[보안] 스니핑, 스누핑, 스푸핑의 개념과 차이점, 종류: IP, MAC, ARP, DNS 스누핑

 스니핑, 스누핑, 스푸핑은 이름이 비슷한 공격 기법입니다. 개념도 비슷해서 오해하기 쉬운 세 용어를 자세히 알아보겠습니다.

 

[ Contents ]

 

 

1. 스니핑 (Sniffing)

네트워크 상 정보를 몰래 훔쳐보는 행위

 

 sniff는 '코를 킁킁거리다'라는 뜻으로, 데이터를 몰래 훔쳐보는 행위입니다. 네트워크 상 데이터는 '패킷(Packet)' 단위로 전송되며, 오고가는 패킷들을 가로채서 분석하거나 저장합니다.

 개인정보나 패스워드와 같이 민감한 정보도 당연히 패킷을 통해 오가며, 스니핑에 의해 탈취될 수 있습니다.

 

 

 

2. 스누핑 (Snooping)

네트워크 상 정보를 감시, 분석하는 행위

 

 spoof는 '염탐하다'라는 뜻으로, 스니핑과 개념이 비슷해서 종종 혼용해서 사용하기도 합니다.

 스니핑이 패킷을 통해 '정보를 엿보는 행위'였다면, 스누핑은 '감시와 분석'에 초점이 맞춰져 있습니다. 네트워크에 연결된 시스템이나 장치의 활동을 감시하고 데이터를 수집하여 분석합니다. 그렇기에 스누핑은 네트워크 관리, 성능 모니터링, 보안 감사 등의 우호적인 목적으로 사용될 수 있습니다.

 

 

 

3. 스푸핑 (Spoofing)

네트워크 상 정보를 시스템을 속여서 가져가는 행위 

 

 spoof는 '속이다'라는 뜻으로, 정상 사용자인 것처럼 시스템을 속여서 권한을 탈취하고 정보를 빼앗는 행위입니다.

 시스템에서는 IP, MAP주소나 ARP, DNS, WEB에서의 응답을 통해 사용자를 식별 또는 인증합니다. 따라서 해당 경로에서 잘못한 정보를 흘리면 시스템의 세션이나 권한을 탈취할 수 있습니다.

 

 

1) IP 스푸핑

TCP/IP 패킷의 출발지 IP주소를 위조하는 스푸핑

 다른 사람의 IP를 사용하거나, 시스템에서 신뢰할 수 있는 IP로 위장하여 보안을 침해하거나 중간자 공격을 할 수도 있습니다. 중간자 공격은 말그대로 '중간에서 데이터를 받아 위조하여 전달하는 공격 방식'으로, 수신자는 위조된 데이터를 신뢰하게 됩니다.

 

 

2) MAC 스푸핑

네트워크 인터페이스 카드의 물리적인 주소(MAC 주소)를 위조하는 스푸핑

 IP주소와 유사하게 MAC 주소를 위조하여 다른 사용자로 위장하여 공격합니다.

 MAC주소는 네트워크 인터페이스 카드(NIC)에 고유하게 부여된 물리적인 주소이며, ARP를 통해 IP주소에 연결된 MAC주소로 데이터가 최종적으로 전송되게 됩니다. IP주소가 논리적인 주소라면, MAC주소는 물리적인 주소인 셈이죠.

 

 

3) ARP 스푸핑

특정 IP주소에 대한 MAC주소를 위조하는 스푸핑

 ARP(Address Resolution Protocol)는 IP주소와 MAC주소를 매핑하는 프로토콜로, IP-MAC 테이블을 가지고 있습니다.

 IP주소를 따라 목적지 라우터로 오더라도, MAC주소를 알아야 실제 PC로 데이터가 전송될 수 있습니다. 그런데 ARP 테이블의 MAC주소가 위조되면 데이터가 다른 곳으로 가거나, 변조된 데이터가 전달되게 됩니다.

 

 

4) DNS 스푸핑

DNS 서버의 응답을 위조하여 다른 사이트로 리다이렉션하는 스푸핑

 DNS(Domain Name System)는 도메인 이름과 IP주소를 매칭해주는 시스템입니다. 도메인 주소는 사람이 알기 쉬운 이름 형태로 되어 있으며, 우리가 흔히 아는 홈페이지 주소가 도메인 이름입니다. (ex www.daum.net)

 도메인 주소를 입력하면 DNS에서 해당 IP주소의 사이트로 연결해줍니다. 하지만 DNS 서버의 응답이 위조되면 다른 사이트로 가게 됩니다. 정교하게 유사한 피싱(Phishing) 사이트로 이동된 줄 모르고, 사용자는 로그인 및 인증 정보나 개인정보를 입력하는 위험한 상황이 초래될 수 있습니다.

 이와 같이 피싱 사이트를 이용한 스누핑을 '웹 스누핑'이라고도 합니다.