중간자 공격 편집하기

'''중간자 공격'''(man in the middle attack, MITM)은 [[네트워크]] 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법이다. 중간자 공격은 통신을 연결하는 두 사람 사이에 중간자가 침입하여, 두 사람은 상대방에게 연결했다고 생각하지만 실제로는 두 사람은 중간자에 연결되어 있으며 중간자가 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달한다.

== 개요 ==
중간자 공격은 오래된 사이버 공격의 한 형태로서 컴퓨터 공학자들은 1980년대 초부터 통신에 간섭하거나 도청하는 위협 활동을 방지하는 방법을 연구해 왔다. 중간자 공격은 두 당사자 사이에서 [[트래픽]]을 관찰하거나 조작하는 것으로 구성되는데, 이는 정상적인 [[네트워크]]에 간섭을 일으키거나 공격자가 통제하는 가짜 네트워크를 생성하는 방식으로 이루어진다. 해커는 [[해킹]]된 트래픽의 [[암호화]]를 제거해 트래픽을 훔치거나 변경하며 공격자가 원하는 목적지로 전달한다. 공격자는 가로챈 트래픽을 기록 및 수정한 후 조용히 관찰하거나 재암호화하여 공격을 찾아내기 어렵게 만든다.<ref name="아이티">Dan Swinhoe, 〈[http://www.itworld.co.kr/howto/117021 MitM 공격이란 무엇인가 "MitM 공격의 메커니즘과 예방법"]〉, 《아이티월드》, 2019-02-18</ref>

== 작동원리 ==
중간자 공격의 경우 하나의 방식으로만 공격하는 기법이 아니다. 일반적으로 스니핑(Sniffing), 패킷 주입(Packet Injection), 세션 하이재킹(Session Hijacking), 보안 소켓 계층 스트리핑(SSL stripping)의 총 4가지로 구성돼있다.

* [[스니핑]](Sniffing) : 스니핑 또는 패킷 스니핑은 시스템 및 네트워크에서 들어오고 나가는 [[데이터]] 패킷을 캡처하는데 사용되는 기술이다. 네트워크에서 패킷 스니핑은 도청과 비슷한 개념인데, 올바르게 적용되면 합법적이며 보안 목적을 위해 이를 수행할 수 있다.

* [[패킷 주입]](Packet Injection) : 공격자가 일반 데이터와 함께 악의적인 데이터를 주입하는 것이다. 사용자에게는 합법적 통신 스트림 일부로 제공되어 [[파일]] 및 [[멀웨어]] 프로그램을 알지 못하게 된다. 이러한 파일은 중간자 공격과 서비스 거부 공격에서 흔히 보인다.

* [[세션 하이재킹]](Session Hijacking) : 세션 가로채기라고도 불리며 두 시스템 간 연결이 활성화된 상태를 가로채는 것으로, 세션 만료(Session Expired) 오류를 발생시킨다. 세션이란 [[은행]] 계좌에 로그인하고 로그아웃 하는데 걸리는 시간을 말하는데 이러한 세션이 해커들의 표적이 되고, 대부분의 경우 해커는 자신의 존재를 이 세션에서 확인하고 제어하여 다양한 방법으로 공격한다.

* [[보안 소켓 계층 스트리핑]](SSL stripping) : [[SSL]]/[[TLS]] 인증서는 암호화를 통해 온라인 통신을 안전하게 유지한다. 보안 소켓 계층 스트리핑 공격을 받을 경우 공격자는 SSL/TLS 연결을 차단하여 프로토콜 보안성이 있는 [[HTTPS]]에서 안전하지 않은 [[HTTP]]로 전환시킨다.<ref>유서트, 〈[https://blog.naver.com/PostView.nhn?blogId=ucert&logNo=221201640816&categoryNo=37&parentCategoryNo=0 중간자 공격(Man-in-the-middle attack)이란? 그 대처방법은?]〉, 《네이버 블로그》, 2018-02-05</ref>

== 대안 ==
전송 계층 보안(Transport Layer Security, TLS) 통신은 중간자 공격법을 방어하기 위한 목적으로 만들어졌다. 전송 계층 보안 통신은 클라이언트가 연결을 요청하면 서버에서 자신의 [[공개키]]가 포함된 인증서를 보내고, 클라이언트는 인증서의 내용을 연결 프로그램 또는 [[운영체제]]에 내장된 루트 인증서 정보와 비교하여 [[무결성]]을 검증한다. 이후 인증서에 있는 공개키로 대칭형 암호화 키를 만들 수 있는 난수 정보를 공개키로 암호화해 서버로 보내며, [[클라이언트]]와 [[서버]]가 각각 이 난수에서 암호화 키를 만들어내 암호화 연결이 개시된다. 여기서 중요한 점은 루트 인증서를 신뢰할 수 있어야 한다는 것이다. 보안성이 충분히 보장되지 않았거나, 내부적으로 악용할 가능성이 있거나 하는 루트 인증서는 허용해서는 안 된다.<ref>〈[https://namu.wiki/w/%EC%A4%91%EA%B0%84%EC%9E%90%20%EA%B3%B5%EA%B2%A9 중간자 공격]〉, 《나무위키》</ref>

== 전망 ==
분석가들은 [[인터넷]] 연결 장치의 수가 향후 5년 동안 수백억 개로 확대되리라 전망 했는데 많은 장치에 보안 기능이 없기 때문에 [[사물인터넷]](IoT)의 성장으로 중간자 공격이 증가할 수 있다. SANS TI(Technology Institute)의 연구 학장 [[요하네스 울리히]](Johannes Ullrich)는 "사물인터넷 장치는 중간자 공격에 대한 많은 표준 완화 조치를 이행하지 않기 때문에 공격에 더욱 취약한 경향이 있다. 많은 사물인터넷 장치가 아직 전송 계층 보안 통신을 이행하지 않거나 최신 버전만큼 탄탄하지 않은 오래된 버전을 이행했다." 고 말했다. 포네몬 연구소와 오픈스카이의 새로운 조사에서 미국 내 보안 실무자 가운데 61%가 기업 내에서 사물인터넷 장치의 확산을 억제할 수 없다고 밝혔으며 60%는 사물인터넷과 관련된 보안 악용 및 데이터 유출을 막을 수 없다고 밝혔다.<ref name="아이티"></ref>

{{각주}}

== 참고자료 ==
* 〈[https://namu.wiki/w/%EC%A4%91%EA%B0%84%EC%9E%90%20%EA%B3%B5%EA%B2%A9 중간자 공격]〉, 《나무위키》
* Dan Swinhoe, 〈[http://www.itworld.co.kr/howto/117021 MitM 공격이란 무엇인가 "MitM 공격의 메커니즘과 예방법"]〉, 《아이티월드》, 2019-02-18
* 유서트, 〈[https://blog.naver.com/PostView.nhn?blogId=ucert&logNo=221201640816&categoryNo=37&parentCategoryNo=0 중간자 공격(Man-in-the-middle attack)이란? 그 대처방법은?]〉, 《네이버 블로그》, 2018-02-05

== 같이 보기 ==
* [[해킹]]
* [[에이알피 스푸핑]]
* [[랜섬웨어]]

{{보안|검토 필요}}