중간자 공격 (MITM, Man-in-the-Middle Attack)

중간자 공격 (MITM, Man-in-the-Middle Attack)

통신하는 두 당사자 사이에 공격자가 끼어들어 전달되는 데이터를 도청·변조·가로채는 공격으로, 양측은 정상 통신으로 인식

목적: 통신 내용 도청, 데이터 변조, 인증 정보 탈취

특징: 투명한 중간 위치, 양방향 트래픽 제어, 실시간 도청/변조 가능

공격 기법

• •ARP Spoofing: 위조 ARP 응답으로 MAC 주소 테이블 오염, LAN 내 트래픽 가로채기
• •DNS Spoofing: 위조 DNS 응답으로 피해자를 가짜 사이트로 유도
• •SSL Stripping: HTTPS 연결을 HTTP로 다운그레이드, 평문 통신 강제
• •가짜 AP(Evil Twin): 동일 SSID의 악성 WiFi AP 설치, 연결된 사용자 트래픽 도청
• •HTTPS Interception: 위조 인증서 발급, 프록시를 통한 TLS 복호화/재암호화

방어 기법

• •TLS/HTTPS 강제: HSTS(HTTP Strict Transport Security), TLS 1.3
• •PKI/인증서 검증: 신뢰된 CA 인증서만 허용, CT(Certificate Transparency)
• •인증서 피닝(Certificate Pinning): 서버 인증서/공개키 고정, 위조 인증서 차단
• •Dynamic ARP Inspection(DAI): 스위치에서 ARP 검증
• •DNSSEC: DNS 응답 서명 검증

적용사례: 공공 WiFi 공격, 기업 네트워크 침투, 금융 거래 가로채기

비교: MITM(실시간변조/양방향) vs 스니핑(수동도청/단방향) vs 리플레이(재전송/시간차)

연관: ARP Spoofing, TLS, PKI, 네트워크 보안, 스니핑