네트워크 공격기법 1
네트워크보안의 기본 구조와 주요 프로토콜을 바탕으로, 대표 공격기법을 정리합니다.
네트워크보안의 기본 구조와 주요 프로토콜을 바탕으로, 대표 공격기법을 정리합니다.
3장 1절: 네트워크 기초, OSI 7계층, TCP/IP, 포트
3장 2절: ARP, ICMP, DNS, DHCP, HTTP, HTTPS, FTP, SSH 등 주요 프로토콜
3장 3절: 스니핑, 스푸핑, 세션 하이재킹, MITM, Replay Attack이번 절부터는 본격적으로 공격기법을 다룹니다.
다만 목적은 공격을 수행하는 것이 아니라, 시험에서 요구하는 수준으로 공격의 개념, 위험, 탐지, 대응책을 설명할 수 있게 만드는 것입니다.
학습 목표
이번 절의 학습 후 다음 질문에 답할 수 있어야 한다.
| 질문 | 목표 |
|---|---|
| 스니핑이란 무엇인가? | 네트워크 트래픽을 몰래 도청하는 공격이라고 설명 |
| 스푸핑이란 무엇인가? | IP, MAC, DNS 등 신원 정보를 위조하는 공격이라고 설명 |
| ARP Spoofing이란? | IP-MAC 매핑을 속여 트래픽을 공격자에게 유도한다고 설명 |
| IP Spoofing이란? | 출발지 IP 주소를 위조하는 공격이라고 설명 |
| DNS Spoofing이란? | DNS 응답을 위조해 가짜 IP로 유도한다고 설명 |
| 세션 하이재킹이란? | 정상 사용자의 세션을 탈취하거나 가로채는 공격이라고 설명 |
| MITM이란? | 통신 중간에서 데이터를 가로채거나 변조하는 공격이라고 설명 |
| Replay Attack이란? | 정상 인증 데이터나 요청을 재전송해 공격하는 방식이라고 설명 |
| 대응책은? | 암호화, 인증 강화, 무결성 검증, 세션 보호, 네트워크 보안장비 활용 |
공격기법 전체 지도
이번 절에서 학습할 공격은 서로 연결되어 있습니다.
| 공격 | 핵심 의미 | 대표 위험 |
|---|---|---|
| 스니핑 | 트래픽 도청 | 계정, 쿠키, 개인정보 탈취 |
| 스푸핑 | 신원 정보 위조 | 우회, 트래픽 유도, 속임 |
| ARP Spoofing | IP-MAC 매핑 위조 | 내부망 MITM, 스니핑 |
| IP Spoofing | 출발지 IP 위조 | 접근통제 우회, DDoS 악용 |
| DNS Spoofing | DNS 응답 위조 | 가짜 사이트 유도 |
| 세션 하이재킹 | 세션 정보 탈취 | 로그인 상태 탈취 |
| MITM | 중간자 공격 | 도청, 변조, 인증정보 탈취 |
| Replay Attack | 정상 요청 재전송 | 인증 우회, 중복 거래 |
핵심 구분은 이것입니다.
스니핑 = 몰래 엿봄
스푸핑 = 신원을 속임
하이재킹 = 정상 연결이나 세션을 빼앗음
MITM = 중간에서 가로채고 조작함
Replay = 정상 데이터를 다시 보냄스니핑
스니핑이란?
스니핑은 네트워크를 흐르는 데이터를 몰래 엿보는 공격입니다.
시험식 정의는 다음입니다.
스니핑은 네트워크 상에서 전송되는 패킷을 몰래 수집하거나 분석하여 계정 정보, 세션 정보, 개인정보 등을 탈취하는 공격이다.핵심 의미는 다음과 같다.
스니핑 = 네트워크 도청스니핑이 위험한 이유
암호화되지 않은 통신에서는 중요한 정보가 그대로 노출될 수 있습니다.
| 노출 가능 정보 | 예시 |
|---|---|
| 계정 정보 | 아이디, 비밀번호 |
| 세션 정보 | 세션 쿠키, 토큰 |
| 개인정보 | 이름, 전화번호, 주소 |
| 업무 정보 | 내부 문서, 메일 내용 |
| 프로토콜 정보 | 사용 중인 서비스, 서버 정보 |
특히 아래 프로토콜은 평문 전송 위험이 큽니다.
| 평문 위험 프로토콜 | 보안상 문제 |
|---|---|
| HTTP | 웹 데이터, 쿠키 노출 |
| Telnet | 원격 접속 계정 노출 |
| FTP | 계정과 파일 데이터 노출 |
| POP3/IMAP 기본형 | 메일 계정 정보 노출 가능 |
| SNMPv1/v2 | 장비 관리 정보 노출 가능 |
스니핑 발생 조건
스니핑은 주로 다음 상황에서 위험합니다.
| 상황 | 설명 |
|---|---|
| 평문 통신 사용 | 암호화가 없어 내용 노출 |
| 허브 환경 | 모든 트래픽이 모든 포트로 전달 |
| 스위치 공격 | ARP Spoofing, MAC Flooding으로 트래픽 유도 |
| 공용 Wi-Fi | 공격자가 같은 네트워크에 존재 가능 |
| 잘못된 네트워크 구성 | 트래픽 분리 미흡 |
요즘은 스위치를 많이 사용하므로 단순히 같은 네트워크에 있다고 모든 트래픽을 볼 수 있는 것은 아닙니다.
하지만 ARP Spoofing 같은 기법으로 트래픽을 공격자에게 유도하면 스니핑이 가능해질 수 있습니다.
