IP 스니핑 및 스푸핑은 무엇이고 어떻게 자신을 보호할 수 있을까요?

스푸핑은 사전적 의미로 누군가의 것을 훔치거나 모방하다 또는 속이다라는 의미를 가지고 있습니다. 즉 특정한 상대를 공격하기 위한 방식으로서 네트워크에서 발생하며 종류에 따라서 IP 스푸핑, ARP 스푸핑, DNS 스푸핑 이라고 부릅니다.

IP 스푸핑은 특정 인물이 다른 사람의 IP를 모방하거나 속여서 특정 대상을 공격하는 하나의 네트워크 공격 기법중 하나입니다. 주로 DDoS 공격과 같은 네트워크 공격을 위해서 흔히 사용이 되는 기법 중 하나이며 IP의 패킷을 구성하는 헤더에 사용자의 정보를 조작하여 IP 주인이 아닌 악의적인 목적을 가진 사용자가 사용하는 것이 IP 스푸핑입니다. 즉 IP 주소 패킷의 스푸핑을 통하여 위변조 하는 것을 IP 스푸핑이라고 합니다.

IP 스푸핑 공격은 가장 기본적인 해킹 공격의 형태로, IP 스푸핑이 이루어지기 위해서는 먼저 수신자와 발신자 컴퓨터 사이에 신뢰관계(Trust relationship)이 맺어져있어야 합니다. 발신대상은 SYN 메시지를 수신자에게 발송하고, 수신자는 SYN 발신자에게 ACK 메시지를 전송합니다. 마지막으로 SYN-ACK 메시지를 수신자에게 보내고 신뢰 가능한 연결인지를 확인하고 신뢰관계를 형성합니다. 이렇게 신뢰관계가 맺어지게 되면 둘 사이는 어떠한 인증 없이 접속이 가능하게 되며 신뢰관계가 형성된 A와 B 두 시스템은 아무런 제약이 없이 접근이 가능하게 됩니다. 만약, 해커가 악의적인 목적으로 A의 IP주소를 가로채고 A의 IP로 위장하여 B에게 접근을 한다면 B는 A의 접근으로 인식하고 해커는 B에게 접근하게 될 것이며 이것을 IP 스푸핑 이라고 부르게 됩니다.

IP 스푸핑은 해커의 악의적인 목적에 의해서 다음과 같은 형태의 공격으로 나타나게 됩니다.

디도스 (Distributed Denial of Service) 라고 불리는 분산 서비스 거부 공격은 IP 스푸핑을 통해서 발생될 수 있으며 대상 컴퓨터와 서버 혹은 대상과 대상의 컴퓨터의 세션 연결을 강제로 종료시키거나 원활하지 않은 네트워크의 흐름을 유발시키고 접속 장애와 같은 문제를 발생시킬 수 있습니다. DDoS 공격은 비즈니스에 막대한 손실을 유발하기도 합니다.

IP 스푸핑은 방화벽이나 차단된 서버의 접속을 위해서 차단된 IP를 사용하지 않고 IP 스푸핑을 통하여 획득한 타인의 IP를 이용함으로써 차단된 서버나 방화벽에서 제어되는 규칙을 우회하여 정상적인 접근으로 위장하고 서비스에 접근할 수 있습니다. 이러한 방법으로 보안이 필요한 서버 인증 및 접근된 제어에 접근하여 문제를 발생시킬 수 있습니다.

일부 사용자들은 공공기관 및 공개적으로 제공되는 와이파이 또는 네트워크에 액세스 하여 인터넷을 사용합니다. 공개 네트워크는 다소 보안에 취약한 문제점이 있고 해커들은 스니핑과 IP 스푸핑을 통하여 네트워크 사용자들에 대한 개인정보 및 기기에 접근할 수 있게 되거나 메시지, 이메일 등 네트워크상에서 주고받는 개인정보의 내용을 가로챌 수 있고 문제를 발생시킬 수 있습니다.

