중간자(MITM) 공격이란 무엇인가요?

MITM 공격자는 은밀하게 양측 통신의 한가운데에 배치한 후 신용 카드 번호, 계정 정보, 로그인 자격 증명과 같은 민감한 데이터를 가로챕니다. 해커는 그 정보를 이용해 무단 구매, 금융 계좌 해킹, 신원 도용 등 다른 사이버 범죄를 저지릅니다.

사용자와 애플리케이션 간의 교환 외에도 MITM 공격자는 두 사람 간의 개인 통신을 도청할 수도 있습니다. 이 시나리오에서 공격자는 두 사람 간의 메시지를 전환하고 릴레이하며, 때로는 대화를 제어하기 위해 메시지를 변경하거나 교체하기도 합니다.

일부 조직과 사이버 보안 전문가들은 "중간자"라는 용어가 편향적일 수 있다고 판단하여 이 용어를 사용하지 않고 있습니다. 이 용어는 중간에 있는 개체가 사람이 아닌 경우를 포함하여 완벽하게 반영하지 못할 수 있습니다. 특히 봇, 디바이스 또는 멀웨어와 같은 다른 개체일 때입니다.

이러한 유형의 사이버 공격에 대한 다른 용어로는 중간 머신, 온패스 공격, 중간 적대자(AITM), 중간 조종자가 있습니다.

네트워크, 웹 브라우저, 이메일 계정, 사용자 행동, 보안 프로토콜 전반의 취약성은 MITM 공격의 시작점입니다. 사이버 범죄자는 이러한 약점을 악용하여 사용자와 신뢰할 수 있는 애플리케이션 사이에 침투하여 실시간으로 통신을 제어하고 데이터를 가로챌 수 있습니다.

피싱 공격은 MITM 공격자가 침입하는 일반적인 수단 중 하나입니다. 이메일의 악성 링크를 클릭하면 사용자는 자신도 모르게 브라우저 침투 공격을 시작할 수 있습니다. MITM 공격자들은 종종 이 방법을 사용하여 사용자의 웹 브라우저를 멀웨어에 감염시켜 웹 페이지를 은밀하게 변경하고, 거래를 조작하고, 사용자의 활동을 감시할 수 있습니다.

MITM 공격의 또 다른 일반적인 원인은 공용 Wi-Fi 핫스팟입니다. 공용 Wi-Fi 라우터는 가정이나 직장 Wi-Fi 라우터보다 보안 프로토콜이 적습니다. 근처의 사용자는 이를 통해 네트워크에 더 쉽게 연결할 수 있습니다. 그러나 해커가 라우터를 손상시켜 인터넷 트래픽을 도청하고 사용자 데이터를 수집하는 것이 더 쉬워지기도 합니다.

MITM 공격자는 의심하지 않는 사용자를 유인하고 개인 데이터를 수집하기 위해 자체적으로 악성 공용 Wi-Fi 네트워크를 만들기도 합니다.

MITM 공격자는 합법적인 것처럼 보이지만 실제로는 로그인 자격 증명과 같은 중요한 데이터를 수집하는 가짜 웹 사이트를 만들 수도 있습니다. 그런 다음, 해커는 해당 자격 증명을 사용하여 실제 웹 사이트의 사용자 계정에 로그인할 수 있습니다. 또는 가짜 웹사이트를 사용하여 사용자를 속여 결제하거나 자금을 이체하도록 할 수 있습니다.

중간자 공격은 사이버 범죄자가 1) 두 대상 사이를 통과하는 데이터를 가로채고 2) 해당 정보를 해독하도록 요구합니다.

사용자 및 웹 애플리케이션과 같은 두 통신 대상의 중간에 들어가기 위해 공격자는 둘 사이를 이동하는 데이터를 가로채야 합니다. 그런 다음, 공격자는 피해자가 의심하지 않도록 정상적인 통신이 진행되는 것처럼 대상 간에 전환된 정보를 전달합니다.

오늘날 대부분의 인터넷 통신은 암호화되어 있으므로 MITM 공격자가 가로채는 모든 데이터는 공격자가 사용하기 전에 해독해야 할 가능성이 큽니다. 공격자는 암호화 키를 훔치거나, 무차별 암호 대입 공격을 실행하거나, 특수한 MITM(Man-in-the-Middle) 공격 기법을 사용하여 데이터를 해독할 수 있습니다(다음 섹션 참조).