스니핑 대응책
| 대응책 | 설명 |
|---|---|
| 암호화 통신 사용 | HTTPS, SSH, SFTP, VPN |
| 평문 프로토콜 제거 | Telnet, FTP 대신 SSH, SFTP 사용 |
| 스위치 보안 설정 | 포트 보안, ARP 보호 기능 |
| 네트워크 분리 | VLAN, 망분리 |
| 인증 강화 | MFA, 인증서 기반 인증 |
| 중요정보 전송 제한 | 민감정보 평문 전송 금지 |
| 트래픽 모니터링 | 비정상 패킷 수집 징후 탐지 |
실기형 답안은 이렇게 쓰면 됩니다.
스니핑은 네트워크 상의 패킷을 몰래 수집하여 계정 정보, 세션 정보, 개인정보 등을 탈취하는 공격이다. 대응 방안으로는 HTTPS, SSH, SFTP, VPN 등 암호화 통신 사용, 평문 프로토콜 제거, 스위치 보안 설정, 네트워크 분리, 트래픽 모니터링 등이 있다.스푸핑
스푸핑이란?
스푸핑은 신원 정보를 위조하여 상대방을 속이는 공격입니다.
시험식 정의는 다음입니다.
스푸핑은 IP 주소, MAC 주소, DNS 응답, 이메일 발신자 등 신원 정보를 위조하여 정상 사용자나 시스템인 것처럼 속이는 공격이다.핵심 의미는 다음과 같다.
스푸핑 = 속이기, 위장하기대표 스푸핑 유형
| 유형 | 위조 대상 | 결과 |
|---|---|---|
| ARP Spoofing | IP-MAC 매핑 | 트래픽을 공격자에게 유도 |
| IP Spoofing | 출발지 IP 주소 | 접근통제 우회, 공격 출처 은폐 |
| DNS Spoofing | DNS 응답 | 가짜 사이트로 유도 |
| Email Spoofing | 이메일 발신자 | 피싱, 악성메일 유포 |
| MAC Spoofing | MAC 주소 | 네트워크 접근통제 우회 시도 |
시험에서는 특히 아래 세 가지가 중요합니다.
ARP Spoofing
IP Spoofing
DNS SpoofingARP Spoofing
ARP Spoofing 복습
ARP는 IP 주소를 MAC 주소로 변환합니다.
ARP = IP 주소 → MAC 주소ARP Spoofing은 이 매핑 정보를 속이는 공격입니다.
ARP Spoofing = 거짓 ARP 응답으로 IP-MAC 매핑을 조작하는 공격예를 들어 공격자가 피해자에게 이렇게 속입니다.
게이트웨이 IP의 MAC 주소는 내 MAC 주소야.그러면 피해자의 트래픽이 공격자에게 전달될 수 있습니다.
ARP Spoofing의 위험
| 위험 | 설명 |
|---|---|
| 스니핑 | 피해자 트래픽 도청 |
| MITM | 중간에서 데이터 가로채기 |
| 세션 탈취 | 쿠키, 토큰 탈취 가능 |
| 트래픽 변조 | 통신 내용 조작 가능 |
| 서비스 장애 | 정상 통신 방해 가능 |
ARP Spoofing은 내부망에서 특히 중요합니다.
동일 LAN 안에서 발생하는 대표적인 2계층 공격입니다.
ARP Spoofing = 2계층 공격ARP Spoofing 대응책
| 대응책 | 설명 |
|---|---|
| 정적 ARP 설정 | 중요 시스템의 IP-MAC 매핑 고정 |
| Dynamic ARP Inspection | 스위치에서 ARP 위조 탐지·차단 |
| DHCP Snooping 연계 | 정상 IP-MAC 할당 정보 기반 검증 |
| ARP 변경 모니터링 | 비정상 MAC 변경 탐지 |
| 네트워크 분리 | 피해 범위 축소 |
| 암호화 통신 | 스니핑 피해 감소 |
ARP Spoofing은 거짓 ARP 정보를 전송하여 IP 주소와 MAC 주소의 매핑을 조작하는 공격이다. 이를 통해 피해자의 트래픽을 공격자에게 유도하여 스니핑, 중간자 공격, 세션 탈취가 발생할 수 있으며, 대응 방안으로 정적 ARP 설정, ARP 변조 탐지, Dynamic ARP Inspection, 네트워크 분리, 암호화 통신 사용 등이 있다.IP Spoofing
IP Spoofing이란?
IP Spoofing은 패킷의 출발지 IP 주소를 위조하는 공격입니다.
시험식 정의는 다음입니다.
IP Spoofing은 패킷의 출발지 IP 주소를 다른 시스템의 IP 주소로 위조하여 정상 사용자나 신뢰된 시스템처럼 보이게 하는 공격이다.IP Spoofing = 출발지 IP 주소 위조IP Spoofing의 목적
| 목적 | 설명 |
|---|---|
| 공격자 신원 은폐 | 실제 공격 출처를 숨김 |
| 접근통제 우회 | 특정 IP만 허용하는 정책 우회 시도 |
| DDoS 악용 | 반사·증폭 공격에서 피해자 IP로 위조 |
| 신뢰 관계 악용 | IP 기반 신뢰 시스템 공격 |
| 로그 혼란 | 공격 출처 분석 어렵게 함 |
IP Spoofing이 자주 연결되는 공격
IP Spoofing은 단독보다 다른 공격과 함께 자주 등장합니다.
| 연결 공격 | 설명 |
|---|---|
| SYN Flooding | 출발지 IP를 위조해 연결 대기 자원 고갈 |
| Smurf Attack | 피해자 IP로 위조하여 ICMP 응답 집중 |
| Reflection Attack | 피해자 IP로 위조해 반사 서버의 응답 유도 |
| IP 기반 접근통제 우회 | 신뢰 IP로 위장 |
주의할 점은, 출발지 IP를 위조하면 응답이 공격자에게 돌아오지 않을 수 있다는 것입니다.
그래서 IP Spoofing은 응답이 필요 없는 공격이나 반사·증폭 공격에서 자주 활용됩니다.