스니핑은 어떠한 것에 대해서 냄새를 맡다라는 뜻이 있습니다. 하나의 해킹 기법으로서 네트워크에서 움직이는 트래픽에 대해서 염탐하는것을 의미합니다. 이러한 염탐으로 네트워크에서 패킷 교환이 이루어지게 될시 취약점을 발견하거나 개인정보 ID 패스워드와 같은 정보를 가로챌 수 있습니다.

DNS 스푸핑은 해커가 DNS 서버의 캐시정보를 위변조하여 컴퓨터를 사용하는 사용자가 원하는 목적지의 사이트가 아닌 해커가 의도한 사이트를 접속하게 함으로써 개인정보를 가로챌 수 있습니다.

스니핑과 스푸핑의 차이는 크게 공격의 범위로 분류할 수 있습니다. 스니핑은 네트워크에서 교환되는 패킷 또는 데이터를 훔쳐보는 정도의 소극적인 공격의 범위라면 스푸핑은 임의로 IP 주소를 숨기고 타인의 IP로 위장하여 시스템을 공격하는 정도의 보다 넓은 공격 범위를 가지고 있습니다. 이 때문에 스니핑은 스푸핑이 선행되기 전에 필요한 해킹의 기법으로서 네트워크에서 교환되는 내용(패킷)들 엿보는 것을 의미합니다.

타인의 IP를 가로채기 위해 어느 부분이 취약한지 염탐하는 단계 (스니핑) -> 염탐 후 본격적으로 IP를 가로채고 해킹 및 공격을 하는 행위 (스푸핑).

인터넷에 접근하는 사용자라면 누구나 해커의 공격이나 해킹으로부터 자유로울 수 없을 것입니다. IP 스푸핑과 같은 해킹에 대한 가장 기본적인 예방 방법은 안전하지 않거나 신원이 확실하지 않은 웹사이트, 이메일, 파일 등의 접속과 열람을 하지 않는 것입니다. 하지만 이 방법도 해킹으로부터 완전하게 자유로울 수는 없습니다. IP 스푸핑을 예방하기 위해서는 다양한 방법으로 안전하게 보호를 할 수 있습니다.

1. 암호화된 네트워크 프로토콜 사용하기 – HTTPS, SSH, TLS과 같은 암호화된 네트워크 프로토콜을 이용하여 패킷을 안전하게 암호화 하고 안전하게 보호할 수 있습니다.
2. IP 스푸핑을 감지할 수 있는 소프트웨어를 설치하여 네트워크의 위변조 또는 이상을 감지하는 것입니다.
3. 바이러스 및 위협 방지 기능을 이용하여 다운로드를 실시간으로 모니터링하고 웹 트래커를 차단하며 장치를 멀웨어부터 보호하는 방법이 있습니다.
4. VPN을 사용하여 네트워크 트래픽을 암호화하고 해커로부터 네트워크 트래픽 또는 IP 주소의 노출을 최소화시키거나 실제 IP 주소를 찾기 힘들게 하는 것 입니다. 대표적인 VPN으로는 NordVPN이 있는데, 바이러스 및 위협 방지, Double VPN, SmartPlay와 같은 기능을 제공하여 네트워크를 더욱더 안전하게 보호해주는 역할을 합니다.

해커로부터 본인의 네트워크를 가장 안전하고 쉽게 보호할 수 있는 방법은 신뢰성 있고 안정성이 검증된 VPN을 사용하여 실제 IP를 감추거나 해커가 트래픽을 추적하지 못하도록 암호화하거나 경로를 추적하지 못하게 하는 것입니다. 이는 해커로부터 IP 스푸핑을 예방하고 보호하는데 가장 손쉽고 안전한 방법이며 ARP 스푸핑, DNS 스푸핑으로부터도 안전하게 네트워크를 보호하는 방법일 것입니다. 이처럼 자신의 네트워크를 외부의 위험으로부터 보호하는 것은 가장 기본적이자 필수적으로 필요한 요소입니다.