오늘날 해커들이 중간자 공격(MITM)을 어떻게 사용하는가

우리는 대부분의 의사소통, 거래, 심지어 사회적 상호작용이 온라인에서 이루어지는 디지털 시대에 살아가고 있습니다. 그러나 배후에는 정교한 위협이 도사리고 있으며, 중간자 공격(MITM)은 가장 교활한 위협 중 하나로 꼽힙니다. 현대 해커들은 구식 관행과 기술 발전을 모두 악용하여 그들의 수법을 다듬었습니다. 오늘날 MITM 공격이 어떻게 작동하는지 이해하는 것은 데이터 보안에 관심이 있는 기업과 개인 모두에게 매우 중요합니다.

중간자 공격의 해부학

중간자 공격은 개념상 속임수처럼 단순합니다: 공격자가 두 당사자가 서로 직접 소통하고 있다고 믿는 사이의 통신을 은밀히 가로채고 필요하면 수정합니다. 사이버 범죄자들이 MitM 공격을 수행하는 주요 방법은 여러 가지가 있습니다:

• 패킷 스니핑: 암호화되지 않은 데이터를 포착하기 위해 보안에 취약한 Wi‑Fi 네트워크를 모니터링합니다.
• 세션 하이재킹: 사용자와 웹 서비스 간의 세션을 탈취합니다.
• DNS 스푸핑: DNS 캐시를 손상시켜 웹사이트의 트래픽을 악성 사이트로 리디렉션합니다.
• SSL 스트리핑: 보안 HTTPS 연결을 암호화되지 않은 HTTP로 강등합니다.

예를 들어 2023년의 한 주목할 만한 사건에서 공격자들은 'Free_Airport_WiFi'라는 이름의 가짜 액세스 포인트를 설치했습니다. 무심코 연결한 여행자들의 데이터—자격 증명과 금융 정보 포함—은 실시간으로 조용히 탈취되었습니다.

진화하는 전술: 현대 MITM 공격 기법

2024년의 온라인 보안 연구는 MITM 공격이 고정적이지 않으며 기법이 계속 진화하고 있음을 보여줍니다. 오늘날의 해커들은 Bettercap과 Evilginx2와 같은 고급 도구 묶음을 활용해 복잡한 가로채기 루틴을 자동화합니다. 주요 혁신은 다음과 같습니다:

• 자동 자격 증명 수집: 공격 도구들은 이제 합법적인 사이트를 적극적으로 흉내 내고 가로챈 세션에서 자격 증명을 추출합니다. Evilginx2는 예를 들어 사용자의 세션을 프록시해 2단계 인증(2FA)을 우회하는 데 인기가 있습니다.
• IoT 기기 악용: 사물인터넷(IoT) 기기는 종종 구식 펌웨어를 실행하고 보안에 취약한 프로토콜로 통신하므로 로컬 네트워크에 숨어 있는 공격자들에게 쉽게 표적이 됩니다.
• 모바일 중간자(MiTM) 앱: 악성 모바일 앱은 백그라운드에서 연결을 시작해 사용자의 로그인 정보를 가로채 공격자의 서버로 전송할 수 있습니다.

IBM의 2023년 연구에 따르면 IoT 기기의 75% 이상이 강력한 암호화를 갖추지 못해 기업이 내부 네트워크에서 가로채임에 의도치 않게 취약해진다고 밝혔습니다.

실제 사례 연구: MITM 작동 사례

구체적인 사건들은 MITM 공격의 심각성을 강조합니다. 2022년 말, 유럽의 다수 은행 고객들이 무단 송금을 보고했습니다. 이후의 조사에서 정교한 MITM 캠페인이 드러났습니다:

1. 피싱 SMS: 은행으로부터 온 것처럼 보이는 문자 메시지를 받아 가짜 포털에 로그인하도록 유도당했습니다.
2. 세션 프록시화: 사용자가 자격 증명을 입력하면 공격자들은 Evilginx2를 사용해 세션 쿠키를 캡처했습니다. 단순히 사용자 이름과 비밀번호를 훔치는 것을 넘어서 전체 세션을 탈취하고 2FA 보호를 우회했습니다.
3. 조용한 거래: 피해자들이 로그인한 상태인 동안 공격자들이 송금을 실행했고, 계좌가 고갈될 때까지 아무런 점을 알아차리지 못했습니다.

이 현대적 MITM 공격 형태는 수동적 도청을 넘어 사용자 계정과 세션의 적극적 조작으로 나아가고 있어 특히 위험합니다.