IP Spoofing 대응책
| 대응책 | 설명 |
|---|---|
| Ingress Filtering | 외부에서 들어오는 위조 출발지 IP 차단 |
| Egress Filtering | 내부에서 나가는 위조 출발지 IP 차단 |
| uRPF | 라우팅 경로상 비정상 출발지 검증 |
| ACL 적용 | 허용된 출발지·목적지만 통신 |
| IP 기반 인증 지양 | IP만으로 신뢰하지 않음 |
| 암호학적 인증 | 인증서, 키 기반 인증 사용 |
| 로그 및 트래픽 분석 | 비정상 출발지 패턴 탐지 |
IP Spoofing은 패킷의 출발지 IP 주소를 위조하여 신뢰된 시스템처럼 보이게 하거나 공격 출처를 은폐하는 공격이다. 대응 방안으로는 Ingress/Egress Filtering, uRPF, ACL 적용, IP 기반 인증 지양, 암호학적 인증 적용, 비정상 트래픽 모니터링 등이 있다.DNS Spoofing
DNS Spoofing이란?
DNS Spoofing은 DNS 응답을 위조하여 사용자를 잘못된 IP 주소로 유도하는 공격입니다.
시험식 정의는 다음입니다.
DNS Spoofing은 DNS 질의에 대한 응답을 위조하여 사용자가 정상 도메인을 입력해도 공격자가 지정한 IP 주소로 접속하게 만드는 공격이다.DNS Spoofing = 도메인 이름 해석 결과를 속임DNS Spoofing의 위험
| 위험 | 설명 |
|---|---|
| 피싱 사이트 유도 | 정상 사이트처럼 보이는 가짜 사이트 접속 |
| 계정 정보 탈취 | 로그인 정보 입력 유도 |
| 악성코드 유포 | 악성 파일 다운로드 유도 |
| 트래픽 가로채기 | 사용자를 공격자 서버로 유도 |
| 내부망 공격 | 내부 DNS 조작으로 내부 서비스 접근 유도 |
예를 들어 사용자가 정상 도메인을 입력했는데, DNS 응답이 조작되면 가짜 사이트로 접속할 수 있습니다.
www.bank-example.com → 공격자 서버 IPDNS Cache Poisoning과의 차이
DNS Spoofing과 DNS Cache Poisoning은 함께 나옵니다.
| 구분 | DNS Spoofing | DNS Cache Poisoning |
|---|---|---|
| 핵심 | DNS 응답 위조 | DNS 캐시 오염 |
| 영향 | 특정 질의나 사용자 대상 | 캐시를 사용하는 다수 사용자 영향 |
| 결과 | 가짜 IP로 유도 | 가짜 IP로 지속 유도 가능 |
시험에서는 이렇게 구분하면 됩니다.
DNS Spoofing = 응답을 속임
DNS Cache Poisoning = 캐시에 거짓 정보를 저장시킴DNS Spoofing 대응책
| 대응책 | 설명 |
|---|---|
| DNSSEC | DNS 응답의 무결성과 출처 검증 |
| 신뢰 DNS 서버 사용 | 임의 DNS 사용 제한 |
| DNS 캐시 점검 | 위조 캐시 제거 |
| Zone Transfer 제한 | 도메인 구조 정보 노출 방지 |
| HTTPS 인증서 확인 | 가짜 사이트 식별에 도움 |
| DNS 로그 모니터링 | 비정상 질의·응답 탐지 |
DNS Spoofing은 DNS 응답을 위조하여 정상 도메인을 공격자가 지정한 IP 주소로 연결하게 만드는 공격이다. 대응 방안으로는 DNSSEC 적용, 신뢰할 수 있는 DNS 서버 사용, DNS 캐시 점검, Zone Transfer 제한, HTTPS 인증서 검증, DNS 질의 로그 모니터링 등이 있다.세션 하이재킹
세션이란?
세션은 클라이언트와 서버 사이의 연결 상태 또는 로그인 상태를 유지하기 위한 정보입니다.
예를 들어 사용자가 로그인하면 서버는 사용자를 식별하기 위해 세션을 만듭니다.
로그인 성공
→ 세션 생성
→ 세션 ID 발급
→ 이후 요청에서 세션 ID로 사용자 식별웹에서는 세션 ID가 쿠키에 저장되는 경우가 많습니다.
세션 하이재킹이란?
세션 하이재킹은 정상 사용자의 세션 정보를 탈취하거나 가로채 공격자가 해당 사용자처럼 행위하는 공격입니다.
시험식 정의는 다음입니다.
세션 하이재킹은 정상 사용자와 서버 사이에 설정된 세션을 공격자가 탈취하거나 가로채 정상 사용자 권한으로 서비스를 이용하는 공격이다.세션 하이재킹 = 로그인 상태 탈취세션 하이재킹의 주요 원인
| 원인 | 설명 |
|---|---|
| 세션 쿠키 탈취 | XSS, 스니핑 등으로 쿠키 탈취 |
| 평문 통신 | HTTP 사용 시 세션 정보 노출 |
| 세션 ID 예측 가능 | 세션 값이 약하게 생성됨 |
| 세션 고정 | 공격자가 정한 세션 ID를 피해자가 사용 |
| 세션 만료 미흡 | 오래된 세션이 계속 유효 |
| 로그아웃 처리 미흡 | 로그아웃 후에도 세션 유효 |
세션 하이재킹의 영향
| 영향 | 설명 |
|---|---|
| 계정 도용 | 사용자로 로그인한 것처럼 행위 |
| 개인정보 조회 | 사용자 정보 열람 |
| 권한 남용 | 관리자 세션이면 피해 확대 |
| 거래 조작 | 결제, 송금, 설정 변경 |
| 내부 시스템 접근 | 업무 시스템 침투 |
세션 하이재킹 대응책
| 대응책 | 설명 |
|---|---|
| HTTPS 적용 | 세션 쿠키 도청 방지 |
| HttpOnly 쿠키 | 스크립트로 쿠키 접근 제한 |
| Secure 쿠키 | HTTPS에서만 쿠키 전송 |
| SameSite 쿠키 | CSRF 위험 감소 |
| 세션 ID 난수화 | 예측 불가능한 세션 값 사용 |
| 로그인 후 세션 재발급 | 세션 고정 방지 |
| 세션 타임아웃 | 장시간 미사용 세션 만료 |
| 로그아웃 시 세션 폐기 | 서버 측 세션 무효화 |
| MFA 적용 | 계정 탈취 피해 완화 |
| 이상 행위 탐지 | 다른 IP, 기기, 위치 접속 탐지 |
세션 하이재킹은 정상 사용자의 세션 ID나 쿠키를 탈취하여 공격자가 해당 사용자 권한으로 서비스를 이용하는 공격이다. 대응 방안으로는 HTTPS 적용, HttpOnly·Secure·SameSite 쿠키 설정, 예측 불가능한 세션 ID 사용, 로그인 후 세션 재발급, 세션 타임아웃, 로그아웃 시 세션 폐기, 이상 행위 탐지 등이 있다.MITM
MITM이란?
