Adversary-in-the-Middle (AITM) 공격은 양측을 모두 사칭하는 정교한 형태의 중간자(MITM) 공격입니다. 본 가이드는 AITM 공격의 작동 방식, 위험성, 탐지 및 방지 전략을 살펴봅니다.
강력한 인증과 암호화의 중요성에 대해 알아보세요. AITM 공격을 이해하는 것은 조직이 사이버 보안 방어 체계를 강화하는 데 필수적입니다.
중간자 공격(AitM) 개요
AitM 공격은 수동적인 도청을 넘어 데이터와 통신을 적극적으로 조작하는 능동적 개입이 특징입니다. 이로 인해 사이버 보안 환경에서 강력한 위협으로 작용합니다.
AitM 공격의 개념은 두 당사자 간 통신을 가로채는 수단으로 처음 등장한 MitM 공격의 역사적 발전에 뿌리를 두고 있습니다. 초기 MitM 공격은 보안되지 않은 Wi-Fi 네트워크나 암호화되지 않은 이메일 트래픽과 같은 암호화되지 않은 통신 채널을 도청하는 경우가 많았습니다. 이러한 공격은 전송 중인 콘텐츠를 반드시 변조하지 않으면서도 데이터 기밀성을 침해하는 것을 목표로 했습니다.
오늘날 AitM 공격은 매우 정교하고 악의적으로 진화했습니다. 다음과 같은 다양한 형태로 나타날 수 있습니다:
- 인증 정보 탈취 – AitM 공격자는 사용자 이름과 비밀번호 같은 로그인 자격 증명을 가로채 계정 및 민감한 시스템에 무단 접근할 수 있습니다.
- 데이터 조작 – 이러한 공격자는 전송 중인 데이터 패킷의 내용을 수정하여 정보를 변경하거나 합법적인 데이터 흐름에 악성 코드를 삽입할 수 있습니다.
- 도청 – AitM 공격은 종종 능동적인 조작을 수반하지만, 스파이 활동이나 데이터 도용을 위해 민감한 통신을 수동적으로 도청할 수도 있습니다.
- 피싱 & 스푸핑 – AitM 공격은 합법적인 기관을 사칭하여 피해자를 속여 민감한 정보를 유출하거나 사기 거래에 참여하도록 유도할 수 있습니다.
- 악성코드 전달 – 경우에 따라 AitM 공격자는 자신의 위치를 이용하여 악성 소프트웨어 업데이트나 페이로드를 전달하여 대상 시스템을 손상시킬 수 있습니다.
AitM 공격의 중요성은 심각한 피해를 초래할 수 있는 잠재력에 있습니다. 이러한 공격은 데이터 무결성을 훼손하고, 개인 정보를 침해하며, 신원 도용을 용이하게 하고, 금융 사기를 가능하게 할 수 있습니다. 금융, 의료, 정부 등 핵심 분야에서 AitM 공격은 광범위한 영향을 미치는 치명적인 보안 침해로 이어질 수 있습니다.
중간자 공격(AitM) 작동 방식 이해
AitM 공격에서 악의적 행위자는 데이터 또는 통신 송신자와 수신자 사이에 전략적으로 위치합니다. 이 위치는 공격자가 양측 간에 전달되는 트래픽을 가로채거나 조작하거나 재전송할 수 있게 합니다. 이는 네트워크 장치 침해, 취약점 악용, 기타 수단을 통한 네트워크 침투 등 다양한 방법으로 달성될 수 있습니다.
전략적 위치에 진입한 공격자는 피해자와 목적지 사이를 오가는 데이터 트래픽을 가로챕니다. 이러한 가로채기는 네트워크 계층(예: 악성 프록시 서버를 통한 트래픽 라우팅), 전송 계층(예: TCP/IP 연결 가로채기), 심지어 애플리케이션 계층(예: HTTP 요청 및 응답 조작)을 포함한 다양한 통신 계층에서 발생할 수 있습니다.
능동적 조작
AitM 공격의 특징은 가로챈 데이터를 능동적으로 조작한다는 점입니다. 공격자는 패킷 내용을 수정하거나, 악성 페이로드를 삽입하거나, 전송 중인 데이터를 변경할 수 있습니다. 이러한 조작은 여러 형태로 나타납니다:
- 콘텐츠 수정 – 공격자는 메시지, 파일 또는 데이터 패킷의 내용을 변경하여 악성코드나 사기 정보와 같은 악성 콘텐츠를 삽입할 수 있습니다.
- 데이터 유출 – AitM 공격자는 가로챈 트래픽에서 로그인 자격 증명, 금융 데이터 또는 기밀 문서와 같은 민감한 정보를 빼낼 수 있습니다.
- 페이로드 주입 – 악성코드나 랜섬웨어와 같은 악성 페이로드를 정상적인 데이터 흐름에 주입하여 원격 코드 실행이나 시스템 추가 침해를 가능하게 할 수 있습니다.
