주소 결정 프로토콜(ARP)이란?
주소 결정 프로토콜(ARP)은 로컬 네트워크에서 IP 주소를 MAC 주소로 변환하며, 인증 메커니즘이 없습니다. 동일 네트워크 세그먼트 내의 IP 주소로 트래픽을 전송하려면, 시스템은 패킷을 2계층에서 전달하기 위해 해당 하드웨어 MAC 주소가 필요합니다. ARP는 "IP 주소 X.X.X.X를 가진 사람이 누구입니까?"라고 요청을 브로드캐스트합니다. 시스템은 검증 없이 모든 장치로부터의 응답을 수락하므로, 공격자가 임의의 IP 주소를 주장하고 트래픽을 리디렉션할 수 있습니다.
이 과정은 시스템이 내부 파일 서버에 접근하거나 기본 게이트웨이를 통해 트래픽을 라우팅하는 등 로컬 네트워크의 다른 장치와 통신해야 할 때 자동으로 발생합니다. 단, 필요한 MAC 주소가 이전 ARP 해석에서 이미 캐시되어 있는 경우는 예외입니다. 1982년의 프로토콜 명세인 RFC 826은 ARP가 3계층(네트워크 계층)과 2계층(데이터 링크 계층) 간의 근본적인 주소 불일치를 어떻게 해결하는지 정의합니다.
.jpg)
주소 결정 프로토콜과 사이버 보안의 관계
ARP는 인증, 암호화, 검증 메커니즘을 제공하지 않습니다. 이러한 신뢰 없는 설계로 인해 공격자는 프로토콜 수준의 검증 없이 ARP 캐시를 오염시킬 수 있습니다.
NIST CVE-1999-0667은 근본적인 취약점을 다음과 같이 명시합니다. "ARP 프로토콜은 모든 호스트가 ARP 응답을 위조하고 ARP 캐시를 오염시켜 IP 주소 스푸핑 또는 서비스 거부를 수행할 수 있도록 허용한다." 이는 패치할 수 있는 구현상의 버그가 아니라, 프로토콜 설계상 보완 통제가 필요함을 의미합니다.
MITRE ATT&CK Technique T1557은 네트워크 접근 권한을 가진 공격자가 ARP 스푸핑을 통해 실시간으로 트래픽을 조작하는 adversary-in-the-middle 공격을 문서화합니다. ARP 캐시를 오염시켜 시스템 간에 위치를 선점한 공격자는 3계층 보안 통제를 완전히 우회할 수 있습니다. 2계층 통제인 Dynamic ARP Inspection은 패킷의 출처를 검증하며, 행위 기반 분석 및 3계층 이상에서의 모니터링은 ARP 스푸핑 성공 이후 발생하는 자격 증명 탈취 및 횡적 이동을 식별할 수 있습니다. SentinelOne의 Singularity 플랫폼은 네트워크 계층 이상에서의 이상 징후와 엔드포인트 활동 패턴을 연결하여 이러한 행위 기반 상관관계를 제공합니다. 횡적 이동을 가능하게 하는 ARP 스푸핑은 Purple AI를 통해 의심스러운 인증 및 프로세스 실행 시퀀스를 식별하여 적극적인 침해를 나타냅니다.
CISA는 중요 인프라 및 산업 제어 시스템에서의 ARP 취약점을 문서화하며, IT 네트워크를 넘어선 위험을 강조합니다. 프로토콜의 보편성으로 인해 공격자가 로컬 네트워크 접근 권한을 얻는 곳마다 악용 기회가 존재하며, 3계층 보안 통제로는 동일 브로드캐스트 도메인 내의 2계층 공격을 차단할 수 없습니다.
실제 공격 사례는 이러한 프로토콜 수준의 취약점을 보여줍니다. 2013년 Target 침해 사고에서는 공격자가 ARP 스푸핑을 악용해 내부 네트워크를 매핑하고 HVAC 공급업체 자격 증명을 통해 초기 접근 후 횡적 이동을 가능하게 했습니다. 이 정찰 및 네트워크 포지셔닝으로 4천만 건의 신용카드 정보와 7천만 건의 고객 정보가 탈취되어 총 2억 200만 달러의 비용이 발생했습니다. 2015년 우크라이나 전력망 공격에서는 APT 행위자가 스피어 피싱과 네트워크 정찰 후 BlackEnergy 악성코드를 배포했습니다. 이 다단계 공격은 세 개의 에너지 배전사에서 22만 5천 명의 고객에게 영향을 미쳤으며, 이는 ICS-CERT 보고서에 문서화되어 있습니다.