MITM은 Man-In-The-Middle Attack, 즉 중간자 공격입니다.
시험식 정의는 다음입니다.
MITM은 통신하는 두 당사자 사이에 공격자가 몰래 개입하여 데이터를 도청, 변조, 중계하거나 인증 정보를 탈취하는 공격이다.MITM = 통신 중간에 끼어들기MITM의 발생 예시
MITM은 여러 방식으로 발생할 수 있습니다.
| 방식 | 설명 |
|---|---|
| ARP Spoofing | 내부망에서 트래픽을 공격자에게 유도 |
| Rogue AP | 가짜 Wi-Fi AP로 사용자를 유도 |
| DNS Spoofing | 사용자를 공격자 서버로 유도 |
| SSL Stripping | HTTPS 사용을 방해하고 HTTP로 유도 |
| 악성 프록시 | 공격자 프록시를 거쳐 통신 |
| 인증서 위조 | 사용자가 잘못된 인증서를 신뢰하도록 유도 |
MITM의 위험
| 위험 | 설명 |
|---|---|
| 도청 | 계정, 개인정보, 업무정보 탈취 |
| 변조 | 요청·응답 내용 조작 |
| 세션 탈취 | 세션 쿠키, 토큰 탈취 |
| 피싱 | 가짜 로그인 페이지 제공 |
| 악성코드 삽입 | 다운로드 파일 변조 |
| 거래 조작 | 계좌, 결제, 설정 변경 |
MITM 대응책
| 대응책 | 설명 |
|---|---|
| HTTPS/TLS 적용 | 통신 암호화 |
| 인증서 검증 | 서버 신원 확인 |
| HSTS 적용 | HTTPS 강제 |
| VPN 사용 | 공용망에서 암호화 터널 사용 |
| ARP Spoofing 탐지 | 내부망 중간자 공격 탐지 |
| DNSSEC 사용 | DNS 응답 위조 방지 |
| 공용 Wi-Fi 주의 | Rogue AP 접속 방지 |
| 인증서 경고 무시 금지 | 위조 인증서 대응 |
| MFA 적용 | 인증정보 탈취 피해 완화 |
MITM은 통신 당사자 사이에 공격자가 개입하여 데이터를 도청하거나 변조하고 인증 정보를 탈취하는 공격이다. 대응 방안으로는 HTTPS/TLS 적용, 인증서 검증, HSTS, VPN 사용, ARP Spoofing 탐지, DNSSEC 적용, 공용 Wi-Fi 사용 주의, MFA 적용 등이 있다.Replay Attack
Replay Attack이란?
Replay Attack은 정상적으로 전송된 인증 정보나 요청 데이터를 공격자가 가로챈 뒤, 나중에 다시 전송하여 부정한 행위를 수행하는 공격입니다.
시험식 정의는 다음입니다.
Replay Attack은 정상적인 인증 메시지나 요청 데이터를 가로챈 후 이를 재전송하여 인증 우회나 중복 거래 등을 유발하는 공격이다.Replay Attack = 정상 요청 다시 보내기Replay Attack 예시
예를 들어 어떤 시스템에서 다음 요청이 발생했다고 가정합니다.
사용자 A가 10만 원 송금 요청공격자가 이 요청을 가로채 저장했다가 다시 보낸다면 문제가 생긴다.
같은 송금 요청이 다시 처리될 수 있음또는 인증 요청을 재사용해 로그인 우회를 시도할 수 있습니다.
Replay Attack의 위험
| 위험 | 설명 |
|---|---|
| 인증 우회 | 재사용된 인증 메시지로 접근 시도 |
| 중복 거래 | 결제, 송금 요청 반복 |
| 명령 재실행 | 관리자 명령 반복 수행 |
| 데이터 변조 | 재전송된 요청으로 상태 변경 |
| 권한 오남용 | 정상 사용자 요청 재사용 |
Replay Attack 대응책
Replay Attack의 핵심 대응은 “재사용을 막는 것”입니다.
| 대응책 | 설명 |
|---|---|
| Nonce 사용 | 한 번만 사용하는 임의 값 |
| Timestamp 사용 | 요청 유효 시간을 제한 |
| Sequence Number | 요청 순서 번호 검증 |
| Challenge-Response | 서버가 매번 새로운 도전값 제시 |
| MAC 또는 전자서명 | 메시지 무결성과 인증 검증 |
| 세션 토큰 재사용 제한 | 동일 요청 반복 방지 |
| TLS 사용 | 통신 탈취 방지 |
Replay Attack은 정상 인증 메시지나 요청 데이터를 가로챈 뒤 재전송하여 인증 우회나 중복 처리를 유발하는 공격이다. 대응 방안으로는 Nonce, Timestamp, Sequence Number, Challenge-Response, 메시지 인증코드 또는 전자서명, TLS 적용 등을 통해 요청의 재사용을 방지해야 한다.공격기법 비교 정리
이번 절 배운 공격은 서로 헷갈리기 쉽습니다.
