스푸핑(Spoofing)

 

스푸핑(Spoofing)이란 '속이다, 사기 치다'라는 뜻으로, 해커가 자신의 신분(IP, MAC, 이메일 등)을 정상적인 시스템이나 사용자로 위장하여 상대방을 속이는 모든 해킹 기법을 총칭한다. 시스템 권한 우회, 패킷 도청(스니핑), 사용자를 가짜 사이트로 유도(피싱), 역추적 회피 등의 목적이 있다.

 

스푸핑의 종류는 다음과 같다.

 

 

① IP 스푸핑 (IP Spoofing) : "가짜 명찰 달기"

• 원리: 해커가 패킷을 보낼 때, 출발지 IP 주소를 자신의 진짜 IP가 아니라 '서버가 신뢰하는 내부망 PC의 IP'로 싹 바꿔치기해서 보내는 기법.
• 목적: * 아이디/비밀번호 없이 IP 주소만으로 접속을 허용하는 '트러스트(Trust) 관계'의 서버를 속여서 권한을 얻어낼 때 사용.
  • DDoS 공격 시 자신의 진짜 위치를 숨기기 위해(역추적 회피) 가짜 IP를 달고 공격할 때 사용.
• 보안대책 : 트러스트 관계에 의한 인증을 지양하고, 불가피하게 사용해야 할 경우 MAC주소를 static으로 지정한다.

 

② ARP 스푸핑 (ARP Spoofing / Poisoning) : "가짜 우체부 행세하기"

• 원리: 같은 내부망(LAN) 안에서 해커가 자신의 MAC 주소를 '게이트웨이(공유기)'의 MAC 주소라고 속여서 희생자에게 가짜 ARP 응답을 보내는 기법.
• 결과: 희생자 PC는 외부(인터넷)로 나가는 모든 트래픽을 진짜 공유기가 아닌 해커에게 먼저 보내게 됨.
• 목적: 중간자 공격(MitM)을 통해 희생자의 아이디, 비밀번호 등 통신 내용을 몰래 도청(스니핑)하기 위함.
• 보안대책
  • 시스템의 ARP 캐시 테이블을 동적(Dynamic)이 아닌 정적(Static)으로 고정시킨다.
  • L2 스위치에서 포트 보안(Port Security)을 설정하여 허용되지 않은 MAC 주소의 통신을 차단한다.

 

③ DNS 스푸핑 (DNS Spoofing) : "가짜 114 안내원"

• 원리: 희생자가 웹 브라우저에 정상적인 도메인(예: bank.com)을 쳤을 때, 해커가 진짜 DNS 서버보다 아주 미세하게 먼저 "그 사이트 IP는 여기야!"라며 가짜 IP를 알려주는 기법.
• 결과: 희생자는 자기가 정상적인 은행 사이트에 접속했다고 믿지만, 실제로는 해커가 똑같이 만들어둔 '피싱(Phishing) 서버'에 접속하게 됨.
• 목적: 금융 정보, 계정 탈취.
• 보안대책
  • 중요 서버의 도메인과 IP 정보는 운영체제의 hosts 파일에 수동으로 등록한다. (hosts 파일 참조가 DNS 쿼리보다 우선순위가 높음)
  • DNS 응답의 위변조를 막기 위해 전자서명을 사용하는 DNSSEC을 도입한다.

 

④ MAC 스푸핑 (MAC Spoofing)

• 원리: 랜카드(NIC)에 공장 출고 시 부여된 고유한 하드웨어 주소인 MAC 주소를 소프트웨어적으로 다른 주소로 변경하는 기법.
• 목적: 카페나 회사에서 특정 MAC 주소만 와이파이에 접속하게 해두었을 때(MAC 필터링), 허용된 사람의 MAC 주소로 둔갑하여 방화벽을 우회하기 위해 사용.
• 보안대책 : MAC 주소만 검사하는 단순 필터링 대신, RADIUS 서버 등을 이용한 강력한 사용자 인증(아이디/비밀번호, 인증서 등)을 요구하는 네트워크 접근 제어(NAC) 환경을 구축한다.

 

⑤ 이메일 스푸핑 (Email Spoofing)

• 원리: 이메일을 보낼 때 '보내는 사람(From)'의 주소를 은행, 경찰, 사내 관리자 등 믿을 수 있는 주소로 위조하여 보내는 기법.
• 목적: 스팸 메일 발송, 악성코드 첨부 파일을 열어보게 만드는 사회공학적 기법, 피싱 공격.
• 보안대책 : 이메일 보안 표준 기술 (SPF, DKIM, DMARC) 적용