하나은행 해킹시도 ‘스니핑’ 공격이란?

Source : http://www.zdnet.co.kr/news/internet/hack/0,39031287,39168885,00.htm

 

서울지방경찰청에 구속된 이모(50)씨 등이 하나은행 해킹시도에 사용한 ‘스니핑’이란 공격이 화제이다. 이 공격방식을 무선 인터넷 뱅킹에 적용한 것은 지금까지 전례가 없었다.

스니핑은 특정 서버가 아니라 무선 인터넷 정보가 오가는 AP(액세스 포인트) 자체를 탈취하는 악의적 방식이다. 일반적인 은행 AP 장치는 사용자 노트북과 인터넷 뱅킹 정보를 주고받는데, 이씨 일당은 그 길목을 점거한 것. 여기에는 정보감지용 지향성 안테나까지 동원됐다.

이씨 일당은 이를 통해 하나은행 외부 고객용 PC 관리자 번호를 확보했고, 본격적인 은행 전산망 침투를 12차례 시도하던 중 다행히 검거됐다.

이중 김모씨는 카이스트 산하 고등과학원에서 네트워크 유지보수 업무를 맡았었고, 또 다른 이씨도 네트워크 전문가로 드러났다.

경찰은 “다른 은행들도 대부분 인터넷 뱅킹에 AP를 사용하고 있기에 이런 공격을 주의해야 한다”고 밝혔다.

■옆집 당하면 나도 피해

더 큰 문제는 일반 가정 PC도 이와 비슷한 공격을 받아 개인정보가 유출될 수 있다는 것이다. 이는 ‘스니핑’의 친구(?) 겪인 ‘스푸핑’이란 방식으로 공격자가 자신의 랜카드 주소(MAC)를 특정 PC IP와 연결하면서 시작된다. 이 과정이 끝났다면 공격자는 해당 PC가 놓인 네트워크 상의 모든 PC에 악성코드를 뿌릴 수 있다. 곧, 첫 번째 공격한 PC가 일종의 게이트웨이가 되는 것이다.

◇사진설명 : 스푸핑 공격 구성도(제공 : KISA)

쉽게 옆집 PC가 당하면 우리 집 PC도 당하는 공격이라 생각하면 된다. 개인 사용자가 악성코드를 감지해 치료, 혹은 포맷까지 해도 급한 불만 꺼질 뿐이다. 공격자는 게이트웨이 PC를 통해 악성코드를 다시 전파하면 그만이기 때문.

또, 이 공격은 단순 악성코드 전파 뿐 아니라 위 하나은행 경우처럼 PC에 드나드는 데이터를 공격자가 열람할 수 있어 더 위험하다. 공격자는 이메일 내용, 주요 사이트 비밀번호 등을 감쪽같이 텍스트 형태로 갈취할 수 있다.

실제로 지난 6월 KISA 인터넷침해사고대응지원센터는 한 아파트 단지가 이 공격에 당하는 것을 발견했다. 이때 이 아파트는 인터넷에 특별한 문제가 없는데도 통신 장애를 겪고 있었다.

안철수연구소 김지훈 연구원은 “많은 사용자가 동일한 스위치를 공유하는 아파트나 PC방이 스푸핑 공격의 주 먹잇감”이 될 수 있다고 경고했다.

■“일반인은 해결 못해”…네트워크 전문가 역량 키워야

이렇게 ‘스니핑’과 ‘스푸핑’ 공격이 심각하지만 일반 사용자가 할 수 있는 일은 별로 없다. 김지훈 연구원은 “현재 일반 사용자가 스푸핑을 감지하거나 차단하게 할 프로그램은 없다”며 “백신으로 악성코드 침투를 최대한 막는 것이 그나마 최선”이라고 밝혔다.

키는 전문가, 곧 네트워크 관리자가 쥐고 있다. 네트워크 관리자의 능력에 따라 스푸핑과 스니핑을 차단할 수도, 아님 반대의 경우가 올 수도 있다.

김지훈 연구원은 “네트워크 관리자는 특정 스위치 포트의 ARP 프로토콜 급증 여부를 면밀히 살펴야 한다”며 “무료 모니터링 툴인 ‘ARP WATCH’ 등을 사용하는 것도 좋은 방법”이라고 설명했다.

스푸핑 방어에 대한 더 구체적인 기술들은 인터넷침해사고대응센터 홈페이지(www.krcert.or.kr)에서 확인할 수 있다. @