공격자는 MITM 공격 시 다양한 기술을 사용하여 데이터를 가로채고 해독합니다. 일반적인 기술은 다음과 같습니다.

IP 스푸핑: Internet Protocol(IP) 주소는 웹사이트, 디바이스, 이메일 주소와 같은 온라인 엔터티를 식별합니다. MITM 공격자는 사용자가 실제로 악성 소스에 연결되어 있을 때 실제 호스트와 통신하는 것처럼 보이도록 IP 주소를 변경하거나 '스푸핑'합니다.

ARP 스푸핑 또는 ARP 캐시 포이즈닝: 주소 확인 프로토콜(ARP)은 IP 주소를 로컬 영역 네트워크의 올바른 미디어 액세스 제어(MAC) 주소에 연결합니다. 공격자는 ARP 주소를 스푸핑하여 해당 연결을 자신의 MAC 주소로 라우팅하여 정보를 추출할 수 있습니다.

DNS 스푸핑: 도메인 이름 시스템(DNS)은 웹사이트의 도메인 이름을 할당된 IP 주소에 연결합니다. MITM 공격자는 DNS 레코드에서 도메인 이름을 변경하여 사용자를 합법적인 사이트에서 사기성 웹사이트로 라우팅할 수 있습니다.

HTTPS 스푸핑: 하이퍼텍스트 전송 프로토콜 보안(HTTPS)은 사용자와 웹 사이트 간에 주고받는 데이터를 암호화하여 안전한 통신을 보장합니다. MITM 공격자는 보호되지 않은 데이터에 액세스하기 위해 암호화 없이 사용자를 표준 HTTP 페이지로 비밀리에 라우팅합니다.

SSL 하이재킹: 보안 소켓 계층(SSL)은 SSL 인증서를 사용하여 웹 브라우저와 웹 서버 간에 인증 및 암호화를 제공하는 기술입니다. MITM 공격자는 가짜 SSL 인증서를 사용하여 이 프로세스를 가로채고 암호화하기 전에 데이터를 가로챕니다.

SSL 스트리핑: 이 기술은 웹 사이트가 들어오는 HTTP 연결을 수락한 후 해당 트래픽을 보안 HTTPS 연결로 전달하기 전에 발생합니다. MITM 공격자는 이 전환 프로세스를 중단하여 보안 HTTPS 연결로 이동하기 전에 암호화되지 않은 데이터에 액세스할 수 있습니다.

이러한 유형의 공격에서 사이버 범죄자는 비즈니스 또는 조직의 이메일 계정을 장악합니다. MITM 공격자는 이러한 유형의 공격을 위해 은행이나 신용 카드 회사와 같은 금융 기관을 표적으로 삼는 경우가 많습니다.

해커는 통신을 모니터링하고 개인 데이터를 수집하며 거래에 대한 정보를 모읍니다. 경우에 따라 회사 이메일 주소를 스푸핑하여 고객이나 파트너가 사기성 계정으로 입금하거나 자금을 이체하도록 설득합니다.

사용자의 웹 브라우저가 웹 사이트와 통신할 때 세션 쿠키에 대한 정보를
임시로 저장합니다. MITM 공격자는 이러한 쿠키에 액세스하여 사용자를 가장하거나 암호, 신용 카드 번호, 기타 계정 정보를 포함할 수 있는 쿠키에 포함된 정보를 훔치는 데 사용합니다.

세션이 만료될 때 쿠키가 만료되기 때문에 해커는 정보가 사라지기 전에 신속하게 조치를 취해야 합니다.

MITM 공격자는 때때로 공항, 레스토랑 및 도심과 같은 인기 있는 공공 장소에 공용 Wi-Fi 네트워크와 핫스팟을 만듭니다. 이러한 사기성 네트워크의 이름은 주변 업체나 기타 신뢰할 수 있는 공용 Wi-Fi 연결과 유사한 경우가 많습니다. 해커는 대중이 사용하는 합법적인 공용 Wi-Fi 핫스팟을 손상시킬 수도 있습니다.