이러한 프로토콜 수준의 취약점을 이해하려면 ARP의 자동 주소 해석을 가능하게 하는 기술적 구성 요소를 살펴봐야 합니다.
주소 결정 프로토콜의 핵심 구성 요소
네 가지 구성 요소가 ARP 해석을 처리하며, 각각은 잠재적인 공격 표면을 나타냅니다. 로컬 네트워크 접근 권한을 얻은 공격자는 이들 중 어느 것이든 조작하여 트래픽을 리디렉션할 수 있습니다:
- ARP 캐시 테이블: 대부분의 IPv4 네트워크 장치는 최근 IP-MAC 주소 매핑을 저장하는 ARP 캐시를 유지하며, 동적 엔트리는 ARP 응답에서 학습되고 일부 장치에서는 수동으로 구성할 수 있는 정적 엔트리도 존재합니다.
- ARP 요청 패킷: 로컬 서브넷의 IP에 대한 MAC 주소가 필요한 시스템은 소스 IP 및 MAC 주소, 그리고 찾고자 하는 대상 IP 주소를 포함한 ARP 요청을 브로드캐스트합니다.
- ARP 응답 패킷: 요청된 IP 주소를 가진 장치는 대상의 MAC 주소를 포함한 유니캐스트 ARP 응답을 요청자의 MAC 주소로 직접 전송하여, 요청 시스템이 ARP 캐시를 업데이트할 수 있도록 합니다.
- 브로드캐스트 도메인: VLAN 아키텍처는 ARP가 동작하는 2계층 브로드캐스트 도메인을 정의하며, 요청은 라우터나 3계층 경계를 넘지 않습니다.
이러한 구성 요소를 이해하면 ARP 스푸핑 공격이 해석 과정의 어느 지점에 개입하는지 인식할 수 있습니다.
주소 결정 프로토콜의 동작 방식
해석 과정은 패킷 캡처에서 확인할 수 있는 예측 가능한 순서를 따릅니다.
- 주소 해석 필요 및 브로드캐스트 요청: 애플리케이션이 로컬 서브넷의 10.1.1.50과 통신해야 합니다. 시스템은 먼저 ARP 캐시를 확인합니다. 유효한 엔트리가 없으면, MAC 주소 FF:FF:FF:FF:FF:FF로 ARP 요청을 브로드캐스트하며 "10.1.1.50을 가진 사람이 누구입니까? 10.1.1.25에게 알려주세요"(요청 IP 주소)라고 묻습니다.
- 대상 응답 및 캐시 등록: IP 10.1.1.50을 가진 장치는 자신의 주소임을 인식하고 "10.1.1.50의 MAC 주소는 00:0c:29:3f:47:8a입니다."라는 내용을 담은 유니캐스트 ARP 응답을 전송합니다. 요청 시스템은 새로운 IP-MAC 바인딩으로 ARP 캐시를 업데이트하고 원래 통신을 진행합니다.
- Gratuitous ARP: 시스템은 인터페이스 초기화나 IP 주소 변경 시에도 비요청 ARP 알림을 전송합니다. 공격자는 악의적인 gratuitous ARP 메시지를 전송하여 정당한 요청을 기다리지 않고 캐시를 오염시키는 방식으로 이 동작을 악용합니다.
자동 해석은 운영상 이점을 제공하지만, 인증 부재로 인해 보안상 트레이드오프가 발생하며, 이를 관리해야 합니다.
주소 결정 프로토콜의 주요 이점
ARP는 IPv4 네트워크가 논리적 IP 주소와 물리적 하드웨어 간에 패킷을 라우팅하는 데 필요한 주소 변환을 처리합니다:
- 자동 주소 해석: 관리자는 수천 대의 장치에 대해 IP 주소와 MAC 주소를 수동으로 매핑할 필요가 없습니다. ARP가 이 변환을 투명하게 처리합니다.