HTTPS: 양날의 검

수년간 보안 전문가들은 MITM 공격을 막기 위해 HTTPS의 사용을 권고해 왔습니다. 그러나 공격자들은 적응해 왔고, 이 과정을 흔히 SSL 스트리핑이라고 부릅니다. 작동 방식은 다음과 같습니다:

1. 가로채고 다운그레이드: 사용자가 HTTPS로 사이트에 접속하려고 할 때, MITM 공격자는 이 초기 핸드셰이크를 가로채고 HTTP로 다운그레이드합니다.
2. 가짜 SSL 인증서: SSLsplit과 같은 도구는 피해자에게 가짜 로컬 인증서를 제시해 통신을 도청에 열어줍니다.
3. 데이터 수집: 브라우저 경고가 없고(인증서가 올바르게 검증되지 않는 경우), 로그인 자격 증명과 같은 민감한 데이터가 공격자에게 직접 흐릅니다.

공격자들은 또한 **악성 인증 기관(CAs)**를 사용하기도 하며, 종종 시스템을 감염시켜 브라우저가 악성 인증서를 신뢰하도록 만듭니다. 이로써 그들은 트래픽을 해독하고 다시 암호화해 피해자에게 보이지 않게 만듭니다. 구글은 2023년에 신뢰할 수 없는 CA에 의한 SSL 차단의 징후가 검열 지역이나 사이버범죄 활동이 활발한 지역에서 전체 웹 트래픽의 거의 5%에 달한다고 보고했습니다.

공용 와이파이 탈취: 여전히 현역인 고전

MitM 공격이 점차 정교해졌음에도 불구하고 공용 Wi‑Fi의 위험은 시간의 시험을 견뎌왔습니다. 공격자들은 일반적으로 다음을 설정합니다:

• 에빌 트윈 액세스 포인트(Evil Twin): 진짜 공용 Wi‑Fi의 이름과 거의 동일합니다.
• 캐피티브 포털 공격: 실제 로그인 스플래시 화면을 표시해 사용자 자격 증명을 캡처한 뒤 인터넷 접속을 제공합니다.
• ARPSpoofing: 클라이언트를 격리하지 않는 네트워크에서 공격자가 ARP 캐시 테이블을 오염시켜 모든 트래픽이 먼저 자신의 장치를 거치도록 만듭니다.

시만텍에 따르면 2019년에는 미국 사용자의 거의 40%가 공용 Wi‑Fi를 통해 개인 또는 업무용 이메일에 접속했습니다. 오늘날 많은 기관이 VPN 사용을 강제하지만 개인의 실천은 종종 뒤처집니다.

Tip: 공용 Wi‑Fi를 통해 금융 계정이나 업무 관련 계정에 로그인하지 마십시오. 강력한 암호화 프로토콜로 잘 구성된 VPN을 사용하지 않는 한 특히 그렇습니다.

기업 스파이 활동: 비즈니스 세계의 MITM

사이버 범죄자와 국가 후원 그룹에게 기업은 매력적인 표적입니다. MitM 공격은 다음과 같이 활용될 수 있습니다:

• 지적 재산권 가로채기: 운송 중인 제품 설계, 비즈니스 계획, 또는 재무 데이터를 전송 중에 훔칩니다.
• 암호화된 메시징 무력화: 엔드 투 엔드로 보이는 메신저 서비스도 교환 순간에 세션 키나 엔드포인트가 조작되면 취약할 수 있습니다.

예: 2022년에 한 아시아 통신 회사가 내부 스위치의 취약점을 악용해 침해되었습니다. 암호화되지 않은 관리 트래픽으로 그들은 데이터를 재경로시키고 가로챘으며, 그 결과 다수의 수백만 달러 손실이 발생했습니다.

비즈니스 팁: 네트워크 분리, 상호 TLS 인증, 모든 네트워크 관리 인터페이스가 엄격히 격리되고 암호화되도록 보장하십시오(예: SSH 사용 또는 IP 화이트리스트로 제한된 VPN).

가로챈 이메일: 송금 사기와 피싱

이메일은 주요 벡터로, 특히 다량의 송금 요청이 있는 비즈니스 환경에서 더욱 그렇습니다. 현대 범죄자들은 다단계 공격을 다듬었습니다:

1. 비즈니스 이메일 침해(BEC): 공격자는 피싱이나 이전 MitM 노출을 통해 기업 이메일에 접근합니다.
2. 대화 탈취: 내부에 들어간 후, 이들은 이전 송장 트래픽을 관찰하고 양식과 반복되는 재무 세부 정보를 모방합니다.
3. 지급 유도: 업데이트된 지시나 긴급 이체를 요청하는 가짜 이메일이 보내지며, 합법적인 당사자들은 그들의 서신이 읽히거나 지연되고 있음을 모릅니다.

FBI의 2023년 인터넷 범죄 보고서는 글로벌 BEC 관련 손실이 27억 달러를 넘는다고 밝히며, 많은 사례가 도청된 커뮤니케이션이나 세션 하이재킹의 요소를 포함하고 있으며, 단순 스피어 피싱뿐이 아닙니다.

