본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

인터넷 웹사이트를 이용할 때, 로그인 후의 개인 페이지는 당연히 로그인 당사자만 볼 수 있어야 합니다.
하지만 다른 사람이 웹 사이트 취약점이나 브라우저 취약점, 네트워크 취약점 등을 이용해 내 브라우저의 로그인 상태를 원격으로 가로챌 수 있다는 사실, 알고 계신가요?


어떻게 이런 일이 가능할까요?


공격은 피해자와 공격자가 같은 네트워크를 사용한다는 전제 하에 ARP Spoofing 이라는 해킹 기법을 기반으로 이루어집니다.


보통의 인터넷 환경에서는 사용자가 웹사이트와 정보를 주고 받을 때에 ‘HTTP’라는 연결을 사용하는데, 이 HTTP는 애초에 보안에 대한 고려가 없이 설계 돼, 각종 해킹기법에 쉽게 노출되고 있어 매우 취약한 통신언어로 평가 받고 있습니다.


HTTP 프로토콜 자체에는 데이터를 암호화하는 기능이 없기 때문에, 다른 암호화 수단과 결합되지 않은 HTTP 패킷을 누군가 네트워크 상에서 가로챈다면 이를 비교적 쉽게 해킹에 악용할 수가 있습니다.


그래서 무선 공유기 등을 함께 쓰는 사용자의 데이터를 가로챌 수 있게 해주는 ARP Spoofing공격을 일으키면 간단히 오고 가는 데이터를 훔쳐 보거나 로그인 상태도 훔쳐갈 수 있는 것이죠.


정상적인 연결

정상적인 연결


ARP Spoofing을 이용한 공격

<ARP Spoofing을 이용한 공격>


 

지금까지 이러한 ARP Spoofing 공격을 하려면 주로 PC가 필요했습니다.
그런데 이제는 손바닥만한 스마트폰을 이용해 ARP Spoofing을 일으킨 뒤 해외 유명 웹사이트들의 로그인 상태를 자동으로 가로채 주는 안드로이드용 앱이 나왔다고 합니다.


F***** 앱을 통해 로그인 세션을 가로챈 모습

<F***** 앱을 통해 로그인 세션을 가로챈 모습>


 

비밀번호를 몰라도 진짜로 로그인이 된다고 해요~
그러면 개인정보가 유출되거나 피싱에 노출될 수 도 있고 온라인 캐쉬가 도난될 수도 있겠죠…
이거, 인터넷을 해야 할지, 말아야 할지… 너무나 불안합니다.


그럼, 인터넷 상에서 오가는 내 정보를 아무도 볼 수 없게 하려면 어떻게 해야 할까요?


일단, 모르는 사람들과 같은 네트워크에 접속하지 말아야 합니다.
특히 집이나 직장에서 무선 공유기를 사용하는 경우, 내 네트워크에 접속하지 못하도록 무선랜에 강력한 인증암호를 설정하고 자신 역시 모르는 무선네트워크에는 접속하지 말아야 합니다.


또, 웹 사이트에 로그인 할 때에는 웹 사이트에서 제공하는 ‘보안 로그인 기능’을 이용하는 것이 좋습니다.


그러면 웹사이트에 나의 로그인 정보를 보낼 때 HTTP가 아닌 보안성이 강화된 HTTPS라는 연결을 사용하게 되니까요.


HTTPS를 사용하면 웹브라우저가 웹사이트와의 통신 내용을 복잡한 암호로 바꾸어서 주고 받게되어 해커가 내 통신내용을 중간에 가로채더라도 알 수 없는 암호만을 볼 수 있답니다.


웹 메일, SNS, 포털 웹사이트나 각종 스마트폰 앱에서 “안전한 브라우징(HTTPS)” 혹은 “Always use HTTPS”등의 보안설정을 높이는 기능이 지원되는지 확인하고 보안접속 기능을 적극적으로 활용하시면 누군가가 내 웹사이트의 로그인 상태를 훔쳐가는 피해를 예방할 수 있습니다.