- 동적 네트워크 적응: 하드웨어 변경 및 IP 주소 재할당 시 ARP가 네트워크 전반에 바인딩을 자동으로 업데이트합니다.
- 라우팅 기능: 장치는 모든 서브넷 외부 트래픽에 대해 기본 게이트웨이의 MAC 주소를 찾기 위해 ARP를 사용합니다.
- 네트워크 성능: ARP 캐싱은 모든 패킷마다 브로드캐스트가 발생하는 것을 방지하여 네트워크 오버헤드를 줄입니다.
ARP를 자동화하는 동일한 특성 때문에 악용도 가능합니다.
주소 결정 프로토콜의 과제와 한계
프로토콜 설계는 보안 및 운영상의 과제를 야기하며, 각 취약점은 ARP의 근본적인 인증 부재에서 비롯됩니다.
인증 부재
RFC 826은 장치가 검증 없이 모든 출처의 ARP 정보를 수락하도록 명시합니다. 이 신뢰 없는 설계는 내부 위협 및 횡적 이동을 포함한 현대적 위협 모델 이전에 만들어졌습니다. 로컬 네트워크의 모든 장치는 임의의 IP 주소를 주장할 수 있으며, 이를 검증할 수 있는 메커니즘이 프로토콜에 존재하지 않습니다.
현대 아키텍처에서의 지속적 취약점
소프트웨어 정의 네트워크에 대한 IEEE 연구는 ARP 취약점이 최신 SDN 아키텍처에서도 여전히 존재함을 확인합니다. 수십 년간의 보안 진화에도 불구하고 근본적인 프로토콜은 변하지 않았습니다. 가상화 환경, 클라우드 인접 네트워크, 소프트웨어 정의 인프라 모두 동일한 2계층 약점을 상속받습니다.
브로드캐스트 폭풍 위험
NIST CVE-2022-27640은 영향을 받는 장치가 과도한 ARP 브로드캐스트 요청을 부적절하게 처리하는 실제 악용 사례를 문서화합니다. 공격자는 ARP 플러드를 통해 서비스 거부 상태를 유발하는 방식으로 이 동작을 악용합니다. 네트워크 가용성이 저하되며, 스위치는 플러드를 처리하느라 동시에 발생하는 다른 악의적 활동을 감지하지 못할 수 있습니다.
보호 범위의 한계
방화벽, 침입 방지 시스템, 네트워크 접근 제어는 3계층 이상에서 동작합니다. ARP는 2계층에서 동작하므로, 이러한 통제로는 동일 브로드캐스트 도메인 내의 ARP 스푸핑을 방지할 수 없습니다. 단일 네트워크 세그먼트에 접근한 공격자는 ARP 스푸핑을 수행해도 경계 방어에 탐지되지 않습니다.
캐시 오염 공격 표면
중간자 공격에 대한 동료 검토 연구에 따르면, MitM-ARP 스푸핑 공격은 주로 온라인 뱅킹 서비스나 기타 개인 온라인 서비스를 대상으로 합니다. 예방 통제를 우회한 캐시 오염이 성공하면 SIEM 플랫폼 및 행위 분석 도구가 이후 자격 증명 탈취 및 횡적 이동을 식별하기 위해 침해 징후 패턴을 분석합니다.
SentinelOne과 같은 플랫폼은 행위 기반 AI를 통해 침해 이후의 인증 이상, 프로세스 실행, 파일 접근 패턴을 인식하여 이러한 패턴을 식별하고, 공격자가 목표를 달성하기 전에 자율 대응을 가능하게 합니다. 이러한 탐지 기능이 있더라도, 일반적인 구현 오류로 인해 네트워크가 노출될 수 있습니다.
일반적인 주소 결정 프로토콜 실수
보안팀은 보호 조치를 무력화하는 구현 오류를 반복적으로 범합니다. 이러한 함정을 이해하면 배포 시 이를 피할 수 있습니다.
DHCP 스누핑 기반 미구현
Dynamic ARP Inspection(DAI)을 활성화했지만, 전제 조건을 잊었습니다. 엔터프라이즈 스위치 벤더의 구성 가이드에 따르면, DAI는 DHCP 스누핑이 전역적으로 먼저 활성화되어야 합니다. DHCP 스누핑 바인딩 데이터베이스가 없으면 DAI는 ARP 패킷을 검증할 수 없습니다.
