중간자 공격 완전 정복

초록

본 논문은 네트워크 환경에서 발생하는 중간자 공격(MITM)의 주요 유형과 최신 방어 기법을 종합적으로 조사한다. ARP 캐시 포이즈닝, DNS 스푸핑, 세션 하이재킹, SSL 하이재킹을 중심으로 공격 메커니즘을 분석하고, 실시간 통신에서 타이밍 정보를 활용한 탐지 방법과 암호화·인증 강화 전략을 제시한다.

상세 분석

중간자 공격은 통신 경로에 악의적인 중계자를 삽입해 데이터의 기밀성·무결성을 위협한다. 가장 빈번히 활용되는 ARP 캐시 포이즈닝은 로컬 네트워크에서 IP‑MAC 매핑을 변조해 패킷을 공격자에게 강제로 전달한다. 공격자는 주기적인 ARP 요청을 전송하거나, 스푸핑된 ARP 응답을 대량 전송해 대상 호스트의 ARP 테이블을 오염시킨다. 이때 방어 측면에서는 정적 ARP 엔트리 설정, 동적 ARP 검사(Dynamic ARP Inspection) 및 포트 보안 기능을 활용해 비정상적인 MAC 주소 변화를 차단한다.

DNS 스푸핑은 DNS 응답을 위조해 사용자를 악성 서버로 유도한다. 공격자는 DNS 캐시 포이즈닝을 통해 특정 도메인에 대한 잘못된 IP 주소를 삽입하거나, 중간자 위치에서 DNS 요청을 가로채어 변조된 응답을 반환한다. 방어 방법으로는 DNSSEC을 도입해 응답 서명을 검증하고, DNS over HTTPS(DoH) 혹은 DNS over TLS(DOT)와 같은 암호화된 전송 채널을 사용해 무결성을 확보한다.

세션 하이재킹은 인증이 완료된 세션 쿠키나 토큰을 탈취해 사용자를 가장한다. 쿠키 탈취는 XSS 공격이나 네트워크 스니핑을 통해 이루어지며, 세션 고정 공격은 미리 지정된 세션 ID를 강제로 사용하게 함으로써 발생한다. 방어 전략으로는 쿠키에 Secure·HttpOnly 플래그를 설정하고, 세션 ID를 주기적으로 재생성하며, TLS를 통한 전송 암호화를 의무화한다.

SSL 하이재킹은 TLS 핸드쉐이크 과정에 개입해 가짜 인증서를 제시하거나, SSL 스트립(SSL stripping) 기법으로 암호화된 연결을 평문으로 강제 전환한다. 이를 방지하기 위해서는 인증서 핀닝(Certificate Pinning), HSTS(HTTP Strict Transport Security) 정책 적용, 그리고 클라이언트 측에서 인증서 체인 검증을 강화한다.

실시간 통신에서 타이밍 기반 탐지는 패킷 전송 지연, RTT 변화, 순서 재배열 등을 모니터링해 비정상적인 지연 패턴을 식별한다. 통계적 이상 탐지 모델과 머신러닝 기반 예측 모델을 결합하면 미세한 타이밍 변동도 감지 가능하다. 또한, 다중 경로 라우팅과 트래픽 샤딩을 활용해 단일 지점에서의 중간자 공격을 구조적으로 차단한다.

종합적으로, 논문은 전통적인 방화벽·IDS/IPS만으로는 충분치 않으며, 계층별(물리·링크·네트워크·전송·응용) 보안 메커니즘을 통합하고, 지속적인 패치·구성 관리와 사용자 교육을 병행해야 효과적인 방어가 가능함을 강조한다.