[보안뉴스 오병민] 2009년 뜸했던 ARP 스푸핑 공격이 PC방 사이에서 다시 증가하고 있어 주의가 필요해 보인다. 이 공격은 주로 보안패치가 되지 않고 있는 PC나 인터넷 익스플로러를 노리고 있는 것으로 파악되고 있다. 

한국인터넷진흥원과 업계에 따르면, 최근 들어 통신사업자에게 ARP 스푸핑 공격에 대한 신고접수가 크게 증가한 것으로 파악되고 있다. ARP 스푸핑 공격은 2007년과 2008년 많이 나타났지만, 해당 악성코드에 대한 백신 업데이트와 보안패치로 인해 2009년에는 잠시 소강상태에 머물고 있었다. 그러나 최근 들어 게임계정 탈취를 위한 ARP스푸핑 기법 악성코드가 증가하고 있어 사용자들의 주의가 요구되고 있다.

이 공격은 한 대의 PC만 감염돼도 로컬네트워크 전체로 악성코드를 전파할 수 있다는 특징을 가지고 있다. 따라서 회사나 공공기관, PC방, 강의실 등 많은 PC가 함께 이용되는 네트워크 환경에서 큰 피해를 입힐 수 있다. 간혹 네트워크 접속이 원활하지 않거나 네트워크가 기존보다 크게 느리게 느껴질 경우, 이 공격에 노출되지 않았나 의심해 봐야한다.

최근 이 기법을 이용한 악성코드는 대부분 게임게정 탈취를 목적으로 하고 있기 때문에 PC방이 주 타깃이 되고 있다. 게다가 PC방은 같은 네트워크에 여러 PC가 연결돼 있기 때문에 악성코드의 확산이 매우 빠르며, 이용자들이 대부분 게임을 목적으로 하고 있어 게임 계정 탈취에 대한 위험이 크다.

ARP 스푸핑 기법에 대해 설명하자면 네트워크 연결 구조를 먼저 알아야 한다. 보안회사 하우리 사전대응팀의  설명에 따르면, 일반적으로 같은 로컬 네트워크에 속한 PC들이 외부 네트워크와 통신할 때 게이트웨이를 통해 패킷을 전송한다. PC들은 고유한 IP와 MAC주소를 보유하고 있으며, 로컬 네트워크에서 통신이 발생할 때 IP주소에 앞서 MAC 주소를 이용한다.

이런 네트워크 환경에서 공격자는 MAC 주소를 묻고 응답하는 ARP 패킷을 조작함으로써, 공격자 자신이 게이트웨이인 것처럼 위장할 수 있다. 변조된 ARP 패킷을 전송해 사용자들이 인식하는 게이트웨이의 MAC 주소가 공격자의 MAC주소로 변경될 경우, 유저들은 공격자의 PC를 게이트웨이로 인식해 외부 네트워크와 통신하기 위해 발생하는 모든 패킷을 공격자에게 전송한다.

즉, 공격자는 사용자들이 전송하는 패킷을 받아 게이트웨이로 전송하고, 게이트웨이가 전송하는 패킷을 다시 사용자에게 전송함으로써 사용자와 게이트웨이의 통신에 완벽하게 끼어들 수 있다.

공격자는 로컬 네트워크의 PC들과 게이트웨이 통신 간에 끼어드는 중간자공격(MITM: Man In the Middle Attack)을 통해 전송되는 데이터를 스니핑하여 계정정보와 같은 중요한 정보를 획득할 수 있으며, 데이터를 삽입하거나 수정 및 삭제할 수 있다.

최근 나타나는 ARP 스푸핑 악성코드는 OS나 주로 이용하는 소프트웨어의 보안 취약점을 노리는 경우가 많다. 최근 문제가 많이 발생하고 있는 PC방의 경우, 시스템의 사용을 최대화하기 위해 아직도 MS 윈도우XP나 인터넷 익스플로러 6과 같은 오래되고 취약점이 많이 노출돼 있는 OS와 웹브라우저를 이용하고 있어 공격자들의 타깃이 되고 있다.

최상명 하우리 사전대응팀장은 “ARP 스푸핑 공격을 해결할 수 있는 방법으로는 동적 MAC어드레스(Dynamic MAC Address)에서 정적 MAC 어드레스(Static MAC Address)로 바꾸거나 ARP 스푸핑 탐지 툴을 사용해서 APR 스푸핑에 대한 모니터링을 하는 것이 보안 대책이 될 수 있다”면서 “그러나 근본적으로는 오래된 OS와 웹브라우저, 백신을 최신으로 하고 주기적인 백신검사를 통해 보안을 강화해야한다”고 주장했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>