사회공학의 역할

기술적 역량만으로 MITM 성공을 보장하기 어렵습니다. 사회공학—사람들을 설득해 접근 권한을 얻거나 의심을 분산시키는 행위—은 여전히 중심적입니다:

• 프리텍스팅(Pretexting): IT 관리자로 가장하고 대상이 특별히 제작된 링크를 통해 가짜 회사 포털에 로그인하도록 요청합니다.
• 와이파이 지원자 행세: 물리적으로 가까이에 있는 공격자가 사용자가 온라인에 접속하도록 돕겠다고 제안해, 사용자를 악성 액세스 포인트에 연결하도록 유도합니다.
• 가짜 앱 업데이트: 사용자를 속여 악성 인증서를 설치하고, 그로써 모든 트래픽을 해독한 뒤 다시 암호화합니다.

이러한 기술은 네트워크 수준의 공격과 결합될 때 비기술적 진입 포인트가 얼마나 파괴적일 수 있는지 보여줍니다.

대책: 2024년에도 보호 유지하기

위협 환경이 계속 움직이더라도, 몇 가지 실행 가능한 조치가 견고한 방어를 제공합니다:

• 항상 HTTPS 사용: 웹사이트에 접속할 때 HTTPS와 유효한 인증서를 철저히 확인하세요. 현대 브라우저는 의심스러운 인증서에 대한 시각적 신호와 경고를 제공합니다—예외 없이 이를 주의하십시오.
• VPN을 전략적으로 활용: 가상 사설망은 디바이스에서 원격 엔드포인트까지 데이터를 암호화하여 인터셉트를 훨씬 어렵게 만듭니다. 특히 공용 Wi‑Fi에서 그렇습니다.
• 다단계 인증(MFA) 강화: 고급 MITM 도구는 세션 쿠키를 수집하므로 SMS나 앱 기반 코드만으로는 더 이상 충분하지 않습니다. 가능하다면 하드웨어 키(FIDO2, Yubikey)를 사용하십시오. 이는 MITM 차단에 훨씬 더 강합니다.
• 네트워크 구분 및 모니터링: 기업 IT는 ARP 스푸핑, 의심스러운 인증서 이슈, 악성 액세스 포인트에 맞춰 IDS/IPS 같은 네트워크 모니터링 도구를 적용해야 합니다.
• 교육 및 정책: 정기적으로 기술 및 비기술 직원을 대상으로 사회공학 인식과 웹사이트 보안 마커 검증 교육을 시행하십시오.

주요 미국 병원 체인에서의 주목할 만한 사례로는 2021년 MitM 사건으로 민감한 환자 청구 정보가 노출된 이후 IT 부서는 필수 기기 보안 에이전트를 배치하고 모든 외부 연결에 VPN 사용을 강제했으며 주요 업무용 웹 앱에 대해 엄격한 도메인 핀닝을 도입했습니다. 그 결과 다음 해에 MitM 침해가 한 건도 발생하지 않았습니다.

양자 컴퓨팅의 신흥 위협

미래를 바라보면 MITM 공격에 의한 위협은 양자 컴퓨팅의 도입으로 더욱 커질 가능성이 있습니다. 오늘날의 암호 표준—특히 HTTPS와 VPN 프로토콜을 뒷받침하는 표준—은 이론적으로 양자 공격에 취약하여 가로챈 데이터를 해독할 수 있습니다.

보안 연구자들은 지금도 국가가 지원하는 행위자들이 방대한 양의 암호화된 트래픽을 수집해 양자 컴퓨터가 성숙해지면 이를 복호화하기 위해 저장하고 있을 수 있다고 예측합니다. 이 개념은 **“지금 훔치고 나중에 복호화”**로 불리며, MITM 공격을 단지 실시간 벡터가 아니라 지속적이고 장기적인 위협으로 만듭니다.

미래 대비를 위한 팁: 기업은 포스트 양자 암호 표준을 조사하고 배포를 시작해야 하며, 널리 사용 가능해지면 NIST가 선택한 알고리즘을 채택하는 벤더들과 협력해야 합니다.

MITM 전술을 사용하는 해커를 앞서 나가려면 경계, 교육, 계층화된 기술 방어가 필요합니다. 사이버 범죄자들이 혁신하는 만큼 조직과 개인은 전략을 다듬어야 하며, 모든 네트워크 상호작용—그 것이 얼마나 일상적이더라도—신중하고 면밀한 시각으로 대해야 합니다. 대중, 기업, 기술 공급자 모두 이 지속적인 보안 퍼즐의 조각을 지니고 있으며, 가장 빠르게 적응하는 이들이 진화하는 사이버 환경에서 안전을 유지하게 될 것입니다.