중간자(MITM) 공격이란 무엇인가?

요즘 중간자(man in the middle, MITM) 공격이란 말이 유행이다. 보안전문가라면 중간자의 정체에 대해 익숙하겠지만 보안분야를 막 알아가기 시작하는 사람에게 중간자란 앞으로 끊임없이 접하게 될 표현이다. 이번 글을 통해 중간자공격이 무엇인지 소개하고자 한다.

 

 

중간자란 무엇인가?

 

인터넷은 기본적으로 클라이언트/서버 아키텍쳐를 기반으로 작동한다. 일반적으로 사용자는 중앙서버에 접속하고 이 연결을 통해 서버로부터 필요한 정보를 받는다. 이 과정은 얼핏 보면 일대일 직접연결처럼 보이지만 실제로는 훨씬 복잡하다.

 

웹사이트에 접속할 때 사용자의 정보 요청 및 수령은 한번에 전달되지 않고 패킷이라는 작은 단위로 쪼개진다. 패킷은 목적지에 도달할 때까지 여러 기기를 거치며 목적지까지 향하는 각 단계를 합(hop)이라 한다. 패킷은 라우터, 게이트웨이, 브릿지 등의 기기를 거치는데 중간자는 클라이언트 혹은 클라이언트가 도달하려는 실제 서버를 포함하여 이들 기기 사이의 어떤 지점에든 위치할 수 있다.

 

중간자란 공격대상과 그 공격대상이 본래 도달하려는 목적지 사이의 어떤 지점에서 활동하는 소프트웨어를 의미한다. 이 소프트웨어는 통신내용을 감청할 수 있으며 경우에 따라서는 그 내용을 조작하기까지 할 수 있다.

 

 

중간자공격의 위험성

 

어떤 악성 소프트웨어가 클라이언트와 서버 사이에 제대로 자리를 잡게 될 경우 공격자가 선택할 수 있는 가능성은 무궁무진하다. 웹브라우저 개발자는 중간자공격의 위험성을 인지하고 있기 때문에 브라우저를 설계할 때 중간자공격의 효용성을 떨어뜨릴 수 있는 안전대책을 구비한다. 암호화는 가장 좋은 방어대책이지만 오늘날 공격의 양상이 나날이 지능적이고 위험하게 진화하고 있기 때문에 악성 중간자공격 소프트웨어가 이러한 보안대책을 무너뜨릴 가능성도 충분히 있다.

 

 

중간자공격 실행원리

 

위에서 언급한 방어체계는 전자인증을 토대로 작동한다. 어떤 안전한 사이트를 방문할 때 해당 사이트에서 공공에 제공하는 인증서가 브라우저에 전송되면 브라우저에서 신뢰 가능한 인증기관을 통해 그 인증서의 유효를 확인한다. 인증기관은 신뢰 가능한 외부 주체로서 어떤 인증서가 유효한지 확인함으로써 이를 제공한 대상이 인증되고 따라서 신뢰 가능함을 확인하는 역할을 한다.

 

이후 클라이언트와 서버 사이에 오고가는 모든 트래픽은 암호화되어 클리이언트와 서버만이 통신내용을 이해할 수 있다. 만약 다른 누군가가 클라이언트와 서버 사이에 침투할 경우 대상 사이트에서 전송되는 인증서는 그 침투자에게는 적상 적용되지 않으며 이 경우 브라우저가 오류를 생성하고 중간자공격 가능성을 암시하는 경고를 띄우게 된다.

 

위와 같은 방식은 완벽해 보이지만 특수 조작된 맬웨어는 자체적으로 보유한 악성 인증서를 브라우저의 신뢰대상 목록에 추가할 수 있다. 이 수법이 통하기 위해서는 맬웨어가 클라이언트와 서버 사이의 임의 지점이 아니라 클라이언트상에서 활동해야 한다. 중간자 맬웨어는 클라이언트처럼 행동하여 실제 목적지에 접속한 다음 맬웨어가 만들어 낸 가짜 인증기관이 유효하다고 인증할 허위 인증서를 생성함으로써 자신이 실제 목적지임을 가장하여 클리이언트와 연결할 수 있다. 이 과정을 거치고 나면 맬웨어는 연결을 완전히 장악하게 된다. 자신과 클라이언트 그리고 서버 사이에 오가는 통신을 암호화 및 복호화할 수 있을 뿐 아니라 그 내용을 변경함으로써 클라이언트가 실제 목적지로부터 데이터가 변경 없이 그대로 전송되었다고 믿게 할 수도 있다.

 

 

중간자공격이 초래 가능한 결과

 

이제 공격자는 계정정보에서 개인대화에 이르기까지 전송되는 모든 정보를 감청할 수 있으나 더욱 위험한 점은 그 데이터를 조작 가능하다는 데 있으며 이 경우 심각한 결과가 야기될 수 있다.

 

어떤 회사의 사용자가 중간자공격 대상이 되어 인터넷뱅킹을 통해 돈을 이체하려는 상황을 가정한다. 사용자 말단에 설치된 맬웨어는 금융거래 해킹을 위해 특별히 설계됐다. 이제 사용자는 계좌번호와 이체금액을 입력하고 이체를 개시한다. 이 때 웹브라우저는 해당 데이터를 은행으로 전송하지만 그 데이터는 은행에 도달하기 전 모든 패킷을 일일이 추적하면서 은행거래 데이터를 노리는 맬웨어를 거쳐 갈 수밖에 없다.

 

사용자가 전송한 패킷이 맬웨어가 탐색하던 대상에 해당하면 맬웨어는 패킷을 전달하기 전 몇 가지 조작을 가한다. 사용자가 돈을 입금하려고 했던 계좌번호를 파악한 다음 이를 별도의 계좌번호로 대체하여 패킷을 전달한다.은행 측에서는 그 패킷을 전송받아 이체를 실행하며 이 때 돈은 본래 입금대상이 아니라 공격자가 지정한 계좌로 들어가게 된다.

 

이체가 종료되고 나면 은행은 이체정보를 담은 패킷을 전송하게 된다. 이제 맬웨어는 사용자가 원래 입력했던 정보를 여기에 덮어씌움으로써 실제 거래정보를 조작하게 된다. 사용자 입장에서는 복구조치를 실행할 만한 이상징후가 전혀 보이지 않게 되며 이를 통해 공격자는 시간을 벌 수 있다. 본래 돈을 받기로 한 화사나 개인이 의문을 제기하고 나서야 적신호가 켜지게 되며 이 경우에도 문제 조사를 위해 며칠에서 몇 주가 소요된다. 이렇게 시간이 지나고 나면 그잘못 이체된 돈은 그동안 실행된 다른 거래와 함께 자취를 감추게 된다.

 

 

중간자공격 방지대책

 

이상의 시나리오는 하나의 가능성에 불과하며 실제로 중간자공격이 실행될 수 있는 유형은 아주 다양하다. 회사는 이러한 중간자공격의 위험성을 인지하고 방어대책을 마련해야 한다. 이를 위해서는 맬웨어차단 요령 및 주의사항 실천, 시스템상 무허가 설치 금지, 패치현황 최신 유지, 최신 바이러스차단 지표(definition) 실행, 사내 각종 침투가능지점(웹, 이메일, 엔드포인트) 보호 등의 조치가 이루어져야 한다.

 

 

 

Emmanuel Carabott, Who is this man-in-the-middle?, 9. 10. 2015.

http://www.gfi.com/blog/who-is-this-man-in-the-middle/