본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2007년과 2008년 인터넷을 마비시키거나 느리게 만든 주범인 ARP Spoofing이 올해 다시 유행하고 있습니다. 특히 알약 고객센터에서도 스위치 허브를 통해 모든 PC들이 연결된 회사나 아파트에서 속도가 너무 느리거나 아예 인터넷 연결이 안 된다는 피해 신고가 자주 접수되고 있는데요...
혹시 9월 이후로 우리 아파트의 인터넷 속도가 급격히 느려지지는 않았나요?


인터넷 속도에 영향을 끼칠 수 있는 것이 통신망의 케이블 상태나 PC 사양, P2P 등 여러 조건이 있을 수 있지만 인터넷 속도 저하의 원인의 상당수가 악성코드로 인한 문제였습니다.
악성코드는 DDoS나 스팸메일 발송 같은 유해 트래픽을 과다하게 발생시키거나 ARP 스푸핑(Spoofing) 같은 공격을 실행해 감염되지 않은 이웃의 PC에서도 정상적인 인터넷 연결 경로가 아닌 감염 PC를 거쳐가도록 만들어 인터넷 속도가 매우 느려질 수 있습니다.


아파트 지역의 광랜 구성도

<아파트 지역의 광랜 구성도>
출처 : LG U+ 파워군의 달콤한 애프터 신청 http://blog.naver.com/powergoon/


 

알약과 보안 패치로 우리 아파트의 ARP Spoofing 퇴치하기


지금도 계속 변종과 악성코드 유포 주소를 바꾸어 나타나고 있는 ARP Spoofing은 먼저 Internet Explorer의 취약점(MS10-002, MS10-018)을 이용해 ARP Spoofing 공격을 실행하는 PC를 확보하고 감염 PC에서는 다른 PC들을 추가로 감염시키기 위해 ARP Spoofing 공격을 실행합니다.
또한, 주로 온라인 게임의 로그인 패스워드들을 훔치는 역할을 하기도 합니다.


APR Spoofing 악성코드의 사내망 침투 과정

<APR Spoofing 악성코드의 사내망 침투 과정>


 

내 PC가 깨끗하더라도 이웃에서 ARP Spoofing을 실행하는 감염 PC가 있다면 정상적인 인터넷 경로가 아닌 먼저 이웃의 감염 PC를 거쳐서 인터넷에 연결되기 때문에 인터넷 속도가 느려지고
이웃집 PC의 전원이 꺼질 경우 우리 집의 인터넷이 되지 않을 수 있습니다.
ARP Spoofing 공격은 통신 업체 뿐만 아니라 통신망을 이용하는 사용자들 또한 함께 보안에 신경을 써야만 해결할 수 있는 문제입니다.


 

윈도우 보안 패치하기


Windows Update로 최신 윈도우 보안 패치를 설치합니다.
이번에 유행하는 ARP Spoofing에서는 Internet Explorer의 MS10-002, MS10-018 두 가지 취약점을 악용하므로 2개 패치만 설치해도 당장 문제는 없지만 내 PC의 다른 보안 취약점 또한 Windows Update을 통해서 함께 해결하는 것도 좋겠죠?


윈도우 업데이트 화면 캡쳐

<윈도우 업데이트 화면 캡쳐>


 

알약으로 예방 및 치료하기


최신 버전의 알약 실시간 감시는 ARP Spoofing 악성코드가 실행을 차단하므로 PC를 ARP Spoofing 악성코드 감염을 예방할 수 있습니다.


알약을 사용하고 있지 않아 이미 감염된 PC에서도 최신 버전의 알약을 설치하시면 치료하실 수 있습니다. 만약 ARP Spoofing 공격으로 인해 감염 PC의 인터넷 연결이 원활하지 않는 경우 인터넷이 정상인 PC에서 알약 전용백신을 내려 받아 치료하시면 됩니다.


알약1.5 실시간 감시 화면 이미지1

<알약1.5 실시간 감시 화면 이미지1>


알약1.5 실시간 감시 화면 이미지2

<알약1.5 실시간 감시 화면 이미지1>


알약 전용백신 다운로드 탭 이미지

<알약 전용백신 다운로드 탭 이미지>


알약 전용백신 이미지

<알약 전용백신 이미지>


 

ARP Spoofing 공격은 우리집이 깨끗한 PC이더라도 이웃집 PC에서 감염되었으면 인터넷 연결에 심각한 영향을 받을 수 있는 문제입니다.
최근 9월 이후로 우리 아파트의 인터넷이 크게 느려졌다면 반상회 같은 자리에서 다 같이 알약을 설치하고 검사할 수 있도록 이웃들에게 권해주세요!
아시다시피 알약은 무료로 제공되기 때문에 부담 없이 설치하실 수 있습니다.


참고로 요새 알약의 인기에 편승해 가짜 백신과 짝퉁 알약도 종종 발견되고 있습니다.
알약을 다운로드 받을 때는 공식 홈페이지에서 받는 센스도 잊지 마세요!


 

ARP Spoofing 공격 여부 확인법


2007년과 2008년의 ARP Spoofing은 인터넷에서 이상한 문자가 보이는 증상이 있었지만 최근의 변종은 악성코드가 꾀 잘 만들어져서(?) 이러한 증상이 나타나지 않습니다.


ARP Spoofing 공격을 당했을 시 인터넷 브라우저 화면

<ARP Spoofing 공격을 당했을 시 인터넷 브라우저 화면>


 

현재 ARP Spoofing 공격 여부를 확인하는 다른 방법은 게이트웨이나 PC의 IP 주소에 대한 MAC주소의 중복을 체크하는 방법입니다.
이외에도 ARP Spoofing 추가 감염 PC를 만들기 위해 과도한 ARP Reply 패킷을 발송하는 특징이 있으므로 전문 네트워크 분석 도구를 활용해 과다 ARP Reply 패킷 발생 여부를 체크합니다.


악성코드 감염 PC에서 과도한 ARP Response 패킷이 발생하는 화면

<악성코드 감염 PC에서 과도한 ARP Response 패킷이 발생하는 화면>


게이트웨이 MAC주소가 변경된 화면

<게이트웨이 MAC주소가 변경된 화면>


 

MAC 주소의 중복 여부는 명령 프롬프트에서 “arp -a”를 치시면 확인하실 수 있으며, ARP Reply 패킷 발생은 전문 툴을 사용하므로 초보자 입장에서는 어려울 수 있습니다.
무엇보다도 내 PC의 ARP Spoofing 감염 PC를 알기 위한 가장 쉽고 빠른 방법은 알약으로 검사를 하는 것입니다.