카페서 와이파이 쓰다 스마트폰 가로채기 당한다?

모바일에서 공유기 통해 외부 접근시 공격자가 스마트폰 정보 가로채기 가능

[보안뉴스 김경애] 올해 1분기 주요 보안 이슈로 떠오른 바 있는 공유기 보안 문제가 좀처럼 해결되지 않고 있다. 사람들이 이용하는 카페 등 공공장소에서 공유기를 통해 무료 와이파이를 이용할 경우 모바일을 이용해 정보를 가로챌 수 있는 ARP 스푸핑(Spoofing) 공격이 가능한 것으로 드러났기 때문이다. 이에 따라 공공장소나 카페에서 와이파이 접속시 이용자들의 주의가 요구된다.

▲ 지난 18일 스푸핑 공격 테스트에서 잡힌 공유기에 연결된 PC리스트

‘ARP Spoofing 공격’은 로컬 네트워크(LAN)에서 사용하는 ARP 프로토콜의 허점을 이용해 공격자가 자신의 MAC(매체접근제어: Media Access Control) 주소를 다른 사람의 컴퓨터 MAC 주소인 것처럼 속이는 공격이다. 즉, 공격자가 공유기에 연결된 사용자의 모바일 패킷을 중간에 가로채는 공격이다.

이를 본지에 알려온 제보자는 “공격자는 해당 비밀번호로 와이파이에 접근해 와이파이의 공유기(즉, 게이트웨이 역할)에 지속적으로 공격자의 MAC 주소를 전달한다면 공유기의 ARP 캐시에 공격자의 MAC 주소가 점차 쌓이게 된다”며 “결국 ARP 캐시의 우선순위가 가장 먼저 참조되므로, 공유기에 연결되어 있는 모든 모바일에서 공유기를 통해 외부로 접근 시 공격자의 모바일을 통해 외부로 접근하게 된다”고 설명했다.

이는 1차적으로 공격자가 공공장소(카페, 영화관, 일반 음식점 등)에서 와이파이를 이용할 경우 주인이나 담당직원에게 비밀번호를 물어본다면 비밀번호를 쉽게 획득할 수 있는 점을 노린 것이다.

기자의 경우도 한 커피숍에서 ID와 비밀번호를 1234라고 표기한 용지를 지나가는 사람 누구나 볼 수 있도록 커피숍 바깥에 붙여놓은 경우를 상당수 목격한 바 있다. 게다가 일반 카페의 경우 개인사업자가 많아 보안에 대한 지식이 부족하고, 공유기 보안설정을 잘 모르는 경우가 많아 MAC 주소와 IP 매칭이 쉽지 않다. 그 만큼 공공장소에서의 와이파이 비밀번호 관리가 허술하다는 얘기다.

여기에 더 큰 문제는 공격자의 모바일을 통과하기 때문에 네트워크 중간에서 남의 패킷 정보를 도청하는 스니핑(Sniffing), 다른 사람의 세션 상태를 훔치거나 도용하여 액세스하는 세션 하이재킹(Session hijacking), 스크립트 인젝션, 리다이렉트 공격 등이 가능하다는 점이다.

리다이렉트 공격은 위조된 ARP 패킷을 보내 공격 대상의 MAC 주소 테이블을 변경해 패킷의 흐름을 변경하는 공격이다. 이는 공격자 MAC 주소와 동일하게 인식되어 공격자가 어디로 보내든 공격자 MAC 주소로 가게 된다.

이와 관련 아이온시큐리티 권대우 사원은 “사용자는 세션 하이재킹에 이용될 수 있는 모바일 로그인 페이지를 사용한 후, 반드시 로그아웃을 실행하고(세션 종료), 와이파이 접속 시 중요 결제나 프로그램은 실행하지 않는 것이 바람직하다”고 당부했다.

한국인터넷진흥원에 따르면 대부분의 경우 게이트웨이의 ARP table에 동일한 MAC 주소가 서로 다른 IP로 설정되어 있는지 확인해야 하며, 불규칙적으로 MAC 변조가 이루어질 때는 ARP 스푸핑 공격을 탐지하는 도구(XARP 등)를 활용해 모니터링을 해야 한다고 당부하고 있다. 또한, 정적으로 관리되는 시스템의 IP와 MAC 주소를 고정시킴으로써 잘못된 ARP 정보가 수신되어도 ARP 테이블이 변조되지 않도록 하는 것이 중요하다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)