신뢰 경계 구성 오류
신뢰 경계를 잘못 구성하면 DHCP 서버 연결 또는 업링크 포트를 신뢰 구간으로 표시하지 못합니다. 이로 인해 정상적인 DHCP 트래픽이 차단되어 네트워크 장애 및 오탐이 발생합니다.
바인딩 없는 정적 IP 장치
DAI가 DHCP 할당 주소에만 적용되고, 서버, 프린터, 인프라 장치 등 정적 IP를 사용하는 장치는 간과됩니다. 엔터프라이즈 네트워크 스위치 문서에 따르면, DAI는 비-DHCP 장치에 대해 정적 IP 바인딩 엔트리가 필요합니다. 이 단계를 생략하면 정상적인 정적 IP 장치가 DAI 검증에 실패하여 네트워크 연결이 끊깁니다.
로그 분석 무시
DAI가 실행 중이지만, 아무도 보안 이벤트 로그를 모니터링하지 않습니다. DAI 검증 실패 및 ARP 패킷 드롭이 ARP 스푸핑 시도를 나타내지만, 아무도 이를 검토하지 않아 공격이 탐지되지 않습니다.
DAI 로그를 SIEM 플랫폼에 연동하고, SentinelOne Singularity와 같은 솔루션의 엔드포인트 텔레메트리와 상관 분석하면 2계층 공격과 자격 증명 오용, 횡적 이동을 연결하는 맥락을 얻을 수 있습니다. 원시 ARP 검증 실패가 자율 대응이 가능한 위협 인텔리전스로 전환됩니다.
이러한 실수를 피하려면 표준 기반 배포 절차를 올바른 순서로 따라야 합니다.
주소 결정 프로토콜 모범 사례
표준 기반 보호는 올바른 순서로 구현된 계층화된 보안 통제를 요구합니다. 다음 모범 사례는 스위치 수준에서 ARP 취약점을 해결하면서 네트워크 기능을 유지합니다.
Dynamic ARP Inspection을 올바르게 구현
엔터프라이즈 네트워크 스위치 벤더 문서에 따르면, DAI는 LAN에서 ARP 패킷을 검사하고 이를 DHCP 스누핑 데이터베이스 엔트리와 대조하여 ARP 스푸핑 및 오염 공격으로부터 스위치를 보호합니다. 시스템은 ARP 패킷을 MAC-IP 바인딩과 대조하여, 신뢰되지 않은 포트에서 도착한 잘못된 패킷을 드롭합니다.
필수 구성 순서 준수
NIST Special Publication 800-215는 안전한 원격 접근 및 SASE 프레임워크에 중점을 둡니다. 엔터프라이즈 스위치 제조사의 공식 기술 문서는 DHCP 스누핑을 먼저 구성하고, 서버 연결 및 업링크 포트를 DHCP 신뢰 구간으로 표시할 것을 권장합니다. 이후 VLAN별로 DHCP 검사 활성화, 비-DHCP 장치에 대한 정적 IP 바인딩 생성, VLAN별 Dynamic ARP Inspection 활성화를 테스트 세그먼트부터 시작하도록 안내합니다.
정적 IP 바인딩 테이블 유지
정적 IP 주소를 사용하는 모든 서버, 네트워크 어플라이언스, 프린터, IoT 장치는 DAI 구성에 수동 바인딩 엔트리가 필요합니다. 구현 시 이러한 장치를 문서화하고, 인프라 변경 시 바인딩을 업데이트해야 합니다.
속도 제한 구성
검사 프로세스를 악용한 서비스 거부 공격을 방지하기 위해 인터페이스별로 적절한 ARP 패킷 속도 제한을 설정합니다. 환경의 기준 ARP 트래픽 패턴을 기반으로 임계값을 구성하며, 벤더 권장값(예: 인터페이스당 초당 15패킷 등)을 시작점으로 삼되, 최종적으로는 네트워크에 맞게 조정해야 합니다.
네트워크 아키텍처 분할
적절한 네트워크 분할은 한 서브넷에서 발생한 공격이 다른 세그먼트의 장치에 영향을 미치지 않도록 보장합니다. ARP는 브로드캐스트 도메인 내에서 동작하므로, 아키텍처적 분할은 공격 확산을 제한하고 세그먼트별 공격 표면을 줄입니다.
