ARP 스푸핑 (Address Resolution Protocol Spoofing)

ARP 스푸핑(Address Resolution Protocol Spoofing)이란?

 

ARP 스푸핑(ARP spoofing)은 근거리 통신망(LAN) 하에서 주소 결정 프로토콜(ARP) 메시지를 이용하여 상대방의 데이터 패킷을 중간에서 가로채는 중간자 공격 기법입니다. 이 공격은 데이터 링크(Data Link, OSI 7계층 중 2계층)상의 프로토콜인 ARP 프로토콜을 이용하기 때문에 근거리상의 통신에서만 사용할 수 있는 공격입니다. 로컬 영역 네트워크에서 각 장비의 IP 주소와 MAC 주소간의 대응은 ARP 프로토콜을 통해 이루어집니다. 이 때 공격자가 의도적으로 특정 IP 주소와 자신의 MAC 주소로 대응하는 ARP 메시지를 발송하면, 그 메시지를 받은 장비는 IP 주소를 공격자 MAC 주소로 인식하게 되고, 해당 IP 주소로 보낼 패킷을 공격자로 전송하게 됩니다. 공격자는 그 패킷을 원하는 대로 변조한 다음 원래 목적지 MAC 주소로 발송하는 공격을 할 수도 있습니다. 

 

 

흔히 사용되는 공격 방식은 게이트웨이 IP를 스푸핑하는 것으로, 이 경우 외부로 전송되는 모든 패킷이 공격자에 의해 가로채거나 변조될 수 있습니다. 두 노드에 각각 ARP 스푸핑을 하여 두 장비의 통신을 중간에서 조작하는 기법도 자주 사용됩니다. 

 

 

그리고, 어떤 PC에 ARP 스푸핑 기능을 가진 악성코드를 설치하여 동일 구역 내의 다른 PC에 악성코드를 설치하는 기법도 사용됩니다. 동일 네트워크 하의 PC가 외부 네트워크로 접속을 시도할 경우 악성코드에 감염된 PC를 경유해서 접속함으로써 해당 악성코드에 자동으로 감염되게 되는 것입니다. 동일 네트워크 하의 모든 PC가 감염된 PC를 게이트웨이로 인식해 외부 네트워크와 통신하기 위해 발생하는 모든 패킷을 해당 PC에 전송하므로 네트워크 속도가 크게 느려집니다. 

 

 

ARP 스푸핑 기법을 사용한 공격의 경우 특별한 이상 증상이 쉽게 나타나지 않기 때문에 사용자는 특별한 도구를 사용하지 않는 이상 쉽게 자신이 공격당하고 있다는 사실을 확인하기 어렵습니다. 

 

 

ARP 스푸핑을 방지하기 위해 정적 ARP 엔트리를 사용하는 방법이 있습니다. 로컬 방식에서 사용되는 공격 방식이기 때문에, 로컬 ARP 캐쉬를 정적으로 정의할 수 있으며 이 경우 ARP 신호를 받으면 자신의 정적 ARP 테이블을 먼저 확인하고, Static(정적)으로 입력된 MAC주소에 대해서는 갱신하지 않습니다. 그렇기 때문에 조작된 ARP 응답을 막을 수 있습니다. 또한, ARP 스푸핑을 확인하는 소프트웨어를 사용하여 특별한 형식의 인증서를 사용하여 인증되지 않은 ARP 응답을 차단하는 방법도 존재합니다.