격자는 모바일 앱 또는 IoT 디바이스와 서버 간의 데이터 흐름을 쉽게 읽고 잠재적으로 수정할 수 있습니다. 공격자는 무선 액세스 포인트 또는 일종의 스푸핑을 사용하여 통신 스트림에 침입하여 모든 트래픽이 이를 통과하도록 할 수 있습니다. 이러한 프로토콜에는 데이터 무결성 또는 신뢰성에 대한 기본 제공 검사가 없기 때문에 공격자는 트래픽의 내용을 마음대로 변경할 수 있습니다.
SSL/TLS는 네트워크 트래픽에 기밀성, 무결성 및 인증을 제공하여 MitM 공격으로부터 보호하도록 설계되었습니다. 그러나 사용자가 특정 도메인에 대해 유효한 디지털 인증서만 수락해야 합니다. 공격자가 사용자를 속여 피싱 사이트를 방문하도록 유도하거나, 가짜 인증서를 수락하도록 유도하거나, 회사에서 SSL 검사에 사용하는 디지털 인증서를 손상시킬 수 있는 경우 이러한 보호가 손상됩니다.
이 시나리오에서 공격자는 SSL/TLS로 암호화된 두 개의 개별 세션을 유지 관리합니다. 하나는 서버로 가장하고 가짜 SSL 인증서를 사용하면서 클라이언트에 연결합니다. 다른 하나는 합법적인 서버에 연결하는 클라이언트로 가장합니다. 공격자는 두 세션을 모두 제어하기 때문에 한 세션에서 데이터를 해독하고, 검사 및 수정하고, 다른 세션에 대해 다시 암호화할 수 있습니다.
MitM 공격은 공격자가 트래픽을 가로채고 읽을 수 있는지에 따라 달라집니다. 이를 방지하기 위한 몇 가지 인터넷 보안 모범 사례는 다음과 같습니다.
디지털 인증서 유효성 검사: 합법적인 웹 사이트에는 항상 브라우저에 유효한 것으로 표시되는 디지털 인증서가 있어야 합니다. 의심스러운 인증서를 신뢰하면 MitM 공격이 발생할 수 있습니다.
체크 포인트 원격 액세스 VPN은 MitM 공격 및 기타 사이버 공격으로부터 원격 직원을 보호하는 데 도움이 될 수 있습니다. 조직이 직면한 사이버 위협에 대해 자세히 알아보려면 2023년 사이버 보안 보고서를 확인하세요. 그런 다음 무료 보안 진단을 통해 조직의 보안 태세를 개선할 수 있는 방법을 알아보세요.