SIEM과 연동하여 모니터링
엔터프라이즈 스위치 벤더 문서에 따르면, DAI 로그에는 소스 MAC 주소, VLAN, IP 주소, 타임스탬프가 포함됩니다. 이러한 로그를 보안 정보 및 이벤트 관리 시스템에 연동하여, 다른 보안 이벤트 및 공격 캠페인 패턴 분석과 상관 분석합니다. SentinelOne Singularity와 같은 보안 플랫폼은 ARP 관련 보안 이벤트를 인증 실패 및 횡적 이동 지표와 상관 분석하여 2계층 공격이 비즈니스에 미치는 영향을 연결합니다.
보완적 2계층 보안 배포
물리적 포트별 MAC 주소 제한을 위한 포트 보안, 스패닝 트리 공격 방지를 위한 BPDU Guard 구성, DHCP 스누핑 속도 제한 활성화 등을 구현합니다. 이러한 통제는 DAI와 함께 데이터 링크 계층에서 심층 방어를 구축합니다.
예방 통제가 기반을 마련합니다. 예방이 실패할 때 공격을 식별하는 것이 보안 아키텍처를 완성합니다.
SentinelOne으로 ARP 공격 차단
Dynamic ARP Inspection을 우회하거나 2계층 보호가 없는 네트워크 세그먼트에서 활동하는 공격자는 가시성의 공백을 노출시킵니다. 보안 아키텍처는 ARP 관련 이상 징후와 엔드포인트 행위 간의 상관관계를 요구합니다. SentinelOne Singularity는 네트워크 이벤트와 엔드포인트 텔레메트리를 함께 분석하여, ARP 스푸핑 공격 이후 발생하는 자격 증명 탈취, 권한 상승, 횡적 이동을 식별합니다.
Singularity 플랫폼은 2계층 네트워크 통제와 3계층 이상 보안 도구 간의 근본적인 격차를 해소합니다. DAI는 스위치 수준에서 위조된 ARP 패킷을 차단하지만, 보호되지 않은 세그먼트에서 캐시 오염에 성공하거나 통제가 배포되기 전의 윈도우 동안 공격자가 성공할 경우 행위 기반 분석이 필요합니다. Purple AI는 비정상적인 인증 패턴, 의심스러운 프로세스 실행, 이상 파일 접근을 네트워크 계층 이벤트와 상관 분석합니다. 스위치에서 기록된 ARP 이상 징후는 실제 엔드포인트에서 발생하는 자격 증명 오용과 연결됩니다.
Purple AI는 네트워크 이상 징후와 엔드포인트 인증 패턴의 상관관계를 자동화하여 ARP 관련 조사 시간을 단축합니다. 수천 건의 DAI 로그 엔트리를 수동으로 조사하는 대신, Purple AI는 실제 침해 행위에 선행한 ARP 관련 이벤트(예: 도난된 NTLM 해시를 이용한 Windows 인증, PowerShell 정찰 명령, 무단 파일 공유 접근 등)를 식별합니다.
플랫폼의 자율 대응 기능은 초기 공격 벡터와 무관하게 횡적 이동을 차단하며, 침해된 엔드포인트를 격리하고, 의심스러운 프로세스를 차단하며, 공격자가 목표를 달성하기 전에 데이터 유출을 방지합니다. 2계층 통제 배포가 일관되지 않은 하이브리드 환경을 관리하는 보안팀도 Singularity를 통해 출처와 무관하게 중요한 침해 이후 행위를 식별할 수 있습니다. 실제 비즈니스 영향이 있는 이벤트에 우선순위를 두므로 경보 피로도가 감소합니다.
SentinelOne 데모 요청을 통해 Singularity가 ARP 기반 횡적 이동을 탐지하고 자율 대응으로 자격 증명 탈취를 차단하는 방법을 확인해보십시오.
핵심 요약
ARP의 인증 없는 설계는 변하지 않습니다. 방어를 위해서는 스위치 수준의 DHCP 스누핑 및 Dynamic ARP Inspection, 공격을 격리하는 네트워크 분할, 예방이 놓치는 부분을 포착하는 행위 기반 분석 등 계층화된 통제가 필요합니다.
