중간자 공격(MITM, Man-in-the-Middle)은 통신 당사자 사이에 공격자가 몰래 개입하여 정보를 가로채거나 조작하는 네트워크 기반 공격 기법이다. 사용자와 서버가 직접 통신한다고 믿는 동안, 공격자가 중간에서 데이터를 읽거나 변경할 수 있다.

개념

MITM 공격은 다음과 같은 구조로 작동한다:

• 사용자 → 공격자 → 서버
• 사용자와 서버는 서로 직접 연결되었다고 생각하지만, 실제로는 공격자가 중간자로 개입하여 정보를 중계하거나 변조함

공격자는 다음을 수행할 수 있다:

• 로그인 정보, 카드 번호 등 민감한 정보 탈취
• 암호화되지 않은 트래픽 감청
• 데이터 조작 또는 삽입

주요 기법

• ARP 스푸핑
  • 로컬 네트워크에서 ARP(Address Resolution Protocol) 응답을 위조하여 트래픽을 가로채는 방식

• DNS 스푸핑
  • 도메인 이름에 대한 잘못된 IP 주소를 응답해 악성 사이트로 유도

• HTTPS 다운그레이드
  • 사용자의 접속을 HTTP로 유도하여 암호화되지 않은 데이터를 가로챔

• SSL 중간자 프록시
  • TLS 인증서를 위조하거나 프록시 서버를 통해 암호화된 통신을 해독

• Wi-Fi 핫스팟 공격
  • 공격자가 개방형 Wi-Fi를 구축해 피해자의 트래픽을 유도 후 분석

예시 시나리오

1. 사용자가 커피숍에서 Wi-Fi에 접속 2. 해당 Wi-Fi는 공격자가 조작한 AP 3. 사용자가 은행 사이트에 로그인 4. 공격자가 중간에서 ID/비밀번호를 가로챔

방어 방법

• HTTPS 및 SSL/TLS 사용 → 통신 암호화
• 공인 인증서 검증 → 중간자의 위조 방지
• VPN 사용 → 전체 트래픽을 안전한 터널로 암호화
• 공개 와이파이 회피 또는 신뢰되지 않은 네트워크에서 민감 정보 입력 금지
• ARP/DNS 보안 강화 및 방화벽 사용

관련 공격

• 피싱: 사용자로부터 정보를 직접 유도
• 세션 하이재킹: 인증된 세션을 탈취
• DNS 스푸핑: 도메인→IP 매핑을 공격자가 조작

같이 보기

• HTTPS
• ARP 스푸핑
• DNS
• 네트워크 보안
• 공개키 암호화
• 패킷 스니핑

참고 문헌

• OWASP. Man-in-the-Middle Attack. https://owasp.org/www-community/attacks/Man-in-the-middle_attack
• Kurose, J. F., & Ross, K. W. (2020). Computer Networking: A Top-Down Approach. Pearson
• 한국인터넷진흥원(KISA). 네트워크 보안 가이드