아래 표로 구분하세요.
| 공격 | 한 줄 정의 | 핵심 키워드 |
|---|---|---|
| 스니핑 | 트래픽을 몰래 엿봄 | 도청 |
| 스푸핑 | 신원 정보를 위조함 | 위장 |
| ARP Spoofing | IP-MAC 매핑을 속임 | 2계층, MAC |
| IP Spoofing | 출발지 IP를 속임 | 3계층, IP |
| DNS Spoofing | DNS 응답을 속임 | 도메인, 가짜 IP |
| 세션 하이재킹 | 로그인 세션을 탈취함 | 쿠키, 세션 ID |
| MITM | 통신 중간에 개입함 | 도청, 변조 |
| Replay Attack | 정상 요청을 재전송함 | Nonce, Timestamp |
스니핑 = 본다
스푸핑 = 속인다
하이재킹 = 빼앗는다
MITM = 중간에 낀다
Replay = 다시 보낸다계층별 공격 매칭
정보보안기사 필기에서는 계층 매칭도 중요합니다.
| 공격 | 주요 계층 | 이유 |
|---|---|---|
| 스니핑 | 2~7계층 전반 | 트래픽 도청 |
| ARP Spoofing | 2계층 | MAC 주소 매핑 조작 |
| MAC Flooding | 2계층 | 스위치 MAC 테이블 공격 |
| IP Spoofing | 3계층 | IP 주소 위조 |
| ICMP Flood | 3계층 | ICMP 대량 전송 |
| SYN Flooding | 4계층 | TCP 연결 과정 악용 |
| 세션 하이재킹 | 4~7계층 | 세션 정보 탈취 |
| DNS Spoofing | 7계층 성격 | DNS 응용 프로토콜 공격 |
| HTTP 세션 탈취 | 7계층 | 웹 세션 쿠키 탈취 |
ARP = 2계층
IP = 3계층
TCP/UDP = 4계층
HTTP/DNS = 7계층탐지 관점 정리
실무형 문제에서는 “어떤 로그나 징후를 보고 어떤 공격을 의심할 수 있는가?”가 나올 수 있습니다.
| 징후 | 의심 공격 |
|---|---|
| ARP 테이블에서 게이트웨이 MAC이 자주 바뀜 | ARP Spoofing |
| 동일 MAC이 여러 IP에 매핑됨 | ARP Spoofing 가능성 |
| 출발지 IP가 비정상 범위이거나 내부망에서 불가능한 IP | IP Spoofing |
| DNS 응답 IP가 평소와 다름 | DNS Spoofing |
| 정상 도메인 접속 후 가짜 로그인 페이지 표시 | DNS Spoofing, MITM |
| 동일 세션으로 다른 지역·기기에서 접속 | 세션 하이재킹 |
| 인증서 경고 발생 | MITM 가능성 |
| 동일 요청이 반복 처리됨 | Replay Attack |
| 평문 프로토콜에서 계정정보 노출 | 스니핑 위험 |
대응책 종합 정리
이번 절의 공격기법의 대응책은 결국 다음 몇 가지로 묶입니다.
| 대응 영역 | 세부 대책 |
|---|---|
| 암호화 | HTTPS, SSH, SFTP, VPN, TLS |
| 인증 강화 | MFA, 인증서, 키 기반 인증 |
| 무결성 검증 | MAC, 전자서명, DNSSEC |
| 세션 보호 | Secure, HttpOnly, SameSite, 세션 타임아웃 |
| 재사용 방지 | Nonce, Timestamp, Sequence Number |
| 네트워크 보안 | VLAN, ARP 탐지, DHCP Snooping, DAI |
| 접근통제 | ACL, 방화벽, IP 제한 |
| 모니터링 | 로그 분석, 이상 트래픽 탐지 |
| 사용자 주의 | 인증서 경고 확인, 공용 Wi-Fi 주의 |
실기 답안에서 범용으로 쓸 수 있는 문장입니다.
네트워크 공격을 방어하기 위해 평문 통신을 제거하고 암호화 통신을 적용해야 하며, 인증과 무결성 검증을 강화해야 한다. 또한 세션 보호 설정, 재전송 방지 기법, 네트워크 장비의 보안 기능, 로그 모니터링을 통해 공격을 탐지하고 피해를 줄여야 한다.학습 내용 연결 정리
공격자가 내부망에 있다고 가정해봅시다.
1. 공격자는 ARP Spoofing으로 피해자의 트래픽을 자신에게 유도한다.
2. 암호화되지 않은 HTTP 트래픽을 스니핑한다.
3. 세션 쿠키를 탈취한다.
4. 탈취한 세션으로 사용자 계정에 접근한다.
5. DNS Spoofing을 이용해 가짜 로그인 페이지로 유도할 수도 있다.
6. 통신 중간에서 데이터를 변조하면 MITM 공격이 된다.
7. 정상 요청을 가로채 다시 보내면 Replay Attack이 될 수 있다.방어자는 다음을 해야 합니다.
HTTPS 적용
세션 쿠키 보안 속성 적용
ARP Spoofing 탐지
네트워크 분리
DNSSEC 적용
인증서 검증
Nonce와 Timestamp 사용
로그 모니터링이렇게 공격과 방어를 연결해서 기억해야 필기와 실기 모두 안정적입니다.