두 경우 모두 의심하지 않는 사용자가 로그온하면 공격자는 신용 카드 번호, 사용자 이름, 비밀번호와 같은 민감한 데이터를 수집합니다.

2017년, 신용 보고 기관인 Equifax는 웹 애플리케이션 프레임워크의 취약점이 패치되지 않아 중간자 공격을 받았습니다. 이 공격으로 인해 약 1억 5천만 명의 금융 정보가 노출되었습니다.

동시에 Equifax는 모바일 앱에서 고객을 추가 MITM 공격에 취약하게 만들 수 있는 보안 허점을 발견했습니다. Equifax는 Apple App Store와 Google Play에서 앱을 제거했습니다.

해커들은 2011년 가짜 웹사이트를 이용해 비밀번호를 수집해 네덜란드 디지털 보안 기관인 DigiNotar를 상대로 MITM 공격을 감행했습니다.

이 유출 사건으로 인해 DigiNotar는 Google, Yahoo!, Microsoft를 포함한 주요 웹 사이트에 500개 이상의 손상된 보안 인증서를 발급했다는 점에서 문제는 심각했습니다. DigiNotar는 결국 보안 인증서 제공업체에서 제외되고 파산 선언을 받았습니다.

2024년, 보안 연구원들은 해커가 Tesla 차량의 잠금을 해제하고 훔치기 위해 MITM 공격을 시작할 수 있는 취약점을 보고했습니다.1

공격자는 Tesla 충전소의 스푸핑된 Wi-Fi 핫스팟을 사용하여 Tesla 소유자의 계정 자격 증명을 훔칠 수 있습니다. 연구자들에 따르면 공격자는 차량 소유자가 모르게 차량의 잠금을 해제하고 시동을 거는 새로운 “전화 키”를 추가할 수 있다고 합니다.

조직과 개인이 중간자 공격으로부터 보호하기 위해 구현할 수 있는 사이버 보안 조치가 있습니다. 전문가들은 다음 전략에 집중할 것을 권장합니다.

HTTPS: 사용자는 브라우저 주소 표시줄에 "HTTPS"와 자물쇠 아이콘으로 표시된 보안 연결을 통해서만 웹사이트를 방문해야 합니다. 보안되지 않은 HTTP 연결만 제공하는 웹 페이지는 피해야 합니다. 또한 애플리케이션용 SSL 및 전송 계층 보안(TLS) 프로토콜은 악성 웹 트래픽으로부터 보호하고 스푸핑 공격을 방지할 수 있습니다.

엔드포인트 보안: 노트북, 스마트폰, 워크스테이션, 서버와 같은 엔드포인트는 MITM 공격자의 주요 대상입니다. 최신 패치 및 바이러스 백신 소프트웨어를 포함한 엔드포인트 보안은 공격자가 이러한 디바이스에 멀웨어를 설치하는 것을 방지하는 데 매우 중요합니다.

가상 사설 네트워크: VPN은 네트워크 트래픽을 암호화하여 MITM 공격에 대한 강력한 방어 기능을 제공합니다. 유출이 발생하더라도 해커는 로그인 자격 증명, 신용 카드 번호, 계정 정보와 같은 민감한 데이터를 읽을 수 없습니다.

다단계 인증(MFA): MFA는 계정, 디바이스 또는 네트워크 서비스에 액세스하기 위해 암호를 입력하는 것 이상의 추가 단계를 요구합니다. MITM 공격자가 로그인 자격 증명을 얻을 수 있더라도 다단계 인증을 통해 공격자가 계정을 점령하지 못하도록 막을 수 있습니다.

암호화: 암호화는 네트워크 보안 및 MITM 공격 방어를 위한 기본 요구 사항입니다. 이메일 콘텐츠, DNS 레코드, 메시징 애플리케이션, 액세스 포인트를 포함한 모든 네트워크 트래픽 및 리소스에 대한 강력한 종단 간 암호화는 많은 MITM 공격을 차단할 수 있습니다.

공용 Wi-Fi 네트워크: 사용자는 민감한 데이터를 처리하는 거래, 예를 들어 구매를 할 때, 공용 Wi-Fi 네트워크를 사용하는 것을 피하는 것이 좋습니다.