세션 하이재킹
AitM 공격자는 피해자와 합법적인 엔드포인트 간에 설정된 통신 세션을 탈취할 수 있습니다. 이는 세션 토큰이나 쿠키를 탈취하는 것을 포함하며, 이를 통해 피해자를 사칭하여 보안 시스템이나 계정에 무단 접근할 수 있습니다.
피싱 및 스푸핑
AitM 공격자는 자신의 위치를 이용해 웹사이트, 이메일 서버, 로그인 포털 등 신뢰할 수 있는 주체를 사칭할 수 있습니다. 이를 통해 피해자를 속여 민감한 정보를 유출하거나 무단 거래를 시작하는 등 사기 행위에 가담하도록 할 수 있습니다.
암호화 우회
통신이 암호화된 경우(예: 웹 트래픽에 HTTPS 사용), AitM 공격자는 종종 암호화를 우회하는 기술을 사용합니다. 여기에는 합법적인 보안 인증서를 자신들의 것으로 대체하거나, 브라우저 내 공격(Man-in-the-Browser Attack)을 수행하거나, 암호화 취약점을 악용하는 것이 포함될 수 있습니다.
데이터 유출 및 지속성
공격자가 목표를 달성한 후에는 훔친 데이터를 유출하거나 침해된 네트워크 내에서 지속성을 유지할 수 있습니다. 이러한 지속성을 통해 공격자는 장기간에 걸쳐 데이터를 계속 모니터링, 조작 또는 유출할 수 있습니다.
심층적인 위협 인텔리전스 확보
SentinelOne 위협 추적 서비스 WatchTower가 어떻게 더 큰 인사이트를 확보하고 공격에 대응하는 데 도움이 되는지 알아보세요.
자세히 알아보기중간자 공격(AitM)의 사용 사례 탐구
중간자 공격(AitM)은 다양한 분야에서 여러 실제 사용 사례로 나타나 강력한 사이버 보안 위협으로서 그 중요성을 강조하고 있습니다. 이러한 정교한 공격은 데이터 유출, 개인정보 침해, 재정적 손실 및 개인과 조직에 심각한 피해를 초래할 수 있습니다.
- 금융 사기 – AitM 공격은 온라인 뱅킹 및 금융 기관을 표적으로 삼아 사용되었습니다. 악의적인 행위자들은 은행 거래를 가로채고, 수취인 계좌 정보를 조작하며, 자금을 사기 계좌로 재전송합니다. 이는 개인과 기업 모두에게 상당한 재정적 손실을 초래할 수 있습니다.&
- 전자상거래 조작 – 공격자는 AitM 기법을 악용하여 전자상거래 거래를 변경하고, 수취인의 결제 정보를 조작하여 자금을 자신의 계좌로 재전송할 수 있습니다. 이러한 유형의 조작은 탐지하기 어려울 수 있으며, 온라인 소매업체와 고객에게 금전적 손실을 초래할 수 있습니다.
- 데이터 절도 및 스파이 활동&> – AitM 공격은 산업 스파이 활동 및 데이터 도난에 자주 사용됩니다. 사이버 범죄자들은 조직 내의 민감한 통신을 가로채 기밀 문서, 영업 비밀 또는 지적 재산을 추출합니다. 도난당한 데이터는 다크 웹에서 판매되거나 경쟁 우위를 점하기 위해 사용될 수 있습니다.
- 개인 정보 침해 – AitM 공격은 개인의 인터넷 활동을 가로채고 감시함으로써 개인의 프라이버시를 침해할 수 있습니다. 공격자는 민감한 개인 정보를 수집하고, 온라인 행동을 감시하며, 심지어 사적인 메시지를 가로채 사용자의 기밀성을 훼손할 수 있습니다.
기업들이 중간자 공격(AitM)으로부터 어떻게 방어하고 있는가?
AitM 공격을 방어하기 위해 조직과 개인은 강력한 암호화 기술을 적용하고, 안전한 통신 채널을 사용하며, 다중 요소 인증(MFA)을 구현해야 합니다. 이상한 네트워크 활동 감지, 무단 접근 모니터링, 진화하는 위협 벡터에 대한 정보 습득에 대한 경계는 오늘날 사이버 보안 환경에서 AitM 공격에 대한 효과적인 방어 전략의 필수 요소입니다.
AitM 공격 방어에는 다각적인 접근이 필요합니다:
- 암호화 및 보안 프로토콜 – 전송 중인 데이터에 강력한 암호화를 구현하고 HTTPS 및 VPN과 같은 보안 통신 프로토콜을 채택하면 도청 및 데이터 가로채기로부터 보호할 수 있습니다.
- 인증 기관(CA) – 기업은 신뢰할 수 있는 인증 기관(CA)을 통해 디지털 인증서를 발급하여 공격자가 악성 인증서로 대체할 위험을 줄입니다.