시험에 나오는 포인트
이번 절 내용 중 시험에 자주 나오는 포인트입니다.
| 주제 | 시험 포인트 |
|---|---|
| 스니핑 | 네트워크 패킷 도청 |
| 스니핑 대응 | 암호화 통신, 평문 프로토콜 제거 |
| 스푸핑 | 신원 정보 위조 |
| ARP Spoofing | IP-MAC 매핑 조작 |
| ARP Spoofing 위험 | 스니핑, MITM, 세션 탈취 |
| IP Spoofing | 출발지 IP 주소 위조 |
| IP Spoofing 대응 | Ingress/Egress Filtering, uRPF |
| DNS Spoofing | DNS 응답 위조 |
| DNS Cache Poisoning | DNS 캐시 오염 |
| 세션 하이재킹 | 세션 ID나 쿠키 탈취 |
| 세션 보호 | HTTPS, HttpOnly, Secure, SameSite |
| MITM | 통신 중간 개입, 도청·변조 |
| Replay Attack | 정상 메시지 재전송 |
| Replay 대응 | Nonce, Timestamp, Sequence Number |
| 공통 대응 | 암호화, 인증, 무결성, 로그 모니터링 |
필기형 문제풀이
문제 1
스니핑에 대한 설명으로 가장 적절한 것은?
A. 출발지 IP 주소를 위조해 접근통제를 우회하는 공격
B. DNS 응답을 위조해 가짜 사이트로 유도하는 공격
C. 네트워크 트래픽을 몰래 수집하거나 분석하는 공격
D. 정상 인증 메시지를 재전송하는 공격
스니핑은 네트워크 상의 패킷을 몰래 도청하거나 분석하는 공격입니다.
문제 2
스니핑에 대한 대응책으로 적절한 것은?
A. 평문 프로토콜을 유지하고 별도 암호화 없이 운영한다
B. HTTPS, SSH, SFTP 등 암호화 통신을 사용한다
C. 세션 쿠키를 평문으로 전송한다
D. ARP 캐시 변경을 점검하지 않는다
스니핑 대응에는 암호화 통신 사용이 중요합니다.
문제 3
스푸핑의 설명으로 적절한 것은?
A. 트래픽을 단순히 암호화해 보호하는 기술
B. 정상 요청을 저장했다가 다시 전송하는 공격
C. 세션 쿠키를 안전하게 폐기하는 절차
D. 신원 정보를 위조하여 정상 사용자나 시스템처럼 속이는 공격
스푸핑은 IP, MAC, DNS, 이메일 발신자 등 신원 정보를 위조하는 공격입니다.
문제 4
ARP Spoofing의 설명으로 적절한 것은?
A. IP 주소와 MAC 주소의 매핑 정보를 조작한다
B. 출발지 IP 주소를 신뢰된 시스템으로 위조한다
C. DNS 응답을 위조해 가짜 IP 주소로 유도한다
D. 정상 인증 요청을 가로채 다시 전송한다
ARP Spoofing은 거짓 ARP 정보를 이용해 IP-MAC 매핑을 조작합니다.
문제 5
IP Spoofing의 핵심은?
A. DNS 캐시 정보 저장
B. 세션 ID 난수화
C. 출발지 IP 주소 위조
D. ARP 테이블 정적 고정
IP Spoofing은 패킷의 출발지 IP 주소를 위조하는 공격입니다.
문제 6
IP Spoofing 대응책으로 적절한 것은?
A. 출발지 IP 기반 인증만 신뢰
B. Ingress/Egress Filtering 적용
C. 반사 서버 응답을 유도
D. 세션 타임아웃 제거
IP Spoofing 대응에는 Ingress/Egress Filtering, uRPF, ACL 등이 사용됩니다.
문제 7
DNS Spoofing의 설명으로 적절한 것은?
A. IP 패킷의 출발지 주소만 변경한다
B. 세션 쿠키에 HttpOnly 속성을 부여한다
C. ARP 요청을 정상적으로 브로드캐스트한다
D. DNS 응답을 위조해 사용자를 잘못된 IP로 유도한다
DNS Spoofing은 DNS 응답을 위조해 사용자를 공격자 IP로 유도합니다.
문제 8
DNS Cache Poisoning의 설명으로 적절한 것은?
A. DNS 캐시에 위조된 정보를 저장시킨다
B. 세션 쿠키에 Secure 속성을 부여한다
C. DNS 응답의 출처와 무결성을 검증한다
D. ARP 테이블의 게이트웨이 MAC 주소를 고정한다
DNS Cache Poisoning은 DNS 캐시에 잘못된 정보를 저장시켜 다수 사용자를 가짜 사이트로 유도할 수 있습니다.
문제 9
세션 하이재킹의 설명으로 적절한 것은?
A. DNS 서버의 캐시 정보를 정기적으로 삭제한다
B. 방화벽에서 포트 기반 접근을 통제한다
C. 정상 사용자의 세션 정보를 탈취하여 해당 사용자처럼 서비스를 이용한다
D. 공개키로 통신 내용을 암호화한다
세션 하이재킹은 정상 사용자의 세션 ID나 쿠키를 탈취해 로그인 상태를 악용하는 공격입니다.
문제 10
세션 하이재킹 대응책으로 적절하지 않은 것은?
A. HTTPS 적용
B. HttpOnly, Secure 쿠키 설정
C. 세션 타임아웃 적용
D. 예측 가능한 세션 ID 사용
세션 ID는 예측 불가능해야 합니다. 예측 가능한 세션 ID는 세션 하이재킹 위험을 높입니다.
문제 11
MITM 공격의 설명으로 적절한 것은?
A. 요청마다 Nonce를 사용해 재전송을 막는다
B. 통신 당사자 사이에 공격자가 개입하여 도청이나 변조를 수행한다
C. 사용자 역할에 따라 접근 권한을 부여한다
D. 정상 행위 기준선을 만들어 이상 징후를 탐지한다
MITM은 중간자 공격으로, 통신 중간에서 도청·변조·세션 탈취 등을 수행할 수 있습니다.
문제 12
Replay Attack의 대응책으로 적절한 것은?
