IP 주소 스푸핑

3. 원리

인터넷 프로토콜(IP)은 인터넷 네트워크 및 기타 여러 컴퓨터 네트워크를 통해 데이터를 전송하기 위한 기본 프로토콜이다. 이 프로토콜에 따르면 각 IP 패킷은 패킷을 보낸 이의 IP 주소를 포함하는 헤더를 가져야 한다. 일반적으로 소스 IP 주소는 패킷을 전송한 주소이지만, 헤더 내의 보낸 이의 주소는 변경될 수 있어 수신자는 다른 소스에서 온 패킷으로 오인할 수 있다.

IP 프로토콜은 수신 컴퓨터가 소스 IP 주소로 응답을 회신하도록 요구한다. 따라서 스푸핑은 주로 보낸 이가 네트워크 응답을 예측할 수 있거나 응답에 신경 쓰지 않는 경우에 사용된다. 소스 IP 주소는 보낸 이에 대한 제한적인 정보만을 제공하며, 패킷 전송 시 지역, 도시 등의 일반적인 정보를 포함할 수 있지만, 보낸 이의 신원이나 사용된 컴퓨터에 대한 정보는 제공하지 않는다.

IP 통신에서는 정책에 따라 필터링을 수행하여 특정 IP 주소로부터의 접속만 허용하는 등의 접근 제한이 이루어지기도 한다. 그러나 송신원 IP 주소를 위조하면 이러한 접근 제한을 우회할 수 있으므로, 공격 대상 시스템에 대한 부정 접근 성공 가능성이 높아진다. 또한, 공격 대상 시스템에 남는 로그에도 위조된 IP 주소가 기록되므로, 공격자는 추적을 피할 수 있다.

원리상 인터넷 프로토콜(IP)의 패킷(IP 패킷) 헤더에는 송신자 IP 주소가 포함된다. 본래 이 IP 패킷 헤더의 송신자 IP 주소에는 패킷 송신자 자신의 IP 주소가 설정되어야 한다. 이를 통해 패킷을 수신한 측은 송신자 IP 주소를 정확히 파악하고, 해당 IP 주소에 대한 서비스 제공 여부를 결정할 수 있다. 그러나 인터넷 프로토콜의 사양상 헤더의 송신자 IP 주소는 위조가 가능하다.

광역 통신망(WAN)은 위험하지만 근거리 통신망(LAN)은 비교적 안전하다는 전제하에, 송신자 IP 주소가 LAN 내의 IP 주소인 경우 접근 제한을 약하게 하는 경우가 있다. 이 경우, IP 스푸핑을 통해 공격 대상이 접속이 허가된 LAN에서의 접근으로 오해할 수 있다. 특히 전송 제어 프로토콜(TCP) 통신은 3-웨이 핸드셰이크로 접속을 확립해야 하므로, TCP 시퀀스 번호 예측 공격 등을 병용하여 TCP 세션을 가장해야 한다. (사용자 데이터그램 프로토콜(UDP)는 비연결형 통신이므로 접속 확립 불필요)^[2]

4. 응용

IP 주소 스푸핑은 IP 주소 기반 인증과 같이 신뢰할 수 있는 IP 주소를 이용하는 네트워크 보안 조치를 우회하는 데 사용될 수 있다. 이러한 공격은 머신 간의 신뢰 관계가 존재하는 환경에서 특히 효과적이다. 예를 들어, 일부 기업 네트워크에서는 내부 시스템 간의 신뢰를 바탕으로 사용자 이름이나 비밀번호 없이 로그인할 수 있도록 허용하기도 한다. 공격자는 스푸핑을 통해 동일 네트워크 내 신뢰할 수 있는 머신에서 연결하는 것처럼 위장하여 인증 없이 대상 머신에 접근할 수 있다.^[2]

IP 주소 스푸핑은 주로 서비스 거부 공격(DoS 공격)에 사용된다.^[2] 공격자는 대량의 트래픽으로 대상을 공격하며, 스푸핑된 IP 주소를 사용하면 각 패킷이 서로 다른 주소에서 오는 것처럼 보여 공격의 실제 소스를 숨길 수 있다. 서비스 거부 공격은 스푸핑을 통해 전체 IP 주소 공간에서 무작위로 주소를 선택하지만, 더 정교한 스푸핑은 라우팅할 수 없는 주소나 사용되지 않는 IP 주소 공간을 피하기도 한다. 봇넷의 확산으로 인해 스푸핑의 중요성은 감소했지만, 여전히 공격 도구로 사용될 수 있다.