DHCP 스누핑을 먼저 활성화한 후 DAI를 적용하는 등 순차적으로 통제를 배포하십시오. DAI 로그를 SIEM에 연동하여 엔드포인트 텔레메트리와 상관 분석하십시오. 일부 세그먼트는 보호가 부족할 수 있음을 인정하고, 이에 맞는 탐지 역량을 구축해야 합니다. 프로토콜 취약점은 프로토콜 수정이 아닌 아키텍처적 보안을 요구합니다.
자주 묻는 질문
이 용어들은 동일한 공격을 설명합니다: 위조된 ARP 메시지가 정상적인 캐시 항목을 덮어씁니다. 보안 문헌에서는 이 두 용어를 혼용하여 사용합니다. 둘 다 프로토콜의 인증 부재를 악용하여 잘못된 IP와 MAC 주소 바인딩을 주장함으로써 트래픽을 우회시킵니다.
능동 스푸핑은 DAI가 차단할 수 있는 ARP 트래픽을 생성하며, 중독된 캐시의 수동 관찰은 현재 캐시 항목을 신뢰할 수 있는 바인딩 데이터베이스와 비교해야 합니다.
ARP는 로컬 네트워크 브로드캐스트 도메인 내에서 2계층에서 동작하며, 주로 온프레미스 및 프라이빗 클라우드 네트워크에 영향을 미칩니다. 퍼블릭 클라우드 가상 네트워크는 다른 아키텍처적 격리 메커니즘과 대체 보안 접근 방식을 사용합니다.
그러나 온프레미스와 퍼블릭 클라우드 아키텍처를 모두 포함하는 하이브리드 환경에서는 서로 다른 보안 모델에 맞춘 보호 전략이 필요하며, 적절한 네트워크 분리가 유지되지 않을 경우 온프레미스 구간에서의 공격이 클라우드 리소스에 대한 접근으로 이어질 수 있습니다.
DAI의 성능 영향은 네트워크 아키텍처와 트래픽 패턴에 따라 달라집니다. 최신 관리형 스위치는 하드웨어 ASIC에서 검사를 처리하므로 영향이 거의 없습니다. DAI는 중요한 세그먼트부터 시작하여 VLAN 전체에 점진적으로 활성화하고, 배포 확장 전에 검사율과 CPU 지표를 측정하여 용량을 검증해야 합니다.
최대 트래픽 시간대에 기준 ARP 트래픽을 모니터링하여 환경에 적합한 속도 제한을 설정하세요.
IPv6 도입이 엔터프라이즈 네트워크에서 증가하고 있지만, 대부분의 조직은 IPv4와 IPv6를 모두 운영하는 듀얼 스택 환경을 유지하고 있습니다. NIST SP 800-215는 이 장기 전환 기간 동안 엔터프라이즈 보안 아키텍처가 IPv4 네트워크에 대한 2계층 보안 제어를 고려할 것을 권장합니다. Dynamic ARP Inspection과 같은 ARP 보호 메커니즘은 계속 필요합니다.
로컬 네트워크의 공격자는 네트워크 접근 권한을 얻은 후 몇 초 만에 쉽게 구할 수 있는 도구를 사용해 ARP 캐시를 오염시킬 수 있습니다. RFC 826 및 IEEE 연구에 따르면 이 공격은 복잡한 익스플로잇 없이, 로컬 브로드캐스트 도메인에 위조된 ARP 패킷을 전송할 수 있는 능력만 있으면 가능합니다.
프로토콜의 신뢰 없는 설계에 존재하는 취약점은 ARP 보안에 예방적 2계층 제어가 필수적인 이유를 강조합니다.
동적 ARP 엔트리는 ARP 응답에서 자동으로 학습되며, 운영 체제에 따라 일반적으로 2~20분의 타임아웃 후 만료됩니다. 정적 ARP 엔트리는 관리자가 수동으로 구성하며 명시적으로 제거될 때까지 유지됩니다.
정적 엔트리는 중요 인프라 장치에 대한 ARP 캐시 오염을 방지하지만, 하드웨어 변경이나 IP 주소 재할당 시 수동 유지 관리가 필요합니다.