A. Nonce, Timestamp, Sequence Number 사용
B. 세션 ID를 장기간 고정하여 재사용한다
C. 요청 순서와 유효 시간을 검증하지 않는다
D. 동일 인증 메시지의 반복 처리를 허용한다
Replay Attack은 재전송 공격이므로 Nonce, Timestamp, Sequence Number 등으로 요청 재사용을 방지해야 합니다.
실기형 답안 훈련
실기 예제 1
문제: 스니핑의 개념과 대응 방안을 설명하시오.
좋은 답안
스니핑은 네트워크 상에서 전송되는 패킷을 몰래 수집하거나 분석하여 계정 정보, 세션 정보, 개인정보 등을 탈취하는 공격이다. 대응 방안으로는 HTTPS, SSH, SFTP, VPN 등 암호화 통신 사용, 평문 프로토콜 제거, 스위치 보안 설정, 네트워크 분리, 트래픽 모니터링 등이 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 패킷 수집·분석 | 필수 |
| 계정·세션 정보 탈취 | 중요 |
| 암호화 통신 | 필수 |
| 평문 프로토콜 제거 | 중요 |
| 모니터링 | 좋음 |
실기 예제 2
문제: ARP Spoofing의 개념과 위험, 대응 방안을 설명하시오.
좋은 답안
ARP Spoofing은 거짓 ARP 정보를 전송하여 IP 주소와 MAC 주소의 매핑을 조작하는 공격이다. 이를 통해 피해자의 트래픽을 공격자에게 유도하여 스니핑, 중간자 공격, 세션 탈취가 발생할 수 있으며, 대응 방안으로 정적 ARP 설정, ARP 변조 탐지, Dynamic ARP Inspection, 네트워크 분리, 암호화 통신 사용 등이 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 거짓 ARP 정보 | 필수 |
| IP-MAC 매핑 조작 | 필수 |
| 트래픽 유도 | 중요 |
| 스니핑·MITM | 중요 |
| DAI, 정적 ARP | 좋음 |
실기 예제 3
문제: IP Spoofing의 개념과 대응 방안을 설명하시오.
좋은 답안
IP Spoofing은 패킷의 출발지 IP 주소를 위조하여 신뢰된 시스템처럼 보이게 하거나 공격 출처를 은폐하는 공격이다. 대응 방안으로는 Ingress/Egress Filtering, uRPF, ACL 적용, IP 기반 인증 지양, 암호학적 인증 적용, 비정상 트래픽 모니터링 등이 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 출발지 IP 위조 | 필수 |
| 신뢰 시스템 위장 | 중요 |
| 공격 출처 은폐 | 좋음 |
| Ingress/Egress Filtering | 중요 |
| IP 기반 인증 지양 | 좋음 |
실기 예제 4
문제: 세션 하이재킹의 개념과 대응 방안을 설명하시오.
좋은 답안
세션 하이재킹은 정상 사용자의 세션 ID나 쿠키를 탈취하여 공격자가 해당 사용자 권한으로 서비스를 이용하는 공격이다. 대응 방안으로는 HTTPS 적용, HttpOnly·Secure·SameSite 쿠키 설정, 예측 불가능한 세션 ID 사용, 로그인 후 세션 재발급, 세션 타임아웃, 로그아웃 시 세션 폐기, 이상 행위 탐지 등이 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 세션 ID·쿠키 탈취 | 필수 |
| 사용자 권한 악용 | 필수 |
| HTTPS | 중요 |
| 쿠키 보안 속성 | 중요 |
| 세션 타임아웃·폐기 | 좋음 |
실기 예제 5
문제: MITM 공격의 개념과 대응 방안을 설명하시오.
좋은 답안
MITM은 통신 당사자 사이에 공격자가 개입하여 데이터를 도청하거나 변조하고 인증 정보를 탈취하는 공격이다. 대응 방안으로는 HTTPS/TLS 적용, 인증서 검증, HSTS, VPN 사용, ARP Spoofing 탐지, DNSSEC 적용, 공용 Wi-Fi 사용 주의, MFA 적용 등이 있다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 통신 중간 개입 | 필수 |
| 도청·변조 | 필수 |
| 인증정보 탈취 | 중요 |
| TLS·인증서 검증 | 중요 |
| VPN·DNSSEC | 좋음 |
실기 예제 6
문제: Replay Attack의 개념과 대응 방안을 설명하시오.
좋은 답안
Replay Attack은 정상 인증 메시지나 요청 데이터를 가로챈 뒤 이를 재전송하여 인증 우회나 중복 처리를 유발하는 공격이다. 대응 방안으로는 Nonce, Timestamp, Sequence Number, Challenge-Response, 메시지 인증코드 또는 전자서명, TLS 적용 등을 통해 요청의 재사용을 방지해야 한다.채점 포인트
| 요소 | 포함 여부 |
|---|---|
| 정상 메시지 재전송 | 필수 |
| 인증 우회·중복 처리 | 중요 |
| Nonce | 매우 중요 |
| Timestamp | 중요 |
| Sequence Number | 좋음 |
| MAC·전자서명 | 좋음 |
핵심 요약
| 개념 | 한 줄 요약 |
|---|---|
| 스니핑 | 네트워크 트래픽을 몰래 도청 |
| 스니핑 대응 | 암호화 통신, 평문 프로토콜 제거 |
| 스푸핑 | 신원 정보를 위조 |
| ARP Spoofing | IP-MAC 매핑을 조작 |
| IP Spoofing | 출발지 IP 주소를 위조 |
| DNS Spoofing | DNS 응답을 위조 |
| DNS Cache Poisoning | DNS 캐시에 위조 정보 저장 |
| 세션 하이재킹 | 세션 ID나 쿠키를 탈취 |
| MITM | 통신 중간에 개입해 도청·변조 |
| Replay Attack | 정상 메시지나 요청을 재전송 |
| Nonce | 한 번만 사용하는 임의 값 |
| Timestamp | 요청 유효 시간 검증 |
| Sequence Number | 요청 순서 검증 |
| DAI | ARP 위조 방지에 활용 |
| uRPF | 출발지 IP 경로 검증 |
| HSTS | HTTPS 강제 적용 |
필수 암기 문장
아래 문장들은 필기와 실기 모두 중요합니다.