DDoS 공격에서 공격자는 IP 소스 주소를 무작위로 생성된 주소로 스푸핑하여 피해자가 스푸핑된 패킷과 정상적인 패킷을 구별하기 어렵게 만든다. 응답은 특정 위치에 도달하지 않는 무작위 주소로 전송되며, 이러한 패킷을 백스캐터라고 한다. 네트워크 텔레스코프는 백스캐터를 모니터링하여 DDoS 공격의 통계적 강도를 측정한다.^[3]

IP 스푸핑은 웹사이트 성능 테스트와 같은 악의적이지 않은 목적으로도 사용될 수 있다. 예를 들어, 수많은 가상 사용자를 생성하여 각 사용자에게 고유한 IP 주소를 할당하여 시스템 부하를 테스트할 수 있다. HP LoadRunner, WebLOAD와 같은 상용 테스트 제품이 IP 스푸핑을 지원한다.

IP 스푸핑은 일부 서버 측 로드 밸런싱에도 사용된다. 로드 밸런서는 들어오는 트래픽을 분산시키지만, 서버에서 클라이언트로의 반환 경로에는 있을 필요가 없어 네트워크 홉과 로드 밸런서의 부하를 줄일 수 있다.^[4][5]

IP 통신에서 부정 접근 방지를 위해 정책에 따른 필터링을 수행하는 경우가 많다. "특정 IP 주소로부터의 접속만 가능"과 같은 접근 제한을 우회하기 위해 송신원 IP 주소를 위조할 수 있다. 이는 공격 대상 시스템에 남는 로그에도 위조된 IP 주소가 기록되게 하여 추적을 어렵게 만든다.

DoS 공격(SYN 플러드, 스머프 공격, 핑 오브 데스, 핑 플러드 등)은 공격 대상의 서비스 제공을 방해하는 것이 주된 목적이다. IP 스푸핑을 이용하면 공격원을 위조하여 접근 제한 대책을 무효화하고, 진짜 공격원의 특정을 어렵게 만든다.

인터넷 프로토콜(IP)의 패킷 헤더에는 송신자 IP 주소가 포함된다. 원래는 패킷 송신자 자신의 IP 주소가 설정되어야 하지만, 인터넷 프로토콜의 사양상 헤더 부분의 송신자 IP 주소는 위조가 가능하다.

인터넷 환경에서 광역 통신망(WAN)은 위험하고 근거리 통신망(LAN)은 비교적 안전하다는 생각으로, LAN 내 IP 주소에 대해 약한 접근 제한을 가하는 경우가 있다. 공격자는 WAN에서의 접근임에도 패킷 헤더의 송신자 IP 주소에 LAN 내 IP 주소를 지정하여 접근 제한을 우회할 수 있다. 하지만 전송 제어 프로토콜(TCP) 통신의 경우 3-웨이 핸드셰이크로 접속(커넥션)을 확립해야 하므로, TCP 시퀀스 번호 예측 공격 등을 병용하여 전송 제어 프로토콜(TCP) 세션을 가장해야 한다. (사용자 데이터그램 프로토콜(UDP)는 비연결형 통신이므로 접속(커넥션) 확립이 불필요하다.)

DoS 공격에서는 세션 확립과 같은 과정이 필요 없으므로, 공격원을 사칭한 패킷을 사용하는 것만으로 접근원을 특정하거나 제한하기 어렵게 된다.

5. IP 스푸핑에 취약한 서비스

• RPC (원격 프로시저 호출) 서비스
• IP 주소 인증을 사용하는 모든 서비스
• X 윈도 시스템
• R 서비스 스위트 (Rlogin, rsh 등)

6. 스푸핑 공격에 대한 방어

패킷 필터링은 IP 스푸핑 공격에 대한 방어 수단 중 하나이다. 네트워크 게이트웨이는 일반적으로 인그레스 필터링 및 이그레스 필터링을 수행한다. 인그레스 필터링은 네트워크 외부에서 들어오는 패킷 중 내부 네트워크 주소를 가진 패킷을 차단하여 외부 공격자가 내부 시스템 주소를 스푸핑하는 것을 방지한다. 이그레스 필터링은 네트워크 내부에서 나가는 패킷 중 내부 네트워크에 속하지 않은 주소를 가진 패킷을 차단하여 내부 공격자가 외부 시스템에 대한 IP 스푸핑 공격을 수행하는 것을 막는다.^[6]

