Brain701. 도청 (Sniffing, Eavesdropping) 네트워크 토폴로지 취약점
핵심 인사이트: 사무실 1층에 있는 스위치 장비는 모든 직원들의 편지(패킷)가 모이는 교차로다. 스니핑은 이 교차로에 몰래 카메라(Wireshark 등)를 달아두고, 남의 편지가 지나갈 때마다 몰래 복사본을 찍어서 읽어보는 짓이다. 훔치는 걸 떠나, 암호화되지 않은 비밀번호나 은행 계좌번호가 평문으로 날아다닐 때 이를 소리 없이 훔쳐보는 가장 원초적이고 무서운 사이버 도청이다.
Ⅰ. 스니핑 (Sniffing) / 도청 (Eavesdropping)의 개념
- 개념: 컴퓨터 네트워크상에 흘러 다니는 남의 데이터 패킷들을 몰래 가로채어(Capture) 내용을 들여다보는 행위입니다. 수동적 공격(Passive Attack)에 해당하여, 원본 데이터를 수정하거나 파괴하지 않으므로 사용자는 자신이 도청당하고 있다는 사실을 전혀 눈치채지 못합니다.
- 도구: 주로 Wireshark, Tcpdump 같은 패킷 분석 도구를 사용하여 이루어집니다.
Ⅱ. 스니핑이 가능한 네트워크 토폴로지의 취약점 🌟
스니핑은 네트워크 하드웨어 구조(L2 계층)의 특성을 교묘하게 악용합니다.
1. 프론미스큐어스 모드 (Promiscuous Mode)
- 원리: 정상적인 랜카드(NIC)는 공기 중이나 전선에 수많은 패킷이 날아다녀도, 겉면(MAC 주소)을 보고 "내 주소가 아니네?" 하면 가차 없이 쓰레기통에 버립니다.
- 해커의 조작: 해커는 해킹 툴을 써서 랜카드의 설정을 **'프론미스큐어스 모드(무차별 수신 모드)'**로 바꿔버립니다. 이렇게 되면 랜카드는 자기 주소가 아닌 남의 패킷이 지나가도 "일단 다 내놔!" 하고 싹 다 빨아들여 컴퓨터에 저장하게 됩니다.
2. 허브(Hub) 환경의 절대적 취약점
- 옛날에 쓰던 더미 허브(Dummy Hub) 환경에서는, A가 B에게 패킷을 보내면 허브가 멍청하게 C, D, E 모든 포트로 패킷을 복사해서 뿌려버렸습니다(브로드캐스트). 이때 해커 C가 프론미스큐어스 모드를 켜두기만 하면 A와 B의 대화를 100% 공짜로 도청할 수 있었습니다.
3. 스위치(Switch) 환경과 스위치 잼(Switch Jamming) 공격
- 스위치의 방어: 요즘 쓰는 스위치(L2 Switch)는 똘똘해서 A가 B에게 보내면 딱 B가 꽂힌 포트로만(유니캐스트) 패킷을 쏴줍니다. 해커 C가 아무리 기다려도 남의 패킷이 오지 않습니다.
- 스위치 잼 (Switch Jamming / MAC Flooding): 해커가 포기하지 않습니다. 해커는 1초에 수십만 개의 '가짜 MAC 주소'를 만들어 스위치로 폭격을 날립니다(MAC Flooding). 스위치 내부에 있는 MAC 주소 기억 장부(CAM Table)가 가짜 주소들로 꽉 차서 용량이 터져버립니다(Jamming).
- 결과: 스위치는 장부가 터지면 멘붕에 빠져서 똑똑한 기능을 상실하고, 옛날 멍청한 '허브(Hub)'처럼 동작하여 모든 포트로 패킷을 마구잡이로 뿌려버리게 됩니다(Fail-Open). 이 순간 해커는 다시 남의 패킷을 꿀꺽꿀꺽 도청할 수 있게 됩니다.
Ⅲ. 스니핑 공격에 대한 방어 대책
- 가장 근본적인 해결책은 **'암호화(Encryption)'**입니다. HTTP 대신 HTTPS(TLS)를, FTP 대신 SFTP를, Telnet 대신 SSH를 써야 합니다. 해커가 스니핑으로 패킷을 가로채더라도, 내용물이 암호화되어 있으면 의미를 알 수 없는 쓰레기 글자만 보게 되므로 공격이 무력화됩니다.
📢 섹션 요약 비유: 옛날 허브 환경은 우체부가 아파트 복도 한가운데서 "홍길동 씨 편지 왔어요!"라고 동네방네 소리치는 것과 같습니다. 옆집 해커가 방문에 귀만 대고 있으면(프론미스큐어스 모드) 편지 내용을 다 듣습니다. 요즘 스위치 환경은 우체부가 홍길동 씨 집 우편함에만 편지를 조용히 쏙 넣고 가는 방식입니다. 하지만 해커가 우체부 얼굴에 후추 스프레이를 뿌려 눈을 멀게 만들면(스위치 잼), 우체부는 당황해서 편지를 허공에 흩뿌려버리고, 해커는 바닥에 떨어진 편지를 유유히 주워 읽게 됩니다.