스니핑은 네트워크 상의 패킷을 몰래 수집하여 계정 정보, 세션 정보, 개인정보 등을 탈취하는 공격이다.
스푸핑은 IP 주소, MAC 주소, DNS 응답 등 신원 정보를 위조하여 정상 사용자나 시스템처럼 속이는 공격이다.
ARP Spoofing은 거짓 ARP 정보를 보내 IP-MAC 매핑을 조작하고 피해자의 트래픽을 공격자에게 유도하는 공격이다.
IP Spoofing은 패킷의 출발지 IP 주소를 위조하여 공격 출처를 은폐하거나 신뢰된 시스템처럼 보이게 하는 공격이다.
DNS Spoofing은 DNS 응답을 위조하여 정상 도메인을 공격자 IP로 연결하게 만드는 공격이다.
세션 하이재킹은 정상 사용자의 세션 ID나 쿠키를 탈취하여 해당 사용자 권한으로 서비스를 이용하는 공격이다.
MITM은 통신 당사자 사이에 공격자가 개입하여 데이터를 도청하거나 변조하는 공격이다.
Replay Attack은 정상 인증 메시지나 요청 데이터를 재전송하여 인증 우회나 중복 처리를 유발하는 공격이다.
Replay Attack 대응에는 Nonce, Timestamp, Sequence Number, Challenge-Response 등이 사용된다.
세션 보호를 위해 HTTPS, HttpOnly, Secure, SameSite, 세션 타임아웃, 로그아웃 시 세션 폐기를 적용해야 한다.연습 과제
다음 문제에 답한다.
이번 절은 실기형 답안으로 자주 나오는 주제가 많다.
A. 단답형
1. 스니핑이란 무엇인가?
2. 스니핑에 취약한 평문 프로토콜 예시 3가지를 쓰시오.
3. 스니핑 대응 방안 3가지를 쓰시오.
4. 스푸핑이란 무엇인가?
5. ARP Spoofing이란 무엇인가?
6. ARP Spoofing의 위험 3가지를 쓰시오.
7. IP Spoofing이란 무엇인가?
8. IP Spoofing 대응 방안 3가지를 쓰시오.
9. DNS Spoofing이란 무엇인가?
10. DNS Cache Poisoning이란 무엇인가?
11. 세션 하이재킹이란 무엇인가?
12. 세션 하이재킹 대응 방안 4가지를 쓰시오.
13. MITM 공격이란 무엇인가?
14. Replay Attack이란 무엇인가?
15. Replay Attack 대응 방안 4가지를 쓰시오.
16. Nonce란 무엇인가?
17. Timestamp가 Replay Attack 대응에 도움이 되는 이유는 무엇인가?
18. 스니핑, 스푸핑, MITM의 차이를 한 줄씩 쓰시오.B. 공격 매칭 문제
다음 상황에서 의심할 수 있는 공격을 쓴다.
19. ARP 테이블에서 게이트웨이 IP의 MAC 주소가 갑자기 변경되었다.
20. 사용자가 정상 도메인을 입력했는데 가짜 로그인 페이지로 이동했다.
21. 동일한 세션 쿠키로 다른 지역에서 접속이 발생했다.
22. 정상 송금 요청과 동일한 요청이 짧은 시간에 반복 처리되었다.
23. Telnet으로 접속 중 계정 정보가 노출되었다.
24. 출발지 IP가 내부망에서 존재할 수 없는 주소로 기록되었다.C. 실기형 답안 작성
다음 5문제는 2~3문장으로 작성한다.
25. 스니핑의 개념과 대응 방안을 설명하시오.
26. ARP Spoofing의 개념과 위험, 대응 방안을 설명하시오.
27. IP Spoofing의 개념과 대응 방안을 설명하시오.
28. 세션 하이재킹의 개념과 대응 방안을 설명하시오.
29. Replay Attack의 개념과 대응 방안을 설명하시오.보강 관점: 복습 개념과 공격 관점 심화
3장 1절~3장 2절에서 ARP와 DNS는 정상 동작 원리 중심으로 학습했다. 이번 절에서는 같은 개념을 공격자가 어떻게 악용하는지에 초점을 둔다.
| 정상 개념 | 공격 관점 심화 | 답안 연결 |
|---|---|---|
| ARP는 IP를 MAC으로 변환 | 공격자가 게이트웨이 MAC을 자신의 MAC으로 속여 트래픽을 가로챈다. | ARP Spoofing, MITM, 세션 탈취 |
| DNS는 도메인을 IP로 변환 | 공격자가 DNS 응답이나 캐시를 조작해 가짜 서버로 유도한다. | DNS Spoofing, Cache Poisoning, 피싱 |
| 세션은 로그인 상태 유지 | 세션 쿠키 탈취 또는 고정으로 사용자 권한을 빼앗는다. | 세션 하이재킹, HttpOnly/Secure/SameSite |
연습 과제 정답 및 해설
공격 매칭 정답: 19 ARP Spoofing, 20 DNS Spoofing 또는 DNS Cache Poisoning, 21 세션 하이재킹, 22 Replay Attack, 23 스니핑, 24 IP Spoofing.
실기형 채점 기준: 스니핑은 평문 프로토콜 도청과 암호화 대응을 포함한다. ARP Spoofing은 게이트웨이 위장, 트래픽 가로채기, 정적 ARP·스위치 보안·HTTPS 대응을 포함한다. IP Spoofing은 출발지 IP 위조, ACL/Ingress·Egress 필터링을 포함한다. Replay Attack은 Nonce, Timestamp, Sequence Number, Challenge-Response를 포함해야 한다.