ARP 스푸핑(ARP Spoofing)

ARP 스푸핑(ARP Spoofing)은 네트워크에서 ARP(Address Resolution Protocol)의 취약점을 악용해 특정 장비를 속이고, 공격자의 장비로 트래픽을 유도하거나 중간에서 감청하는 공격 방식이다. 이는 네트워크 상의 IP 주소와 MAC 주소 간 매핑을 위조하여 이루어진다.

1. ARP 스푸핑의 동작 원리
공격자는 허위 ARP 응답(Gratuitous ARP)을 네트워크에 전송하여 희생자의 ARP 캐시를 조작한다. 이로 인해 희생자는 공격자를 신뢰하고 데이터를 잘못된 MAC 주소로 전송하게 된다.

   공격 과정
     ① 공격자가 네트워크에 접속.
     ② 희생자(클라이언트)와 라우터에게 잘못된 ARP 응답을 보냄
          - 클라이언트에게 "라우터의 MAC 주소는 공격자의 MAC 주소"라고 알림
          - 라우터에게 "클라이언트의 MAC 주소는 공격자의 MAC 주소"라고 알림

     ③ 클라이언트와 라우터 간의 트래픽이 모두 공격자를 경유하게 됨
     ④ 공격자는 트래픽을 감청(MITM 공격) 또는 변조, 중단(DoS) 시킴

 

2. ARP 스푸핑의 주요 목적
   1) Man-in-the-Middle(MITM) 공격 : 클라이언트와 라우터 간 트래픽을 가로채서 데이터를 감청하거나 변조

      (예: 비밀번호, 신용카드 정보 등 민감한 데이터 탈취)
   2) Denial of Service(DoS) 공격 : 트래픽을 잘못된 MAC 주소로 유도하거나 폐기하여 네트워크 장애를 발생시킴
   3) 네트워크 스캐닝 및 정보 수집 : 네트워크에 연결된 다른 장치들의 통신을 관찰하여 정보를 수집
   4) 데이터 변조 및 삽입 : 전달되는 데이터를 조작하여 악성 코드 삽입, 정보 왜곡 등 악의적인 행위 수행

 

3. ARP 스푸핑의 탐지
   1) 수동 탐지 방법
       ① ARP 캐시 확인:
           - 명령어 arp -a로 ARP 테이블을 확인.
           - 동일한 IP 주소에 서로 다른 MAC 주소가 있다면 스푸핑 의심.
       ② 네트워크 트래픽 분석:
           - Wireshark와 같은 패킷 분석 도구를 사용하여 비정상적인 ARP 트래픽 탐지.
   2) 자동화된 탐지 방법
       ① IDS/IPS(침입 탐지 및 방지 시스템):
           - ARP 스푸핑을 탐지하고 차단하는 기능 제공.
       ② ARP 모니터링 도구:
           - ARPwatch, XArp 등 네트워크 내 비정상적인 ARP 활동을 감지.

 

4. ARP 스푸핑의 예방 방법
   1) 정적 ARP 엔트리 설정
       -  중요한 장비에 IP-MAC 매핑을 수동으로 설정하여 고정.
          (예: arp -s [IP Address] [MAC Address])
   2) Dynamic ARP Inspection(DAI)
       -  스위치에서 ARP 요청 및 응답 트래픽을 필터링하고 검증
         (DHCP Snooping과 연동해 신뢰할 수 있는 IP-MAC 매핑을 관리)
   3) 네트워크 세분화
       -  VLAN을 이용해 네트워크를 분리하여 공격의 범위를 제한
   4) 암호화된 통신 사용
       -  HTTPS, TLS, VPN 등 암호화 프로토콜로 민감한 데이터 보호
       -  공격자가 데이터를 가로채더라도 내용을 읽지 못하도록 보장
   5) ARP 스푸핑 방지 소프트웨어 사용
       -  Anti-ARP Spoofing 도구
          -  XArp: Windows/Linux 기반 ARP 스푸핑 탐지.
          -  ArpON: Linux/Unix용 ARP 방지 솔루션.
   6) 네트워크 접근 제어(NAC)
       - 802.1X 프로토콜을 통해 네트워크에 접근하는 장치 인증.

 

5. ARP 스푸핑의 한계
   - 물리적 접근 필요 : 공격자는 동일한 로컬 네트워크에 있어야 ARP 스푸핑을 수행 가능
   - 방어 기술 발전 : 스위치 기반의 보안 기술(예: DAI)과 네트워크 세분화로 탐지 및 차단 가능
   - 암호화된 데이터 무용화 : SSL/TLS와 같은 암호화된 프로토콜이 활성화된 경우 데이터 탈취 불가능

 

※ 참고 : ARP 리다이렉트와 ARP 스푸핑의 차이

특징	ARP 리다이렉트	ARP 스푸핑
정의	정당한 ARP 요청이나 응답을 악용해 네트워크 트래픽을 특정 방향으로 유도	허위 ARP 응답을 전송해 ARP 캐시를 속이고 공격자의 MAC 주소를 등록
목적	주로 네트워크 경로를 변경(리다이렉션)하여 통신을 방해하거나 조작	네트워크 트래픽을 가로채거나 감청, 데이터 탈취, 변조, 또는 서비스 방해
MITM 공격	트래픽을 특정 경로로 리다이렉션하여 중간에서 가로챔	트래픽을 직접 공격자의 장비로 가로채고 중간에서 분석
DoS 공격	잘못된 경로로 트래픽을 리다이렉션하여 통신 차단	트래픽을 잘못된 MAC 주소로 유도하거나 폐기
트래픽 재라우팅	공격자가 지정한 경로로 트래픽을 우회시킴	공격자의 장비를 통해서만 통신이 가능하도록 설정
공격 기법	네트워크 장비 간의 정상적인 ARP 요청/응답을 악용	허위 ARP 응답을 생성하여 네트워크 장비를 속임
트래픽 방향	트래픽을 다른 경로로 우회하거나 리다이렉션	트래픽을 직접 공격자 장비로 가로챔
공격자의 역할	트래픽 경로 변경에 초점	중간에 개입하여 트래픽을 감청/변조
네트워크 영향	트래픽 우회로 인한 지연 또는 손실	트래픽 차단, 감청, 데이터 변조 가능