침입 탐지 시스템(IDS)은 네트워크를 통해 데이터를 공유하는 환경을 보호하는 데 사용되며, 호스트 기반 IDS 접근 방식도 존재한다.^[6]

네트워크 프로토콜 및 서비스를 설계할 때는 인증에 소스 IP 주소에 의존하지 않도록 하는 것이 좋다. 일부 상위 계층 프로토콜은 자체적인 방어 기능을 갖추고 있다. 예를 들어, 전송 제어 프로토콜(TCP)은 원격 장치와 협상된 시퀀스 번호를 사용하여 도착하는 패킷이 설정된 연결의 일부인지 확인한다. 공격자는 응답 패킷을 볼 수 없기 때문에 연결을 가로채려면 시퀀스 번호를 추측해야 하는데, 이는 쉽지 않다.

7. 대책

RFC1948^[7]에서 제시된 대책은 최근 시스템에 대부분 적용되어 TCP 시퀀스 번호 예측 공격을 방어한다. 오래된 시스템의 경우, IPSec 등 암호화된 프로토콜을 사용하여 보안을 강화할 수 있다.

광역 통신망(WAN)과 근거리 통신망(LAN) 경계의 라우터에서 필터링 규칙을 강화하여 IP 스푸핑이 의심되는 패킷을 차단할 수 있다. 예를 들어, WAN에서 LAN으로 들어오는 패킷의 송신자와 수신자가 모두 LAN 내 IP 주소를 가진 경우, 이는 IP 스푸핑으로 간주될 수 있다. 또한, 루프백 디바이스 외의 장치에서 localhost 송신자 IP 주소를 가진 패킷이 발견되면, 이 역시 IP 스푸핑으로 의심된다. IPv6에서는 localhost 수신자 IP 주소를 가진 IPv6 패킷을 라우터가 전송해서는 안 된다고 RFC3513에 명시되어 있다.^[8]

DoS 공격 발생 시 공격자 IP 주소를 특정하기 위해, IP 패킷에 경유 라우터 정보를 포함시키거나, 각 라우터가 통과 패킷의 해시 값을 축적하는 방법 등이 연구되었지만, 패킷 전송 시 오버헤드 등의 문제로 현실적이지 않다.

IP 주소 관리자는 BGP에서 광고되지 않은 IP 주소 대역이 공격자에게 악용될 수 있으므로 적절한 설정을 해야 한다.^[9]

8. 기타 정의

'''스푸핑'''이라는 용어는 이메일 스푸핑 또는 넷뉴스 헤더에 허위 또는 오해의 소지가 있는 정보를 삽입하는 ''헤더 위조''를 지칭하는 데에도 사용된다.^[1] 위조된 헤더는 메시지 수신자 또는 네트워크 응용 프로그램이 메시지의 출처를 오해하도록 하는데 사용된다.^[1] 이는 추적을 피하기 위해 메시지 출처를 숨기려는 스팸 발송자 및 스포저리의 일반적인 기술이다.^[1]

참조

_[1] 웹사이트 IP Spoofing: An Introduction https://community.br[...] Symantec 2015-09-25
_[2] 논문 NAT++: An Efficient Micro-NAT Architecture for Solving IP-Spoofing Attacks in a Corporate Network 2020-09-14
_[3] 웹사이트 GRIN – Today's Impact on Communication System by IP Spoofing and Its Detection and Prevention https://www.grin.com[...] 2020-07-21
_[4] 웹사이트 Network Dispatcher: A Connection Router for Scalable Internet Services https://www.ra.ethz.[...]
_[5] 웹사이트 Dispatcher component https://www.ibm.com/[...]
_[6] 웹사이트 What is an Intrusion Detection System (IDS)? {{!}} IBM https://www.ibm.com/[...] 2024-11-04
_[7] 문서 RFC1948 http://www.ietf.org/[...]
_[8] 문서 RFC3513 http://www.ietf.org/[...]
_[9] 문서 Navigating the Complexities of BGP: Enhancing Security, Visibility, and Operability https://labs.ripe.ne[...] RIPE labs
_[10] 웹인용 IP Spoofing: An Introduction http://www.symantec.[...] Symantec 2015-09-25