What is a Man in the Middle (MitM) Attack?

중간자(MitM) 공격은 공격자가 통신하는 두 당사자 사이에 침투한다는 사실에서 이름을 따온 주요 사이버 위협 입니다. 모든 통신이 대상으로 가는 도중에 공격자를 통과하면 공격자가 의도한 받는 사람에게 도달하기 전에 메시지를 삭제, 읽기 또는 수정할 수 있습니다.

Read the Security Report 보안 무료 점검

What is a Man in the Middle (MitM) Attack?

MitM(Man in the Middle) 공격의 작동 방식

MitM 공격을 수행하려면 공격자는 두 가지 목표를 달성해야 합니다. 첫째, 목적지로 가는 도중에 트래픽을 가로챌 수 있는 방식으로 통신에 자신을 삽입해야 합니다. 공격자가 이를 수행할 수 있는 몇 가지 방법은 다음과 같습니다.

  • 악성 와이파이: 모든 W-Fi 트래픽은 무선 액세스 지점(AP)을 통해 흐르므로 무선 AP를 제어하고 사용자를 속여 연결하도록 유도할 수 있는 공격자는 모든 트래픽을 가로챌 수 있습니다.
  • ARP 스푸핑: ARP(Address Resolution Protocol)는 IP 주소를 MAC 주소에 매핑하는 데 사용됩니다. 공격자는 가짜 ARP 메시지를 사용하여 대상의 IP 주소를 MAC 주소에 매핑하여 대상의 트래픽이 대신 전송되도록 합니다.
  • DNS 스푸핑: DNS(Domain Name System )는 도메인 이름을 IP 주소에 매핑합니다. 가짜 DNS 레코드로 DNS 캐시를 감염시키면 대상 도메인에 대한 트래픽이 공격자의 IP 주소로 라우팅될 수 있습니다.
  • BGP 하이재킹: BGP(Border Gateway Protocol)는 특정 IP 주소에 대한 최상의 경로로 AS(Autonomous System)를 식별하는 데 사용됩니다. BGP 하이재킹에는 특정 트래픽이 공격자의 시스템을 통과하도록 하는 가짜 경로를 광고하는 것이 포함됩니다.

통신 중간에 공격자는 메시지를 읽을 수 있어야 합니다. 그러나 인터넷 트래픽의 상당 부분은 SSL/TLS를 사용하여 암호화됩니다. 트래픽이 암호화된 경우 메시지를 읽고 수정하려면 SSL/TLS 연결을 스푸핑하거나 끊을 수 있어야 합니다.

이 작업은 몇 가지 다른 방법으로 수행할 수 있습니다. 공격자가 사용자를 속여 사이트에 대한 가짜 디지털 인증서를 수락하도록 할 수 있는 경우 공격자는 클라이언트의 트래픽을 해독하고 서버로 보내기 전에 읽거나 수정할 수 있습니다. 또는 공격자가 SSL 스트리핑 또는 다운그레이드 공격을 사용하여 SSL/TLS 세션의 보안을 깨뜨릴 수 있습니다.

메시지 가로채기(man-in-the-middle) 공격의 예

MitM 공격은 공격받는 프로토콜과 공격자의 목표에 따라 다양한 방식으로 수행될 수 있습니다. 예를 들어, 통신 스트림이 암호화되지 않고 공격자가 대상 트래픽이 이동할 경로에 자연스럽게 위치할 때 MitM 공격을 수행하는 것이 더 쉽습니다.

시나리오 1: 취약한 IoT/모바일 애플리케이션

일반 사용자는 URL 표시줄의 https 및 잠금 아이콘을 기반으로 웹 브라우징 세션이 암호화되었는지 확인하는 방법에 대해 교육을 받았습니다. 그러나 데이터 스트림이 암호화되었는지 확인하는 것은 모바일 애플리케이션과 사물인터넷(IoT)(IoT 디바이스. 보안이 취약하고 텔넷 또는 HTTP와 같은 암호화되지 않은 프로토콜을 사용하여 통신하는 것은 드문 일이 아닙니다.

이 경우 공격자는 모바일 앱 또는 IoT 디바이스와 서버 간의 데이터 흐름을 쉽게 읽고 잠재적으로 수정할 수 있습니다. 공격자는 무선 액세스 포인트 또는 일종의 스푸핑을 사용하여 통신 스트림에 침입하여 모든 트래픽이 이를 통과하도록 할 수 있습니다. 이러한 프로토콜에는 데이터 무결성 또는 신뢰성에 대한 기본 제공 검사가 없기 때문에 공격자는 트래픽의 내용을 마음대로 변경할 수 있습니다.

시나리오 2: 가짜 디지털 인증서

SSL/TLS는 네트워크 트래픽에 기밀성, 무결성 및 인증을 제공하여 MitM 공격으로부터 보호하도록 설계되었습니다. 그러나 사용자가 특정 도메인에 대해 유효한 디지털 인증서만 수락해야 합니다. 공격자가 사용자를 속여 피싱 사이트를 방문하도록 유도하거나, 가짜 인증서를 수락하도록 유도하거나, 회사에서 SSL 검사에 사용하는 디지털 인증서를 손상시킬 수 있는 경우 이러한 보호가 손상됩니다.

이 시나리오에서 공격자는 SSL/TLS로 암호화된 두 개의 개별 세션을 유지 관리합니다. 하나는 서버로 가장하고 가짜 SSL 인증서를 사용하면서 클라이언트에 연결합니다. 다른 하나는 합법적인 서버에 연결하는 클라이언트로 가장합니다. 공격자는 두 세션을 모두 제어하기 때문에 한 세션에서 데이터를 해독하고, 검사 및 수정하고, 다른 세션에 대해 다시 암호화할 수 있습니다.

메시지 가로채기(man-in-the-middle) 공격 방지

MitM 공격은 공격자가 트래픽을 가로채고 읽을 수 있는지에 따라 달라집니다. 이를 방지하기 위한 몇 가지 인터넷 보안 모범 사례는 다음과 같습니다.

  • 공공 와이파이를 조심하십시오 : 공용 와이파이를 통한 트래픽은 모두 AP를 통과하며, AP는 공격자의 통제를 받을 수 있습니다. 알려지고 신뢰할 수 있는 와이파이 네트워크에만 연결하십시오.
  • VPN 사용: VPN(가상 사설망)은 원격 사용자 또는 사이트와 VPN 엔드포인트 간의 트래픽을 암호화합니다. 이렇게 하면 MitM 공격자가 가로챈 트래픽을 읽거나 수정할 수 없습니다.

디지털 인증서 유효성 검사: 합법적인 웹 사이트에는 항상 브라우저에 유효한 것으로 표시되는 디지털 인증서가 있어야 합니다. 의심스러운 인증서를 신뢰하면 MitM 공격이 발생할 수 있습니다.

체크 포인트로 MITM으로부터 보호

체크 포인트 원격 액세스 VPN은 MitM 공격 및 기타 사이버 공격으로부터 원격 직원을 보호하는 데 도움이 될 수 있습니다. 조직이 직면한 사이버 위협에 대해 자세히 알아보려면 2023년 사이버 보안 보고서를 확인하세요. 그런 다음 무료 보안 진단을 통해 조직의 보안 태세를 개선할 수 있는 방법을 알아보세요.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.