MAC 스푸핑(MAC Spoofing)에 대해 알아보겠습니다.

Ⅰ. MAC 스푸핑(MAC Spoofing)이란?

 공격자가 자신의 네트워크 인터페이스 카드(NIC)의 MAC 주소를 위조하여, 다른 장치처럼 행동하는 네트워크 공격입니다. MAC 주소는 네트워크 장치의 고유 식별자로, 네트워크 계층에서 패킷의 출발지와 목적지를 식별하는 데 사용되지만, 이 주소는 소프트웨어적으로 변경이 가능하므로, 공격자는 이를 위조하여 네트워크에 무단 접근하거나 다른 악의적인 활동을 수행할 수 있습니다.

Ⅱ. MAC 스푸핑(MAC Spoofing) 특징

ⅰ. MAC 주소의 고유성

 MAC 주소는 네트워크 장치에 할당된 고유한 식별자이지만, 소프트웨어적으로 쉽게 변경할 수 있습니다.
ⅱ. 익명성 및 은폐

 공격자는 MAC 주소를 위조함으로써 네트워크 상에서 자신의 신원을 숨기거나, 신뢰받는 장치로 위장할 수 있습니다.
ⅲ. 보안 우회

 네트워크가 MAC 주소 필터링에 의존할 경우, 이를 우회하여 무단 접속을 할 수 있습니다.

Ⅲ. MAC 스푸핑(MAC Spoofing) 공격 방식

MAC 스푸핑은 네트워크 상에서 합법적인 장치의 MAC 주소를 가로채서 해당 주소로 자신을 위장하는 방식으로 이루어집니다. 공격자는 MAC 주소를 위조하여 네트워크 트래픽을 가로채거나, 시스템 접근 권한을 획득합니다.

Ⅳ. MAC 스푸핑(MAC Spoofing) 공격 과정

ⅰ. MAC 주소 도청

 공격자는 네트워크 상에서 활성화된 장치의 MAC 주소를 스니핑하여 알아냅니다. 이를 통해 신뢰받는 장치의 MAC 주소를 확보합니다.
ⅱ. MAC 주소 변경

 공격자는 자신의 네트워크 장치(NIC)의 MAC 주소를 스니핑한 주소로 변경합니다. 이 작업은 일반적인 운영체제에서 쉽게 수행할 수 있습니다.
Ex) 리눅스에서 ifconfig 명령어를 사용하거나, 윈도우에서 네트워크 어댑터 설정을 변경할 수 있습니다.
ⅲ. 네트워크 접근 시도

 공격자는 위조된 MAC 주소를 사용해 네트워크에 무단 접근하거나, 신뢰받는 장치처럼 네트워크 리소스에 접근합니다.
ⅳ. 트래픽 가로채기 및 정보 수집

 공격자는 가로채기(Man-in-the-Middle) 공격이나 네트워크 트래픽 스니핑을 통해 민감한 정보를 수집할 수 있습니다.

Ⅴ. MAC 스푸핑(MAC Spoofing) 공격 피해

ⅰ. 네트워크 무단 접근

 공격자는 MAC 스푸핑을 통해 네트워크에 무단으로 접속하여, 데이터 도용, 비정상적인 활동 등을 할 수 있습니다. 예를 들어, Wi-Fi 네트워크에 MAC 주소 필터링이 설정된 경우, 공격자는 이를 우회하여 무단으로 네트워크에 접속할 수 있습니다.
ⅱ. 세션 하이재킹

 공격자는 세션 하이재킹을 통해 사용자와 서버 간의 통신을 가로채거나, 사용자의 권한을 도용할 수 있습니다.
ⅲ. 네트워크 혼란 및 서비스 방해

 동일한 네트워크에서 MAC 충돌이 발생할 수 있으며, 이로 인해 네트워크에서 혼란이 발생하거나 서비스가 중단될 수 있습니다.
ⅳ. Man-in-the-Middle(MITM) 공격

 공격자는 MAC 스푸핑을 통해 네트워크 트래픽을 가로채고, 이를 수정하거나 감시할 수 있습니다.

Ⅵ. MAC 스푸핑(MAC Spoofing) 대응 방법

ⅰ. 포트 보안(Port Security)
스위치에서 포트 보안을 활성화하면 각 포트에 고정된 MAC 주소만 접근할 수 있도록 제한할 수 있습니다. 이 설정을 통해 특정 MAC 주소 외에는 스위치 포트에 접근하지 못하도록 방지합니다.
Ex) Cisco 스위치에서 switchport port-security 명령어를 통해 고정된 MAC 주소 수를 제한할 수 있습니다.
ⅱ. 동적 ARP 검사(Dynamic ARP Inspection, DAI)
ARP 스푸핑 방지를 위해 스위치에서 동적 ARP 검사 기능을 활성화할 수 있습니다. 이는 ARP 패킷을 모니터링하여, 유효하지 않은 MAC 주소를 가진 ARP 응답을 차단합니다. DAI는 신뢰할 수 있는 인터페이스에서만 ARP 요청을 허용하며, 공격자의 스푸핑 시도를 탐지합니다.
ⅲ.  IP-MAC 바인딩(Static IP-MAC Binding)
네트워크에서 고정 IP와 MAC 주소를 매핑하여, 미리 등록된 MAC 주소에서만 특정 IP 주소로 접근할 수 있도록 설정할 수 있습니다. 이를 통해 허가되지 않은 MAC 주소에서의 접근을 차단합니다.
ⅳ. 네트워크 모니터링 및 로그 분석
네트워크 트래픽을 실시간으로 모니터링하여 의심스러운 MAC 주소 변경이나 비정상적인 트래픽을 탐지할 수 있습니다. SNMP(Simple Network Management Protocol)나 네트워크 침입 탐지 시스템(NIDS)을 사용해 비정상적인 MAC 주소 활동을 모니터링합니다.
ⅴ. 강력한 인증 방식 도입
네트워크 접근을 MAC 주소에만 의존하지 않고, 추가적인 보안 인증 방식을 도입합니다. 예를 들어, 802.1X 프로토콜을 사용한 포트 기반 네트워크 접근 제어(NAC)를 적용하여, 사용자 및 장치가 인증된 후에만 네트워크에 접근하도록 설정할 수 있습니다.