- 네트워크 세분화 – 네트워크 세그먼트를 분리하면 공격자의 측면 이동을 제한하여 네트워크 내에서 AitM 위치를 확보하기 어렵게 만듭니다.&
- 보안 인식 교육 – 직원들에게 피싱 시도, 악성 웹사이트, 의심스러운 통신을 인식하도록 정기적으로 교육을 실시하면 사회공학적 기법으로 시작된 AitM 공격을 방지할 수 있습니다.
- 다중 요소 인증 (MFA) — MFA는 여러 형태의 인증을 요구하여 추가적인 보안 계층을 추가함으로써, 인증 정보가 유출된 경우에도 무단 접근의 위험을 줄여줍니다.
- 침입 탐지 시스템(IDS) – IDS 및 침입 방지 시스템(IPS)은 네트워크 트래픽과 행동 패턴을 모니터링하여 AitM 공격을 식별하고 차단하는 데 도움이 될 수 있습니다.
- 정기적인 소프트웨어 업데이트 – 시스템과 소프트웨어를 최신 보안 패치로 최신 상태로 유지하면 공격자가 악용할 수 있는 취약점을 완화할 수 있습니다.
- 보안 모니터링 – AitM 공격을 나타내는 비정상적인 네트워크 활동이나 의심스러운 행동을 탐지하고 대응하기 위해 지속적인 보안 모니터링을 구현하십시오.
결론
공격자들의 전술이 계속 진화함에 따라, AitM 공격이 초래하는 위험을 완화하고 민감한 데이터 및 디지털 자산을 보호하기 위해서는 선제적인 보안 조치와 포괄적인 방어 전략이 가장 중요합니다. 이러한 공격의 실제적 영향을 이해하고, 강력한 보안 조치를 구현하며, 경계를 늦추지 않는 것은 개인과 조직이 점점 더 정교해지는 이러한 공격으로부터 방어하기 위한 필수적인 단계입니다.
Aitm 공격 FAQ
AitM 공격은 공격자가 통신 중인 두 당사자 사이에 위치하여 데이터를 가로채고 조작할 때 발생합니다. 공격자는 프록시 서버를 사용하여 사용자와 합법적인 웹사이트 사이에 위치함으로써 실시간으로 인증 정보와 세션 토큰을 캡처합니다. 이 기법을 통해 공격자는 활성 세션 쿠키를 훔쳐 MFA를 우회할 수 있습니다.
AitM은 중간자 공격자(Adversary-in-the-Middle)를 의미합니다. 이는 MITRE ATT&CK 프레임워크에서 위협 행위자가 두 당사자 간의 통신을 가로채는 공격에 사용되는 공식 용어입니다. 이 용어는 수동적인 도청과 비교하여 공격자의 능동적이고 악의적인 의도를 강조합니다.
MITM은 모든 가로채기 유사 공격 벡터를 지칭하는 반면, AitM은 특히 복잡한 피싱 및 사회공학적 작전을 표적으로 합니다. AitM 공격은 더 정교하며 네트워크 인프라의 능동적 조작을 수반합니다. MITM 공격은 종종 기회주의적이지만, AitM 공격은 표적화되어 있으며 안전한 인증을 우회하도록 설계되었습니다.
공격자는 합법적인 웹사이트의 설득력 있는 복제본을 생성하기 위해 역방향 웹 프록시를 사용합니다. 통신을 가로채기 위해 DNS 조작, ARP 스푸핑, 세션 하이재킹을 활용합니다. 악성 링크가 포함된 피싱 이메일을 통해 피해자를 AitM 사이트로 유도하여 인증 토큰을 탈취합니다. 또한 SSL 스트리핑 및 인증서 조작을 활용합니다.
마이크로소프트는 공격자들이 Evilginx2 피싱 키트를 사용해 Office 365 사용자를 표적으로 삼은 AitM 공격을 보고했습니다. Blackwood APT 그룹은 텐센트 QQ와 같은 애플리케이션의 소프트웨어 업데이트를 표적으로 삼기 위해 AitM을 사용했습니다. 2021년 이후 대규모 캠페인이 10,000개 이상의 조직을 표적으로 삼았습니다. 금융 서비스 및 의료 기관이 자주 표적이 됩니다.
예상치 못한 위치에서의 의심스러운 로그인 패턴과 비정상적인 인증 행동을 모니터링하십시오. 네트워크 트래픽을 분석하여 프록시 지표를 탐지하는 고급 위협 탐지 시스템을 구현하십시오. 불가능한 이동 시나리오와 기기 불일치를 탐지하기 위해 조건부 접근 정책을 사용하십시오. 피싱 사이트를 탐지하기 위해 회사 브랜딩으로 카나리아 토큰을 배포하십시오.
WebAuthn 하드웨어 토큰과 같은 피싱 방지 인증 방법을 사용하십시오. 기기 신뢰도와 위치를 평가하는 조건부 접근 정책을 구현하십시오. 수명 기간이 짧은 세션 쿠키 관리를 배포하고 사용자에게 피싱 인식에 대해 교육하십시오.
네트워크 분할을 사용하고 비정상적인 인증 패턴에 대한 지속적인 모니터링을 수행하십시오.
